| 22.10.2004 13:47:05 | Расширения Х.509 | | Ответов: 3 |
|
 Алексей | | |
|
Здравствуйте,
Хочеться добавить в сертификат срок действия закрытого ключа. Соответственно в Модули политики КриптоПро УЦ в расширения Х.509 добавляем OID 2.5.29.16, однако этим нужного эффекта не достигается. На сколько я понимаю это связано с тем, что в запросе на сертификат этого параметра не указано. Вопрос: правильно ли я понимаю эту проблему, и, соответственно, где необходимо изменить установки, чтобы при формирования запроса на сертификат указаволось время действия закритого ключа. |
| |
Ответы:
|
| 25.10.2004 11:52:34 | Kirill Sobolev |
|
| Ну да, там же написано "Из расширений, указанных в запросе, в сертификат будут включены только отмеченные в данном списке:". Значит, для того чтобы расширение было в сертификате, должно быть и в списке и в запросе. Что изменить - зависит от того, чем Вы генерите запрос. |
|
| 25.10.2004 12:16:36 | Алексей |
|
Здравствуйте еще раз,
Генерю запрос АРМомо Админа.
В продолжении выше сказаного: Если на вкадке Расширения Х.509 убрать все галочки т.е. убрать все OIDы, то по логике Модуль политики ЦС должен отвергать все запросы на сертификат. Однако, в место этого, на любой запрос на сертификат (Временный или сертификат пользователя ЦР) выдаеться сертификат со всеми возможными разрешениями, находящимися в шаблонах ЦР. Версия УЦ 1.3. Это глюк или я чего то не понимаю?
|
|
| 25.10.2004 12:46:13 | Kirill Sobolev |
|
С помощью АРМа запрос с произвольными расширениями создать нельзя. Настройка шаблонов такого не позволяет, так что - только вручную.
Если убрать все ОИДы, то ни одно расширение из запроса не будет перенесено в сертификат, но запрос будет тем не менее принят. Да, действительно, расширение "Улучшенный ключ" там будет отсутствовать - в этом можно убедиться на вкладке "Состав". Но если этого расширения нет - то это интерпретируется как "Разрешено все".
Кстати, совсем все расширения убрать не получится - MS CA все равно добавит идентификатор ключа субъекта и идентификатор ключа центра. |
|
