| ||||
| ||||
| Помогите, пожалуйста, вот с такой проблемой. КриптоАрм (Build 2.5.1.35), 30-дневная версия выдает сообщение «Запрос был отклонен» при попытке запросить сертификат пользователя с сервера (ОС Windows 2003 Server), на котором установлен стандартный (серверный компонент) центра сертификации. ПК, отправляющий запрос серверу - ОС Windows 2000 /ХР. Параметры запроса: - используемый криптопровайдер - Microsoft Basic Cryptographic Provider v1.0; - использование жестко заданного IP-адреса сервера и имени центра сертификации; - другие параметры остаются без изменения. После этого программа выдает сообщение «Запрос был отклонен» и в Хранилище запросов на сертификат помещает сертификат, в общих свойствах которого значится: «Целостность этого сертификата не гарантирована. Возможно, он поврежден или изменен». А в пути сертификата есть следующее: «Этот сертификат содержит недействительную цифровую подпись». При этом запросы сертификата через mmc консоль и через браузер (Internet Explorer) проходят без проблем. Кроме того, в центре сертификации на сервере в неудачных запросах я нашла - Запрос кода состояния: В запросе отсутствует информация о шаблоне сертификата 0х80094801 (-2146875391) Запрос сообщения распоряжения: Модуль политики отверг запрос 0х80094801, Запрос не содержит расширения шаблона сертификата или атрибута запроса Certificate Template. Я полагаю, что модуль политики Центра Сертификации не пропускает запрос КриптоАрм, поскольку он не содержит необходимые ему сведения о шаблоне сертификата. Как можно обойти эту проверку? (Никаких шаблонов я не настраивала). Вероятно, при установке ЦС надо подключать не «Стандартный Windows» модуль политики, а специально ориентированный на работу с КриптоАрм. Есть ли такой у КриптоПро? Можно ли его получить? | ||||
| Ответы: | ||||
| ||||
| У Вас, судя по диагностике, установлен MS Enterprise CA (в русском варианте - ЦС предприятия). А он не обрабатывает запросы без шаблонов. Установите Stand Alone (Изолированный) CA - будет ок. | ||||
| ||||
| Я установила на сервере вместо корневого центра сертификации предприятия автономный (изолированный) корневой центр сертификации. Теперь в Windows 2000 у меня на самом деле все нормально (по всей видимости, там еще нет таких жестких требований безопасности), но в Windows ХР не идет проверка списка отозванных сертификатов на сервере (сертификаты в хранилище лежат с восклицательными знаками). Возможно, надо каким-то образом перенастроить точку распространения списков отзыва (CDP), но что именно необходимо сделать я в литературе не нашла. Или это связано исключительно с КриптоАрмом, который не может корректно связаться с автономным ЦС. Еще хотела спросить, а можно ли создать готовый файл ответов или что-то вроде того, чтобы пользователю, запрашивающему сертификат с помощью КриптоАрм, не надо было каждый раз заново вводить параметры запроса (IP-адрес сервера, тип криптопровайдера и имя центра сертификации)? И можно ли это сделать, не прибегая к программированию? И последний вопрос про КриптоАрм 3.1.4.2 (который Старт). Почему в нем в сведениях о программе пишется, что истек срок действия лицензии. Что это значит и сколько будет работать такая программа? Огромное спасибо за ответы. | ||||
Татьяна