Статус: Участник
Группы: Участники
Зарегистрирован: 26.11.2009(UTC)
Сообщений: 21
Откуда: Воронеж
|
Добрый вечер. Делаю вызовы: - SubmitRequest, на вход передаю подписанный запрос на обновление сертификата в PKCS7, подписан он на том же сертификате, который хочу обновить. Далее - AcceptRequest, на вход передаю RequestID, полученный на предыдущем вызове и запрос на одобрение подписанного запроса на обновление сертификата, запрос на одобрение подписан на сертификате оператора ЦР. Соответственно AcceptRequest не проходит. Хронология событий по журналу винды такая: 1) Error Код:The VB Application identified by the event source logged this Application CAPolicy: Thread ID: 2832 ,Logged:
Ошибка модуля политики ЦС КриптоПро УЦ:
Метод: Policy.VerifyRequest
Источник: CA_CryptoProDefault.CADatabaseAccessor.Step_PublicKeyPolicy
Номер: 0x80041000 (-2147217408)
Описание: Открытый ключ из пришедшего запроса уже существует в БД ЦС
2) Warning Код:Certificate Services denied request 45 because An unknown error occurred while processing the certificate. 0x80090327 (-2146893017). The request was for OID.1.2.840.113549.1.9.2=55555, DC=4444, CN=RUSSIA, OU=333, C=RU. Additional information: Denied by Policy Module
3) Error Код:The VB Application identified by the event source logged this Application Registration: Thread ID: 2644 ,Logged:
Ошибка модуля удаленного доступа к ЦР КриптоПро УЦ:
Метод: CertRequest.AcceptRequest
Источник: Request.GetCertificate
Номер: 0x80046662 (-2147195294)
Описание: Denied by Policy Module
Почему сертификат не обновляется? Отредактировано пользователем 27 апреля 2012 г. 4:25:38(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287   Откуда: Краснодар Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
|
Дмитрий И написал:Denied by Policy Module Навскидку: смотрели модуль политик? У вас запрос соответствует?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 26.11.2009(UTC)
Сообщений: 21
Откуда: Воронеж
|
смотрел, там вроде были свойства улучшенного ключа для подписанного запроса, в моем запросе PKCS7 такие свойства тоже есть.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287 Откуда: Краснодар Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
|
Дмитрий И написал:смотрел, там вроде были свойства улучшенного ключа для подписанного запроса, в моем запросе PKCS7 такие свойства тоже есть. я имел в виду логах ЦР и ЦС что?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 26.11.2009(UTC)
Сообщений: 21
Откуда: Воронеж
|
В логах ЦР ничего интересного
1) Помещен запрос на сертификат
2) Запрос на сертификат не одобрен
Denied by Policy Module (0x80046662)
в логах ЦС есть Failed Requests,
там все что critical (yes) напротив стоит enabled (yes)
Не понимаю как по этому сообщению
"Номер: 0x80046662 (-2147195294)
Описание: Denied by Policy Module"
можно идентифицировать проблему?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 26.11.2009(UTC)
Сообщений: 21
Откуда: Воронеж
|
Попытался в ручную принять запрос, через АРМ администратора ЦР Îøèáêà íîìåð: -2147195294 Èñòî÷íèê: Request.GetCertificate Îïèñàíèå: Denied by Policy Module А что это за метод такой Request.GetCertificate? На вкладке "Безопасность" такого метода нет Отредактировано пользователем 1 мая 2012 г. 3:45:16(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 26.11.2009(UTC)
Сообщений: 21
Откуда: Воронеж
|
Перефразирую вопрос.
Получается, что сертификат можно выдать только, на основании запроса на сертификат с генерацией новых ключей.
Если использовать старые ключи и запрос PKCS10/PKCS7, то подтверждение запроса не проходит.
Возникает ошибка:
Метод: Policy.VerifyRequest
Источник: CA_CryptoProDefault.CADatabaseAccessor.Step_PublicKeyPolicy
Номер: 0x80041000 (-2147217408)
Описание: Открытый ключ из пришедшего запроса уже существует в БД ЦС
А нужно обновить сертификат не удаляя ключевой контейнер, это возможно?
То есть выпустить новый сертификат на существующих ключах, записать в контейнер поверх старого,
так чтобы старый сертификат оказался отозванным в УЦ.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про
|
Дмитрий И написал:Перефразирую вопрос.
Получается, что сертификат можно выдать только, на основании запроса на сертификат с генерацией новых ключей.
Если использовать старые ключи и запрос PKCS10/PKCS7, то подтверждение запроса не проходит.
Возникает ошибка:
Метод: Policy.VerifyRequest
Источник: CA_CryptoProDefault.CADatabaseAccessor.Step_PublicKeyPolicy
Номер: 0x80041000 (-2147217408)
Описание: Открытый ключ из пришедшего запроса уже существует в БД ЦС
А нужно обновить сертификат не удаляя ключевой контейнер, это возможно?
То есть выпустить новый сертификат на существующих ключах, записать в контейнер поверх старого,
так чтобы старый сертификат оказался отозванным в УЦ. В закрытом ключе есть и открытый ключ, поэтому даже если Вы и сделаете запрос на основе существующих ключей, то Вы все равно не сможете обработать, т.к. ведется "учет" что бы сертификаты с таким открытым ключом уже не были выпущены. Дмитрий И написал:А нужно обновить сертификат не удаляя ключевой контейнер, это возможно?
То есть выпустить новый сертификат на существующих ключах, записать в контейнер поверх старого Нет.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
