| КриптоПро OCSP SDK: Групповые политики клиента |
Интерфейс клиентских приложений КриптоПро OCSP может настраиваться с помощью групповых политик (group policy), описанных в файле административного шаблона ocspcli.adm. На компьютере, где установлен КриптоПро OCSP Client, этот файл располагается в папке %SystemDir%\GroupPolicy\Adm и уже подключен в оснастке Групповая политика. Для настройки политик в домене потребуется скопировать шаблон на контроллер домена и подключить его в оснастке Групповая политика.
Все политики могут задаваться как для пользователя, так и для компьютера, причем политика компьютера имеет преимущество перед политикой пользователя. Политики располагаются в узле Крипто-Про\Клиент службы актуальных статусов сертификатов. В настоящем разделе приводится описание этих групповых политик.
Для Unix-систем значения групповых политик задаются в конфиграционном файле. Задать или прочитать значение
политики можно с помощью утилиты cpconfig из состава КриптоПро CSP:
/opt/cprocsp/sbin/< arch >/cpconfig -ini "\config\cades\ocsppolicy" -add <тип значения> "<имя политики>" "<значение>"
Определяет, будет ли клиент по умолчанию включать расширение 'nonce' в
OCSP-запросы.
Имя в Unix: UseNonceByDefault, тип: bool.
Позволяет запретить клиенту включать расширение 'nonce' в запросы на
OCSP-запросы.
См. также политику "Nonce: требовать использование расширения 'nonce' в
запросах".
Имя в Unix: DisableNonce, тип: bool.
Определяет размер значения расширения 'nonce' (в байтах), включаемого клиентом в
запросы.
Имя в Unix: NonceLength, тип: long.
Позволяет запретить клиенту отправлять OCSP-запросы не имеющие расширение
'nonce'.
См. также политику "Nonce: запретить использование расширения 'nonce' в
запросах".
Имя в Unix: RequireNonce, тип: bool.
Определяет типы аутентификации, которые запрещено использовать для подключения к
прокси-серверу.
Если необходимо, например, запретить соединения без использования SSL, то можно
запретить все типы аутентификации в данной политике.
Не поддерживается в Unix.
Определяет типы аутентификации, которые запрещено использовать для подключения к
прокси-серверу при использовании SSL-соединения.
Если необходимо, например, запретить соединения с использованием SSL, то можно
запретить все типы аутентификации в данной политике.
Не поддерживается в Unix.
Позволяет задать тип аутентификации, используемый по умолчанию при соединении с
прокси-сервером. Если данная политика не задана, то при соединении с
прокси-сервером будет использоваться анонимная аутентификация.
Не поддерживается в Unix.
Позволяет задать тип аутентификации (с SSL), используемый по умолчанию при
соединении с прокси-сервером. Если данная политика не задана, то при соединении с
прокси-сервером будет использоваться анонимная аутентификация.
Не поддерживается в Unix.
Определяет типы аутентификации, которые запрещено использовать для подключения к
службе OCSP.
Если необходимо, например, запретить соединения без использования SSL, то можно
запретить все типы аутентификации в данной политике.
Не поддерживается в Unix.
Определяет типы аутентификации, которые запрещено использовать для подключения к
службе OCSP при использовании SSL.
Если необходимо, например, запретить соединения с использованием SSL, то можно
запретить все типы аутентификации в данной политике.
Не поддерживается в Unix.
Позволяет задать тип аутентификации, используемый по умолчанию для подключения к
службе OCSP. Если данная политика не задана, то при подключении будет
использоваться анонимная аутентификация.
Не поддерживается в Unix.
Позволяет задать тип аутентификации (с SSL), используемый по умолчанию для
подключения к службе OCSP. Если данная политика не задана, то при подключении будет
использоваться анонимная аутентификация.
Не поддерживается в Unix.
Определяет идентификатор (OID) алгоритма хэширования, используемого клиентом для
хэширования различных полей при создании OCSP-запроса.
Значением, установленным политикой является часть строки до пробела, остальная
часть строки считается комментарием.
Имя в Unix: CertIDHashAlg, тип: string.
Позволяет запретить отправление неподписанных OCSP-запросов.
Имя в Unix: DisableUnsignedRequests, тип: bool.
Позволяет запретить отправление подписанных OCSP-запросов.
Имя в Unix: DisableSignedRequests, тип: bool.
Определяет, какие сертификаты включать в OCSP-запрос. Эти сертификаты могут
понадобится службе OCSP для проверки подписи запроса.
Возможные варианты:
- не включать сертификаты (значение в Unix: 0);
- сертификат подписчика (значение в Unix: 1);
- цепочку кроме корневого сертификата (значение в Unix: 2);
- цепочку сертификатов целиком (значение в Unix: 3).
Имя в Unix: CertsToInclude, тип: long.
Данная политика определяет максимально возможное расхождение времени получения
ответа от службы OCSP и времени, когда служба его подписала. Эта политика
используется в случае, если ни в запросе, ни в ответе не присутствует
расширение 'nonce', для подтверждения соответствия выданного OCSP-ответа
запросу на него.
Значение задается в миллисекуднах.
Если расхождение больше, чем указано в политике, то ответ признается
некорректным.
Если политика не задана, то используется значение 3 минуты.
Имя в Unix: ResponseAccuracy, тип: long.
Данная политика определяет максимально возможную давность поля "ThisUpdate"
OCSP-ответа, содержащего время выпуска СОС, по которому был определен статус
сертификата.
Если расхождение больше, чем указано в политике, то ответ признается
некорректным.
Если политика не задана, то используется значение 7 дней.
Имя в Unix: ThisUpdateAccuracy, тип: long.
Запрещает использование стандартного Revocation Provider Windows (cryptnet.dll)
при проверке сертификата службы OCSP на отзыв в случае,
если его статус не удалось определить по протоколу OCSP.
Не поддерживается в Unix.
Определяет адрес прокси-сервера, используемый по умолчанию при подключении
к службе OCSP.
Формат адреса: "<протокол>://[<пользователь>:<пароль>@]<сервер>[:порт]". Здесь в
качестве протокола можно указать "http" или "https".
При указании имени пользователя и пароля в адресе прокси-сервера также следует
задать соответствующий тип аутентификации в политике "Аутентификация
(прокси-сервер): тип по умолчанию" или "Аутентификация (прокси-сервер):
тип по умолчанию (с использованием SSL)".
Не поддерживается в Unix.
Определяет адреса разрешенных прокси-серверов.
Если политика не задана, то разрешены любые прокси-серверы.
Не поддерживается в Unix.
Определяет адрес службы OCSP по умолчанию.
Формат адреса: "<протокол>://[<пользователь>:<пароль>@]<сервер>[:порт][/путь]". Здесь в
качестве протокола можно указать "http" или "https".
При указании имени
пользователя и пароля в адресе службы OCSP также следует задать тип
аутентификации в политике "Аутентификация: тип по умолчанию" или
"Аутентификация: тип по умолчанию (с использованием SSL)".
Имя в Unix: DefaultOCSPURL, тип: string.
Этой политикой можно определить сертификаты служб OCSP,
которые не следует проверять на отзыв.
Службы задаются посредством перечисления значений хэш-функций (по алгоритму
SHA-1) их сертификатов в шестнадцатеричном виде. Получить это значение для
сертификата можно в стандартном окне Windows для его отображения, выбрав на
вкладке "Состав" в списке атрибутов "Печать" (зависит от операционной системы,
обычно последний в списке). Значение может содержать пробелы.
Имя в Unix: NocheckOCSPs, тип: multistring.
Определяет адреса служб OCSP, к которым клиент может обращаться.
Если этот параметр задан, то обращение к не указанным в данной политике
службам приведет к ошибке. Если политика не задана, то разрешены любые
службы OCSP.
Имя в Unix: AllowedOCSPs, тип: multistring.
Этой политикой можно определить сертификаты служб OCSP, наделенных
полномочиями выдавать ответы со статусами любых сертификатов.
Не заданные в данной политике службы проходят проверку на то,
что они уполномочены Удостоверяющим Центром, издавшим проверяемый сертификат,
выдавать информацию о статусе данного сертификата (см. RFC 2560, подраздел 4.2.2.2).
Службы задаются посредством перечисления значений хэш-функций (по алгоритму
SHA-1) их сертификатов в шестнадцатеричном виде. Получить это значение для
сертификата можно в стандартном окне Windows для его отображения, выбрав на
вкладке "Состав" в списке атрибутов "Печать" (зависит от операционной системы,
обычно последний в списке). Значение может содержать пробелы.
Имя в Unix: AuthorizedOCSPs, тип: multistring.
Определяет, будет ли клиент по умолчанию включать расширение
'AcceptableResponses' в OCSP-запросы.
Имя в Unix: UseAcceptRespByDefault, тип: bool.
Позволяет запретить клиенту включать расширение 'AcceptableResponses' в
OCSP-запросы.
См. также политику "Типы ответов: требовать использование расширения
'AcceptableResponses' в запросах".
Имя в Unix: DisableAcceptResp, тип: bool.
Позволяет запретить клиенту отправлять OCSP-запросы не имеющие расширение
'AcceptableResponses'.
См. также политику "Типы ответов: запретить использование расширения
'AcceptableResponses' в запросах".
Имя в Unix: RequireAcceptResp, тип: bool.