Статус: Новичок
Группы: Участники
Зарегистрирован: 29.01.2009(UTC)
Сообщений: 5
Откуда: Улан-Удэ
Сказал(а) «Спасибо»: 1 раз
|
Ранее у нас был успешный опыт выдачи кросс сертификатов, но сейчас был получен запрос на кросс сертификат, по которому штатными средствами установленного у нас КриптоПро УЦ 1.4.0756 изготовить этот самый кросс не удалось.
Сначала были произведены настройки ЦР и ЦС в соответствии с документацией на УЦ, при попытке изготовления кросс сертификата АРМ Администратора ЦР выдает ошибку:
Номер: -2147220984
Источник: ViewRequestMoveNext
Описание: Произошла ошибка во время обработки запроса на сертификат.
Оригинальная ошибка: Number=-2147220991 Source=CertRequest.SubmitFirstCertRequest Description=Эта операция не может быть выполнена на этом сертификате.
В журнале событий приложений ЦР:
The VB Application identified by the event source logged this Application RASupTX: Thread ID: 3564 ,Logged: Ошибка в методе CertRequest.SubmitFirstCertRequest: (0x80040201) Эта операция не может быть выполнена на этом сертификате.
Далее был просмотрен сам запрос на изготовление кросс сертификата:
=======================================================
Запрос атрибутов: 1
Атрибуты 1:
Атрибут[0]: 1.3.6.1.4.1.311.2.1.14 (Расширения сертификатов)
Значение[0][0]:
Неизвестный тип атрибута
Расширения сертификатов: 5
2.5.29.19: Флаги = 1(Критический), Длина = 8
Основные ограничения
Тип субъекта=ЦС
Ограничение на длину пути=0
2.5.29.14: Флаги = 0, Длина = 16
Идентификатор ключа субъекта
0d 2a dc d1 9f 02 f6 eb bb 35 be 4c 8d 4f 0b c7 c8 c9 45 3d
2.5.29.15: Флаги = 0, Длина = 4
Использование ключа
Цифровая подпись, Подписывание сертификатов, Автономное подписание списка отзыва (CRL), Подписывание списка отзыва (CRL) (86)
2.5.29.37: Флаги = 0, Длина = 7
Улучшенный ключ
Идентификатор ключа центра сертификатов (2.5.29.35)
1.3.6.1.4.1.311.21.1: Флаги = 0, Длина = 5
Версия ЦС
V1.1
=======================================================
Обнаружено, что нужно еще добавить 2.5.29.35 (Идентификатор ключа центра сертификатов), что и было сделано. При попытке изготовления сертификата опять та же ошибка.
Единственное отличие этого запроса – в версии ЦС (V 1.1), в других запросах, если она была, то (V 0.0).
Пробовали устанавливать другие допустимые расширения и использования сертификатов, вплоть до установки галочек на всех, имеющихся в списке, результат неизменно тот же: «Эта операция не может быть выполнена на этом сертификате».
Помогите преодолеть эти трудности.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 519  Откуда: Крипто-Про
|
Добавте на ЦС Модуль политики - Использование ключа - "Все (область применения отсутствует в запросе)"(ALL)
и на ЦР - Модуль политики - Обработка неподписанных(подписанных) запросов (улучшенный ключ) - для вашей роли - "Все (область применения отсутствует в запросе)"(ALL)
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 29.01.2009(UTC)
Сообщений: 5
Откуда: Улан-Удэ
Сказал(а) «Спасибо»: 1 раз
|
IvanZzz написал:Добавте на ЦС Модуль политики - Использование ключа - "Все (область применения отсутствует в запросе)"(ALL)
и на ЦР - Модуль политики - Обработка неподписанных(подписанных) запросов (улучшенный ключ) - для вашей роли - "Все (область применения отсутствует в запросе)"(ALL) Еще раз повторю: сделано все по документации, и на ЦС и на ЦР добавлены все области применения. До ЦС запрос на кросс даже и не доходит, отбивает ЦР.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 519 Откуда: Крипто-Про
|
Есть еще какие-нибудь записи в журнале событий(приложения) на ЦР? Отредактировано пользователем 30 января 2009 г. 13:27:03(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 29.01.2009(UTC)
Сообщений: 5
Откуда: Улан-Удэ
Сказал(а) «Спасибо»: 1 раз
|
IvanZzz написал:Есть еще какие-нибудь записи в журнале событий(приложения) на ЦР? Есть две записи про MSSOAP, но они малоинформативны и, насколько я понял, являются производными от уже приведенной про VB Application, больше нет ничего. Может ли такая ошибка возникнуть, если ЦС запрашиваемого кросс сертификата включен в домен?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 519 Откуда: Крипто-Про
|
GorbatyhVA написал:Может ли такая ошибка возникнуть, если ЦС запрашиваемого кросс сертификата включен в домен? Маловероятно. Пришлите на ivan@cryptopro.ru запрос, записи из журнала приложений (желательно в .evt), версию вашего УЦ, скриншот настрое на ЦР(Обработка неподписанных для вашей роли).
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 29.01.2009(UTC)
Сообщений: 5
Откуда: Улан-Удэ
Сказал(а) «Спасибо»: 1 раз
|
IvanZzz написал:GorbatyhVA написал:Может ли такая ошибка возникнуть, если ЦС запрашиваемого кросс сертификата включен в домен? Маловероятно. Пришлите на ivan@cryptopro.ru запрос, записи из журнала приложений (желательно в .evt), версию вашего УЦ, скриншот настрое на ЦР(Обработка неподписанных для вашей роли). Пришлю, только в понедельник, у нас закончился рабочий день.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 29.01.2009(UTC)
Сообщений: 5
Откуда: Улан-Удэ
Сказал(а) «Спасибо»: 1 раз
|
Проблема была разрешена с использованием нашими респондентами параметра PolicyFileIn (как написано в 9-тая главе Руководства) при формировании запроса на кросс сертификацию. Спасибо.
|
|
|
|
|
|
Перейти
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
