Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline Molostvov  
#11 Оставлено : 16 декабря 2014 г. 16:13:14(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
Цитата:
Ну тогда не совсем понятно зачем нужно включать старые СОС в новые выпущенные под новым корневым если проверка по ним все равно не производится.

Этот режим соответствет требованиям RFC 5280, однако в ряде случае Microsoft Revocation Provider не сможет проверить сертификат на отзыв (о причинах лучше спросить сам Майкрософт). Для обеспечения работоспособности такой структуры необходимо использовать другие средства для проверки сертификатов на отзыв.

Со своей стороны мы вам рекомендуем использовать настройку:
Цитата:

chomper
Из личного FAQ:
Вопрос:
После смены корневого сертификата УЦ список отзыва нового сертификата содержит отозванные клиентские сертификаты старого корневого сертификата
Ответ:
НА ЦС выполнить команду:
certutil -setreg CA\CRLFlags +CRLF_BUILD_ROOTCA_CRLENTRIES_BASEDONKEY

так как она является более удобной.

Offline Str25Al  
#12 Оставлено : 16 декабря 2014 г. 16:51:13(UTC)
Str25Al

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.03.2014(UTC)
Сообщений: 8
Российская Федерация
Откуда: Воронеж

Сказал(а) «Спасибо»: 1 раз
Спасибо за разъяснения!
Offline asv  
#13 Оставлено : 23 декабря 2014 г. 13:09:26(UTC)
asv

Статус: Участник

Группы: Участники
Зарегистрирован: 19.09.2014(UTC)
Сообщений: 22
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Здравствуйте.

При переходе с Win2003 на win2008 столкнулись с этой проблеммой.
При введении команды "certutil -setreg CA\CRLFlags +CRLF_BUILD_ROOTCA_CRLENTRIES_BASEDONKEY" выдает:

certutil: -setreg команда не выполнена 0x8007000d (win32: 13)
certutil: недопустимые данные

Можно уточнить Версию Windows и результат ?
Offline Molostvov  
#14 Оставлено : 23 декабря 2014 г. 13:33:44(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
Цитата:
Можно уточнить Версию Windows и результат

На моем стенде Win 2008R2
Пользователь Molostvov прикрепил следующие файлы:
certutil.png (21kb) загружен 75 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
thanks 1 пользователь поблагодарил Molostvov за этот пост.
asv оставлено 23.12.2014(UTC)
Offline asv  
#15 Оставлено : 23 декабря 2014 г. 15:36:28(UTC)
asv

Статус: Участник

Группы: Участники
Зарегистрирован: 19.09.2014(UTC)
Сообщений: 22
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
На нашем стенде Win 2008SP1 St.
Пользователь asv прикрепил следующие файлы:
ctrtutil.jpg (63kb) загружен 66 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline asv  
#16 Оставлено : 23 декабря 2014 г. 15:42:31(UTC)
asv

Статус: Участник

Группы: Участники
Зарегистрирован: 19.09.2014(UTC)
Сообщений: 22
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Правкой реестра мы это значение внесли.
CRL по ключам разделились.
Почему не получилось это сделать через утилиту certutil, и даже сейчас значение флага отображается только в виде цифр.
Offline igr  
#17 Оставлено : 27 ноября 2015 г. 13:41:47(UTC)
igr

Статус: Активный участник

Группы: Участники
Зарегистрирован: 08.10.2015(UTC)
Сообщений: 35
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Поблагодарили: 1 раз в 1 постах
Аналогичная ситуация. Через certutil значение не добавляется. В ручную внес правку в реестре в CRLFlags (исходя из этого указал значение 200000).
После перезапуска службы, CRL разделились, но в модуле политике -> политике имен, пропали значения ИНН, ОГРН(ИП), СНИЛС.
Насколько понял, все сделано как описано выше. Не совсем понимаю, где(в чем) допущена ошибка?
Offline Kirill Sobolev  
#18 Оставлено : 27 ноября 2015 г. 21:45:16(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Цитата:
Не совсем понимаю, где(в чем) допущена ошибка?

В том, что Вы убрали настройку "Перекладывать субъект из запроса без изменений".
Включить обратно ее можно либо в модуле политики ЦС, либо командой
certutil –setreg CA\CRLFlags +CRLF_REBUILD_MODIFIED_SUBJECT_ONLY
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Кирилл Соболев за этот пост.
igr оставлено 30.11.2015(UTC)
Offline igr  
#19 Оставлено : 19 февраля 2016 г. 14:06:23(UTC)
igr

Статус: Активный участник

Группы: Участники
Зарегистрирован: 08.10.2015(UTC)
Сообщений: 35
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Поблагодарили: 1 раз в 1 постах
Kirill Sobolev, еще разщ спасибо.
Возможно ли сделать обратное - в СОС выпущенный под новым корневым включать все отозванные сертификаты выпущенные на старом(ых) корневом(ых)? В настройках флага стоит CRLF_REBUILD_MODIFIED_SUBJECT_ONLY (32). Система Windows Server 2003 R2 SP2.
Offline Kirill Sobolev  
#20 Оставлено : 19 февраля 2016 г. 17:43:52(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Попробуйте конечно к 32 добавить 2097152 вручную в реестре, но возможно что на 2003 этот режим не реализован.
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.