none
Инфраструктура PKI RRS feed

  • Общие обсуждения

  • Добрый день, коллеги.

    Возникла проблема с разворачиванием двухуровневой структуры PKI. Установку и настройку производил согласно циклу статей на сайте http://www.sysadmins.lv/. (Автору огромное спасибо а статьи и помощь в решении возникших проблем).

    http://www.sysadmins.lv/PermaLink,guid,5ee5feb6-bcb0-4a1f-adfc-de989556785a.aspx

    Всё развернул, но есть две проблемы:

    1. При настройки OCSP в выдаваемом для него сертификате отсутствует расширение, которое указано в AIA (см. скриншот 1);

    2. В консоли mmc PKI предприятия, есть ошибка (см. скриншот 2). Как её поправить? Надо создать на IIS виртуальный каталог?

    6 июня 2013 г. 13:59

Все ответы

  • 1. в OCSP signing сертификате не должно быть cdp и aia за их бессмысленностью )

    2. я специально ничего не создавал, в iis у меня один виртуальный каталог для cdp и web application для ocsp

    6 июня 2013 г. 15:08
    Модератор
  • 1. в OCSP signing сертификате не должно быть cdp и aia за их бессмысленностью )

    2. я специально ничего не создавал, в iis у меня один виртуальный каталог для cdp и web application для ocsp

    1. В чём же бессмысленность OCSP? Как тогда объясните это http://www.sysadmins.lv/content/binary/WindowsLiveWriter/OCSP2_13126/cert_aia_3.jpg

    2. Я создавал отдельный сайт и в нём виртуальный каталог, который указывает на папку с содержимым списков отзывов и сертификатов.

    6 июня 2013 г. 15:37
  • 1. я гововрил что у сертификатов выдаваемых автоматом для OCSP signing нет aia и cdp, так как у них стоит параметр OCSP No revocation checking, что логично - глупо проверять сертификат подписи ocsp у этого же ocsp )) у вас по ссылке какой то другой сертификат с шаблоном web server
    2. каталог cdp я создавал руками, это для размещения тех самых crt и crl, у меня cdp и ocsp в одном сайте
    6 июня 2013 г. 16:15
    Модератор
  • 1. По ссылке сертификат, который автоматом выдается по шаблону "подписывание отклика OCSP". Я так понимаю в нём и не должно быть ссылок, согласно вашим доводам?

    2. Я создал отдельный сайт www.pki.test.ru на web сервере с ролью ocsp. В нём создал виртуальный каталог с указанием на папку с файлами списков отзыва. Как поправить работу OCSP?

  • Коллеги, проблема с OCSP так и осталась :( Помогите решить.
    4 июля 2013 г. 10:56