| ||||
| ||||
| Установил центр серитфикации, выдал себе пару сертификатов, установил. Один отозвал, сгенерил crl, установил, там же где сам сертификат. Но он показывается как номальный, рабочий. Ваша утилитка certmgr.exe показывает, что список отзыва установлен, и при этом же, при просмотре сертификата "Этот сертификат действителен." Что это может быть? | ||||
| Ответы: | ||||
| ||||
| При просмотре сертификата стандартными средствами Windows проверка на отзыв не осуществляется. Этим занимается (или не занимается) приложение, использующее сертификат. Например, наше "Приложение командной строки" (http://www.cryptopro.ru/CryptoPro/products/command.asp) при использовании сертификата проверяет его на отзыв. | ||||
| ||||
| Т.е. получается, что по умолчанию работа с сертификатами в Windows вообще некорректна, ибо куда ж без списков отзыва? И второе: можно ли как-то работать со списками отзыва в CAPICOM или придется заморачиваться со всякими certOpenSystemStore(hprov, ’MY’)CertEnumCertificatesInStore(store, nil) ... CertGetCRLFromStore(store,cert,nil,@flags) и т.д.? | ||||
| ||||
| "Работа с сертификатами" и "просмотр сертификата стандартными средствами" - совсем не одно и то же. Просмотр включает действия: проверка ЭЦП сертификата, определение степени доверия (т.е. построение цепочки сертификатов до самоподписанного корневого сертификата ЦС и проверка наличия: промежуточных сертификатов - в хранилище "Промежуточные ЦС", корневого - в хранилище "Доверенные корневые ЦС"). А уже приложение, которое работает с сертификатами (т.е. использует сертификаты для [проверки] ЭЦП или для шифрования/расшифрования), должно самостоятельно проверять их на отзыв путём вызова функций CryptoAPI или методов CAPICOM. По CAPICOM - см. MSDN (Chain, Chain.Build, Chain.Status, CAPICOM_CHAIN_STATUS) | ||||
Андрей