07.09.2006 18:41:22 Можно ли добавить свои расширения в сертификат   Ответов: 7

Антон Сотенко

Система: КриптоПро УЦ 1.4.627, КриптоПро CSP 3.0, Windows 2003 EE Server, SP1. Возникла такая ситуация: клиент прислал запрос на сертификат, в который он добавил свое расширение, но такого расширения нет в списке допустимых расширений сертификатов на ЦР - из-за чего с помощью АРМа не удается выдать сертификат - возникает ошибка: оператор не имеет прав на изготовление сертификата (прямо на ЦС сертификат выдается). OID этого расширения добавлен в политику на ЦС (страница расширения x.509) и помечен как разрешенный для использования. Также этот OID добавлен в разрешенные области использования на ЦС и ЦР. Как добавить свой OID в список разрешенных расширений в политике ЦР (rfc3280 не запрещает использование своих расширений в сертификатах, если они не критичны).

Ответы:

07.09.2006 18:47:56 Tatianka

В состав дистрибутива УЦ входит набор документов, в том числе документ "Руководство по регистрации дополнительных объектных идентификаторов". Возможно, там содержится ответ на Ваш вопрос.

07.09.2006 18:58:19 Антон Сотенко

Этот документ я читал - так и было сделано, но в политике ЦР в списке разрешений обработки неподписаных запросов новые OID не появляются. OID добавленный описанным в этом документе образом добавляется только в список допустимых использований сертификата (для использования в расширении EKU).

11.09.2006 15:20:30 Антон Сотенко

Пожалуйста дайте ответ, что можно сделать...

11.09.2006 15:57:42 Kirill Sobolev

Вручную надо расширения в реестре зарегистрировать на ЦС и ЦР, затем разрешить соответствующие политики.

11.09.2006 16:30:40 Антон Сотенко

Можно подробнее где именно. Я сделал так как описано в "Руководство по регистрации дополнительных объектных идентификаторов", но в этом руководстве добавляются OID только для области применения сертификатов (расширение ExtendedKeyUsage). Мне надо добавить свое расширение в список "Допустимых расширений сертификата" в политике ЦР "Обработка подписанных запросов (расширения)"

11.09.2006 17:37:18 Kirill Sobolev

В ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptDllFindOIDInfo добавляете раздел с названием <OID>!6, например для регистрации OID 1.2.3.4.5 это будет 1.2.3.4.5!6. В нем создаете строковый параметр Name, в котором прописываете имя расширения.

12.09.2006 11:15:58 Антон Сотенко

Большое спасибо! Заработало!