В КриптоПро УЦ 1.5 R2 в расширение X.509 добавляю Политики сертификата (2.5.29.32). Есть OID, который должен добавляться в Политику сертификата, оид добавлен на вкладке Использование ключа и в его свойствах стоит галочка Включать в расширение Политики выдачи (Политики сертификата). Когда, с арма администратора отправляю запрос с данным оидом выдает:

Номер: -2147220983
Источник: ViewRequestMoveNext
Описание: Произошла ошибка во время принятия запроса на сертификат.
Оригинальная ошибка:
Number=0x80094014
Source=Request.GetCertificate
Description=Модуль политики отверг запрос

Если, убрать галочку с Политики сертификата (2.5.29.32), то выдает:

Номер: -2147220983
Источник: ViewRequestMoveNext
Описание: Произошла ошибка во время принятия запроса на сертификат.
Оригинальная ошибка:
Number=0x800B0113
Source=Request.GetCertificate
Description=Ошибка создания и публикации сертификата Недопустимые политики выдачи: 1.2.643.3.122.1.34.13.11

Помогите, может я еще что-либо упустил???

п.с. на ЦР этот оид добавлен в разрешенные. Если оид не добавлять в Политики сертификата, то все хорошо выпускается.

Если в сертификате ЦС есть расширение 2.5.29.32 (Политики выдачи, они же политики сертификата), то в клиентский сертификат в аналогичное расширение могут быть помещены только те OID-ы, которые есть в сертификате ЦС, т.е. набор OID-ов в клиентском сертификате является подмножеством значения этого расширения в сертификате ЦС.
Если в сертификате ЦС нет расширения 2.5.29.32, это означает, что можно использовать любые политики и в клиентский сертификат в это расширение могут быть помещены любые OID-ы.
Если в сертификате ЦС в расширении 2.5.29.32 имеется OID 2.5.29.32.0, это тоже означает, что можно использовать любые политики и в клиентский сертификат в это расширение могут быть помещены любые OID-ы.

Вот что сказано в RFC5280:
4.2.1.4. Certificate Policies

The certificate policies extension contains a sequence of one or more
policy information terms, each of which consists of an object
identifier (OID) and optional qualifiers. Optional qualifiers, which
MAY be present, are not expected to change the definition of the
policy. A certificate policy OID MUST NOT appear more than once in a
certificate policies extension.

In an end entity certificate, these policy information terms indicate
the policy under which the certificate has been issued and the
purposes for which the certificate may be used. In a CA certificate,
these policy information terms limit the set of policies for
certification paths that include this certificate. When a CA does
not wish to limit the set of policies for certification paths that
include this certificate, it MAY assert the special policy anyPolicy,
with a value of { 2 5 29 32 0 }.

Служба сертификации Microsoft на Win 2008 R2 строго проверяет эти правила и не позволяет выдавать сертификаты с политиками, которых нет в сертификате ЦС.
Это поведение не зависит от ПО КриптоПро.

Служба сертификации Microsoft на Win 2008 или 2003 не проверяет эти правила и позволяет выдавать сертификаты с политиками, которых нет в сертификате ЦС.
Хотя такое поведение не соответствует RFC5280.

Отредактировано пользователем 13 июля 2012 г. 19:56:55(UTC)  | Причина: Не указана

Хм, проблема оказалась в том, что учетная запись System не имела доступ к БД.