Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
ссылка на OCSP не добавляется в сертификат
Статус: Эксперт
Группы: Участники
Зарегистрирован: 03.04.2008(UTC) Сообщений: 380 Откуда: Россия, г. Белгород Сказал «Спасибо»: 11 раз Поблагодарили: 9 раз в 9 постах
|
Автор: Захар Тихонов Расширения в шаблоны добавлено, для того чтоб была возможность выпускать сертификаты без этих разрешений (например, сертификат оператора OCSP). Т.е. если нет расширения в шаблоне, то в выпускаемом сертификате оно и не появится. Есть расширение, то как оно настроено, так и будет попадать (по умолчанию - из настоек ЦС, или индивидульные настройки) Проблема не в расширении!!! А в адресе OCSP! И он не попадает в сертификат из настроек ЦС в версии УЦ 6904!!!
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,175 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
Автор: dedov > А в шаблоне, по которому выпускали сертификат, имеется расширени AIA? нет конечно!
Провторюсь, если нет расширения в шаблоне, то и не попадут настройки из свойст ЦС. |
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 03.04.2008(UTC) Сообщений: 380 Откуда: Россия, г. Белгород Сказал «Спасибо»: 11 раз Поблагодарили: 9 раз в 9 постах
|
Автор: Захар Тихонов Автор: dedov > А в шаблоне, по которому выпускали сертификат, имеется расширени AIA? нет конечно!
Провторюсь, если нет расширения в шаблоне, то и не попадут настройки из свойст ЦС. Да теперь то понятно, что ТЕПЕРЬ именно так и есть! Но в версии 6142 и до нее еще версия сертифицированная было не так! Вся работа была выстроена именно таким образом, что в шаблоне не было этих расширений (1.3.6.1.5.5.7.1.1 и 2.5.29.31) и они нормально брались из настроек конкретного экземпляра ЦС (и да на серверах у нас по несколько экземпляров ЦС)!!! И да вы добавили автоматом пустые эти расширения в каждый шаблон! Но это никак не решает проблемы с адресом OCSP, его ТЕПЕРЬ придется вручную добавлять в каждый шаблон путем полного заполнения расширения 1.3.6.1.5.5.7.1.1! Отредактировано пользователем 9 апреля 2019 г. 14:35:26(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,175 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
Нет, не требуется в ручную все добавлять. При обновлении УЦ были проверены все шаблоны. Если в старых сборках брались значения из свойств ЦС, то при обновлении добавляется пустое значение, которое также будет брать из свойств ЦС. Если были индивидуальные настройки, то ни чего не менялось. Т.е. вы не должны были заменить изменения при выпуске сертификатов после обновления сборки УЦ, если сами не измените шаблоны. Если у вас не так, то создайте, пожалуйста, заявку на портале ТП https://support.cryptopro.ru . Приложите настройки шаблона, свойств ЦС, выпущенный сертификат и журнал приложения Windows. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2017(UTC) Сообщений: 216 Откуда: Helsinki Сказал «Спасибо»: 2 раз Поблагодарили: 138 раз в 51 постах
|
Автор: dedov Его теперь нужно прописывать в шаблоне или запросе принудительно! Как вариант, но, по-моему, гораздо легче сделать так, как я рекомендовал выше. |
D2/CB-4+BF2/A-DASH-4+BF2 |
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 03.04.2008(UTC) Сообщений: 380 Откуда: Россия, г. Белгород Сказал «Спасибо»: 11 раз Поблагодарили: 9 раз в 9 постах
|
Автор: Захар Тихонов ...то при обновлении добавляется пустое значение, которое также будет брать из свойств ЦС. будет брать из свойств ЦС в том числе и адрес OCSP из "Публикация информации о центре сертификации" ???
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,175 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
Автор: dedov Автор: Захар Тихонов ...то при обновлении добавляется пустое значение, которое также будет брать из свойств ЦС. будет брать из свойств ЦС в том числе и адрес OCSP из "Публикация информации о центре сертификации" ??? конечно! |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,175 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
У пользователя dedov в шаблоне на серитфикат, в EKU присутствовал OID "Подписание OCSP (1.3.6.1.5.5.7.3.9)". Этот OID используется только оператором OCSP. В УЦ 2.0. установлен контроль, чтоб в сертификат оператора OCSP не попадала ссылка на службу OCSP (чтоб он себя не проверял и не получился цикл). Из-за этого при выпуске пропадала ссылка на службу OCSP. |
|
2 пользователей поблагодарили Захар Тихонов за этот пост.
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
ссылка на OCSP не добавляется в сертификат
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close