Продукты: Indeed CM

Затрагиваемые компоненты: 

Описание проблемы: После обновления УЦ КриптоПро 2.0 на сертифицированную версию перестал работать выпуск устройств с автоматическим одобрением сертификатов. Запрашиваемые через Indeed CM сертификаты отклоняются Центром Регистрации.

До обновления УЦ все сертификаты успешно одобрялись в автоматическом режиме и записывались на карту (при включенном автоматическом одобрении в политике выпуска карт Indeed CM).

Причины возникновения: Такое поведение может быть связано с криптопровайдером, используемым для выпуска запрашиваемых сертификатов. По умолчанию в ранних сборках УЦ КриптоПро 2.0 (в частности 2.0.5771) был разрешен выбор криптопровайдера (RSA или ГОСТ) в настройках шаблона сертификата. В более поздних версиях (в частности 2.0.5938) по умолчанию разрешено использование только криптопровайдеров ГОСТ.

Поэтому после обновления на сертифицированную версию УЦ запрос сертификата, в шаблоне которого в оснастке Диспетчер УЦ КритпоПро  2.0 был ранее указан криптопровайдер RSA будет отклонен УЦ.

Таким образом, Indeed CM лишь отображает то, что было выполнено на УЦ - статус запроса сертификата "Отклонен".
При попытке вручную одобрить запрос в Консоли Управления ЦР КриптоПро 2.0 запрос также будет отклонен.

Варианты решения:  После обновления УЦ КриптоПро 2.0 убедитесь в том, что на УЦ разрешено использование криптопровайдера RSA.
Получить список разрешенных криптопровайдеров (CSP) можно при помощи Командной строки управления УЦ КриптоПро:

• Get-PkiCSPPolicy возвращает политику криптопровайдеров, действующую в данный момент времени.
• Set-PkiCSPPolicy Unrestricted разрешает использование всех криптопровайдеров
  
  

Обсуждение на форуме КриптоПро.