Получение актуального статуса сертификата

КриптоПро SVS поддерживает следующие режимы проверки актуального статуса сертификата:

• Не проверять
• Offline-проверка (CRL)
• Online-проверка (OCSP)

Примечание

Если включен режим "Не проверять", SVS не будет проверять актуальный статус сертификата, но проверит цепочку сертификатов, формат сертификата и др.

Режим проверки устанавливается с помощью командлета командлета Set-VsProperties с параметром -RevocationMode.

В Offline-режиме проверка статуса сертификата осуществляется по локально установленным cпискам сертификатов, досрочно прекративших действие (CRL). CRL должны быть установлены в хранилище <ApplicationName>-CA или в хранилище Промежуточные Центры Идентификации Локального компьютера.

При проверке подписи CAdES-BES, CAdES-T, PDF, если CRL не установлен локально и в сертификате подписи присутствует расширение CDP (см. ISO/IEC 9594-8:2020 или Rec. ITU-T X.509 (10/2019)), будет сделана попытка загрузить CRL по сети. При проверке подписи других видов (XMLDSig, необработанная подпись) или сертификата используются только локально установленные CRL.

В Online-режиме проверка актуального статуса сертификата осуществляется по протоколу OCSP или при помощи CRL, установленных локально или загруженных по сети. Адрес службы OCSP может быть задан следующими способами:

• в расширении AIA сертификата,
• в свойствах корневого сертификата в хранилище сертификатов,
• в групповой политике OCSP-клиента.

В случае подписи формата CAdES-X Long Type 1 при проверке статуса сертификата обращение к службе OCSP или CRL не производится, так как все необходимые доказательства подлинности содержатся в самой подписи.