Создание запроса на сертификат ЦС с INNLE в КриптоПро УЦ 2.0
Опубликовано Станислав Королев on 2021-09-17 09:33

Для включения INNLE в запрос необоходимо:

1) Добавить INNLE в список компонентов имени УЦ.

На сервере ЦС из меню Пуск: КРИПТО-ПРО запустить – «Командная строка управления УЦ (Администратор)».

C помощью команды ниже добавить INNLE:

Set-Item 'CA:\<имя ЦС>' -Subject '1.2.643.100.4=1234567890'

Где <имя ЦС> - имя экземпляра ЦС, для которого производятся изменения, 1.2.643.100.4 - OID INNLE, 1234567890 значение INNLE.

Проверить, что INNLE успешно добавлено:

(Get-Item 'CA:\<имяЦС>').Subject


2) Удалить ИНН физического лица.

2.1 Удалить OID ИНН физического лица (1.2.643.3.131.1.1) из реестра, перезагрузить сервер.

ИНН физического лица расположен здесь

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptDllFindOIDInfo\1.2.643.3.131.1.1!5]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptDllFindOIDInfo\1.2.643.3.131.1.1!5]

2.2 После перезагрузки выполнить Set-Item 'CA:\<имя ЦС>' -Subject "1.2.643.3.131.1.1=-"

Проверить, что ИНН физического лица отсутствует в имени УЦ

(Get-Item 'CA:\<имяЦС>').Subject

 

3) Вернуть OID ИНН физического лица в реестр.

Зарегистрировать на сервере ЦС объектный идентификтор, импортировав 2 reg-файла следующего содержания:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptDllFindOIDInfo\1.2.643.3.131.1.1!5]
"Name"="ИНН"
"ExtraInfo"=hex:03,00,00,00,00,00,00,00

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptDllFindOIDInfo\1.2.643.3.131.1.1!5]
"Name"="ИНН"
"ExtraInfo"=hex:03,00,00,00,00,00,00,00

 


4) Создать запрос на сертификат ЦС - https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/248/29/sozdnie-zpros-n-sertifikt-pri-plnovojj-smene-dlja-kkreditovnnykh-uc


Внимание! Если УЦ использует службу OCSP, то перед выпуском нового сертификата ЦС следует:

4.1) выпустить сертификаты для действующих экземпляров службы OCSP;

4.2) для обслуживания сертификатов, которые будут выпущены после ввода в действие нового сертификата ЦС, требуется создать новый экземпляр службы OCSP (с созданием нового сертификата OCSP, подписанного новым сертификатом ЦС);

4.3) настроить новый адрес OCSP для добавления в сертификаты, выпускаемые на УЦ.

(7 плюсик(ов))
Класс!
Не очень :(

Коментарии (0)