| ||||
| ||||
| Начал ставить УЦ начисто. Записал в %systemroot% CAPolicy.inf. Поставил MS службу сертификации и сгенерил ключи и сертификат для CA. Сертификат получился как я и просил - на 7 лет и без поля CDP. Следующий шаг по инструкции - запрос и получение сертификата Web-сервера CA. Запрашиваю его, получаю, и вижу следующее - сертификат выдан _РОВНО_ на 1 год, в сертификате прописаны и CDP, и точки "доступа к информации о центрах сертификации". Все привильно, на этом этапе MS CA так и настроен, но мне-то это зачем? Все последующие сертификаты после установки "ПО ЦС КриптоПро" будут издаваться уже по его правилам (в том числе и при плановой смене этого самого сертификата Web-сервера CA) на 1 год и 3 месяца и без всяких CDP, если я что-либо сам не поменяю. Бог с ним с CDP, я могу перед выпуском этого сертификата вручную сбросить эти настройки или прописать туда нужную мне информацию (а нужена ли CDP в сертификате Web-сервера CA?), но зачем мне сертификат ровно на год? Я хочу, чтобы все сертификаты на моем УЦ (Web CA, RA, Web RA) заканчивались примерно в одно и то же время, а не с разбежкой на 3 месяца. Насколько я помню, я не смогу поставить "ПО ЦС КриптоПро" без этого сертификата, а затем его выпустить. Так что же делать? Выпустить первый сертификат Web CA, установить "ПО ЦС КриптоПро", настроить все, и сразу же "планово" сменить этот сертификат? Так? | ||||
| Ответы: | ||||
| ||||
| Пардон, сразу после установки MS CA Вы можете менять многие его настройки (срок действия клиентских сертификатов, пути cdp и к сертификату ЦС и т.д.). Причём стандартными виндовыми средствами. Конкретно для этого сертификата (веб-сервера ЦС) cdp абсолютно не важен, т.к. этот сертификат устанавливается на сервере ЦС, а MS CA при выпуске нового СОС помещает его в хранилище (Промежуточные центры... локального компьютера), откуда он и используется. А срок действия (по умолчанию - 1 год), как уже упоминалось, можно изменить. Либо перевыпустить этот сертификат после установки нашего ПО, если есть желание. | ||||
| ||||
| > сразу после установки MS CA Вы можете менять многие его настройки (срок > действия клиентских сертификатов, пути cdp и к сертификату ЦС и т.д.). Э-э-э, видимо у меня с русским языком в школе плохо было. С путями к cdp и к сертификату ЦС действительно все так и есть, я еще в первом посте это писАл, а вот со сроками... Поставил MS CA, пытался сменить срок действия сертификата, не нашел, полез читать help и вот что нашел ещё вчера: > Службы сертификации позволяют устанавливать следующие максимальные сроки действия в соответствии с типом сертификатов. Исключение составляют только корневые ЦС. Ни один из этих сроков действия не может быть настроен администратором ЦС. > Тип сертификата Максимальный срок действия > Корневой ЦС Задается во время установки служб сертификации > Подчиненный ЦС, безопасность протокола IP (IPSEC), агент подачи заявок, контроллер домена Два года > Все остальные сертификаты Один год Как видите "Все остальные сертификаты" - 1 год без возможности настройки этой цифры администратором. Судя по всему выход один - сразу после установки и настройки ЦС заменить сертификат его Web-сервера. Странно, что этой рекомендации нет в инструкции по установке... | ||||
| ||||
| Нууу, НЕ всё, что пишут в хелпах (даже виндовых) - правда истинная :) Есть специальная утилита настройки MS CA (certutil.exe, описанная в MSDN). C её помощью можно задавать и эти параметры: certutil -setreg ca\ValidityPeriod "Years" certutil -setreg ca\ValidityPeriodUnits "2" Это, как Вы понимаете, изменит срок на 2 года. А вообще, эти настройки хранятся в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\имя_ЦС параметры ValidityPeriod (ед. измерения, по умолчанию - годы) и ValidityPeriodUnits (по умолчанию - 1). | ||||
| ||||
| Дополнение - не забудьте перезапустить службу MS CA после внесения изменений. | ||||
Vadim_K