abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 00:22 | Nová verze

Byla vydána verze 1.0 svobodné multiplatformní závodní hry SuperTuxKart (STK). Přehled novinek v příspěvku na blogu. Zdůraznit lze především víceuživatelský mód umožňující hrát hru po síti. Videoprezentace nejnovější verze na YouTube.

Ladislav Hagara | Komentářů: 3
včera 15:55 | Komunita

Ke zhlédnutí jsou videozáznamy grafických rozhraní telefonů, zatím jenom vývojových desek, Librem 5 a PinePhone. Librem 5 za 649 dolarů by měl být aktuálně k dispozici ve třetím čtvrtletí 2019. Při spuštění kampaně se mluvilo o lednu 2019. PinePhone za 150 dolarů by měl být odesílán ve čtvrtém čtvrtletí 2019.

Ladislav Hagara | Komentářů: 0
19.4. 20:22 | Nová verze

Po dvou měsících vývoje od vydání verze 6.0.0 byla oficiálně vydána nová verze 6.1.0 správce digitálních fotografií a nově i videí digiKam (digiKam Software Collection, Wikipedie). Přehled novinek i s náhledy v oficiálním oznámení. Vývojáři zdůrazňují nové API pro rozšíření DPlugins nahrazující KIPI. Ke stažení je také balíček ve formátu AppImage. Stačí jej stáhnout, nastavit právo ke spuštění a spustit.

Ladislav Hagara | Komentářů: 0
19.4. 19:55 | Nová verze

Byla vydána verze 1.16.0, tj. první stabilní verze nové řady 1.16, multiplatformního multimediálního frameworku GStreamer (Wikipedie). Z novinek lze zdůraznit vylepšení podpory WebRTC nebo AV1. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
19.4. 11:55 | Nová verze

Po více než 3 letech od vydání verze 1.3.0 byla vydána nová stabilní verze 1.4 multimediálního přehrávače MPlayer (Wikipedie). Nejnovější verze přináší kompatibilitu s verzí 4.1 a také s aktuální vývojovou verzí multiplatformní multimediální knihovny FFmpeg (Wikipedie).

Ladislav Hagara | Komentářů: 15
18.4. 23:55 | Komunita

Mozilla oznámila, že projekt Things byl přejmenován na WebThings. Nové jméno by mělo zdůraznit, že se nejedná pouze o projekt IoT (Internet věcí), ale o WoT (Web věcí). Současně byla vydána WebThings Gateway (GitHub) ve verzi 0.8 pro Raspberry Pi.

Ladislav Hagara | Komentářů: 0
18.4. 21:11 | Nová verze

Byl vydán balík KDE Aplikace ve verzi 19.04. Shrnuje práce za poslední čtyři měsíce: opravy chyb, mj. ve správci souborů Dolphin, prohlížeči dokumentů (nejen PDF) Okular nebo prohlížeči obrázků Gwenview – tyto dostaly např. lepší podporu dotykových obrazovek. Významného přepracování se dočkal editor videa Kdenlive.

Fluttershy, yay! | Komentářů: 3
18.4. 16:22 | Nová verze

Byla vydána verze 19.04 linuxové distribuce Ubuntu a oficiálních odnoží Ubuntu Budgie, Kubuntu, Lubuntu, Ubuntu Kylin, Ubuntu MATE, Ubuntu Studio a Xubuntu. Kódový název Ubuntu 19.04 je Disco Dingo. Přehled novinek a odkazy ke stažení v poznámkách k vydání. Ubuntu 19.04 bude podporováno 9 měsíců, tj. do ledna 2020.

Ladislav Hagara | Komentářů: 10
18.4. 09:55 | Nová verze

Byla vydána verze 8.0 sady aplikací pro SSH komunikaci OpenSSH. Řešena je bezpečnostní chyba CVE-2019-6111 v scp. Přidána byla experimentální podpora výměny klíčů, která je odolná vůči kvantovým počítačům (Streamlined NTRU Prime 4591^761 a X25519). Výchozí délka nově generovaných RSA klíčů je 3072 bitů.

Ladislav Hagara | Komentářů: 0
17.4. 22:44 | Komunita

Zend Framework, open source objektově orientovaný webový aplikační framework implementovaný v PHP, byl předán neziskovému technologickému konsorciu Linux Foundation. Framework se pod novým názvem Laminas v průběhu několika měsíců stane oficiálním projektem konsorcia.

Ladislav Hagara | Komentářů: 4
Používáte headset pro virtuální realitu?
 (1%)
 (3%)
 (1%)
 (19%)
 (0%)
 (75%)
Celkem 216 hlasů
 Komentářů: 12, poslední 18.4. 01:19
Rozcestník

Žádost o certifikát Postsignum, openssl

12.2.2009 12:22 | Přečteno: 7432× | Linux | Výběrový blog

Elektronický podpis existuje v českých zákonech už 9 let, tak jsem se ho konečně rozhodl vyzkoušet. Vybral jsem si produkt České pošty, který poskytuje její certifikační autorita Postsignum. Na webu mají celkem podrobně popsané všechno, co je potřeba připravit pro úspěšné udělení certifikátu. Měl jsem zájem o kvalifikovaný certifikát, se kterým lze pouze podepisovat a komunikovat se Státní správou.

Příprava podkladů

Žádost o certifikát

Existuje několik možností, ze kterých pouze poslední 2 je možné použít v non-Windows OS
    web - žádost o certifikát lze připravit přímo pomocí webového rozhraní, ale pouze ve Windows + IE. Používá to nějakou lokální komponentu ve Windows na vygenerování žádosti.
    offline generátor ke stažení - nabízí se varianty pro různé OS, včetně Linuxu. Bohužel je to nějaký moloch v Javě, který má cca 60MB. Nakonec se mi to nepodařilo ani stáhnout.
    OpenSSL - na stránkách Postsignum jsem nenašel původní tipy indexované googlem, pošta si nejspíš nechtěla komplikovat život.

Generování žádosti pomocí OpenSSL

Našel jsem odkaz v blogu, na použití OpenSSL v souvislosti s Postsignum certifikáty. Relevantní pro nás je zatím vygenerování žádosti:

openssl req -new -newhdr -days 365 -asn1-kludge -outform PEM -key private.key -out cert.req -config req.config

Bohužel v této konfiguraci se emailová adresa přidá do předmětu žádosti (Subject:). To ale není, co od nás CA Postsignum chce.

Napsal jsem tedy konfigurační soubor pro generování requestu:

[ req ]
 default_bits           = 1024
 default_keyfile        = privkey.pem
 distinguished_name     = req_distinguished_name
 attributes             = req_attributes
# x509_extensions        = v3_ca
 req_extensions		= req_extensions

dirstring_type = nobmp

[ req_distinguished_name ]
  countryName                    = Country Name (2 letter code)
  countryName_default            = CZ
  countryName_min                = 2
  countryName_max                = 2

  localityName                   = Locality Name (eg, city)

  organizationName               = Organization Name
  organizationName_default	 = Jan Čapek [IČ 999999999]
  organizationalUnitName         = Organizational Unit Name (eg, section)
  organizationalUnitName_default  = 1

  commonName                     = Common Name (eg, YOUR name)
  commonName_default             = Jan Čapek
  commonName_max                 = 64

  emailAddress                   = Email Address
  emailAddress_max               = 40

[ req_attributes ]
  
[ req_extensions ]
  keyUsage=critical, Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment
  subjectKeyIdentifier=hash
  subjectAltName=email:copy, email:jan@capkovi.net, email:jan@capkovi.eu

Za povšimnutí stojí položka req_extensions. V té pomocí elementu subjectAltName specifikujeme email. Podle RFC je možné těchto jmen uvést více, což jsem také zkusil, Postsignum mi ve výsledném certifikátu ponechala ale jen tu poslední. Ostatní položky jsem zavedl, aby se žádost podobala výsledku z Windows (viz dokumentace k OpenSSL x509v3_config)

S tímto konfiguračním souborem zavoláme OpenSSL:

openssl req -new -newhdr -days 365 -asn1-kludge -outform PEM -key private.key -out cert.req -config req.config
a výsledkem je vygenerovaná žádost:
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=CZ, O=Jan \xC4\x8Capek [I\xC4\x8C 999999999], OU=1, CN=Jan \xC4\x8Capek
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (2048 bit)
                Modulus (2048 bit):
                    00:d2:09:e1:43:4f:bc:9f:44:f7:c0:7c:81:e0:90:
                    82:f8:f2:f8:9f:9b:3b:55:f3:22:19:92:04:77:27:
                    56:4a:52:57:28:ba:3a:6d:ca:e0:72:15:7e:ec:4f:
                    c2:ed:78:99:c7:7a:0c:3d:93:b5:07:6e:e6:43:af:
                    5f:1d:3b:45:6f:71:14:e5:43:77:a0:92:f3:7d:f0:
                    40:1b:20:53:ff:80:0c:c4:1c:0c:ac:60:d6:23:65:
                    08:c9:e1:1d:a2:25:f1:7d:97:5b:a0:89:82:e3:49:
                    d0:b9:28:4e:0a:20:9c:f2:c8:11:3b:2b:1c:5b:68:
                    46:e9:2e:d4:9e:75:41:5b:d1:89:33:a9:36:14:88:
                    e8:25:21:85:c4:8b:bc:63:bd:cb:e5:aa:fe:e2:27:
                    56:3f:3a:b6:b1:e5:50:ec:3d:02:51:1a:7c:31:af:
                    b5:87:85:1f:e5:cb:d8:b9:e2:01:ae:f7:f9:ce:c5:
                    ab:2a:d4:bd:5d:d9:d5:23:fe:47:a4:8b:f0:78:76:
                    1b:48:e7:a7:43:0c:0c:3e:13:22:96:79:2a:cc:1b:
                    b5:d4:43:ed:72:ac:bf:34:70:15:3c:cf:95:6c:26:
                    3b:b5:28:f2:c3:b2:1a:e4:b6:21:0e:b5:fa:a7:06:
                    7b:c0:5a:86:bc:23:4b:dd:6b:21:f8:0c:bc:05:c3:
                    e2:2f
                Exponent: 65537 (0x10001)
        Attributes:
        Requested Extensions:
            X509v3 Key Usage: critical
                Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment
            X509v3 Subject Key Identifier: 
                64:00:CF:B9:2A:EB:E3:42:A4:8E:02:9B:E1:4A:D1:B9:13:7D:E3:0A
            X509v3 Subject Alternative Name: 
                email:jan@capkovi.net, email:jan@capkovi.eu, 
    Signature Algorithm: sha1WithRSAEncryption
        88:00:19:05:ab:f1:77:37:79:f8:a6:97:0e:04:2e:1e:b8:14:
        b2:b0:7a:83:1e:87:29:74:73:32:64:62:3a:bb:b6:93:f5:75:
        04:e9:6b:27:a3:f9:b5:6e:b1:d6:d5:7b:4a:11:0e:41:25:fc:
        b4:0a:28:a2:f9:bb:7f:2b:8c:b6:d5:e1:ce:43:2e:c4:6d:09:
        95:46:5e:0d:80:50:bd:88:d2:62:09:07:66:f4:7d:cf:d9:52:
        6f:db:50:02:c1:28:2f:dd:f6:03:a1:a9:a1:73:f1:f4:4a:f7:
        35:f0:3c:c5:af:26:89:8d:89:63:32:53:84:db:59:9c:45:5c:
        c1:30:9f:54:b6:36:6b:1c:09:e7:5e:b6:c0:0a:e5:ef:b5:c5:
        ba:9f:0a:8e:5e:a8:56:8f:a9:7e:f9:e0:fc:0e:02:70:ba:1e:
        28:36:cf:2c:be:7f:ce:6b:b9:1e:ef:a4:24:b7:a7:fb:47:3d:
        7e:99:f3:f0:da:dd:05:fc:1c:f5:d3:aa:f7:7a:37:ae:4f:78:
        18:0b:55:6b:26:dc:b9:a0:16:66:74:98:b6:96:9e:bd:83:9c:
        2c:cb:bd:04:81:38:e2:19:98:3b:fb:1b:f7:1f:49:9f:0e:30:
        64:13:f0:8b:b6:d5:56:ee:05:c4:08:f6:43:6a:13:17:88:17:
        b0:c2:20:52

Jediný rozdíl mezi naším výsledkem a žádostí z windows bylo ještě několik atributů (sekce Attributes: v X509) a trochu podivné kódování znaků v Subjectu. Toto jsem zanedbal. Pro srovnání uvádím podobnou žádost z windows:

Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=CZ, O=\x00J\x00a\x00n\x00 \x01\x0C\x00a\x00p\x00e\x00k\x00 \x00[\x00I\x01\x0C\x00 \x009\x009\x009\x009\x009\x009\x009\x009\x009\x00], OU=1, CN=\x00J\x00a\x00n\x00 \x01\x0C\x00a\x00p\x00e\x00k
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (2048 bit)
                Modulus (2048 bit):
                    00:c2:ef:89:0c:b0:02:5b:10:b6:2a:6c:6e:ad:28:
                    58:34:0f:90:e8:8e:c8:ce:3f:69:47:8c:a8:f6:36:
                    7e:66:87:dd:c3:ab:9c:22:02:a5:0e:01:1e:69:0e:
                    83:df:49:51:a2:a0:35:36:65:19:b4:dd:d3:db:60:
                    b6:b3:7d:dc:4d:f9:ee:44:e8:ac:5f:d7:d2:fc:76:
                    e8:96:0f:70:ac:9b:7f:1d:eb:d5:70:5c:e6:c1:90:
                    f6:8e:2a:2d:5b:04:5d:58:0b:a3:aa:e7:89:e7:64:
                    ed:a7:ea:b0:87:97:ee:fa:aa:35:8d:f2:78:40:67:
                    39:36:b8:d1:9f:3f:d4:b7:0f:5f:17:72:36:67:f0:
                    ab:9a:ad:eb:15:ba:0f:70:4b:58:27:a4:1e:77:5b:
                    c9:94:01:4a:58:14:e6:ea:f3:6b:45:61:c0:8b:08:
                    0f:4b:d4:b0:24:6b:9f:10:10:ba:41:1c:59:39:75:
                    ee:51:50:90:d2:12:fc:44:6e:96:2c:8c:33:a3:7a:
                    2e:d4:98:e5:a2:63:73:c9:8b:d2:f0:58:37:d3:18:
                    02:24:e5:ce:73:1d:50:fa:cd:32:f5:85:07:64:b7:
                    09:75:7d:87:21:63:ec:b4:f3:68:dd:f2:a9:16:48:
                    fd:ad:ad:40:19:68:a4:9e:36:0a:4c:70:e0:d4:7d:
                    78:bd
                Exponent: 65537 (0x10001)
        Attributes:
            1.3.6.1.4.1.311.13.2.3   :5.1.2600.2
            1.3.6.1.4.1.311.21.20    :unable to print attribute
            1.3.6.1.4.1.311.13.2.2   :unable to print attribute
        Requested Extensions:
            X509v3 Key Usage: critical
                Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment
            X509v3 Subject Key Identifier: 
                09:C5:C9:57:D0:0A:B8:21:CD:5C:3E:71:F3:6D:C6:8C:19:0E:75:C7
            X509v3 Subject Alternative Name: 
                email:jan@capkovi.eu
    Signature Algorithm: sha1WithRSAEncryption
        95:d9:02:d0:d2:6d:3b:09:5c:7d:f3:ff:2f:7b:dd:d8:33:d5:
        b0:de:c7:6c:85:ce:22:3a:fc:63:e3:21:b1:bb:9f:c9:56:8a:
        8c:2d:c4:70:ad:75:2c:8b:73:e1:1a:4e:df:36:71:86:9f:56:
        e9:d3:9a:34:d8:86:e0:b7:c6:91:f1:de:92:67:a7:2c:a8:91:
        f7:fd:dc:60:4a:d1:c2:f0:a6:49:b2:e1:d3:73:02:6d:d2:49:
        92:fb:bf:05:2c:86:f3:ac:91:a7:1c:b3:f9:f9:dd:b4:46:aa:
        25:92:3f:0d:0b:19:c9:dd:9e:b9:f0:74:34:04:16:b9:e1:a4:
        d0:fa:16:44:05:d8:5c:00:17:88:e9:d3:f5:73:99:41:19:b9:
        c1:ef:55:55:4b:ba:64:e5:1a:5b:82:1c:a0:42:87:1b:8c:10:
        95:5e:e2:6e:ef:b1:6d:50:7a:2b:be:c0:b0:3c:b2:e2:00:46:
        96:53:8f:e9:a6:a4:f5:6a:0a:2e:51:12:09:fd:a5:af:3c:eb:
        7a:35:59:32:7b:7a:f1:29:f5:73:89:31:27:bb:8f:e9:cf:24:
        cb:17:27:bd:e4:52:4d:e5:f4:fd:80:be:46:39:c9:f1:d7:2a:
        b0:39:c9:7b:65:f2:b8:30:58:f1:df:d9:e8:c7:bb:c5:0e:2a:
        d9:b4:4f:f6

Papíry a byrokracie

Tato část zabrala nejvíce času, protože vyžadovala stažení a vytisknutí příslušných papírů jenom na to, aby je úřednice na poště mohla znovu přepsat do počítače.

Vydal jsem se přímo na centrálu do Jindřišské. Hned dole jsem si vzal pořadové číslo. Ještě jsem nestihl okénko ani najít a už jsem šel na řadu. Postsignum má oddělenou kancelář s dvěma okénky hned u vchodu, žádné fronty, paráda. Optimisticky jsem předal všechny podklady a slečna za pultem mi hned vysvětlila, že je vlastně zbytečné, aby něco zadávala do počítače ona, protože certifikát mi pak vydají stejně až v 1. patře. Bude tudíž lepší, když se tam vypravím rovnou...

Sebral jsem všechny papíry a šel tedy nahoru. Tady bylo 5 okének, ale fungovala jenom 2 a lidí tu čekalo tak 30. Vzal jsem se další pořadové číslo. Čekání se tentokrát protáhlo na hodinu. Samotné vyřízení pak dalších 30 minut. K čemu kancelář Postsignum je??

       

Hodnocení: 100 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

Luk avatar 12.2.2009 12:39 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl
Já jsem si vyřizoval elektronický podpis před necelým rokem. Všechno jsem si připravil předem, na poště (resp. před poštou, protože je na tyto služby zvláštní místnost se samostatným vchodem z ulice) jsem čekal zhruba 45 minut. Vlastní vyřízení trvalo celé asi půl hodiny, kdy se tomu po celou dobu věnovaly dvě (!) úřednice. Podepsal jsem hromadu papírů a nic jsem na místě neplatil - fakturu posílají poštou. Jak to asi musí být ztrátová služba, když za 1 člověkohodinu práce (řekněme s celkovými náklady 600 Kč), vytištění a zaslání faktury a za náklady na provoz systému člověk zaplatí dohromady pouhých 150 Kč? Celá aktivita byla ještě korunována tím, že nějaké pošťácké hovado ztratilo na veřejnosti lejstra, kde byly osobní údaje mnoha lidí včetně mě.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
12.2.2009 12:53 honzik6 | skóre: 2 | blog: honzik6 | Praha
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl

mě na tom nejvíc překvapilo, že tahle specialní Postsignum místnost nebyla vůbec využitá. Je to chyba firemního procesu. Ja myslíi, že oni to berou jak investici do budoucna. První vyřízení je vyjde dráž, ale prodlužování certifikátu a generovaní nových faktur mají nejspíš zautomatizované..

12.2.2009 13:17 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl
Requested Extensions:
            X509v3 Key Usage: critical
                Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment

Jak se tvářili na požadované šifrování, které je ze zákona zakázané?

12.2.2009 14:16 honzik6 | skóre: 2 | blog: honzik6 | Praha
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl

myslim, že jejich nástroj z toho vyhodí položky, které nesplňují certifikační politiku. Já sem to  Data Encipherment nepožadoval úmyslně, ale nastavil jsem to tak proto, aby ta sekce X509v3 Key Usage:  byla stejná jako žádost vygenerováná z windows..

12.2.2009 14:50 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl
offline generátor ke stažení - nabízí se varianty pro různé OS, včetně Linuxu. Bohužel je to nějaký moloch v Javě, který má cca 60MB. Nakonec se mi to nepodařilo ani stáhnout
Pravděpodobně jste zvolil variantu s vloženým JRE. Je tam i varianta bez něj, já jsem na Linuxu použil tu.
JiK avatar 12.2.2009 15:30 JiK | skóre: 8 | blog: Jirkoviny | Virginia
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl
Take bych to u autora videl na problem mezi klavesnici a zidli, pro ja to bez zavahani provozoval na macu s OS X a stahnul jsem cca 9-10 MB pekneho a dobre dokumentovaneho programu v Jave, fungoval bezproblemove.
12.2.2009 16:26 honzik6 | skóre: 2 | blog: honzik6 | Praha
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl

je to pravda, bannerová slepota je hrozná věc, něco se mezi klávesnici a židli dostalo... Je tam skutečně i verze bez JRE, ta vyžaduje ještě nainstalovat ručně politiky JCE. Na druhou stranu, proč instalovat speciální software, když by stačilo od České pošty specifikovat, jak má žádost vypadat. To by mohla být ona třetí varianta pro uživatele, kteří nevěří zavřeným programům.

12.2.2009 16:45 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl
Není takový popis náhodou v prováděcí vyhlášce k zákonu o elektronickém podpisu?
12.2.2009 20:37 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl

Není. Nařízení 495/2004 Sb tohle neřeší a 496/2004 je jen o podatelnách.

Přečetl jsem si certifikační politiku Postsignumu(/Postsigna?) a v ní se pouze stanovuje, co bude v certifikátu. O žádosti ani slovo.

Řekl bych, že způsob předání veřejného klíče a údajů je čistě na libovůli autority.

12.2.2009 21:06 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl
Přečetl jsem si certifikační politiku Postsignumu(/Postsigna?) a v ní se pouze stanovuje, co bude v certifikátu. O žádosti ani slovo.
To já jsem ani nepředpokládal, že by někde (i v té vyhlášce) bylo něco o žádosti. Předpokládám, že je tam specifikováno, jak má vypadat certifikát, a tomu pak musí odpovídat žádost. Pokud nebude a CA to může přebít vlastním nastavením (jako třeba dobu platnosti), přebije to, jinak žádost odmítne.
12.2.2009 22:00 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl

Hovoříte o žádosti formální (jeden z mnoha papírů s osobními údaji, co se podepisuje při autentizaci) nebo o X.509 žádosti?

Dokážu si totiž celkem dobře představit, že si doma vygeneruji pár klíčů, ty dvě čísla z veřejného klíče si vytisknu, dojdu na autoritu, pověřenému zaměstnanci je nadiktuji, prokážu totožnost a tím to končí.

Nevím, proč by ze zákonných požadavků na certifikát mělo vyplývat, jak si budu vyměňovat údaje s CA?

12.2.2009 22:23 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl
Hovoříte o žádosti formální (jeden z mnoha papírů s osobními údaji, co se podepisuje při autentizaci) nebo o X.509 žádosti?
Mluvím o X.509 žádosti.
Dokážu si totiž celkem dobře představit, že si doma vygeneruji pár klíčů, ty dvě čísla z veřejného klíče si vytisknu, dojdu na autoritu, pověřenému zaměstnanci je nadiktuji, prokážu totožnost a tím to končí.
Já si to představit nedokážu. Na certifikátu není jen veřejný klíč, ale jsou tam také identifikační údaje. A právě strukturu těchto identifikačních údajů předepisuje zákon a vyhláška. A to je také to, co uvádíte do žádosti (X509).
Nevím, proč by ze zákonných požadavků na certifikát mělo vyplývat, jak si budu vyměňovat údaje s CA?
Když chcete vydat certifikát podle nějakého standardu, je snad logické, že i žádost bude podle stejného standardu. Tolik k formě žádosti. Obsah žádosti je jednoduchý – musí tam být to, co má být na výsledném certifikátu. A co na něm musí být a c o na něm může být specifikuje zákon, vyhláška a některé věci možná certifikační politika.

12.2.2009 23:25 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl

Ono (přebírání údajů z žádosti do certifikátu) to tak funguje, protože to tak bylo v X.509 (a souvisejících standardech) vymyšleno a zaužívalo se to. Ale principiálně v žádném zákoně není stanoveno, že se to tak musí dělat.

Třeba pánovi z tohoto blogu vyškrtli první subjectAltName/emailAddress a keyUsage/dataEncryption a ani se nad tím nepozastavili. Kdyby jim přinesl žádost s CN „Kačer Donald“, tak mu vyndají, že si z nich dělá legraci.

Jenže právě tohle není nikde formalizované. Kde je hranice?

Já jsem si ještě kvalifikovaný certifikát nepořizoval, ale tipuji, že autorita vezme žádost jako vzor, vyškrtá z něj věci, které se jí nelíbí, a pak vytiskne papír, kde bude přesně popsáno, co budu mít v certifikátu, který obě strany podepíšou. Pak zaplatím a oni vyrobí certifikát. Když zjistím, že tam je něco jinak, tak vezmu ručně podepsaný papír (objednávku) a budu reklamovat.

13.2.2009 00:04 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl
Ono (přebírání údajů z žádosti do certifikátu) to tak funguje, protože to tak bylo v X.509 (a souvisejících standardech) vymyšleno a zaužívalo se to. Ale principiálně v žádném zákoně není stanoveno, že se to tak musí dělat.
V zákoně (a certifikační politice) je stanoveno, co na certifikátu musí být a co tam může být. Že žádost nepřinesete vytesanou na hliněné destičce, ale v žádosti dle X.509 pak vyplývá z logiky věci, že chcete žádat o X.509 certifikát.
Třeba pánovi z tohoto blogu vyškrtli první subjectAltName/emailAddress a keyUsage/dataEncryption a ani se nad tím nepozastavili. Kdyby jim přinesl žádost s CN „Kačer Donald“, tak mu vyndají, že si z nich dělá legraci.

Jenže právě tohle není nikde formalizované. Kde je hranice?
Formalizované to je v zákoně a v certifikační politice. Když toho Kačera Donalda bude mít i na občance, tak mu nevynadají ale vystaví mu požadovaný certifikát.
Já jsem si ještě kvalifikovaný certifikát nepořizoval, ale tipuji, že autorita vezme žádost jako vzor, vyškrtá z něj věci, které se jí nelíbí, a pak vytiskne papír, kde bude přesně popsáno, co budu mít v certifikátu, který obě strany podepíšou. Pak zaplatím a oni vyrobí certifikát. Když zjistím, že tam je něco jinak, tak vezmu ručně podepsaný papír (objednávku) a budu reklamovat.
Ano, zhruba tak to funguje. Plus CA zkontroluje vaši totožnost, ověří údaje uvedené na certifikátu (shodu jména, pokud jde o zaměstnanecký certifikát, pak také zda jste zaměstnanec) a ověří, že jsou tyto údaje v žádosti správně (tj. v souladu se zákonem a politikou) – ve správných atributech a ve správném formátu. U PostSignum dokonce neplatíte na poště v hotovosti, ale poštou vám přijde faktura. Kolikrát opisuje úředník na poště údaje z papírů do počítače si ani nepřejte vědět (já jsem to přestal sledovat, když se to přiblížilo k dvouciferným číslům).
13.2.2009 10:03 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl
Že žádost nepřinesete vytesanou na hliněné destičce, ale v žádosti dle X.509 pak vyplývá z logiky věci, že chcete žádat o X.509 certifikát.
Kolikrát opisuje úředník na poště údaje z papírů do počítače si ani nepřejte vědět

Zjevně autorita neví, k čemu je je X.509 žádost dobrá. Pak se ptám, jestli „logika věci“, kterou vidí člověk od počítačů je stejná logika, kterou mysleli zákonodárci. (Protože opakuji, že zákon nutnost X.509 žádosti nestanoví. Každý úředník vám řekne, že když to není v předpise, tak to nemůže po nikom požadovat.)

Třeba pánovi z tohoto blogu vyškrtli první subjectAltName/emailAddress a keyUsage/dataEncryption a ani se nad tím nepozastavili. Kdyby jim přinesl žádost s CN „Kačer Donald“, tak mu vyndají, že si z nich dělá legraci.

Jenže právě tohle není nikde formalizované. Kde je hranice?

Formalizované to je v zákoně a v certifikační politice. Když toho Kačera Donalda bude mít i na občance, tak mu nevynadají ale vystaví mu požadovaný certifikát.

V politice i v zákoně je formalizováno, že CN se shoduje se jménem na občance. V politice i v zákoně je stanoveno, že šifrování dat není dovoleno. V prvním případě člověku vynadají, v druhém případě neřeknou ani popel a chybné údaje za vás opraví.

Proč se na oba prohřešky nevztahuje stejný metr? Proč když budu mít špatný CN, tak se úředník mile neusměje a neřekne: „Pane, máte tam špatně jméno, já jej opravím, aby souhlasilo s občankou?“

13.2.2009 10:55 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl
Zjevně autorita neví, k čemu je je X.509 žádost dobrá.
Na to jste přišel jak? CA to samozřejmě ví, na základě té žádosti vám vystaví certifikát. Bez té žádosti vypadnete hned v prvním kole.
Protože opakuji, že zákon nutnost X.509 žádosti nestanoví.
Stanovuje to minimálně certifikační politika, kterou se CA musí řídit (má i schválenou od ministerstva a je součástí akreditace).
V politice i v zákoně je formalizováno, že CN se shoduje se jménem na občance. V politice i v zákoně je stanoveno, že šifrování dat není dovoleno. V prvním případě člověku vynadají, v druhém případě neřeknou ani popel a chybné údaje za vás opraví.

Proč se na oba prohřešky nevztahuje stejný metr? Proč když budu mít špatný CN, tak se úředník mile neusměje a neřekne: „Pane, máte tam špatně jméno, já jej opravím, aby souhlasilo s občankou?“
Protože v zákoně je, že vy požádáte o certifikát na vaše jméno, a pokud CA ověří vaši totožnost, vystaví vám certifikát. CA i žadatel jsou tady účastníky „veřejnoprávního“ vztahu, a oba dva se musí řídit zákonem a oba jsou před ním zodpovědní. Takže CA samozřejmě nemůže o své vůli změnit něco, za co zodpovídáte (také) vy. Atributy certifikátu jako účel nebo doba platnosti jsou ale záležitostí vašeho soukromoprávního vztahu s CA, a teprve CA za ně státu zodpovídá prostřednictvím své certifikační politiky, vy za ně nezodpovídáte nijak. Vy můžete požádat o certifikát třeba s platností na 100 let, a záleží jen na CA, zda vám ho vystaví, nebo ne – vy za to nemáte žádnou zodpovědnost. Protože tu zodpovědnost má CA, může vám nabídnout, že vám údaj opraví tak, aby se shodoval s její certifikační politikou. Z pohledu klienta tedy na atributech je možné se s CA dohodnout, CN si ale „dohadujete“ se státem.
13.2.2009 11:27 honzik6 | skóre: 2 | blog: honzik6 | Praha
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl

Zde chci jenom podotknout, že ta úřednice přesně jak říkáte mi ukázala údaje, které opravila. Byly to:

 

  • jméno (doplnila titul) - nemám ho na občance, ale v živ. rejstříku nějakým (ne)dopatřením je
  • zeptala se mě jestli emailová adresa je skutečně ta, co chci

O této transakci vytiskne protokol, kde se praví co na podepsaném certifikátě bude.

 

12.2.2009 17:27 tomm | skóre: 7 | blog: tomm's software | Sokolov
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl
Ja jsem stahnul toho 60 MiB molocha, protoze se mi nechtelo s... s JCE. Spustil, funguje, uz jsem vygeneroval X zadosti pro vsechny kolegy a vse bez problemu.
GUI existuje jen proto, aby se veslo vice terminalu na jednu obrazovku ...
12.2.2009 22:06 Non_E | skóre: 24 | blog: hic_sunt_leones | Pardubice
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl
Jak se s tím pracuje v Linuxu? Dají se tím podepisovat maily resp. soubory? Podle mě by zápisek v blogu spolu s pár úpravami byl pomalu na samostatný článek.
Only Sith deals in absolutes.
12.2.2009 22:17 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl
Ano, dají. Je to normální certifikát podle PKCS.
13.2.2009 11:23 honzik6 | skóre: 2 | blog: honzik6 | Praha
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl

mám to nastavené pres gpgsm, napíšu další blog příspěvek

13.2.2009 10:21 hlas lidu
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl
První a zásadní chyba je volba České Pošty.
13.2.2009 11:22 honzik6 | skóre: 2 | blog: honzik6 | Praha
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl

je to poměr cena/výkon. Přišlo mi ok, projít prvotními potížemi, protože nasledná obnova certifikátu už nebude vyžadovat žádnou byrokracii kromě včasného zaslání X509 žádosti emailem podepsaným starým (ještě neprošlým) certifikátem. A při ceně 190CZK/ks je to skoro zadarmo. Ostatní CA jsou trochu dražší, ale člověku se dostane rychlejšího jednání

13.2.2009 17:15 Marv-CZ | skóre: 21
Rozbalit Rozbalit vše Re: Žádost o certifikát Postsignum, openssl

A koho si měl vybrat?

I.CA? Vyžaduje IE, podpora jiného postupu nulová.

eIdentity? Tam než se člověk k něčemu konkrétnímu dostane, tak se musí zaregistrovat. Jestli má s nimi někdo zkušenosti, tak ať se podělí, ale mě takový přístup odrazuje.

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.