| ||||
| ||||
| Хотелось бы узнать такой момент. У вас в документации ЖТЯИ.00035-01 90 02 по ПАК "Крипто Про УЦ" приведена такая рекомендация на странице 9: Для корневого Центра Сертификации рекомендуется не включать расширение CDP в состав самоподписанного сертификата ЦС. Для этого необходимо сформировать файл CAPolicy.inf со следующим содержимым: [Version] Signature="$Windows NT$" [CRLDistributionPoint] URL="" Могли бы вы объяснить в связи с чем это связано? Ведь, как правило, наоборот требуют наличия в корневом сертификате наличия этого расширения. | ||||
| Ответы: | ||||
| ||||
| Проверять корневой сертификат по списку отозванных сертификатов (СОС), который издан этим же ЦС - бессмысленно. Поясню. Если сертификат самого ЦС отозван, то он имеется в СОС. Но, СОС подписан тем же сертификатом ЦС. Поскольку сертификат отозван, нет доверия к любой ЭЦП, созданной на этом сертификате, в частности, к ЭЦП под СОС. Вывод - доверять этому СОС нельзя, следовательно, сертификат нельзя считать отозванным. Вот и противоречие. | ||||
| ||||
| Спасибо. Все ясно | ||||
Максим