| ||||
| ||||
| Как с помощью утилиты CaCertReq.exe создать запрос на кросс-сертификат с включенным полем Точка распределения списка отзыва (2.5.29.31)? При попытке создать нечто вроде этого (конечно же выдается ошибка): cacertreq -policy ca.cer policy.inf cross.req где policy.inf: [Version] Signature="$Windows NT$" [CRLDistributionPoint] URL="http://myca/myca.crl" [BasicConstraintsExtension] Critical = True Вобщем как правильно? Спасибо. | ||||
| Ответы: | ||||
| ||||
| Включать в запрос на сертификат расширение cdp не нужно. Всё равно на ЦС, где будет обрабатываться этот запрос, данное расширение будет проигнорировано и будет добавлен настроенный на этом ЦС адрес cdp. | ||||
| ||||
| Так я же хочу сделать запрос на кросс-сертификат, соответственно он будет находиться в цепочке. ЦС->Кросс-Сертификат->Пользователь Если в корневом не будет указано где можно взять CRL пользователям моего ЦС, как они узнают об этом кроме как не из моего кросс-сертификата? Поэтому вопрос: возможно ли включение данного поля в запрос впринципе? | ||||
| ||||
| Ещё раз повторю - вопрос о точке распространения списков отзыва (включать её или нет, если да, то какой URL) решается на ЦС, где обрабатывается запрос на сертификат на основании настроек этого ЦС. Адрес из запроса будет игнорирован. Видимо, Вы неправильно понимаете схему кросс-сертификации. Пусть есть ЦС1 (ваш, где делается запрос на кросс) и ЦС2 (где запрос обрабатывается). Целью выпуска кросса является то, чтобы пользователи ЦС2 (у который есть доверие к сертификату ЦС2) могли бы доверять сертификатам ЦС1 без необходимости устанавливать у себя в Доверенные сертификата ЦС1. В цепочке: ЦС1->Кросс-Сертификат->Пользовательский сертификат ЦС2 проверка будет такая: 1) из Пользовательского сертификата ЦС2 берётся cdp, скачивается СОС ЦС2, по нему проверяется, не отозван ли пользовательский сертификат 2) из Кросс-сертификата берётся cdp, скачивается СОС ЦС1, по нему проверяется, не отозван ли кросс-сертификат | ||||
| ||||
| Спасибо. Я принцип понимаю. Просто в неком документе существует требование на то чтобы такое поле в запросе было. Сутью вопроса было показать что данное требование немного противоречит. Грубо говоря чтоб можно было "тыкнуть пальцем", а не доказывать с пеной у рта, когда найдутся противоречия. Еще раз Спасибо! | ||||
Глеб