Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Построение цепочки проверки сертификата, используя кросс-сертификат
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Проблема №3. Всё-таки надо добиться совпадения AKI и SKI, ибо здесь написано: Цитата:Note If a certificate’s AKI extension contains a KeyID, CryptoAPI requires the issuer certificate to contain a matching SKI. This differs from RFC 3280 where SKI and AKI matching is optional. Ваш MS ADCS считает SKI по другому алгоритму, нежели OpenSSL. Единственно правильного алгоритма в природе нет. Есть алгоритм, рекомендованный RFC 5280. OpenSSL пользуется им. По неподтверждённым данным, MS ADCS использует этот же алгоритм, начиная с Windows Server 2008 R2. Вообще говоря, в ситуации выдачи сертификата кросс-сертификата, единственно правильный путь добиться совпадения AKI и SKI - задать необходимое значение SKI явно. Например, указав его в запросе на сертификат. MS ADCS при создании запросов на кроссы это расширение, скорее всего, кладёт. OpenSSL не стал. Тогда нужно добавить расширение в сертификат ручками (как - см. здесь). |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.03.2012(UTC)
Сообщений: 54
Откуда: Белгород
|
Спасибо вам за ответы. Буду разбираться.
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Построение цепочки проверки сертификата, используя кросс-сертификат
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
