Тут нас волнует в основном вопрос , что должно быть в корневом сертификате и что в подчиненном сертификате, так как мы делаем само-заверенный корневой сертификат на 10 лет и от него выпускаем подчиненные сертификаты.
Что может делать ключ прописывается в его сертификате : Цифровая подписьПодписывание сертификатовПодписывание списка отзыва (CRL)
CDP (CRL distribution point)
Возможные варианты использования корневого сертификата :
Цифровая подпись,Подписывание сертификатов, Автономное подписание списка отзыва (CRL), Подписывание списка отзыва (CRL) (86)
subjectAltName — похоже это только для добавления к CN альтернативных доменных имен.
Доброго времени суток.
Сами сертификаты генерятся без проблем. Цепочка соблюдена, назначения сертификатов правильные. Но при попытке авторизоваться выдает ошибку 400.
Если делать так, что и серверный сертификат, и сертификат клиента подписаны корневым CA, то все работает. Но мне то не так надо.
Кто-нибудь что-нибудь может подсказать?
МИНИСТЕРСТВО ФИНАНСОВ РОССИЙСКОЙ ФЕДЕРАЦИИ
от 8 октября 2009 г. N 42-7.4-05/10.1-592
О ВЫДАЧЕ СЕРТИФИКАТОВ ЭЛЕКТРОННЫХ ЦИФРОВЫХ ПОДПИСЕЙ
ГОСУДАРСТВЕННЫМ ЗАКАЗЧИКАМ ДЛЯ РАБОТЫ НА ЭЛЕКТРОННЫХ
Федеральное казначейство направляет для использования в работе Протокол (не приводится) совещания по вопросу порядка выдачи сертификатов ключей подписей государственным заказчикам и участникам размещения заказа, взаимодействия электронных торговых площадок и Уполномоченного удостоверяющего центра Федерального казначейства от 24 сентября 2009 г. (далее — Протокол), а также разъяснение о получении сертификатов электронной цифровой подписи, направленное Федеральным казначейством в Министерство экономического развития Российской Федерации (далее — Разъяснение), и поручает руководителям управлений Федерального казначейства по субъектам Российской Федерации по запросам государственных заказчиков заключать договора об обмене электронными документами с государственными заказчиками, не являющимися участниками системы электронного документооборота Федерального казначейства (далее — СЭД ФК), а также выдавать государственным заказчикам сертификаты электронных цифровых подписей, изданных УУЦ Федерального казначейства (далее — сертификаты), для работы на электронных торговых площадках в соответствии с Протоколом и Разъяснением.
Обращаем внимание, что замену сертификатов либо выдачу дополнительных сертификатов пользователям СЭД ФК, имеющим в настоящее время действующие сертификаты, производить не требуется.
Дополнительно сообщаем, что внедрение и сопровождение СЭД ФК у государственных заказчиков, не являющихся участниками бюджетного процесса, органам Федерального казначейства следует осуществлять с учетом следующих особенностей:
— орган Федерального казначейства изготавливает и передает государственному заказчику, не являющемуся участником бюджетного процесса или органом управления государственным внебюджетным фондом, дистрибутив АРМ СЭД в соответствии с Инструкцией, размещаемой в ФАП Федерального казначейства;
— установку и подключение автоматизированного рабочего места (далее — АРМ) СЭД ФК государственный заказчик, не являющийся участником бюджетного процесса или органом управления государственным внебюджетным фондом, осуществляет самостоятельно;
— услуги по сопровождению (горячей линии) АРМ СЭД ФК государственных заказчиков, не являющихся участниками бюджетного процесса, оказывает орган Федерального казначейства без приобретения указанных услуг у обслуживающих организаций;