Atom Лента - Форум КриптоПро - Тема:Что нужно настроить, чтобы при перевыпуске корневого сертификата в него не вставлялись точки распрас - 10Форум КриптоПро - Atom Лентаurn:https:--www-cryptopro-ru:AtomLenta:ForumKriptoPro:Tema:Chtonuzhnonastroit',chtobypriperevypuskekornevogosertifikatavnegonevstavljalis'tochkiraspras-10:1Copyright 2024 Форум КриптоПро2024-03-19T06:28:22Zhttps://www.cryptopro.ru/forum2/Images/YAFLogo.pngForum Adminhttps://www.cryptopro.ruforum@cryptopro.ruNastasya_uhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=44297&name=Nastasya_uNastasya_uhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=44297&name=Nastasya_uarthurik87https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=18069&name=arthurik87arthurik87https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=18069&name=arthurik87Sergey M. Murugovhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=588&name=Sergey M. MurugovВасилий Дементьевhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=50&name=Василий ДементьевSergey M. Murugovhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=588&name=Sergey M. Murugovxoshiminhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=12142&name=xoshiminВасилий Дементьевhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=50&name=Василий Дементьевxoshiminhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=12142&name=xoshiminВасилий Дементьевhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=50&name=Василий ДементьевYetAnotherForum.NETurn:https:--www-cryptopro-ru:ftPosts:st1:meid84058:1Что нужно настроить, чтобы при перевыпуске корневого сертификата в него не вставлялись точки распрас<table class="content postContainer_Alt" width="100%"><tr><td>Добрый день! <br />направьте пожалуйста CACertSign.exe по адресу почты из профиля. Спасибо!<br /><div class="quote"><span class="quotetitle">Автор: Василий Дементьев <a href="/forum2/default.aspx?g=posts&m=18230#post18230"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Можно убрать лишние точки cdp и aia из существующего сертификата ЦС - для этого могу дать специальную утилиту (CACertSign.exe)</div></div><br /><br /></td></tr></table>2017-10-03T08:32:14+03:002017-10-03T08:32:14+03:00Nastasya_u<table class="content postContainer_Alt" width="100%"><tr><td>Добрый день! <br />направьте пожалуйста CACertSign.exe по адресу почты из профиля. Спасибо!<br /><div class="quote"><span class="quotetitle">Автор: Василий Дементьев <a href="/forum2/default.aspx?g=posts&m=18230#post18230"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Можно убрать лишние точки cdp и aia из существующего сертификата ЦС - для этого могу дать специальную утилиту (CACertSign.exe)</div></div><br /><br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid22943:1Что нужно настроить, чтобы при перевыпуске корневого сертификата в него не вставлялись точки распрас<table class="content postContainer" width="100%"><tr><td>Решил вопрос с техподдержкой. </td></tr></table>2012-01-18T15:22:35+03:002012-01-18T15:22:35+03:00arthurik87<table class="content postContainer" width="100%"><tr><td>Решил вопрос с техподдержкой. </td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid22833:1Что нужно настроить, чтобы при перевыпуске корневого сертификата в него не вставлялись точки распрас<table class="content postContainer_Alt" width="100%"><tr><td>УЦ 1.5.986 на виртуалке для тестов.<br />Win Serv 2003 sp2<br />Хотфикс от Microsoft, который устраняет ошибку MS CA в части применения настроек из файла capolicy.inf при обновлении сертификата ЦС<br />установил.<br /><br />CAPolicy.inf<br />[Version]<br />Signature="$Windows NT$"<br /><br />[CRLDistributionPoint]<br />URL=""<br /><br />CACertPublicationURLs:<br />2:http://ca.tomline.ru/CAKUB.crt<br /><br />CRLPublicationURLs:<br />6:http://ca.tomline.ru/CAKUB.crl<br /><br /><br />Обновил корневой сертификат и в нем все-равно есть:<br />[1]Точка распространения списка отзыва (CRL)<br /> Имя точки распространения:<br /> Полное имя:<br /> URL=http://ca.tomline.ru/CAKUB.crl<br /><br />Что еще надо настроить?<br /><br /><br /></td></tr></table>2012-01-13T12:48:28+03:002012-01-13T12:48:28+03:00arthurik87<table class="content postContainer_Alt" width="100%"><tr><td>УЦ 1.5.986 на виртуалке для тестов.<br />Win Serv 2003 sp2<br />Хотфикс от Microsoft, который устраняет ошибку MS CA в части применения настроек из файла capolicy.inf при обновлении сертификата ЦС<br />установил.<br /><br />CAPolicy.inf<br />[Version]<br />Signature="$Windows NT$"<br /><br />[CRLDistributionPoint]<br />URL=""<br /><br />CACertPublicationURLs:<br />2:http://ca.tomline.ru/CAKUB.crt<br /><br />CRLPublicationURLs:<br />6:http://ca.tomline.ru/CAKUB.crl<br /><br /><br />Обновил корневой сертификат и в нем все-равно есть:<br />[1]Точка распространения списка отзыва (CRL)<br /> Имя точки распространения:<br /> Полное имя:<br /> URL=http://ca.tomline.ru/CAKUB.crl<br /><br />Что еще надо настроить?<br /><br /><br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid18397:1Что нужно настроить, чтобы при перевыпуске корневого сертификата в него не вставлялись точки распрас<table class="content postContainer" width="100%"><tr><td>Поскольку мы не знаем какова структура домена у господина "xoshimin" то совет "вообще ничего не писать" может быть не правильным, например если структура сложноорганизована, есть мосты, кроссы, то для автоматизации сбора данных для последующей процедуры построения цепочки сертификации, AIA весьма и весьма применимы. </td></tr></table>2011-06-27T20:33:21+04:002011-06-27T20:33:21+04:00Sergey M. Murugov<table class="content postContainer" width="100%"><tr><td>Поскольку мы не знаем какова структура домена у господина "xoshimin" то совет "вообще ничего не писать" может быть не правильным, например если структура сложноорганизована, есть мосты, кроссы, то для автоматизации сбора данных для последующей процедуры построения цепочки сертификации, AIA весьма и весьма применимы. </td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid18373:1Что нужно настроить, чтобы при перевыпуске корневого сертификата в него не вставлялись точки распрас<table class="content postContainer_Alt" width="100%"><tr><td>... или вообще ничего не писать.<br />Как правило, сертификат ЦС должен распространяться через какой-то доверенный источник или доверенный канал.<br />Например, пользователю лично в руки на съёмном носителе.<br />Даже если это невозможно, то лучше, чтобы пользователь сам скачивал сертификат ЦС (по ссылке, приведённой на сайте УЦ) и сам его устанавливал (и брал на себя ответсвенность за это действие).</td></tr></table>2011-06-27T13:12:00+04:002011-06-27T13:12:00+04:00Василий Дементьев<table class="content postContainer_Alt" width="100%"><tr><td>... или вообще ничего не писать.<br />Как правило, сертификат ЦС должен распространяться через какой-то доверенный источник или доверенный канал.<br />Например, пользователю лично в руки на съёмном носителе.<br />Даже если это невозможно, то лучше, чтобы пользователь сам скачивал сертификат ЦС (по ссылке, приведённой на сайте УЦ) и сам его устанавливал (и брал на себя ответсвенность за это действие).</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid18371:1Что нужно настроить, чтобы при перевыпуске корневого сертификата в него не вставлялись точки распрас<table class="content postContainer" width="100%"><tr><td>Мне кажется лучше почитать первоисточник в международных рекомендациях RFC 5280 раздел 4.2.2.1. Authority Information Access</td></tr></table>2011-06-24T15:47:52+04:002011-06-24T15:47:52+04:00Sergey M. Murugov<table class="content postContainer" width="100%"><tr><td>Мне кажется лучше почитать первоисточник в международных рекомендациях RFC 5280 раздел 4.2.2.1. Authority Information Access</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid18368:1Что нужно настроить, чтобы при перевыпуске корневого сертификата в него не вставлялись точки распрас<table class="content postContainer_Alt" width="100%"><tr><td>Василий,<br />спасибо, все получилось и на тестовом и на боевом сервере, правда новые сертификаты пока не выпускали, но надеюсь проблем не возникнет.<br />Проконсультируйте, пожалуйста, еще по одному вопросу, что правильнее писать в AIA:<br />1) ссылку на каталог где выложены корневые сертификаты за несколько лет;<br />2) ссылку на файл с корневым сертификатом с уникальным именем (в имени идентификатор как и CDP);<br />3) или просто ссылку на текущий корневой сертификат (для прошлогодних сертификатов ссылка уже будет не верна)<br />С уважением<br />Алексей</td></tr></table>2011-06-24T15:10:09+04:002011-06-24T15:10:09+04:00xoshimin<table class="content postContainer_Alt" width="100%"><tr><td>Василий,<br />спасибо, все получилось и на тестовом и на боевом сервере, правда новые сертификаты пока не выпускали, но надеюсь проблем не возникнет.<br />Проконсультируйте, пожалуйста, еще по одному вопросу, что правильнее писать в AIA:<br />1) ссылку на каталог где выложены корневые сертификаты за несколько лет;<br />2) ссылку на файл с корневым сертификатом с уникальным именем (в имени идентификатор как и CDP);<br />3) или просто ссылку на текущий корневой сертификат (для прошлогодних сертификатов ссылка уже будет не верна)<br />С уважением<br />Алексей</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid18285:1Что нужно настроить, чтобы при перевыпуске корневого сертификата в него не вставлялись точки распрас<table class="content postContainer" width="100%"><tr><td>В принципе, на ЦС можно было не менять.<br />Отсутствие CDP актуально для клиентов.<br /><br />Но, конечно, правильнее менять.<br />На ЦС: после установки нового сертификата в "Довереныые корневые ЦС" локального компьютера и в "Личные" локального компьютера (со ссылкой на контейнер) нужно в параметре CACertHash (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<имя ЦС>) проверить значение отпечатка последнего сертификата и поменять на значение из нового сертификата. Значение отпечатка смотрите в окне просмотра сертификата - Состав - в самом низу.</td></tr></table>2011-06-20T16:58:20+04:002011-06-20T16:58:20+04:00Василий Дементьев<table class="content postContainer" width="100%"><tr><td>В принципе, на ЦС можно было не менять.<br />Отсутствие CDP актуально для клиентов.<br /><br />Но, конечно, правильнее менять.<br />На ЦС: после установки нового сертификата в "Довереныые корневые ЦС" локального компьютера и в "Личные" локального компьютера (со ссылкой на контейнер) нужно в параметре CACertHash (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<имя ЦС>) проверить значение отпечатка последнего сертификата и поменять на значение из нового сертификата. Значение отпечатка смотрите в окне просмотра сертификата - Состав - в самом низу.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid18265:1Что нужно настроить, чтобы при перевыпуске корневого сертификата в него не вставлялись точки распрас<table class="content postContainer_Alt" width="100%"><tr><td>Василий, спасибо за утилиту.<br />Запустил, она нормально проработала, точки CDP из сертификата исчезли.<br />Сертификат переустановил, в корневые его занес, сертификат с CDP вроде как отовсюду почистил<br />Но при запуске службы возникает ошибка:<strong>Цепочка сертификатов обработана, но обработка прервана на корневом cepтификaтe, у которого отсутствует отношение доверия с поставщиком доверия. 0х800b0109 (-2146762487)</strong><br />При этом в ветке: Промежуточные центры сертификации -> Сертификаты появляется "старый" сертификат с CDP (с отметкой что к нему нет доверия), откуда он там берется не пойму. После его удаления и повторного пуска службы он сновая появляется.<br /><br />Подскажите, что не так сделал?<br />С уважением<br />Алексе</td></tr></table>2011-06-17T19:10:04+04:002011-06-17T19:10:04+04:00xoshimin<table class="content postContainer_Alt" width="100%"><tr><td>Василий, спасибо за утилиту.<br />Запустил, она нормально проработала, точки CDP из сертификата исчезли.<br />Сертификат переустановил, в корневые его занес, сертификат с CDP вроде как отовсюду почистил<br />Но при запуске службы возникает ошибка:<strong>Цепочка сертификатов обработана, но обработка прервана на корневом cepтификaтe, у которого отсутствует отношение доверия с поставщиком доверия. 0х800b0109 (-2146762487)</strong><br />При этом в ветке: Промежуточные центры сертификации -> Сертификаты появляется "старый" сертификат с CDP (с отметкой что к нему нет доверия), откуда он там берется не пойму. После его удаления и повторного пуска службы он сновая появляется.<br /><br />Подскажите, что не так сделал?<br />С уважением<br />Алексе</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid18260:1Что нужно настроить, чтобы при перевыпуске корневого сертификата в него не вставлялись точки распрас<table class="content postContainer" width="100%"><tr><td>Для 2003 есть хотфикс от Microsoft, который устраняет ошибку MS CA в части применения настроек из файла capolicy.inf при обновлении сертификата ЦС.<br />Это <a rel="nofollow" href="http://support.microsoft.com/kb/927169/en-us" title="http://support.microsoft.com/kb/927169/en-us">KB927169</a>.<br />Но влиять будет только на следующие процедуры обновления сертификата ЦС.<br /><br />Утилиту вышлю.</td></tr></table>2011-06-17T16:08:30+04:002011-06-17T16:08:30+04:00Василий Дементьев<table class="content postContainer" width="100%"><tr><td>Для 2003 есть хотфикс от Microsoft, который устраняет ошибку MS CA в части применения настроек из файла capolicy.inf при обновлении сертификата ЦС.<br />Это <a rel="nofollow" href="http://support.microsoft.com/kb/927169/en-us" title="http://support.microsoft.com/kb/927169/en-us">KB927169</a>.<br />Но влиять будет только на следующие процедуры обновления сертификата ЦС.<br /><br />Утилиту вышлю.</td></tr></table>