Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 81
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
|
Добрый день. Возник вопрос про публикаю в AD. В интрукциях сказано, что при настройке моделя выхода Крипто Про, СКД будет называтся по уникальному идентификатору ключа субъекта. При публикации в AD мы используем по дефолту <CATruncatedName><CRLNameSuffix>. Как я понимаю получается следующее: 1. Стандартный модуль публикует сертифкает по пути system32\certsrv\... под именем <CAName>, модуль крипто про публикует в web каталог crl файл с уникальным идентификатором, и как раз из веб каталога центр регистрации делает задание на перенос к себе в каталог. 2. Соответственно публикация в AD идет вметсте с тем заданием и мы получаем длинное уникальное имя. 3. Стандартный путь LDAP Цитата:ldap:///CN={CATruncatedName}{CRLNameSuffix},CN={ServerShortName},CN=CDP,CN=Public Key Services,CN=Services,{ConfigurationContainer}{CDPObjectClass} Но у нас же получается не урезаное имя сервера, а уникальный суффикс. Как правильно прописать путь к файлу по LDAP, чтобы включать его в сертификаты? И как правильно должен выглядеть путь к веб каталогу ЦР по которому пользователи также смогут добраться до CRL? Отредактировано пользователем 18 июля 2014 г. 16:09:06(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 81
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
|
Проще говоря интересует как указать имя файла в ссылке на CRL по индентификатору ключа субъекта?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 14.03.2013(UTC) Сообщений: 448  Откуда: Москва Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
|
Вот пример:
LDAP://192.168.69.6/CN=f6b765b233de8ebb3cc0a21079f7a93dfdbe9fc2,CN=WIN-5EGANQK6V7N,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=adatum,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint
Путь к каталогу автоматически пропишется в заданиях на ЦР при настройке экспорта CRL в AD.
Подробнее в документации ЖТЯИ.00067 02 90 19 КриптоПро УЦ Регламентные задания.pdf
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 81
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
|
Автор: Molostvov  Вот пример:
LDAP://192.168.69.6/CN=f6b765b233de8ebb3cc0a21079f7a93dfdbe9fc2,CN=WIN-5EGANQK6V7N,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=adatum,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint
Путь к каталогу автоматически пропишется в заданиях на ЦР при настройке экспорта CRL в AD.
Подробнее в документации ЖТЯИ.00067 02 90 19 КриптоПро УЦ Регламентные задания.pdf Да читал и прописал туда публикацию по заданию. Задание отрабатывается нормально. Но ведь вид строчки для того, чтобы прописать на ЦС имеет изначально другой вид или прям в таком виде и задавать точку? например: Цитата:ldap:///CN=f6b765b233de8ebb3cc0a21079f7a93dfdbe9fc2.crl,CN=WIN-5EGANQK6V7N,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass> UPD: Нашел в новой документации, что был добавлен специальный ключ <CAKeyID>. таким образом получаем следующий путь: Цитата:ldap:///CN=<CAKeyID><CRLNameSuffix>,CN=WIN-5EGANQK6V7N,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass> Верно? Отредактировано пользователем 21 июля 2014 г. 14:16:25(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 14.03.2013(UTC) Сообщений: 448 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
|
Цитата:
Но ведь вид строчки для того, чтобы прописать на ЦС имеет изначально другой вид или прям в таком виде и задавать точку?
Скорее всего можно указать и так, где <CAKeyID> - переменная, в которую пишется идентификатор ключа ЦС (при смене корневого будет подставляться новый идентификатор В любом случае надо проверить, что в пользовательских сертификатах путь по LDAP будет доступным. Отредактировано пользователем 21 июля 2014 г. 18:07:00(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 81
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
|
Автор: Molostvov Цитата:
Но ведь вид строчки для того, чтобы прописать на ЦС имеет изначально другой вид или прям в таком виде и задавать точку?
Можно указать и так, где <CAKeyID> - переменная, в которую пишется идентификатор ключа ЦС (при смене корневого будет подставляться новый идентификатор В итоге, надо убедиться что в пользовательских сертификатах путь по LDAP будет доступным. Да возникает тогда другой вопрос. Если у нас тоит ЦС не в домене, как ему опубликивать там свой корневой сертификат?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 14.03.2013(UTC) Сообщений: 448 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
|
Цитата:Да возникает тогда другой вопрос. Если у нас тоит ЦС не в домене, как ему опубликивать там свой корневой сертификат? Можно, например, руками импортнуть его в AD, а потом прописать в AIA путь в LDAP (Корневые обычно часто не обновляются). Отредактировано пользователем 21 июля 2014 г. 18:15:27(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 81
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
|
Новая проблема возникла. Прописал путь в сертификат: ldap:///CN=<CAKeyID><CRLNameSuffix>,CN=WIN-5EGANQK6V7N,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=contonso,DC=com,<ConfigurationContainer><CDPObjectClass> В пользовательском сертификате он отоборажает это как: URL=ldap:///CN=f6b765b233de8ebb3cc0a21079f7a93dfdbe9fc2,CN=WIN-5EGANQK6V7N,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=contonso,DC=com,DC=UnavailiableConfigDN{ИМЯ ЦС} Причина в том что ЦС не подключен к домену и не видт его? И надо ли указывать CN=Configuration вместе с DC на ЦС? Отредактировано пользователем 23 июля 2014 г. 14:58:39(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 81
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
|
вопрос снимается. прописал вручную весь путь для сертификата, выпрямил ссылку и все встало на сови места.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
