Если запрос делали из оснастки PKI, то в нем есть Неотрекаемость в использовании ключа.
Можете сами посмотреть:
certutil "путь_к_запросу"

Сделала запрос из оснастки PKI мастером создания запроса оператора TSP службы(1.5.1035 - этот же билд выложен у нас на сайте(http://cryptopro.ru/products/pki/tsp/downloads), версию какого проукта указываете Вы(КриптоПро УЦ?)- не совсем понятно):

C:\Program Files\Crypto Pro\TSP Server>certutil "C:\Documents and Settings\Адми
истратор\Рабочий стол\tspn.p10"
Запрос сертификата PKCS10:
Версия: 1
Субъект:
CN=tsp_n
C=RU

Алгоритм открытого ключа:
ObjectID алгоритма: 1.2.643.2.2.19 ГОСТ Р 34.10-2001
Параметры алгоритма:
0000 30 12 06 07 2a 85 03 02 02 23 01 06 07 2a 85 03
0010 02 02 1e 01
Длина открытого ключа: 512 бит
Открытый ключ: UnusedBits = 0
0000 04 40 43 8c fc d8 03 2f 7a 38 b5 e5 ce e2 86 14
0010 eb 7c ea 27 cf b6 c1 0b 7e b9 c1 f1 1f 20 d0 c2
0020 94 aa 9f 68 70 53 e1 b6 3c 42 30 e4 83 40 2f 27
0030 40 fa 6f 33 7e c3 0b 3f f7 4f 7f 26 27 ee 82 62
0040 17 40
Запрос атрибутов: 3
Атрибуты 3:

Атрибут[0]: 1.3.6.1.4.1.311.13.2.3 (Версия ОС)
Значение[0][0]:
5.2.3790.2

Атрибут[1]: 1.3.6.1.4.1.311.2.1.14 (Расширения сертификатов)
Значение[1][0]:
Неизвестный тип атрибута
Расширения сертификатов: 2
2.5.29.15: Флаги = 1(Критический), Длина = 4
Использование ключа
Цифровая подпись, Неотрекаемость (c0)

2.5.29.37: Флаги = 0, Длина = c
Улучшенный ключ
Установка штампа времени (1.3.6.1.5.5.7.3.8)


Атрибут[2]: 1.3.6.1.4.1.311.13.2.2 (CSP подачи заявок)
Значение[2][0]:
Неизвестный тип атрибута
Сведения о поставщике криптографии
KeySpec = 2
Поставщик = Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider
Подпись: НеиспользБит=0
0000 1e 7a 8f 4a 7e 50 10 9b 4f 1b 55 94 69 e2 0a 45
0010 3d c5 75 e0 d7 a1 e3 4e f0 a2 97 fa 5d 40 08 73
0020 8f 40 c5 2f 59 16 18 76 9c 93 26 04 cc 5c 26 79
0030 a3 0c 3f ad 2c de 88 29 bd 7f 73 94 4d e5 0f 2c
0040 f0 a8 21 83 d1 f8 d1 81 7d 5a ab 25 55 8c 9f 14
0050 74 60 43 00 04 b8 d0 6c d3 be 06 91 35 ad 3e 35
0060 b5 ba 7d 68 7c 55 71 80 06 f2 af c3 a0 61 57 fe
0070 68 d7 af e5 f6 27 9e 35 26 dd 88 98 ee 25 7e 46
0080 00 00 00 00 00 00 00 00
Алгоритм подписи:
ObjectID алгоритма: 1.2.643.2.2.3 ГОСТ Р 34.11/34.10-2001
Параметры алгоритма: NULL
Подпись: НеиспользБит=0
0000 81 e4 bc bd a4 8a 80 29 ae bc 5b 16 10 a6 5d c7
0010 ea 2d 54 d7 ed b1 6d 32 11 c8 8c 40 4a 81 35 91
0020 53 89 72 66 21 d7 81 ec 3d 98 01 0e 07 8c aa a0
0030 84 c5 a0 cb 4a c5 9b 2d e0 18 68 04 9d 6a 5d 7b
Подпись соответствует открытому ключу
Хеш кода ключа (sha1): 50 ab 10 20 e6 1d 19 84 73 7c c2 50 00 dd 29 5e a5 8b c0
f4
CertUtil: -dump - команда успешно выполнена.

Отредактировано пользователем 1 декабря 2011 г. 3:22:06(UTC)  | Причина: Не указана

Попробывал проверить статус сертификата по протоколу OCSP с помощью виндовской утилиты (с установленным Revocation Provider): certutil -url <сертификат>.
Выдает ответ "Просрочен".
В журнале OCSP-сервера при открытии ocsp-ответа выскакивает ошибка "Параметр задан неверно", ответ открывается, но в нем нет статуса сертификата (есть только 6 первых полей, причем статус ответа - Успешный).
Не знаете, в чем дело?

Отредактировано пользователем 19 декабря 2011 г. 21:42:30(UTC)  | Причина: Не указана

На 2008, 2008R2 запросы выпускаются с помощью CertEnroll, который "Неотрекаемость" не добавляет.
Придется проставлять "ручками".
Будем править в новом билде.
Спасибо :)

Добрый день,

На 2003 запросы на сертификат выпускались с помощью XEnroll, который по умолчанию
вставлял расширение keyUsage: nonRepudiation + digitalSignature.
На 2008, 2008R2 запросы выпускаются с помощью CertEnroll, который по умолчанию
вставлял только keyUsage:digitalSignature. Поэтому мы подправили мастер выпуска запросов
на сертификат оператора служб, и явно добавляем keyUsage: nonRepudiation + digitalSignature.

Есть обходной вариант (пока не выложили новый build):
1. Перевести УЦ в режим "Присвоить запросу состояние ожидания..."
2. Отправить запрос на сертификат и запомнить или посмотреть его номер.
3. На УЦ добавить в запрос расширение KeyUsage: nonRepudiation
certutil -setextension <№ запроса> 2.5.29.15.1 0