Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.04.2012(UTC)
Сообщений: 186
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 14 раз в 9 постах
|
Автор: tikhonov  Нет, автономную форму создать нельзя. Но можно использовать и от УЦ 1.5 для создания запросов.
УЦ 2.0 не проверяет компоненты имени в запросе, при создания запроса на сертификат из файла в Консоли ЦР. а вот эти параметры проверяются? если EKU я еще могу подправить нужные OID, то как быть с остальными полями? Const sEKU = "1.2.643.100.2.1,1.3.6.1.5.5.7.3.4,1.2.643.100.113.1,1.2.643.100.113.2,1.2.643.2.2.34.6,1.3.6.1.5.5.7.3.2" Const lProviderType = 75 Const sProviderName = "" Const lGenKeyFlags = 33554433 Const lKeySpec = 1 Const lHashAlgID = 32798 Const sHashAlgOID = "1.2.643.2.2.9" Const sTemplateData = "" Const bLM = False Const bInstallChain = False Const ContextUser = 1 Const ContextMachine = 2 Const AllowNone = 0 Const CRYPT_STRING_ANY = &H00000007 Const XCN_NCRYPT_ALLOW_EXPORT_FLAG = 1 Const XCN_NCRYPT_UI_NO_PROTECTION_FLAG = 0 Const XCN_NCRYPT_UI_PROTECT_KEY_FLAG = 1 Const CERT_DATA_ENCIPHERMENT_KEY_USAGE = &H10 Const CERT_KEY_ENCIPHERMENT_KEY_USAGE = &H20 Const CERT_NON_REPUDIATION_KEY_USAGE = &H40 Const CERT_DIGITAL_SIGNATURE_KEY_USAGE = &H80 Const szOID_PKIX_KP_CODE_SIGNING = "1.3.6.1.5.5.7.3.3" Const SPC_INDIVIDUAL_SP_KEY_PURPOSE_OBJID = "1.3.6.1.4.1.311.2.1.21" Const SPC_COMMERCIAL_SP_KEY_PURPOSE_OBJID = "1.3.6.1.4.1.311.2.1.22"
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,314   Откуда: Калининград Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
|
Все зависит как настроен шаблон. Если настроено, например, что должно проверяться ЕКU, то будет проверяться)
Подробнее указано здесь: ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации, Пункт 2.1 Шаблоны сертификатов.
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 30.07.2015(UTC)
Сообщений: 35
Сказал(а) «Спасибо»: 5 раз
|
Коллеги с КриптоПро, опять же вопрос по 2.0. Есть возможность менять данные в заведенном пользователе в АРМе, даже если у пользователя уже есть текущий действующий сертификат. Т.е. механически можно выпустить на одном пользователе несколько сертификатов и все они будут работать. Собственно вопрос, зачем закупать лицензии на пользователей? Можно работать в таком режиме? На сколько и чем это черевато?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.07.2012(UTC) Сообщений: 255  Сказал «Спасибо»: 22 раз
Поблагодарили: 13 раз в 9 постах
|
Да, можно менять данные на пользователе, функция "Переименовать".
На остальное подождём ответа КриптоПро :-)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,314 Откуда: Калининград Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
|
Автор: Gloktar Коллеги с КриптоПро, опять же вопрос по 2.0. Есть возможность менять данные в заведенном пользователе в АРМе, даже если у пользователя уже есть текущий действующий сертификат. Т.е. механически можно выпустить на одном пользователе несколько сертификатов и все они будут работать. Собственно вопрос, зачем закупать лицензии на пользователей? Можно работать в таком режиме? На сколько и чем это черевато? Ограничений на данный момент нет, переименовывать можно сколько угодно раз и лицензия не будет тратиться. Возможно в будущих версиях что-то изменится (не в ближайшем релизе). |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.08.2016(UTC)
Сообщений: 30
Сказал(а) «Спасибо»: 4 раз
|
Автор: tikhonov так же есть еще вопрос:
в тот же сертификат прописалось 'Период использования закрытого ключа (2.5.29.16)'
хотя я явно нигде его не настраивал и не давал разрешения на добавления
как и где его отключать или добавлять?
1. В сертифицированной сборке УЦ 2.0.5938, это расширение удалить нельзя, только во следующих сборках появилась такая возможность. Добрый день. Подскажите, пожалуйста, как отключить расширение в 2.0.6142.0100 ? Его нет в списке "Настройка расширений сертификата" в политике.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,314 Откуда: Калининград Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
|
Автор: olga93 Автор: tikhonov так же есть еще вопрос:
в тот же сертификат прописалось 'Период использования закрытого ключа (2.5.29.16)'
хотя я явно нигде его не настраивал и не давал разрешения на добавления
как и где его отключать или добавлять?
1. В сертифицированной сборке УЦ 2.0.5938, это расширение удалить нельзя, только во следующих сборках появилась такая возможность. Добрый день. Подскажите, пожалуйста, как отключить расширение в 2.0.6142.0100 ? Его нет в списке "Настройка расширений сертификата" в политике. Ну для начала Вы закомментировали ответ на вопрос от другого вопроса, вот был какой ответТ.е. ответ на вопрос был: Цитата:Проверьте еще раз шаблон, на котором Вы выпускаете этот сертификат, наверняка там добавлено это расширение.
Про то что нельзя удалить расширение, речь была об расширении 'Сведения о шаблоне сертификата (1.3.6.1.4.1.311.21.7)' Расширение 'Период использования закрытого ключа (2.5.29.16)' можно добавлять и удалять в сборке - и в 2.0.5938, и в 2.0.6142. Как добавлять/удалять расширения, которые попадаю в сертификат, описано тут: ЖТЯИ.00078 01 90 03 ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации Пункт 2.1 Шаблоны сертификатов Отредактировано пользователем 17 апреля 2017 г. 9:04:24(UTC)
| Причина: Не указана |
|
 1 пользователь поблагодарил Захар Тихонов за этот пост.
|
olga93 оставлено 17.04.2017(UTC)
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 27.04.2017(UTC)
Сообщений: 3
Сказал(а) «Спасибо»: 1 раз
|
Добрый день! Вопрос достаточно простой. Свое ПО для гененрации сертификатов, при адаптации для работы с УЦ 2.0 решили добавить регулировку срока действия сертификата. Используются штатные средства CertEnroll: Цитата:CX509CertificateRequestPkcs10 certReq = new CX509CertificateRequestPkcs10();
CX509Enrollment enrollment = new CX509Enrollment();
CX509NameValuePair pair1 = new CX509NameValuePair(); pair1.Initialize("CpRaCertPeriod", "12");
CX509NameValuePair pair2 = new CX509NameValuePair(); pair2.Initialize("CpRaCertPeriodUnits", "Months");
certReq.InitializeFromPrivateKey(X509CertificateEnrollmentContext.ContextUser,privateKey,"");
enrollment.InitializeFromRequest(certReq);
enrollment.NameValuePairs.Add(pair1); enrollment.NameValuePairs.Add(pair2);
enrollment.CreateRequest(EncodingType.XCN_CRYPT_STRING_BASE64); Однако после генерации запроса - в нем отсутствует какое-либо упоминание "enrolmentNameValuePair", "CpRaCertPeriod" и т.п., т.е. как будто бы данная информация и не добавляется в запрос. Запрос во вложении. Может кто-нибудь подсказать, что не так? Чувствую, что где-то рядом проблема, а где - понять не могу. Спасибо!  004564356435-144510.rar (1kb) загружен 4 раз(а).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,733 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
Надо обращаться к свойству NameValuePairs непосредственно объекта CX509CertificateRequestPkcs10 certReq.
К сожалению, это работает только на Windows 8.1 и выше. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 27.04.2017(UTC)
Сообщений: 3
Сказал(а) «Спасибо»: 1 раз
|
Автор: Kirill Sobolev Надо обращаться к свойству NameValuePairs непосредственно объекта CX509CertificateRequestPkcs10 certReq.
Разработка ведется на и для Windows 10. Но, к сожалению, свойство NameValuePairs отсутствует у объекта CX509CertificateRequestPkcs10, и есть только у CX509Enrollment (если смотреть через Object Browser в VS). Или я куда-то не туда смотрю?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
