Статус: Сотрудник
Группы: Участники
Зарегистрирован: 14.03.2013(UTC) Сообщений: 448 Откуда: Москва Сказал(а) «Спасибо»: 2 раз Поблагодарили: 95 раз в 85 постах
|
Цитата:Ну тогда не совсем понятно зачем нужно включать старые СОС в новые выпущенные под новым корневым если проверка по ним все равно не производится. Этот режим соответствет требованиям RFC 5280, однако в ряде случае Microsoft Revocation Provider не сможет проверить сертификат на отзыв (о причинах лучше спросить сам Майкрософт). Для обеспечения работоспособности такой структуры необходимо использовать другие средства для проверки сертификатов на отзыв. Со своей стороны мы вам рекомендуем использовать настройку: Цитата: chomper Из личного FAQ: Вопрос: После смены корневого сертификата УЦ список отзыва нового сертификата содержит отозванные клиентские сертификаты старого корневого сертификата Ответ: НА ЦС выполнить команду: certutil -setreg CA\CRLFlags +CRLF_BUILD_ROOTCA_CRLENTRIES_BASEDONKEY
так как она является более удобной.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 28.03.2014(UTC) Сообщений: 8 Откуда: Воронеж Сказал(а) «Спасибо»: 1 раз
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.09.2014(UTC) Сообщений: 22 Сказал(а) «Спасибо»: 2 раз
|
Здравствуйте.
При переходе с Win2003 на win2008 столкнулись с этой проблеммой. При введении команды "certutil -setreg CA\CRLFlags +CRLF_BUILD_ROOTCA_CRLENTRIES_BASEDONKEY" выдает:
certutil: -setreg команда не выполнена 0x8007000d (win32: 13) certutil: недопустимые данные
Можно уточнить Версию Windows и результат ?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 14.03.2013(UTC) Сообщений: 448 Откуда: Москва Сказал(а) «Спасибо»: 2 раз Поблагодарили: 95 раз в 85 постах
|
Цитата:Можно уточнить Версию Windows и результат На моем стенде Win 2008R2 Пользователь Molostvov прикрепил следующие файлы: certutil.png (21kb) загружен 75 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
1 пользователь поблагодарил Molostvov за этот пост.
|
asv оставлено 23.12.2014(UTC)
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.09.2014(UTC) Сообщений: 22 Сказал(а) «Спасибо»: 2 раз
|
На нашем стенде Win 2008SP1 St. Пользователь asv прикрепил следующие файлы: ctrtutil.jpg (63kb) загружен 66 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.09.2014(UTC) Сообщений: 22 Сказал(а) «Спасибо»: 2 раз
|
Правкой реестра мы это значение внесли. CRL по ключам разделились. Почему не получилось это сделать через утилиту certutil, и даже сейчас значение флага отображается только в виде цифр.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 08.10.2015(UTC) Сообщений: 35 Сказал(а) «Спасибо»: 10 раз Поблагодарили: 1 раз в 1 постах
|
Аналогичная ситуация. Через certutil значение не добавляется. В ручную внес правку в реестре в CRLFlags (исходя из этого указал значение 200000). После перезапуска службы, CRL разделились, но в модуле политике -> политике имен, пропали значения ИНН, ОГРН(ИП), СНИЛС. Насколько понял, все сделано как описано выше. Не совсем понимаю, где(в чем) допущена ошибка?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,732 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
Цитата:Не совсем понимаю, где(в чем) допущена ошибка? В том, что Вы убрали настройку "Перекладывать субъект из запроса без изменений". Включить обратно ее можно либо в модуле политики ЦС, либо командой certutil –setreg CA\CRLFlags +CRLF_REBUILD_MODIFIED_SUBJECT_ONLY |
|
1 пользователь поблагодарил Кирилл Соболев за этот пост.
|
igr оставлено 30.11.2015(UTC)
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 08.10.2015(UTC) Сообщений: 35 Сказал(а) «Спасибо»: 10 раз Поблагодарили: 1 раз в 1 постах
|
Kirill Sobolev, еще разщ спасибо. Возможно ли сделать обратное - в СОС выпущенный под новым корневым включать все отозванные сертификаты выпущенные на старом(ых) корневом(ых)? В настройках флага стоит CRLF_REBUILD_MODIFIED_SUBJECT_ONLY (32). Система Windows Server 2003 R2 SP2.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,732 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
Попробуйте конечно к 32 добавить 2097152 вручную в реестре, но возможно что на 2003 этот режим не реализован. |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close