Истечение срока действия закрытого ключа сертификата CA

Истечение срока действия закрытого ключа сертификата CA. Ошибка 0x80090010.

В КриптоПро CSP версии 4.0 и выше реализован контроль сроков действия долговременных ключей.

Независимо от срока действия открытого ключа, срок действия закрытого ключа составляет 1 год и 3 месяца.

Проверить не истекли срок действия закрытого ключа можно следующим образом:

1. Запустите КриптоПро CSP от имени администратора.

2. В вкладке Сервис нажмите на кнопку Протестировать... (Рисунок 459).

Рисунок 459

3. В открывшемся окне "Тестирование контейнера закрытого ключа" выберете контейнер CA и нажмите на кнопку Далее (Рисунок 460).

Рисунок 460

4. Если срок действия закрытого ключа не истек, проверка пройдет успешно. Так же обратите внимание на пункт "Использование ключа подписи".

Пример удачной проверки:

Проверка завершена успешно ошибок не обнаружено

Использование ключа подписи разрешено до окончания срока действия закрытого ключа.

Пример неудачной проверки:

Проверка завершилась с ошибкой

Использование ключа подписи запрещено. Срок действия закрытого ключа истек. Срок действия закрытого ключа не может превышать 3 года для неизвлекаемых ключей, хранящихся на ФКН и на HSM, и 1 год 3 месяца для прочих ключей.

Если после истечения срока действия закрытого ключа перезапустить сервер с УЦ или сервис CertificationAuthority, то при следующем его запуске возникнет ошибка запуска службы сертификации (Рисунок 461):

Рисунок 461

В Диспетчере Серверов будет выдана следующая ошибка:

Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. WIN-9ABB69BGV2E-CA Access denied. 0x80090010 (-2146893808).

Службы сертификации Active Directory не запущены: Не удается загрузить или проверить текущий сертификат ЦС. autosterraCA Отказано в доступе. 0x80090010 (-2146893808 NTE_PERM).

При формировании закрытого ключа в контейнер записывается дата истечения срока действия этого ключа, по истечении которого в зависимости от значения параметра ControlKeyTimeValidity возможны различные варианты использования этого ключа.

Для решения данной проблемы необходимо создать параметр ControlKeyTimeValidity и присвоить ему значение 0. Значение «0» данного параметра не накладывает никаких ограничений на использование ключа, т.е. разрешает все операции с ним.

Указанный параметр может быть изменён путём редактирования/создания следующих ключей реестра Windows (Рисунок 462 и Рисунок 463):

Для 64-битных операционных систем:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity

Для 32-битных операционных систем:

HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity

Рисунок 462

Рисунок 463

Затем перезагрузите сервер.