Дело в том что год назад зарегистрировал собственную ИС с сертификатом выданным для входа в ГИС и всё прокатило, а пару недель назад пытался повторить всё на тестовом стенде : на выданный ранее сертификат ругается =[/QUOTE]Интересно. Как я понимаю, в сертификате должна быть такая строчка. Это один из сертификатов, что я пробовал для сделать для собственного УЦ на основе OpenSSL, так что на другие строчки внимания не обращайте.
Вкратце - чтобы сертификат считался квалифицированным помимо прочего в нем указывается средство электронной подписи субъекта (КриптоПро или Випнет обычно) и средства удостоверяющего центра. Эти средства разделены на 6 классов безопасности. Исходя из указанных средств, в сертификате также указываются классы совпадающие у средств субъекта и УЦ. То есть УЦ не может выдать сертификаты класса, которого у него нет. Классы, которые есть у УЦ - перечислены в корневом сертификате и проверяются в процессе аккредитации.
Самый слабый класс КС1, посильнее КС2, потом КС3 и так далее. КС2 включает в себя КС1; КС3 включает в себя КС2 и КС1. Дальше не перечисляю, потому как средства класса КС3 и выше могут расцениваться на свой класс только если устанавливаются при участии специалистов ФСБ (что большинству из нас приснится только в страшном сне).
Соответственно разные категории информации должны защищаться определенным классом средств безопасности. Доступные КС1 и КС2 предназначены для данных не составляющих гостайну (персональные данные входят в эту категорию, дальше я не разбирался).
Возвращаясь к сообщению об ошибке - видимо сейчас ГИС требует класс КС2 в сертификате (КС1 тоже должен быть указан, так как входит в КС2), а в сертификате стоит только КС1. Вывод - нужно добавить КС2 [B]в заявке[/B] на выпуск сертификата. [B]В уже готовом сертификате это нельзя поменять.[/B] Если же в сертификате указаны и КС1 и КС2, то дело может быть в криптопровайдере. При установке КриптоПро версий 3.6 R3 и R4 (3.6.1) также просит выбрать класс безопасности (ранее был отдельный установщик для каждого класса) и вероятно потребуется переустановить криптопровайдер, выбрав класс КС2.
По заявкам. Я чаще всего генерировал заявки на сертификат на АРМ "Генерация ключей" (программа для УЦ Федерального казначейства), там в уголке есть список классов, по умолчанию как раз стоит КС2, но можно понизить до КС1 (УЦ казначейства как раз класса КС2, так что выше КС2 не повысить). В программах других УЦ также обычно есть выбор класса. Если генерировать заявку в OpenSSL, то там нужно вручную вписать данные политики в файле конфигурации, в секции где строка basicConstraints= , в типовом файле это секция [v3_req]. OpenSSL о классах не знает, так что они указываются цифрами 1.2.643.100.113.1 - КС1; 1.2.643.100.113.2 - КС2, перечисляются через запятую. Строчка для КС2:[code:k4uiqpvd]certificatePolicies = 1.2.643.100.113.1,1.2.643.100.113.2[/code:k4uiqpvd] Итого: лучше бы узнать весь список требований заранее.