| ||||
| ||||
При установке службы сертификации не использовали файл политик, соответственно в сертификате УЛ нет точки CRL. Она очень понадобилась. Выпустить для тех же ключей другой корневой сертификат, уже с точкой распространения не знаю как. На тестовом УЦ решил попробовать переустановить службу сертификации, выпустив новый корневой серт. с нужными параметрами. Получается, что на ЦР БД сохраняется, естественно, а на переустановленный ЦС (переустанавливалась и служба сертификации и КриптоПРО ЦС) сохранённая БД не восстанавливается. УЦ получается в несогласованном состоянии. Как правильно изменить сертификат УЛ, с минимальными потерями? | ||||
Ответы: | ||||
| ||||
Во-первых, можно поинтересоваться, зачем в корневом сертификате (далее для краткости просто сертификат) точка cdp? Действие довольно бессмысленное, т.к.: 1) если сертификат не отозван, значит, его нет в crl. 2) если сертификат отозван, значит, он есть в crl. Но crl подписан этим же сертификатом, а раз он отозван, то нет доверия к этому crl, следовательно, сертификат отозванным считать нельзя. Но если всё же хочется: 1. Добавить в корневой сертификат cdp можно при смене корневого сертификата. 2. Либо снести КриптоПро ЦС, потом MSDE (а также удалить файлы БД КриптоПро ЦС) и MS CA, поднять MS CA на том же ключе, но с новым сертификатом и с той же базой MS CA. Потом поставить КриптоПро ЦС, он создаст пустую БД и заполнит её данными из MS CA. | ||||