| ||||
| ||||
| Поясните, пожалуйста, фразу из «КриптоПро УЦ Руководство по установке»: «Для корневого Центра Сертификации рекомендуется не включать расширение CDP в состав самоподписанного сертификата ЦС.» | ||||
| Ответы: | ||||
| ||||
| Смысл очень простой - не включать в сертификат корневого ЦС CDP. По умолчанию в сертификат корневого ЦС включается CDP вида: http://имя_сервера_ЦС/certsrv/..., где имя_сервера_ЦС - полное доменное имя сервера. Для клиентов, расположенных вне локальной сети, где находится сервер ЦС, этот URL будет недоступен. Второй аргумент - т.к. СОС подписывается сертификатом ЦС, то проверять сам сертификат ЦС по списку, подписанному на том же самом сертификате бессмыссленно. | ||||
| ||||
| Бессмысленно? Или невозможно? Бедет такой же глюк как с OCSP без nocheck? | ||||
| ||||
| Сертификат OCSP - отдельная история. По поводу сертификата ЦС. Пусть мы проверяем его статус по СОС. Если сертификат не отозван, значит в СОС его нет. Если сертификат отозван, значит, он есть в СОС, но, т.к. СОС подписан отозванным сертификатом, то к СОС нет доверия. Вывод - по СОС невозможно установить статус сертификата ЦС, который его и издал. Про OCSP - дело клиента, проверять или нет сертификат службы OCSP, которым подписан ответ о статусе. Клиент может: а) проверять всегда б) не проверять никогда в) не проверять, если есть nocheck г) не проверять, если так настроено в групповой политике для этого сертификата | ||||
E. Stepanov