КриптоПро TSP — групповые политики клиента

Nonce: включать расширение ‘nonce’ в запрос по умолчанию

Определяет, будет ли клиент по умолчанию включать расширение ‘nonce’ в
OCSP-запросы.

Имя в Unix: UseNonceByDefault, тип: bool.

Nonce: запретить использование расширения ‘nonce’ в запросах

Позволяет запретить клиенту включать расширение ‘nonce’ в запросы на
OCSP-запросы.

См. также политику «Nonce: требовать использование расширения ‘nonce’ в
запросах».

Имя в Unix: DisableNonce, тип: bool.

Nonce: размер значения расширения ‘nonce’ в запросах

Определяет размер значения расширения ‘nonce’ (в байтах), включаемого клиентом в
запросы.

Имя в Unix: NonceLength, тип: long.

Nonce: требовать использование расширения ‘nonce’ в запросах

Позволяет запретить клиенту отправлять OCSP-запросы не имеющие расширение
‘nonce’.

См. также политику «Nonce: запретить использование расширения ‘nonce’ в
запросах».

Имя в Unix: RequireNonce, тип: bool.

Аутентификация (прокси-сервер): запрещенные типы

Не поддерживается в Unix.

Аутентификация (прокси-сервер): запрещенные типы (с использованием ssl)

Определяет типы аутентификации, которые запрещено использовать для подключения к
прокси-серверу при использовании SSL-соединения.Если необходимо, например, запретить соединения с использованием SSL, то можно
запретить все типы аутентификации в данной политике.

Не поддерживается в Unix.

Аутентификация (прокси-сервер): тип по умолчанию

Позволяет задать тип аутентификации, используемый по умолчанию при соединении с
прокси-сервером. Если данная политика не задана, то при соединении с
прокси-сервером будет использоваться анонимная аутентификация.

Не поддерживается в Unix.

Аутентификация (прокси-сервер): тип по умолчанию (с использованием ssl)

Позволяет задать тип аутентификации (с SSL), используемый по умолчанию при
соединении с прокси-сервером. Если данная политика не задана, то при соединении с
прокси-сервером будет использоваться анонимная аутентификация.

Не поддерживается в Unix.

Запрос: алгоритм используемый для хэширования данных

Определяет идентификатор (OID) алгоритма хэширования, используемого клиентом для
хэширования различных полей при создании OCSP-запроса.Значением, установленным политикой является часть строки до пробела, остальная
часть строки считается комментарием.

Имя в Unix: CertIDHashAlg, тип: string.

Запрос: запретить неподписанные запросы

Позволяет запретить отправление неподписанных OCSP-запросов.

Имя в Unix: DisableUnsignedRequests, тип: bool.

Запрос: запретить подписанные запросы

Позволяет запретить отправление подписанных OCSP-запросов.

Имя в Unix: DisableSignedRequests, тип: bool.

Запрос: сертификаты, включаемые в ocsp-запрос

Определяет, какие сертификаты включать в OCSP-запрос. Эти сертификаты могут
понадобится службе OCSP для проверки подписи запроса.Возможные варианты:- не включать сертификаты (значение в Unix: 0);- сертификат подписчика (значение в Unix: 1);- цепочку кроме корневого сертификата (значение в Unix: 2);- цепочку сертификатов целиком (значение в Unix: 3).

Имя в Unix: CertsToInclude, тип: long.

Ответ: максимальная давность поля «thisupdate»

Данная политика определяет максимально возможную давность поля «ThisUpdate»
OCSP-ответа, содержащего время выпуска СОС, по которому был определен статус
сертификата.Если расхождение больше, чем указано в политике, то ответ признается
некорректным.Если политика не задана, то используется значение 1 день.

Имя в Unix: ThisUpdateAccuracy, тип: long.

Ответ: максимальное расхождение времени получения ответа и времени подписи

Данная политика определяет максимально возможное расхождение времени получения
ответа от службы OCSP и времени, когда служба его подписала. Эта политика
используется в случае, если ни в запросе, ни в ответе не присутствует
расширение ‘nonce’, для подтверждения соответствия выданного OCSP-ответа
запросу на него.

Имя в Unix: ResponseAccuracy, тип: long.

Ответ: не использовать стандартный revocation provider windows

Запрещает использование стандартного Revocation Provider Windows (cryptnet.dll)
при проверке сертификата службы OCSP на отзыв в случае,
если его статус не удалось определить по протоколу OCSP.

Не поддерживается в Unix.

Прокси-серверы: разрешенные прокси-серверы

Определяет адреса разрешенных прокси-серверов.Если политика не задана, то разрешены любые прокси-серверы.

Не поддерживается в Unix.

Службы ocsp: разрешенные службы ocsp

Определяет адреса служб OCSP, к которым клиент может обращаться.Если этот параметр задан, то обращение к не указанным в данной политике
службам приведет к ошибке. Если политика не задана, то разрешены любые
службы OCSP.

Имя в Unix: AllowedOCSPs, тип: multistring.

Службы ocsp: сертификаты уполномоченных служб ocsp

Этой политикой можно определить сертификаты служб OCSP, наделенных
полномочиями выдавать ответы со статусами любых сертификатов.
Не заданные в данной политике службы проходят проверку на то,
что они уполномочены Удостоверяющим Центром, издавшим проверяемый сертификат,
выдавать информацию о статусе данного сертификата (см.

RFC 2560, подраздел 4.2.2.2).Службы задаются посредством перечисления значений хэш-функций (по алгоритму
SHA-1) их сертификатов в шестнадцатеричном виде. Получить это значение для
сертификата можно в стандартном окне Windows для его отображения, выбрав на
вкладке «Состав» в списке атрибутов «Печать» (зависит от операционной системы,
обычно последний в списке). Значение может содержать пробелы.

Имя в Unix: AuthorizedOCSPs, тип: multistring.

Службы ocsp: непроверяемые на отзыв сертификаты служб ocsp

Этой политикой можно определить сертификаты служб OCSP,
которые не следует проверять на отзыв.Службы задаются посредством перечисления значений хэш-функций (по алгоритму
SHA-1) их сертификатов в шестнадцатеричном виде. Получить это значение для
сертификата можно в стандартном окне Windows для его отображения, выбрав на
вкладке «Состав» в списке атрибутов «Печать» (зависит от операционной системы,
обычно последний в списке). Значение может содержать пробелы.

Имя в Unix: NocheckOCSPs, тип: multistring.