Формат запроса на сертификат некорректен

02 июль 2018 15:17 #7775 от Richard
Здравствуйте!
Создали запрос на сертификат в АРМ ГК 1.0.0.44n; создавали на основе предыдущего запроса на действующий сертификат. В отделе УФК при загрузке запрос не прошел проверку: "Формат запроса на сертификат некорректен: Decoded string is not a valid IDN name".
Специалист, выполнявший загрузку, отметил, что ПО для загрузки новое.
Во вложении присланные снимки экрана.
Предположил, что ПО не нравится указанный адрес электронной почты, хотя адрес рабочий и вполне валидный.
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

02 июль 2018 15:34 - 02 июль 2018 15:43 #7776 от Alex67
>>> Предположил, что ПО не нравится указанный адрес электронной почты, хотя адрес рабочий и вполне валидный.
не Кириллицей писано часом? (символы а е с )

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

02 июль 2018 17:04 #7777 от Richard
Все верно: обнаружил в адресе среди латиницы кириллическую букву "о".
Спасибо!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

03 июль 2018 05:44 #7779 от two_oceans
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

03 июль 2018 05:50 #7780 от Richard
Наверное, этот контроль в дальнейшем добавят и в АРМ генерации, раз уж на этапе выпуска сертификата он есть.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

03 июль 2018 06:02 #7781 от Alexer81
говорят, что в ближайшее будущее генерация глюча(и подача документов) будет только через фзс

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

03 июль 2018 07:33 - 03 июль 2018 08:22 #7782 от Alex67
off
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

03 июль 2018 08:30 - 03 июль 2018 08:36 #7784 от two_oceans
Заглянул в приказ 795, на который все кивают, когда говорят о квалифицированных сертификатах. И... ничего не увидел про адрес электронной почты - похоже это информация, включаемая по желанию заявителя. Ecли смотреть по зарубежным стандартам (см. статью ) то выходит что левая часть почтового адреса состоит из алфавитно-цифровых символов и некоторых спецсимволов. И под алфавитно-цифровыми символами в стандартах интернета понимают не только латинские буквы, но и буквы других языков. Примерно как в доменах и именах тегов разрешена кириллица. То есть адрес с кириллицей все же действительный. Однако скорее всего его придется закодировать в punycode. Из перевода rfc 5280 rfc2.ru/5280.rfc/print#p4.1.2.6 :

Существуют устаревшие прикладные системы, в которых адрес электронной почты выполняет роль уникального имени владельца сертификата в форме атрибута «emailAddress» (RFC-2985). Значение атрибута «emailAddress» представляет собой тип кодирования «IA5String», допускающий использование символа «@», но который не входит в алфавит PrintableString-кодировки. Значения атрибута «emailAddress» не «чувствительны» к написанию символов в верхнем или нижнем регистре (например, адрес «Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.» эквивалентен адресу «Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.»).

Прикладные системы, следующие данному стандарту и формирующие новые сертификаты с адресами электронной почты, с целью установления владельца сертификата обязаны использовать кодирование имени в субполе «subjectAltName» (альтернативное имя владельца) в соответствие с правилами стандарта RFC-822. Совместное использование атрибута «emailAddress» в составе уникального имени владельца сертификата с целью обеспечения функциональной совместимости устаревших прикладных систем «опротестовано», но тем не менее разрешено.

То есть 1) тип поля emailAddress в сертификате - IA5String (разрешены символы с кодами от 0 до 127 минус запрещенные стандартом почтового адреса) и напрямую кириллицу не протолкнуть. Кодировать однако не запрещено; 2) у нас "устаревшие прикладные системы", толкающие почтовый адрес в поле владельца.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.