Доброго дня.
Подскажите, пожалуйста, что необходимо настроить на АРМ пользователя УЦ, чтобы при получении подписанного письма в Outlook происходила проверка СОС с сайта УЦ. Возможно ли вообще такое? Процедура проверки СОС происходит удачно, только если устанавливать СОС в ручную.

Ссылка в сертификате есть, она доступна, а обращаться к ней Пользователь должен сам или можно как-то прописать эту ссылку для автоматического обращения?

А эту команду необходимо на АРМ пользователя УЦ в cmd вводить или на сервере УЦ?

C:\Users\pds>certutil -verify c:\Users\pds\Documents\Документы\УЦ\Новая папка\Ры
чков Андрей Игоревич.cer
Ожидалось не более 3 аргументов, получено 4
CertUtil: Слишком много аргументов

Применение:
CertUtil [Параметры] -verify CertFile [ApplicationPolicyList | - [IssuancePoli
cyList]]
CertUtil [Параметры] -verify CertFile [CACertFile [CrossedCACertFile]]
CertUtil [Параметры] -verify CRLFile CACertFile [IssuedCertFile]
CertUtil [Параметры] -verify CRLFile CACertFile [DeltaCRLFile]
Просмотр CRL, сертификата или цепочки
CertFile - Сертификат, подлежащий проверке
ApplicationPolicyList - дополнительный список кодов политики применения
ObjectId, разделенных запятыми
IssuancePolicyList - дополнительный список необходимых кодов, разделенных

запятыми

CACertFile - дополнительный сертификат ЦС, выпущенный для проверк
и
CrossedCACertFile - дополнительный сертификат ЦС, выпущенный для
перекрестной проверки с CertFile

CRLFile - CRL, подлежащий проверке
IssuedCertFile - дополнительный сертификат, входящий в CRLFile
DeltaCRLFile - дополнительный разностный CRL

Если список ApplicationPolicyList указан, то построение цепочки ограничено
цепочками, допустимыми для указанных политик применения.
Если список IssuancePolicyList указан, то построение цепочки ограничено
цепочками, допустимыми для указанных политик выдачи.

Если указан параметр CACertFile, то поля этого файла сравниваются с полями
файловCertFile или CRLFile.
Если параметр CACertFile не указан, то файл CertFile выпускается для
построения и проверки всей цепочки.
Если указаны оба параметра CACertFile и CrossedCACertFile, то поля файлов
CACertFile и CrossedCACertFile сравниваются с полями файла CertFile.


Если указан параметр IssuedCertFile, то поля этого файла сравниваются с поля
ми
файла CRLFile.
Если указан параметр DeltaCRLFile, то поля этого файла сравниваются с полями

файла CRLFile.

Параметры:
-f -- Обязательная перезапись
-enterprise -- Использовать локальное хранилище сертификатов
-user -- Используйте ключи HKEY_CURRENT_USER или хранилище сертифи
катов
-gmt -- Вывод времени по Гринвичу (GMT)
-seconds -- Время отображения с секундами и миллисекундами
-silent -- Использовать флаг молчания для получения контекста шифров
ания
-split -- Отделение внедренных элементов ASN.1 и сохранение в файл
-v -- Подробное протоколирование работы
-privatekey -- Отобразить пароль и данные закрытого ключа
-urlfetch -- Извлечь и проверить AIA-сертификаты и CDP CRL
-t Таймаут -- Таймаут получения URL (мсек)

CertUtil -? -- Отображение списка команд
CertUtil -verify -? -- Отображение справки о команде "verify"
CertUtil -v -? -- Отображение справки по всем командам

C:\Users\Администратор>certutil -verify "C:\Users\Администратор\Documents\сертиф
икаты пользователей\Рычков Андрей Игоревич.cer"
Поставщик:
CN=TESTCA
Субъект:
CN=Рычков Андрей Игоревич
OU=НТЦ УЖЦ СС
O=ФГУП НИИР
L=Москва
S=Москва
C=RU
E=rychkov@niir.ru
Серийный номер сертификата: 115ef93300000000000b

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwRevocationFreshnessTime: 2 Hours, 16 Minutes, 48 Seconds

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwRevocationFreshnessTime: 2 Hours, 16 Minutes, 48 Seconds

CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
Issuer: CN=TESTCA
NotBefore: 09.08.2016 16:31
NotAfter: 09.11.2017 16:41
Subject: CN=Рычков Андрей Игоревич, OU=НТЦ УЖЦ СС, O=ФГУП НИИР, L=Москва, S=Мо
сква, C=RU, E=rychkov@niir.ru
Serial: 115ef93300000000000b
49 12 6a 40 f8 4a 69 69 bc 42 1a db 0c 7c 60 bf 13 ec 27 95
Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
CRL 08:
Issuer: CN=TESTCA
55 c9 41 da 00 3b b8 08 50 37 db c1 fe 15 29 ad 9f d2 8d 16
Application[0] = 1.2.643.2.2.34.6 Пользователь Центра Регистрации, HTTP, TLS к
лиент
Application[1] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
Application[2] = 1.3.6.1.5.5.7.3.4 Защищенная электронная почта

CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
Issuer: CN=TESTCA
NotBefore: 02.08.2016 9:32
NotAfter: 02.08.2021 9:41
Subject: CN=TESTCA
Serial: 77cdbc73eb0a74b64550f8669dfbbfda
4b 82 f7 37 18 b2 c3 57 9d b7 44 ad 4d a8 39 0e 16 b6 d5 49
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)

Exclude leaf cert:
9e f6 7f 0b e0 bc 7b 41 e7 0e 0c 16 87 31 f9 03 24 ea e4 1e
Full chain:
b4 79 f0 df d1 13 ee d7 69 d6 11 d8 4d ea cd a3 3e ad 47 bb

---

Проверенные политики выдачи: Нет
Проверенные политики применения:
1.2.643.2.2.34.6 Пользователь Центра Регистрации, HTTP, TLS клиент
1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
1.3.6.1.5.5.7.3.4 Защищенная электронная почта
Проверка отзыва сертификата выполнена
CertUtil: -verify - команда успешно выполнена.

То есть нужно СОС удалить из хранилища, но оставить на сервере? Прокси нет.

Удалил СОС из хранилища-при выводе команды-ничего не изменилось. Или СОС совсем нужно удалить с компьютера?

О да!Я понял к чему выводы команд!Действительно-почистил Кэш и оставил СОС по адресу точки распространения-опять удачной вывод, затем удалил СОС с сервера и тут же пошла ошибка. То есть резюмируя-если в сертификате указан URL файла СОС, то он будет проверять СОС даже в отсутствии его в хранилище и на самом АРМ, конечно же если есть доступ к URL. А если ссылки на файл СОС в сертификате нет то и обращения не будет?

Если в сертификате присутствует ссылка на СОС и она доступна, то локально его не нужно устанавливать. Certutil мы использовали для теста. В OUTLOOKе сертификат подписавшего должен был провериться на отзыв по ссылке, пришлите скриншот ошибки, если она повторится

Спасибо большое, все работает. outlook проверяет все без установленного локально СОС, а обращаясь к URL, который прописан в сертификате!Единственно не совсем понятно, как часто он обновляет запросы к по этому URL, ведь при обновлении СОС в котором будет отозван сертификат-должно об этом сообщиться в старом письме, подписанным ранее. Оно у меня сообщает, но только через некоторое время и после чистки кэша-можно ли это как то автоматизировать?