14.11.2005 15:57:16Проблема с кросс сертификацией Ответов: 6
Глеб
Имеется два центра сертификации А и Б.
На А создается запрос на кросс сертификацию, с использованием утилиты CaCertReq.exe -policy.
По этому запросу на центре сертификации Б создается пользователь и сертификат.
Далее этот сертификат помещается в хранилище "Промежуточные центры сертификации", вместе со списком отзыва центра сертификации А.

НА А создается тестовый сертификат ххх, который переноситься на компьютер с центром сертификации Б.
Цепочка сертификации проверяется т.е. Б->А->ххх, но ххх - "этот сертификат не действителен, поскольку один из центров верификации на пути сертификации не имеет права выдавать сертификаты или не может являться конечным сертификатом".

Вопрос: Что возможно сделано неправильно? Почему не работает кросс сертификация?
 
Ответы:
14.11.2005 17:29:18Kirill Sobolev
У кросс-сертификата есть расширение "Основные ограничения"(Basic Constraints)? Там должен присутствовать пункт Тип субъекта=ЦС.
14.11.2005 17:42:24Глеб
Расширения с таким названием нет. Но в модуле политики -> Расширения Х.509 был добавлен ОИД 2.5.29.19(основные ограничения)
14.11.2005 17:58:00Kirill Sobolev
А в запросе на сертификат оно есть?
15.11.2005 14:50:26Глеб
Нет, нету.. в чем может быть дело?
15.11.2005 14:56:44Глеб
>У кросс-сертификата есть расширение "Основные >ограничения"(Basic Constraints)? Там должен присутствовать пункт Тип субъекта=ЦС.

2.5.29.19 - Basic Constraints2

2.5.29.10 - Basic Constraints

Я как и говорил, добавил 2.5.29.19, может надо 2.5.29.10? ...
15.11.2005 15:02:57Kirill Sobolev
А в сертификате центра А есть такое расширение?