Добрый день!
В организации тестируем УЦ, купили лицензию на криптопро csp, на базе win server 2003 развернули УЦ, ключевую пару сгенерили с помощью гост-криптоалгоритмов.
Возникла необходимость в подписи некоторых файлов с помощью усовершенственной подписью. Скачали пробную версию tsp и ocsp -серверов, завелось, заработало. Купили лицензию на КриптоАРМ Стандарт ПРо.
При формировании подписи с помощью КриптоАрм с включением меток времени - все проходит на ура.
Когда проверяем статусы сертов по ocsp - тоже все нормально.
Когда в интерактивном режиме КриптоАРМ ставим галочку в поле "Включать доказательства подлинности" - КриптоАРМ выдает ошибку.
По логам ocsp - видно, что обращение к нему идет, он тоже отвечает.
Посмотрел по таким проблемам форумы - нашел, что обязательным требованием для работы необходимо наличие расширения "id-pkix-ocsp-nocheck". Как это сделать???или может у меня в чем-то другом ошибка?
ЦС - изолированный, Active Directory нет.
Заранее благодарен.

Есть какие-нить мнения по этому поводу???

Здравствуйте, Елена!
Спасибо за ответ. Первую часть касающуюся добавления certutil -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5 я делал. А вот по второй части нет. Попробовал следующим образом.
Ввел команду certutil -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5 - отработала успешно, перезапустил Центр.
С помощью КриптоПРО OCSP сформировал запрос на сертификат оператора, сохранил в файл.
Через web-морду подал запрос на сертификат в УЦ (запрос 20).
После этого скопировал содержимое запроса в файл probaocsp.txt.
В командной строке.
certutil -setextension 20 1.3.6.1.5.5.7.48.1.5 0 @probaocsp.txt
Команда выполнена успешно.
В командной строке есть 05 00 есть где-то в середине файла(но по-моему, эти значения и раньше были).
После этого я, подал новый запрос на сертификат с использованием получившегося файла. Выпустил серт, но в поле улучшенный ключ не появилось id-pkix-ocsp-nocheck.
Что я не так сделал?

Все надо делать не так.

В файле probaocsp.txt не должен содержаться весь запрос, там должно быть ТОЛЬКО "05 00". Этот файл нужно сделать вручную, в кодировке ASCII как описано здесь.

1. Подаете запрос на сертификат. НЕ выпускаете его сразу, запрос должен находиться в состоянии ожидания. Допустим, номер запроса 50.

2. Выполняете команду certutil -setextension 50 1.3.6.1.5.5.7.48.1.5 0 @probaocsp.txt

3. Вот теперь выпускаете сертификат по запросу с номером 50.

Отредактировано пользователем 21 марта 2011 г. 22:13:20(UTC)  | Причина: Не указана

почитал по первому пункту. Возник вопрос по вот этим предложениям:
If you have an existing certificate, named MyCert.cer, with the exact encoding of the extension you want to add to a pending request, you can dump the request, along with the ASCII-text hexadecimal dump of each extension, by using the following command:

certutil -v mycert.cer

You can then copy the ASCII-text hexadecimal extension, 1.2.3.4.5, to a text file and then name that file Example.txt.

То есть нужно иметь сертификат с полем id-pkix-ocsp-nocheck? а если его нет??? можно ли тогда просто создать файл текстовый с цифрами 05 50 и дать команду?
Или я опять что-то не то горожу.
Извините уж пожалуйста)