Статус: Участник
Группы: Участники
Зарегистрирован: 10.06.2008(UTC)
Сообщений: 15
|
Доброго времени суток.
Развернул КриптоПро УЦ 1.4. Создал новый шаблон сертификата указав - Проверка подлинности сервера (1.3.6.1.5.5.7.3.1).
Далее пытаюсь на основании данного шаблона создать новый сертификат пользователя.
В результате получаю ошибку:
Номер: -2147220984
Источник: ViewRequestMoveNext
Описание: Произошла ошибка во время обработки запроса на сертификат.
Оригинальная ошибка:
Number=0x80040201
Source=CertRequest.SubmitFirstCertRequest
Description=Эта операция не может быть выполнена на этом сертификате.
Ранее в тестовом режиме для обеспечения взаимодействия между web-серверами по протоколу HTTPS использовал утилиту selfssl из пакета IIS Resources.
В результате запуска:
selfssl.exe /T /N:CN=test.test.ru /V:365 /S:1
создается сертификат со значением улучшенного ключа - Проверка подлинности сервера (1.3.6.1.5.5.7.3.1)
Все успешно работает.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
Скорее всего у роли, от имени которой Вы действуете в АРМ администратора нет прав для выпуска сертификата с таким OID. Проверьте в "параметры центра регистрации - свойства - полтитика - обработка неподписанных запросов(улучшенный ключ) - роль от имени которой вы действуете(администратор или оператор) - изменить" есть ли там разрешение на проверку подлинности сервера?
|
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.06.2008(UTC)
Сообщений: 15
|
Спасибо, Татьяна!
Добавил разрешение и создал сертификат.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.06.2008(UTC)
Сообщений: 15
|
Сертификат создал, но желаемого результата к сожалению не получил.
Созданный сертификат упорно не подходит для идентификации web-сервера (IIS).
Пробовал создавать сертификаты от имени различных CSP и с разной размерностью, не помогло.
Как отмечал ранее сертификат созданный посредством утилиты selfssl (IIS Resources) подходит.
Подскажите с какими значениями необходимо создать сертификат в КриптоПро УЦ 1.4, что бы проходила идентификация web-сервера (IIS) ?
|
|
|
|
|
|
Статус: Администратор
Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 350
Откуда: ООО "КРИПТО-ПРО"
Поблагодарили: 6 раз в 5 постах
|
avk_soft написал:
Созданный сертификат упорно не подходит для идентификации web-сервера (IIS).
Можно это пояснить?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.06.2008(UTC)
Сообщений: 15
|
Посредством задачи Администратор ЦР:
- создал пользователя ЦР
- создал сертификат для данного пользователя (значение Проверка подлинности сервера (1.3.6.1.5.5.7.3.1)
Пробовал создавать сертификаты с различным CSP и размерностью ключа
Сертификат создан с учетом DNS имени web сервера
- экспортировал сертификат в файл
На компьютере с установленным web сервером (IIS):
- импортировал сертификат из файла (mmc: Сертификаты(локальный)-Личные)
- привязал сертификат к web серверу
Проверил:
- в командной строке IE набрал https: //DNS имя
В результатет выдается стандартная страница с сообщением об ошибке
При использовании тестового сертификата от Microsoft выдается default страница web сервера
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 151
Откуда: Крипто-Про
Поблагодарили: 1 раз в 1 постах
|
На сервере IIS необходимо установить сертификат с привязкой к ключевому контейнеру (панель управления - КриптоПро CSP - сервис - установить личный сертификат) в хранилище личные локального компьютера.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.06.2008(UTC)
Сообщений: 15
|
Установил, привязал - не помогло.
Сравнил сертификаты сгенерированные непосредственно мною и полученные при установке АРМ администратора ЦР (для связи АРМ и ЦР).
Видимое отличие при просмотре свойств (закладка "состав"), в моем сертификате нет такого свойства "Понятное имя" = DNS.
Может все же в документации существует раздел описывающий порядок создания и установки сертификата для web-сервера (IIS)?
Буду признателен за краткую инструкцию.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 519  Откуда: Крипто-Про
|
Лицензия на TLS-сервер для КриптоПро CSP установленна? Корневой сертификат вашего ЦС установлен в хранилище компьютера? На каком носителе контейнер ключа Веб-сервера? Отредактировано пользователем 5 декабря 2008 г. 19:19:22(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.06.2008(UTC)
Сообщений: 15
|
Спасибо, за помощь.
Установил для КриптоПро CSP тип лицензии CSP+TLS и все прошло.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
