CpRaRequesterProfile в КриптоПро УЦ 2.0

Добро пожаловать, Гость! Чтобы использовать все возможности Вход. Новые регистрации запрещены.

Уведомление

Error

CpRaRequesterProfile в КриптоПро УЦ 2.0 - Документация на CpRaRequesterProfile

Опции

Предыдущая тема Следующая тема

Cynepnaxa		#1 Оставлено : 29 мая 2026 г. 10:15:33(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 04.04.2008(UTC) Сообщений: 45 Откуда: Новосибирск		Добрый день! Мы интегрируемся с КриптоПро УЦ 2.0 на астре (исполнения 15, 16) через REST API. В документации в нескольких местах (Например, ЖТЯИ.00078-03 90 03 руководство по эксплуатации, раздел 1.3.1.2) упомянут параметр шаблона сертификата PrioritySource=Profile, при котором данные для субъекта сертификата берутся «из профиля пользователя в запросе (атрибут CpRaRequesterProfile)». Но подробностей по CpRaRequesterProfile нигде нет. Мы хотим передать атрибут CpRaRequesterProfile в подписанном PKCS#7 запросе на сертификат, чтобы переопределять некоторые записи в DN исходного запроса на сертификат. Это нужно сделать без модификации пользователей УЦ, т.к. он один для этих целей и мы не берем из него данные. Подскажите, пожалуйста: 1 Какой OID у атрибута CpRaRequesterProfile в CMS signed attributes? 2 Какой формат его значения? Это именно данные или некая ссылка на существующий профиль пользователя? 3 Есть ли рабочий пример CpRaRequesterProfile?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Захар Тихонов		#2 Оставлено : 29 мая 2026 г. 11:09:25(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,376 Откуда: Калининград Сказал «Спасибо»: 40 раз Поблагодарили: 599 раз в 575 постах		Здравствуйте. Так не выйдет, надо передавать запрос с субъектом соответствующий профилю пользователя. Переопределять через запрос можно расширения, но не dn. Судя по описанию вы хотите выпускать сертификаты одному пользователю - TLS и подписи, в рамках ПлЦР? Решение - передавать все компоненты имени на оба запроса, а что в субъект сертификата попадет - регулировать настройкой шаблона на сертификат.
		Техническую поддержку оказываем тут. Наша база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Cynepnaxa		#3 Оставлено : 29 мая 2026 г. 12:29:08(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 04.04.2008(UTC) Сообщений: 45 Откуда: Новосибирск		Спасибо! Да, это для ПлЦР. Автор: Захар Тихонов Судя по описанию вы хотите выпускать сертификаты одному пользователю - TLS и подписи, в рамках ПлЦР? Решение - передавать все компоненты имени на оба запроса, а что в субъект сертификата попадет - регулировать настройкой шаблона на сертификат. Мы хотим использовать одного технического пользователя для выдачи сертификатов всех пользователей. Раньше для этой цели мы меняли данные пользователя в УЦ и выдавали от него сертификаты. Но у такого подхода есть ряд проблем. Хотим устанавливать данные непосредственно в процессе выдачи сертификата. В идеале при помощи передачи данных где-то в подписи оператора, а не в самом csr, так как правила заполнения полей сертификатов у ЦБ меняются часто, и менять это в мобильном приложении проблематично, проще на бэке. Подскажите, пожалуйста, еще: 1) Автор: Захар Тихонов Здравствуйте. Так не выйдет, надо передавать запрос с субъектом соответствующий профилю пользователя. Переопределять через запрос можно расширения, но не dn. Расскажите, пожалуйста, подробнее про CpRaRequesterProfile - что это и как используется? В документации на УЦ ничего про него не нашел. В старом руководстве на УЦ 2.0 от 2019г написано, что этот атрибут используется для сверки с профилем. Но в свежем руководстве от 2025г написано следующее : "PrioritySource - определяющее приоритет источника данных для формирования субъекта. Может принимать одно из следующих значений: Profile - данные для формирования субъекта берутся в первую очередь из профиля пользователя в запросе (атрибут CpRaRequesterProfile), а если профиль отсутствует - то из субъекта" То есть в запросе передается некий профиль, который используется для формирования субъекта, если PrioritySource=profile. Или я неправильно понял? 2) Автор: Захар Тихонов Переопределять через запрос можно расширения, но не dn ... а что в субъект сертификата попадет - регулировать настройкой шаблона. Подскажите, а мы можем передать нужные данные в расширении и потом шаблоном подставить это в DN? 3) Если PrioritySource=Subject(данные берутся из субъекта запроса) в шаблоне - это значит можно под одним фиксированным пользователем выдавать разные сертификаты с разными DN из CSR? Отредактировано пользователем 29 мая 2026 г. 12:30:19(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close