Извините, что не ответил сразу ,в отпуске был.
Да планируется, что OID будет именно в eku.
То есть JCP не сможет проверить, наличие в сертификате какой-нить записи вида 1.2.643.... или как-то можно сделать...?
Кстати, может ответите на вопрос, уважаемая IVA по добавлению новых OID, я писал его в другой ветке форума, но так и не получил ответа: Цитирую:
"Выпустил сертификат с необходимым расширением - посмотрел его ASCII-кодировке c помощью команды certutil -v mycert.cer
Нашел нужное мне поле. И вот тут появился первый вопрос:
Сначала в сертификате, который я просматривал было два назначения в поле Улучшенный ключ
2.5.29.37: Флаги = 0, Длина = 15
Улучшенный ключ
Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)
Доступ к XXXXXXXXXXXXX (1.2.643.555.1.1)
0000 30 13 06 08 2b 06 01 05 05 07 03 02 06 07 2a 85 0...+.........*.
0010 03 84 2b 01 01 ..+..
Отсюда сложно сказать, что соответствует Доступ к XXXXXXXXXXXXX (1.2.643.555.1.1)
Тогда я выпустил сертификат только с расширением Доступ к XXXXXXXXXXXXX (1.2.643.555.1.1)
получилось при просмотре следуюее
2.5.29.37: Флаги = 0, Длина = b
Улучшенный ключ
Доступ к XXXXXXXXXXXXX (1.2.643.555.1.1)
0000 30 09 06 07 2a 85 03 84 2b 01 01 0...*...+..
Проанализировав можно понять, что одинаковые цифры и в том и другом случае 06 07 2a 85 03 84 2b 01 01.
Соответственно в текстовый файл должен занести только их? я правильно рассуждаю?
Далее я сделал запрос на сертификат в base-64 кодировке, не включая в запрос расширение Доступ к XXXXXXXXXXXXX , сохранил в файл. Через web-морду подал запрос в УЦ. Затем выполнил следующую команду
C:\>certutil -setextension 37 1.2.643.555.1.1 0 @oid.txt
0000 06 07 2a 85 03 84 2b 01 01 ..*...+..
CertUtil: -setextension - команда успешно выполнена.
Выпустил сертификат и увидел что данное расширение Доступ к XXXXXXXXXXXXX добавилось не в поле Улучшенный ключ, а отдельным полем с символом некритичного расширения. Когда щелкаешь на этом расширении "Доступ к XXXXXXXXXXXXX" в поле "Поле " показывается значение 06 07 2a 85 03 84 2b 01 01, а в поле Значение ..*...+.. oid 1.2.643.555.1.1 нигде не видно.
Для меня непонятно немного, правильно ли я сделал? Одинаковы ли сертификаты сделанный мною через web-морду при выдаче запроса с необходимым oid, и сертификат с таким расширением, которое я привел чуть выше. К слову сказать пробовал вставлять не только 06 07 2a 85 03 84 2b 01 01, но и 30 13 06 08 2b 06 01 05 05 07 03 02 06 07 2a 85 03 84 2b 01 01, и 03 84 2b 01 01.
Команда во всех случаях выполнялось успешно, только менялось значение в поле "Поле" и "Значение".
и еще один вопрос, смогу ли я с использованием КриптоПро JCP или проверять значение oid, выданного мной сертификата по второму методу (то есть добавление необходимого расширения к запросу на сертификат из файла)? Будет ли отличаться метод проверки от первого случая (когда Доступ к XXXXXXXXXXXXX" находится в поле Улучшенный ключ и виден oid 1.2.643.555.1.1)?
Очень надеюсь на ответы)"
Ссылка на данную ветку форума
http://cryptopro.ru/foru....aspx?g=posts&t=3382 
