Статус: Участник
Группы: Участники
Зарегистрирован: 27.09.2010(UTC)
Сообщений: 19
Сказал(а) «Спасибо»: 1 раз
|
Может не совсем та ветка, конечно. Ну уж извините и поправьте (ау, модератор).
Есть изолированный СА. Надо чтобы в выдаваемых сертификатах было расширение SAN (содержащее DNS имя машины). Соответственно надо как-то предварительно вставить его в запрос на сертификат, который генерится на этом же СА (т.е. не реквест от клиента). Обычно запросы делаю через WEB-интерфейс. Но тут видимо это не "доработать".
Как можно такое сделать?
Кое-что нашёл. Команда certutil -setreg policy\EnableRequestExtensionList +2.5.29.17 - разрешает включение расширения SAN в издаваемый сертификат
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,732  Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
Цитата:содержащее DNS имя машины какое-то определенное? Цитата:запрос на сертификат, который генерится на этом же СА (т.е. не реквест от клиента) запрос на сертификат всегда генерится на клиенте, т.к. только у клиента есть закрытый ключ для подписи запроса. другое дело, что иногда это физически может быть одна и та же машина. Цитата:Команда certutil -setreg policy\EnableRequestExtensionList +2.5.29.17 - разрешает включение расширения SAN в издаваемый сертификат Да. Но расширение это все равно должно присутствовать в запросе. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.09.2010(UTC)
Сообщений: 19
Сказал(а) «Спасибо»: 1 раз
|
Kirill Sobolev написал:Цитата:содержащее DNS имя машины какое-то определенное? Да. Пусть в данном случае, для примера, будет DNS Name=template.local Kirill Sobolev написал:Цитата:Команда certutil -setreg policy\EnableRequestExtensionList +2.5.29.17 - разрешает включение расширения SAN в издаваемый сертификат Да. Но расширение это все равно должно присутствовать в запросе. Это факт. Без наличия расширения SAN в запросе не получишь его в сертификате. Согласно статьи http://technet.microsoft...ary/cc740063(WS.10).aspx (и при условии что правильно перевожу) такой запрос вроде как можно сделать через создание файла policy.inf со строчкой SAN:dns=template.local и "отработкой" его утилитой CertReq.exe Но я таким способом никогда запросы не делал и поэтому сходу не получается. Кто нибудь может привести "правильный" пример policy.inf или рассказать про любой другой способ получения запроса?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,732 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.09.2010(UTC)
Сообщений: 19
Сказал(а) «Спасибо»: 1 раз
|
Спасибо. Пытаюсь разобраться с этим английским топиком. Но если кто осветит вопрос на русском :)) буду признателен  .
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
