Здравствуйте.

В дистрибутиве КриптоПро 1.5 была отдельная инструкция по настройке входа по сертификатам Крипто Про УЦ в домен Windows.
В бета-дистрибутивах КриптоПро УЦ 2.0 такого документа нет. Есть ли возможность его выложить? Если нет, тогда прошу помощи:

Мне необходимо настроить доступ в домен по RSA сертификатам выданным КриптоПро УЦ.
1.Сертификат корневого CA КриптоПро УЦ 2.0 я распространил при помощи групповой политики
2.На каждом контроллере домена необходимо наличие сертификата контроллера домена, выданного УЦ КриптоПро (в хранилище машины). Согласно инструкции для КП 1.5 такой сертификат должен содержать расширения:
(OID 1.3.6.1.4.1.311.20.2) Имя шаблона сертификата.
(OID 1.2.643.2.2.34.24) КриптоПро УЦ, Контроллер домена (winlogon)
(OID 1.3.6.1.5.5.7.3.2) Проверка подлинности клиента;
(OID 1.3.6.1.5.5.7.3.1) Проверка подлинности сервера.
Как создать такой шаблон в КриптоПро УЦ 2.0? Стандартного шаблона "Контроллер домена" нет, на основе какого шаблона его можно создать и какие расширения необходимо включить (Контроллер домена(winlogon) также отсутствует в версии 2.0)?

3.Для входа в домен необходимо использовать сертификат "Вход по смарт-карте". Как (на основе какого шаблона) такой создать в КриптоПро УЦ 2.0?
Для КриптоПро 1.5 такой сертификата должен было содержать расширения:
(OID 1.3.6.1.4.1.311.20.2) Имя шаблона сертификата.
(OID 1.3.6.1.4.1.311.20.2.2) Вход со смарт-картой.
(OID 1.3.6.1.5.5.7.3.2) Проверка подлинности клиента.
В сертификате для входа по смарт-карте должно присутствовать поле subjectAltName, где должно быть задано UPN (User Principal Name) пользователя.

Спасибо. Завтра буду пробовать.

Сравнил инструкции по созданию шаблона Контроллер домена для КП 1.5 и 2.0.
В шаблон 2.0 необходимо включать следующие расширения EKU:
-Проверка подлинности клиента
-Проверка подлинности сервера
-Вход со смарт-картой
-Проверка подлинности центра распространения ключей

В шаблоне Контроллер домена (winlogon) КП 1.5 необходимо включать:
КриптоПро УЦ, Контроллер домена (winlogon)
Проверка подлинности клиента;
Проверка подлинности сервера.

То есть для КП 1.5 явно задавать расширение Вход со смарт-картой не нужно для сертификата контроллера домена.

Для чего необходимо его добавлять в шаблонах УЦ 2.0 и что будет, если сертификат DC КП2.0 не будет содержать EKU Вход со смрарт-картой?

Подскажите почему может выдаваться ошибка при авторизации по сертификату "Невозможно разблокировать систему. Обнаружен ненадежный центр сертификации при обработке сертификата смарт-карты при проверки подлинности." СОСы и корневой на машине присутствует.