Contents of this directory is archived and no longer updated.

Короткая заметка.

Не всем нравится, когда CA в сертификаты пихает немного лишнюю и ненужную информацию. Особенно это касается сертификатов, используемых снаружи сети. Самое популярное «ненужное» расширение — Certificate Template Name и Template. Наружным пользователям (пользователи из интернета) знать названия и OID'ы ваших шаблонов совсем необязательно. Вот как можно отключить любое расширение:

certutil -setreg policy\DisableExtensionList +<Extension OID>

и включить обратно:

certutil -setreg policy\DisableExtensionList –<Extension OID>

и примеры:

certutil -setreg policy\DisableExtensionList +1.3.6.1.4.1.311.20.2
certutil -setreg policy\DisableExtensionList +1.3.6.1.4.1.311.21.7

Для включения расширения заменить плюсик на минусик, соответственно. OID'ы расширений можно найти здесь: http://msdn.microsoft.com/en-us/library/aa379367(VS.85).aspx

Примечание: после внесения изменений нужно перезапустить службу certsvc.

Однако, следует учитывать, что отключать расширения надо очень осторожно. Например, если ваш CA издаёт сертификаты через автоэнроллмент, нельзя отключать расширения Certificate Template Name и Template, поскольку эти расширения используются автоэнроллментом для обновления существующих сертификатов. Поэтому я придерживаюсь правила, по которому следует (по возможности) поднимать как минимум 2 сервера CA — для внутреннего и для внешнего использования. К сожалению это далеко не всегда возможно и чаще ограничиваются только одним сервером CA на все случаи жизни. Но если кто-то делает по бест-практисам, этот совет может очень даже пригодиться.


Share this article:

Comments:

Дмитрий
Дмитрий 12.07.2010 06:39 (GMT+3) Скрытие расширений из издаваемых сертификатов

Что означает фраза "CRL'ы из этого контейнера не копируются клиентами"? В моем сертификате отображаются два CDP (HTTP). Списки доступны по указанным путям и регулярно обновляются. Мой сертификат давно отозван, но пишет что он действителен, несмотря на то что срок действительности CRL давно истек. CRL должен регулярно копировать пользователь вручную? Даже если так, то не понятно зачем тогда нужен срок действительности CRL. Может это из-за того что у меня Win7 и в сертификат добавлена пока не рабочая ссылка на OCSP (добавил на будущее).

Vadims Podāns
Vadims Podāns 12.07.2010 09:26 (GMT+3) Скрытие расширений из издаваемых сертификатов

мне кажется, вы разместили комментарий не под тем постом.

Дмитрий
Дмитрий 13.07.2010 10:46 (GMT+3) Скрытие расширений из издаваемых сертификатов

Да, немного промазал :) Прошу прощения

Comments are closed.