Короткая заметка.
Не всем нравится, когда CA в сертификаты пихает немного лишнюю и ненужную информацию. Особенно это касается сертификатов, используемых снаружи сети. Самое популярное «ненужное» расширение — Certificate Template Name и Template. Наружным пользователям (пользователи из интернета) знать названия и OID'ы ваших шаблонов совсем необязательно. Вот как можно отключить любое расширение:
certutil -setreg policy\DisableExtensionList +<Extension OID>
и включить обратно:
certutil -setreg policy\DisableExtensionList –<Extension OID>
и примеры:
certutil -setreg policy\DisableExtensionList +1.3.6.1.4.1.311.20.2
certutil -setreg policy\DisableExtensionList +1.3.6.1.4.1.311.21.7
Для включения расширения заменить плюсик на минусик, соответственно. OID'ы расширений можно найти здесь: http://msdn.microsoft.com/en-us/library/aa379367(VS.85).aspx
Примечание: после внесения изменений нужно перезапустить службу certsvc.
Однако, следует учитывать, что отключать расширения надо очень осторожно. Например, если ваш CA издаёт сертификаты через автоэнроллмент, нельзя отключать расширения Certificate Template Name и Template, поскольку эти расширения используются автоэнроллментом для обновления существующих сертификатов. Поэтому я придерживаюсь правила, по которому следует (по возможности) поднимать как минимум 2 сервера CA — для внутреннего и для внешнего использования. К сожалению это далеко не всегда возможно и чаще ограничиваются только одним сервером CA на все случаи жизни. Но если кто-то делает по бест-практисам, этот совет может очень даже пригодиться.
Что означает фраза "CRL'ы из этого контейнера не копируются клиентами"? В моем сертификате отображаются два CDP (HTTP). Списки доступны по указанным путям и регулярно обновляются. Мой сертификат давно отозван, но пишет что он действителен, несмотря на то что срок действительности CRL давно истек. CRL должен регулярно копировать пользователь вручную? Даже если так, то не понятно зачем тогда нужен срок действительности CRL. Может это из-за того что у меня Win7 и в сертификат добавлена пока не рабочая ссылка на OCSP (добавил на будущее).
мне кажется, вы разместили комментарий не под тем постом.
Да, немного промазал :) Прошу прощения
Comments: