Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.02.2008(UTC)
Сообщений: 66
Откуда: Москва
|
Здравствуйте! Пробую создать запрос сертификата программным путем на основе примера (с изменениями), который описан здесь: http://www.citforum.ru/security/articles/delphi/Проверяю с помощью АРМ Администратора - начинаю работу мастера по созданию нового пользователя и указываю "". По "Далее" ошибка: Номер: -2147220992 Источник: GetRequestPKCS Описание: Неправильный формат запроса Пример запроса (используется ГОСТ 2001, заполнено только поле CN (2.5.4.3) = asd): MIHKMHoCAQAwDjEMMAoGA1UEAxMDYXNkMGMwHAYGKoUDAgITMBIGByqFAwICJAAGByqFAwI CHgEDQwAEQOUWiUV23wOH5rLlW32EM2zMBjBxmF0U9cN3jsffbtR6piK63ugyYPSVhlw/Sp ywwtdai9mH4X9y0O9GDA3gvW+gADAJBgUrDgMCHQUAA0EAB6Q7Sqwr3dgyNTCPWCfRCB97P g4NF3KJdlYh/tluhiC6VJHVpNEmWDqo75sHIKhj9ZKAjYFAQd4XtRtP9cTE3g Прошу также предложить другое средство для проверки правильности запроса (кроме вэб-интерфейса).
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.02.2008(UTC)
Сообщений: 66
Откуда: Москва
|
Посмотрел запрос с помощью
Нашлась ошибка.
Signature Algorithm:
Algorithm ObjectId: 1.3.14.3.2.29 sha1RSA
Исправил. Теперь пишется:
Signature Algorithm:
Algorithm ObjectId: 1.2.643.2.2.3 ГОСТ Р 34.11/34.10-2001
Algorithm Parameters:
Полный отчет:
C:\Documents and Settings\Administrator\Desktop>certutil qwe.req
PKCS10 Certificate Request:
Version: 1
Subject:
CN="""asd"""
Public Key Algorithm:
Algorithm ObjectId: 1.2.643.2.2.19 ГОСТ Р 34.10-2001
Algorithm Parameters:
0000 30 12 06 07 2a 85 03 02 02 24 00 06 07 2a 85 03 0...*....$...*..
0010 02 02 1e 01 ....
Public Key: UnusedBits = 0
0000 04 40 a0 da 9e 55 87 0e 50 6d a7 f3 c5 f2 1b d5 .@...U..Pm......
0010 e3 30 24 d1 18 fa 62 c4 69 28 ba 6e 02 a9 c8 f8 .0$...b.i(.n....
0020 d4 b6 65 ab 33 22 b8 0f 20 ee 12 72 ba 01 25 cb ..e.3".. ..r..%.
0030 fa 9c ae 8b 90 d3 eb 52 a0 ab 4e ee 01 4a 63 aa .......R..N..Jc.
0040 c7 ae ..
Request Attributes: 0
0 attributes:
Signature Algorithm:
Algorithm ObjectId: 1.2.643.2.2.3 ГОСТ Р 34.11/34.10-2001
Algorithm Parameters:
05 00 ..
Signature: UnusedBits=0
0000 7b 20 bd 75 43 b0 6d ee 4e 0e 4a 5f 69 9e cf 02 { .uC.m.N.J_i...
0010 17 ff 50 fc 43 22 dd dc 66 f9 a2 7f 49 71 59 5a ..P.C"..f...IqYZ
0020 1f b6 91 00 72 d3 41 b7 71 b9 aa b6 64 bb ec ba ....r.A.q...d...
0030 c3 d3 a5 d9 f2 b4 2b 37 de 2b af 78 ef 0d 6e d7 ......+7.+.x..n.
Signature matches Public Key
Все-равно не хочет работать. Попробую добавить атрибуты.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.02.2008(UTC)
Сообщений: 66
Откуда: Москва
|
Прошу ответить на один из обозначенных вопросов.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,733  Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
выложите, пожалуйста, запрос который не принимает АРМ Администратора в base64
cerutil - отличная утилита для просмотра информации в запросе и проверке его подписи
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.02.2008(UTC)
Сообщений: 66
Откуда: Москва
|
При попытке обработки запроса через веб-интерфейс (только модуль выхода крипто-про УЦ есть в списке активных модулей) также выдается ошибка. Отчет Event Log по ошибке:
The VB Application identified by the event source logged this Application CAPolicy: Thread ID: 1756 ,Logged:
Ошибка при обработке запроса на сертификат модулем политики:
Источник: CA_CryptoProDefault.Policy.GetValidityPeriodByUsage
Номер: 0x80041002 (-2147217406)
Описание: Запрос отклонен политикой обработки Расширенного ключа (EKU) ЦС, причиной отклонения запроса стал OID, 'ALL'
В первом посте приведен непринятый запрос, вот еще один:
MIHNMHwCAQAwEDEOMAwGA1UEAxMFImFzZCIwYzAcBgYqhQMCAhMwEgYHKoUDAgIkAAYHKoUDAgIeAQNDAARAiooZZp4HieoHLwAQ3IN1Jnz56d1w0wFzCdgWQvj/h9dHY7hoYWlAD/pKyDmOYqgoVxbV9QDwkbEyew06VDIYkqAAMAoGBiqFAwICAwUAA0EA0OIM5H88OQNRAbdXNE0uHgWKThmAKz495I6mVNJA8eSPSLb1NAnTsTGlYffNXgMeHFMsEXPzG5HGVSFNZxn2aw
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,733 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
У Вас в запросе нет расширения Extended Key Usage ("Улучшенный ключ"), определяющего допустимые области использования ключа
Поэтому модуль политики УЦ, по аналогии с поведением модуля MS, считает, что запрос на сертификат, которому разрешены все области использования ключа
А соответствующая настройка в модуле политике не включена, поэтому запрос и отклоняется.
Включить ее можно в настройках модуля политики - "Использование ключа", добавив использование ключа "Все (область применения отсутствует)" |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.02.2008(UTC)
Сообщений: 66
Откуда: Москва
|
Угу, спасибо за информацию. Веб-интерфейс стал кушать запросы.
АРМ Администратора - нет. Видимо, ему нужно жестко прописывать Extended Key Usage. Попробую вопрсоизвести в коде то, что создает cryptcp.exe.
Скажите, а если текст запроса будет передан не руками в браузер, а через вызов функций SOAP, сертификат будет вызван?
Тот же вопрос, по-другому поставленный: функция GetCACertificate() и прочие вызывают тот же код, что и обертка для браузера?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,733 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
Цитата:АРМ Администратора - нет. скорее всего дело в настройках ЦР - в "Обработке неподписанных запросов" также должна быть разрешена область использования ключа "Все" Цитата:Скажите, а если текст запроса будет передан не руками в браузер, а через вызов функций SOAP, сертификат будет вызван? конечно, АРМ Администратора так и работает. Подробнее можете посмотреть в "Руководстве программиста КриптоПро УЦ". Цитата:Тот же вопрос, по-другому поставленный: функция GetCACertificate() и прочие вызывают тот же код, что и обертка для браузера? Вообщем да, если речь идет про веб-интерфейс зарегистрированного пользователя. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.02.2008(UTC)
Сообщений: 66
Откуда: Москва
|
Нашел! Attribute[1]: 1.2.840.113549.1.9.14 Value[1][0]: Unknown Attribute type Certificate Extensions: 1 2.5.29.17: Flags = 0, Length = 1b Subject Alternative Name Other Name: T=1301 30 По SOAP запрос со стандартным набором полей (6 шт) и Other Name: T=1301 30 проходит, а созданный программно без этого поля нет. Скажите: 1. Можно ли отключить проверку наличия этого поля? И где? :) 2. Есть ли пример? Вот тут приведено ("Adding Subject Alternative Name Extension to Requests", пример №2). Порт на Delphi пока не работает...
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.02.2008(UTC)
Сообщений: 66
Откуда: Москва
|
CERT_ALT_NAME_RFC822_NAME добавить получилось.
Вопрос только с шифрованием.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
