| ||||
| ||||
| Недавно у нас (РПЦ Партнер) установили новый УЦ (версия 1.04.0684) на 3ьем Крипто Про. Все было ок пока наш инсталлятор(у клиентов) не столкнулся с машинами на вин98 и Крипто Про 2. Насколько понимаю ключи выпущенные на 3 версии КП будут работать на КП версии 2. Но на этих машинах (только на них) при просмотре сертификата, при попытке установить его в крипто про мы видим лишь крякозяблы во всехз строках сертификата и почему то email в строке SN. На других машинах эти ключи читаются нормально и ставятся без проблем. Помогите, проблема требует срочного решения. | ||||
| Ответы: | ||||
| ||||
| Если Вы генерируете ключи централизованно, то есть создаете запрос на сертификат на машине, где установлен CSP версии 3.0, то, принесенные на машину с 2.0, такие ключи работать не будут. Это связано с изменением формата ключевого контейнера в версии 3.0. Если Вы генерируете ключи в распределенном режиме (с машины, где установлен CSP 2.0 формируете и отправляете запрос в УЦ, УЦ подписывает запрос и возвращает Вам готовый сертификат), то такая схема должна работать. | ||||
| ||||
| Дополнение такое. На MS CA на Win2003 используется UNICODE для полей компонентов имени, а Win98 не умеет правильно отображать юникодные строки в окне просмотра сертификата, поэтому выдаёт, что умеет - поле email в качестве имене владельца (но это НЕ поле CN). При этом, приложения такие сертификаты использовать могут. | ||||
| ||||
| Инсталлятор говорит, что в крипто про установка такого ключа проходит до конца. На сайт документооборота, где используются эти ключи система пускает, но не дает шифровать документы. Понимаю что эта часть может быть не по адресу, но капиком переставляли, не помогло. Возможно что это из за этого же косяка с кодировкой? Да, генерация ключей происходит на одних машинах, потом УЦ их обрабатывает. обычно все нормально. | ||||
| ||||
| По поводу слов Антон, не во всех строчках отображается email а только в строке с именем сертификата. В остальных же строчках просто набор цифр и букв. Какой выход из это ситуации ? | ||||
| ||||
| Выше комментарий от инсталлятора. про имейл я был прав :) | ||||
| ||||
| > про имейл я был прав :) Это про что? Ещё раз повторю, емайл не может быть переставлен в другой компонент имени владельца, например, в поле Common Name (CN). В окне просмотра сертификата на первой вкладке отображается не обязательно значение поля CN. Если некое приложение не умеет работать с таким сертификатом на Win98 - это проблемы приложения. Тогда проще всего не использовать русские буковки в компонентах имени либо обновить Win98 до более современной ОС. Microsoft официально прекратил поддержку Win98 и WinME и рекомендует переходить на более современные ОС. См. http://www.microsoft.com/windows/support/endofsupport.mspx | ||||
Антон Турков