Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 1.5
»
renew CA certificat и КриптоПро CSP4
Статус: Новичок
Группы: Участники
Зарегистрирован: 13.05.2019(UTC) Сообщений: 2 
|
Доброго времени суток!
Возникла проблема. Есть сервер УЦ с Microsoft Certification Authority и КриптоПро CSP 4.
На Microsoft Certification Authority выполнена команда продления сертификата CA с созданием новых ключей. Выпустился новый сертификат и создался контейнер ключей. Проверку проходит.
Во всех хранилищах сертификат отображается.
После того как истек срок действия закрытого ключа старого сертификата УЦ перестал запускаться. Ошибка: Access denied. 0x80090010 (-2146893808 NTE_PERM)
Запустить УЦ могу только при установке ControlKeyTimeValidity равным 0 (нуль)
Ощущение что КриптоПро не видит преемственности ключей.
Как можно исправить ситуацию?
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
|
Конкретно с такой ситуацией не сталкивался (у меня Microsoft CA в домене на зарубежных алгоритмах - не на всех компьютерах домена стоит КриптоПро - и сроки еще не вышли), но предполагаю нужно как-то выбрать новый ключ в качестве основного, чтобы CA не пытался подписать сертификаты или списки отзыва старым ключом.
Для ясности - новый сертификат самоподписанный (то есть корневой) с информацией о прошлом сертификате? Новый сертификат проверку проходит при ненулевом значении ControlKeyTimeValidity?
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 13.05.2019(UTC) Сообщений: 2
|
Добрый день!
Спасибо за ответ.
Все дело в том, что CA выпускает сертификаты и подписывает списки отзыва правильным ключом. Это я проверил.
Но для того чтобы CA начал работать в КриптоПРО надо отключить контроль ControlKeyTimeValidity (присвоить ему значение 0).
Т.е. дело явно в КриптоПро. Надо именно в КриптоПро указать новый сертификат CA
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.08.2014(UTC) Сообщений: 271  Откуда: Москва Поблагодарили: 34 раз в 33 постах
|
Автор: Алексей_К77  Добрый день!
Спасибо за ответ.
Все дело в том, что CA выпускает сертификаты и подписывает списки отзыва правильным ключом. Это я проверил.
Но для того чтобы CA начал работать в КриптоПРО надо отключить контроль ControlKeyTimeValidity (присвоить ему значение 0).
Т.е. дело явно в КриптоПро. Надо именно в КриптоПро указать новый сертификат CA Для КриптоПро CSP значение ControlKeyTimeValidity влияет на работу с просроченными ключами. Если в этом случае продолжает работу с значением 0, значит что-то со сроком действия закрытых ключей (контейнеров). Отредактировано пользователем 17 мая 2019 г. 8:39:24(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 1.5
»
renew CA certificat и КриптоПро CSP4
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
