При проверке OCSP-ответа ошибка "The certificate is not valid for the requested usage" или "Сертификат не подходит для такого использования"
Опубликовано Елена Новожилова on 2014-08-13 16:58
|
|
RFC 2560 явно требует наличия соответствующих полномочий у сертификата, которым подписан OCSP-ответ (см. https://www.ietf.org/rfc/rfc2560.txt пп. 4.2.2.2 Authorized Responders). Есть три варианта: - OCSP-ответ подписан непосредственно сертификатом издателя (УЦ) проверяемого сертификата. - OCSP-ответ подписан сертификатом, выпущенным напрямую УЦ и имеющим назначение «Подпись OCSP-ответов» - либо доверие обозначается локально на компьютере пользователя каким-либо другим способом. Вариант такого «другого» способа - групповая политика КриптоПро OCSP Client «Службы OCSP: сертификаты уполномоченных служб OCSP» http://docs.cp.ru/pki/ocspsdk/ocspsdk-reference/group-policies Но поскольку такую политику придется настраивать на компьютере каждого пользователя, которому нужно проверять OCSP-ответы, то предпочтительнее, чтобы сертификат оператора службы OCSP был выпущен тем же УЦ, что и проверяемый сертификат. | |
|