Собственно, subj.

В тестовых целях на Microsoft Server 2012 R2 развернут AD DS. К этому домену подключен другой MS 2012 R2, на котором поднят CA (соответственно, выбраны роли AD CS и AD LDS). При развертывании был выбран вариант установки ЦС "ЦС предприятия".
В качестве криптопровайдера используется КриптоПро 4.0 R4.

Никак не удается подружить MS CA с дополнительными OID'ами, а именно ИНН (1.2.643.3.131.1.1), ОГРН (1.2.643.100.1) и СНИЛС (1.2.643.100.3).
Думал, что подобная настройка возможна через шаблоны сертификатов, но нет.
При попытке указания в лоб данных OID'ов в "SubjectTemplate" в пути реестра "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<name>" сервис `certsvc` не стартует.
Попытка их указания в "EnableRequestExtensionList"/"EnableEnrolleeRequestExtensionList" в "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<name>\PolicyModules\CertificateAuthority_MicrosoftDefault.Policy" также не решает проблему.

Интересно, что данные OID'ы упоминаются в "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptDllFindOIDInfo".

В теме https://www.cryptopro.ru....aspx?g=posts&t=9763 поднимался подобный вопрос, где автору порекомендовали отключить проверку subject'а сертификата, выполнив команду
```
certutil.exe -setreg CA\CRLFlags +CRLF_REBUILD_MODIFIED_SUBJECT_ONLY
```
Однако подобный вариант не подходит, так как хотелось бы заиметь честный УЦ. Все же тестовый УЦ КриптоПро на основе Microsoft (https://testgost2012.cryptopro.ru/certsrv/) умеет обрабатывать подобные запросы.

Отредактировано пользователем 31 января 2023 г. 16:21:59(UTC)  | Причина: Не указана