Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline dedov  
#11 Оставлено : 9 апреля 2019 г. 14:25:13(UTC)
dedov

Статус: Эксперт

Группы: Участники
Зарегистрирован: 03.04.2008(UTC)
Сообщений: 380
Мужчина
Откуда: Россия, г. Белгород

Сказал «Спасибо»: 11 раз
Поблагодарили: 9 раз в 9 постах
Автор: Захар Тихонов Перейти к цитате
Расширения в шаблоны добавлено, для того чтоб была возможность выпускать сертификаты без этих разрешений (например, сертификат оператора OCSP).
Т.е. если нет расширения в шаблоне, то в выпускаемом сертификате оно и не появится. Есть расширение, то как оно настроено, так и будет попадать (по умолчанию - из настоек ЦС, или индивидульные настройки)


Проблема не в расширении!!! А в адресе OCSP! И он не попадает в сертификат из настроек ЦС в версии УЦ 6904!!!
Offline Захар Тихонов  
#12 Оставлено : 9 апреля 2019 г. 14:27:03(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: dedov Перейти к цитате
> А в шаблоне, по которому выпускали сертификат, имеется расширени AIA?
нет конечно!


Провторюсь, если нет расширения в шаблоне, то и не попадут настройки из свойст ЦС.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline dedov  
#13 Оставлено : 9 апреля 2019 г. 14:34:51(UTC)
dedov

Статус: Эксперт

Группы: Участники
Зарегистрирован: 03.04.2008(UTC)
Сообщений: 380
Мужчина
Откуда: Россия, г. Белгород

Сказал «Спасибо»: 11 раз
Поблагодарили: 9 раз в 9 постах
Автор: Захар Тихонов Перейти к цитате
Автор: dedov Перейти к цитате
> А в шаблоне, по которому выпускали сертификат, имеется расширени AIA?
нет конечно!


Провторюсь, если нет расширения в шаблоне, то и не попадут настройки из свойст ЦС.


Да теперь то понятно, что ТЕПЕРЬ именно так и есть! Но в версии 6142 и до нее еще версия сертифицированная было не так! Вся работа была выстроена именно таким образом, что в шаблоне не было этих расширений (1.3.6.1.5.5.7.1.1 и 2.5.29.31) и они нормально брались из настроек конкретного экземпляра ЦС (и да на серверах у нас по несколько экземпляров ЦС)!!! И да вы добавили автоматом пустые эти расширения в каждый шаблон! Но это никак не решает проблемы с адресом OCSP, его ТЕПЕРЬ придется вручную добавлять в каждый шаблон путем полного заполнения расширения 1.3.6.1.5.5.7.1.1!

Отредактировано пользователем 9 апреля 2019 г. 14:35:26(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#14 Оставлено : 9 апреля 2019 г. 14:45:37(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Нет, не требуется в ручную все добавлять. При обновлении УЦ были проверены все шаблоны. Если в старых сборках брались значения из свойств ЦС, то при обновлении добавляется пустое значение, которое также будет брать из свойств ЦС. Если были индивидуальные настройки, то ни чего не менялось.
Т.е. вы не должны были заменить изменения при выпуске сертификатов после обновления сборки УЦ, если сами не измените шаблоны.

Если у вас не так, то создайте, пожалуйста, заявку на портале ТП https://support.cryptopro.ru . Приложите настройки шаблона, свойств ЦС, выпущенный сертификат и журнал приложения Windows.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline roflanVikared  
#15 Оставлено : 9 апреля 2019 г. 14:46:27(UTC)
roflanVikared

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2017(UTC)
Сообщений: 216
Мужчина
Финляндия
Откуда: Helsinki

Сказал «Спасибо»: 2 раз
Поблагодарили: 138 раз в 51 постах
Автор: dedov Перейти к цитате
Его теперь нужно прописывать в шаблоне или запросе принудительно!


Как вариант, но, по-моему, гораздо легче сделать так, как я рекомендовал выше. Angel
D2/CB-4+BF2/A-DASH-4+BF2
Offline dedov  
#16 Оставлено : 9 апреля 2019 г. 15:03:12(UTC)
dedov

Статус: Эксперт

Группы: Участники
Зарегистрирован: 03.04.2008(UTC)
Сообщений: 380
Мужчина
Откуда: Россия, г. Белгород

Сказал «Спасибо»: 11 раз
Поблагодарили: 9 раз в 9 постах
Автор: Захар Тихонов Перейти к цитате
...то при обновлении добавляется пустое значение, которое также будет брать из свойств ЦС.


будет брать из свойств ЦС в том числе и адрес OCSP из "Публикация информации о центре сертификации" ???
Offline Захар Тихонов  
#17 Оставлено : 9 апреля 2019 г. 15:05:16(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: dedov Перейти к цитате
Автор: Захар Тихонов Перейти к цитате
...то при обновлении добавляется пустое значение, которое также будет брать из свойств ЦС.


будет брать из свойств ЦС в том числе и адрес OCSP из "Публикация информации о центре сертификации" ???


конечно!
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Захар Тихонов  
#18 Оставлено : 10 апреля 2019 г. 15:39:49(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
У пользователя dedov в шаблоне на серитфикат, в EKU присутствовал OID "Подписание OCSP (1.3.6.1.5.5.7.3.9)". Этот OID используется только оператором OCSP. В УЦ 2.0. установлен контроль, чтоб в сертификат оператора OCSP не попадала ссылка на службу OCSP (чтоб он себя не проверял и не получился цикл). Из-за этого при выпуске пропадала ссылка на службу OCSP.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 2 пользователей поблагодарили Захар Тихонов за этот пост.
dedov оставлено 10.04.2019(UTC), Sasha_help оставлено 11.04.2019(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.