При запросе на проверку статуса сертификата с использованием
Revocation Provider, в Revocation Provider передается данный
сертификат и ряд дополнительных параметров.
Revocation Provider, получив на проверку сертификат, формирует на
данный сертификат OCSP-запрос и направляет его в одну или несколько
OCSP служб. При получении OCSP-ответа Revocation Provider выполняет
его проверку.
Ответ проходит проверку и содержит статус сертификата
good/ revoked
|
Проверка заканчивается, и полученный статус возвращается
программе «КриптоАРМ»
|
Ответ не проходит проверку и содержит статус сертификата
uknown
|
Происходит обращение по следующему адресу
|
Очередность обращения к службам
OCSP
Microsoft Revocation
Provider
|
КриптоПро Revocation
Provider
|
- Microsoft Revocation Provider осуществляет проверку статуса
сертификата с использованием СОС. Полученный статус сертификата
возвращается приложению "КриптоАРМ"
|
- Очередность определяется по расширению сертификата AIA
(AuthorityInformationAccess / Доступ к информации о центрах
сертификации): среди точек расширения выбирает те, к которым указан
метод доступа по протоколу OCSP. Обращения к ним выполняются по
порядку их расположения в сертификате
- Если по всем указанным в расширении адресам OCSP служб не
удается получить ответ или если таких адресов в сертификате не
указано, то Revocation Provider пробует обратиться к OCSP службе,
адрес которой задан групповой политикой Службы OCSP: адрес
службы OCSP по умолчанию (если она определена)
- Если на предыдущих шагах не удалось получить ответ,
удовлетворяющий описанным выше условиям, сертификат передается на
проверку в Microsoft Revocation Provider.
|
Для настройки возможности проверки статуса сертификата с помощью
Revocation Provider в групповых политиках необходимо указать
параметры доступа к службе OCSP.
Для настройки параметров доступа к службе OCSP выполните
следующие действия:
- Откройте Пуск -
Выполнить.
- Укажите Редактор объекта групповой политики -
gpedit.msc:
- Отредактируйте основные объекты групповой политики:
Политика "Локальный компьютер" -
Конфигурация
компьютера/Конфигурация
пользователя - Административные
шаблоны - Крипто-Про - КриптоПро
OCSP Client (установите
Включен):
- Адрес OCSP Службы: адрес по
умолчанию
- Аутентификация (прокси-сервер): тип по
умолчанию (позволяет задать тип аутентификации,
используемый по умолчанию при соединении с прокси-сервером)
- Прокси-сервер: адрес прокси-сервера по
умолчанию (определяет прокси-сервер, используемый по
умолчанию при подключении к службе OCSP)
|