Vladimir A. Butenko wrote:
> >
> >Есть у нас собственный CA, в пользовательских машинах его сертификат
> >установлен в хранилище "Доверенные корневые центры". Доменные
> >сертификаты для CGP также подписаны этим сертификатом.
>
> Надо, чтобы у этих доменных сертификатов явно стоял атрибут "может
> подписывать другие сертификаты".
Правильно ли я понимаю, что разница лежит здесь:
X509v3 extensions: X509v3 Basic Constraints: CA:FALSE
versus
X509v3 Basic Constraints:
CA:TRUE
>
> >
> >Когда пользователь генерит свой S/MIME сертификат через Веб-интерфейс,
> >тот оказывается подписанным доменным сертификатом. Последний тоже
> >устанавливаем на пользовательские машины. В результате получаем такую
> >цепочку:
>
> Если они (сертификаты) явно устанавливаются, то можно этот битик (того, что
> они могут выдавать другие сертификаты) прописать в Windows явно, при
> установке.
Не нашел. Не затруднит пальцем показать?
-- Victor Sudakov, VAS4-RIPE, VAS47-RIPNПолучено Mon Aug 08 07:01:52 2005
Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:14:00 MSK