Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
KeyUsage в запросе на подчиненный ЦС
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC) Сообщений: 145
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 2 раз в 2 постах
|
1) При разворачивании УЦ и создании запроса на подчиненный ЦС (для отправки в Минкомсвязь) выбираю в параметрах keyUsage значения: Цифровая подпись, Подписывание сертификатов, Автономное подписание списка отзыва (CRL), Подписывание списка отзыва (CRL) (86). Однако в запросе другое значение - Цифровая подпись, Неотрекаемость (c0). Так и должно быть? 2) При попытке выдать запрос для подчиненного ЦС на тестовом КриптоПро УЦ 1.5 возникает ошибка: Цитата:Номер: -2146881269 Источник: CPICom.CertRequest.1 Описание: CryptDecodeObjectEx Это, вероятно, потому что изменился формат запроса, и УЦ 1.5 его не понимает? В связи с этим возник вопрос: в Минкомсвязи на данный момент уже умеют обрабатывать запросы на сертификат ЦС для версии УЦ 2.0 ? Версия ПАК УЦ 2.0.5938.0000 Отредактировано пользователем 27 мая 2016 г. 19:05:15(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,732 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC) Сообщений: 145
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 2 раз в 2 постах
|
С помощью утилиты создал запрос, выпустил сертификат ЦС на тестовом УЦ. При попытке установить серт ЦС, возникает ошибка: Цитата:ОШИБКА: Произошла одна или несколько ошибок. Конечный сертификат в цепочке не является сертификатом Администратора ЦС
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,732 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
Это означает, что в сертификате отсутствует расширение "Основные ограничения" либо в нем нет признака ЦС. На тестовом УЦ не настроены нужные разрешения для расширений.
|
|
1 пользователь поблагодарил Кирилл Соболев за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC) Сообщений: 145
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 2 раз в 2 постах
|
Обнаружилось, что если в названии ЦС присутствуют кавычки (например, CN = ООО "Тест"), то утилита создания запроса на подчиненный ЦС cc2.cacertrequi разваливается с ошибкой: Цитата:System.ArgumentException: Путь содержит недопустимые знаки... Отредактировано пользователем 31 мая 2016 г. 18:30:40(UTC)
| Причина: Не указана
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.09.2012(UTC) Сообщений: 8 Откуда: Краснодар
Сказал(а) «Спасибо»: 3 раз
|
Добрый день! Правильно я понимаю, что создать запрос на выпуск сертификата подчиненного УЦ, с последующей его корректной обработкой МКС, штатными средствами ПАК КриптоПро УЦ 2.0 невозможно?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,186 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
Для отправки в Миникомсвязи при аккредитации УЦ в случае использования сертифицированной сборки КриптоПро УЦ 2.0.5938.0000 от 4 апреля 2016 г требуется использовать "Мастер для создания запроса на сертификат подчинённого УЦ" http://www.cryptopro.ru/...c/20/cc2.cacertrequi.zip |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.09.2012(UTC) Сообщений: 8 Откуда: Краснодар
Сказал(а) «Спасибо»: 3 раз
|
Автор: tikhonov Для отправки в Миникомсвязи при аккредитации УЦ в случае использования сертифицированной сборки КриптоПро УЦ 2.0.5938.0000 от 4 апреля 2016 г требуется использовать "Мастер для создания запроса на сертификат подчинённого УЦ" http://www.cryptopro.ru/...c/20/cc2.cacertrequi.zip То есть запрос такого вида не подходит: Сообщение PKCS7/CMS: CMSG_SIGNED(2) CMSG_SIGNED_DATA_CMS_VERSION(3) Тип содержимого: 1.3.6.1.5.5.7.12.2 Данные CMC Содержимое сообщения PKCS7: ================ Начало уровня вложенности 1 ================ Запрос сертификата CMS: Прикрепленные атрибуты: 0 Прикрепленные запросы: 1 CMC_TAGGED_CERT_REQUEST_CHOICE: Код тела: 1 ================ Начало уровня вложенности 2 ================ Элемент 0: Запрос сертификата PKCS10: Версия: 1 Субъект: .....
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,186 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
формат PKCS7/CMS не подойдет. требуется PKCS10
Эта утилита создана только для сертифицированной сборки 2.0.5938.0000 от 4 апреля 2016 г. |
|
1 пользователь поблагодарил Захар Тихонов за этот пост.
|
serjo оставлено 07.06.2016(UTC)
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC) Сообщений: 145
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 2 раз в 2 постах
|
В версии УЦ 2.0.5980.2300 запрос на подчиненный серт ЦС также формируется как PKCS7/CMS сообщение. И keyUsage также имеет значение: Цифровая подпись, Неотрекаемость (c0). Утилита для создания запроса работать не хочет - Версия базы данных не соответствует версии программного обеспечения.
|
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
KeyUsage в запросе на подчиненный ЦС
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close