Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2011(UTC) Сообщений: 554   Откуда: Москва Сказал «Спасибо»: 52 раз
Поблагодарили: 45 раз в 28 постах
|
Коллеги, может кто нибудь сталкивался. Требования для кросса: Запрос должен быть со следующими параметрами: Цитата:в параметру 2.5.29.37 (улучшенный ключ) вставить 8 ОИДов:
1.2.643.3.215.4
1.2.643.3.215.6
1.2.643.3.215.7
1.2.643.3.215.8
1.2.643.3.215.9
1.2.643.3.215.11
1.2.643.3.215.12
1.2.643.3.215.13
а так же 1.3.6.1.5.5.7.3.4 ("защищенная электронная почта")
в параметре 2.5.29.32 (политика сертификата)
удалить значение "все политики выдачи",
а значения:
1.2.643.100.113.1
1.2.643.100.113.2
оставить. С улучшеным ключем все понятно, а вот как удалить значение "все политики выдачи" из запроса? если согласно объяснению тут в запрос попадает все что есть в корне.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
|
"Все политики выдачи" имеют идентификатор 2.5.29.32.0, его и удалите. И насчет "в запрос подадает все, что в корне" - на самом деле подчинённые УЦ могут устанавливать собственные политики выдачи. Или делать так называемый "mapping" - когда идентификатор политики в "верхнем" УЦ ставится в соответствие к одному (или нескольким) политикам в подчинённом УЦ. P.S.: Кстати по-умолчанию в качестве политик сертификата ставятся именно "все политики". Так что для реализации требований нужно, чтобы в качестве политик было не пустое значение. Отредактировано пользователем 11 августа 2014 г. 12:57:20(UTC)
| Причина: Не указана |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2011(UTC) Сообщений: 554 Откуда: Москва Сказал «Спасибо»: 52 раз
Поблагодарили: 45 раз в 28 постах
|
Юрий, не подскажите как должен выглядеть файл policy.inf для удаления из запроса "все политики"? Сейчас файл выглядит следующим образом: Цитата:[Version]
Signature="$Windows NT$"
[BasicConstraintsExtension]
PathLength = 0
Critical = True
[EnhancedKeyUsage]
OID=1.2.643.3.215.4
OID=1.2.643.3.215.6
OID=1.2.643.3.215.7
OID=1.2.643.3.215.8
OID=1.2.643.3.215.9
OID=1.2.643.3.215.11
OID=1.2.643.3.215.12
OID=1.2.643.3.215.13
OID=1.3.6.1.5.5.7.3.4
Critical = True В корневом: Цитата:[1]Политика сертификата:
Идентификатор политики=Класс средства ЭП КС1
[2]Политика сертификата:
Идентификатор политики=Класс средства ЭП КС2
[3]Политика сертификата:
Идентификатор политики=Все политики выдачи Соотвественно запрос выглядит так: Цитата:2.5.29.32: Флаги = 0, Длина = 1e
Политики сертификата
[1]Политика сертификата:
Идентификатор политики=Класс средства ЭП КС1
[2]Политика сертификата:
Идентификатор политики=Класс средства ЭП КС2
[3]Политика сертификата:
Идентификатор политики=Все политики выдачи P.S. УЦ не подчиненный Отредактировано пользователем 11 августа 2014 г. 13:46:43(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
|
Так просто удалите "Все политики выдачи".
На мой взгляд этого достаточно. Но я больше теоретик в этом смысле (написал тут недавно свою "certificate chain validation engine"). Так что для совсем уж корректного разрешения вопроса рекомендую подождать рекомендаций от сотрудников "Крипто-Про". |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2011(UTC) Сообщений: 554 Откуда: Москва Сказал «Спасибо»: 52 раз
Поблагодарили: 45 раз в 28 постах
|
В файл policy.inf пытался добавить раздел: Цитата:[PolicyStatementExtension]
Policies=PolicyKC1,PolicyKC2
[PolicyKC1]
OID=1.2.643.100.113.1
[PolicyKC2]
OID=1.2.643.100.113.2 утилита по формированию запроса поругалась на данный параметр и соответственно запрос не сформировался
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.09.2011(UTC)
Сообщений: 51
Откуда: Novosibirsk
Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 63 раз в 20 постах
|
В прошлом году проходили кросс-сертификацию с ФТС.
Отправляли запрос на кросс-сертификат с таким содержанием
2.5.29.32: Флаги = 0, Длина = 1e
Политики сертификата
[1]Политика сертификата:
Идентификатор политики=Класс средства ЭП КС1
[2]Политика сертификата:
Идентификатор политики=Класс средства ЭП КС2
[3]Политика сертификата:
Идентификатор политики=Все политики выдачи
В ответ был получен кросс-сертификат содержащий только
2.5.29.32: Флаги = 0, Длина = 16
Политики сертификата
[1]Политика сертификата:
Идентификатор политики=Класс средства ЭП КС1
[2]Политика сертификата:
Идентификатор политики=Класс средства ЭП КС2
|
 1 пользователь поблагодарил Andreynvs за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2011(UTC) Сообщений: 554 Откуда: Москва Сказал «Спасибо»: 52 раз
Поблагодарили: 45 раз в 28 постах
|
Направил запрос как у вас, жду ответа, возможно зря паникую)
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2011(UTC) Сообщений: 554 Откуда: Москва Сказал «Спасибо»: 52 раз
Поблагодарили: 45 раз в 28 постах
|
Получил с утра ответ: Цитата:Добрый день!
Просьба переделать запрос.
Высылайте запрос на кросс сертификат без 8 ОИДов и защищенной эл. почты. со всеми остальными параметрами. Зря паниковал выходит 
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
