Настройки работы с Revocation Provider

При запросе на проверку статуса сертификата с использованием Revocation Provider, в Revocation Provider передается данный сертификат и ряд дополнительных параметров.
Revocation Provider, получив на проверку сертификат, формирует на данный сертификат OCSP-запрос и направляет его в одну или несколько OCSP служб. При получении OCSP-ответа Revocation Provider выполняет его проверку.

Ответ проходит проверку и содержит статус сертификата good/ revoked

Проверка заканчивается, и полученный статус возвращается программе «КриптоАРМ»

Ответ не проходит проверку и содержит статус сертификата uknown

Происходит обращение по следующему адресу

Очередность обращения к службам OCSP

Microsoft Revocation Provider

КриптоПро Revocation Provider

  1. Microsoft Revocation Provider осуществляет проверку статуса сертификата с использованием СОС. Полученный статус сертификата возвращается приложению "КриптоАРМ"
  1. Очередность определяется по расширению сертификата AIA (AuthorityInformationAccess / Доступ к информации о центрах сертификации): среди точек расширения выбирает те, к которым указан метод доступа по протоколу OCSP. Обращения к ним выполняются по порядку их расположения в сертификате
  2. Если по всем указанным в расширении адресам OCSP служб не удается получить ответ или если таких адресов в сертификате не указано, то Revocation Provider пробует обратиться к OCSP службе, адрес которой задан групповой политикой Службы OCSP: адрес службы OCSP по умолчанию (если она определена)
  3. Если на предыдущих шагах не удалось получить ответ, удовлетворяющий описанным выше условиям, сертификат передается на проверку в Microsoft Revocation Provider.

Для настройки возможности проверки статуса сертификата с помощью Revocation Provider в групповых политиках необходимо указать параметры доступа к службе OCSP.

Для настройки параметров доступа к службе OCSP выполните следующие действия:

  1. Откройте Пуск - Выполнить.
  2. Укажите Редактор объекта групповой политики - gpedit.msc:

  1. Отредактируйте основные объекты групповой политики: Политика "Локальный компьютер" - Конфигурация компьютера/Конфигурация пользователя - Административные шаблоны - Крипто-Про - КриптоПро OCSP Client (установите Включен):
  • Адрес OCSP Службы: адрес по умолчанию
  • Аутентификация (прокси-сервер): тип по умолчанию (позволяет задать тип аутентификации, используемый по умолчанию при соединении с прокси-сервером)
  • Прокси-сервер: адрес прокси-сервера по умолчанию (определяет прокси-сервер, используемый по умолчанию при подключении к службе OCSP)
________________________________________________
© 2002 - 2007, Digt.    Адрес для контактов: info@digt.ru;
Техническая поддержка: support@digt.ru