abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 09:11 | Zajímavý článek

Mozilla.cz informuje o vylepšování vlastních about: stránek Firefoxu, konkrétně o odstraňování volání funkce eval() z těchto stránek. Tyto stránky mají přístup k interním součástem Firefoxu, ale protože jsou napsané v HTML a JavaScriptu, mohou být cílem podobných útoků jako webové stránky zobrazované v prohlížeči (např. vložení cizího kódu nebo obsahu), jen s potenciálně závažnějším dopadem. Pokud by se někomu skutečně povedlo kód do

… více »
Ladislav Hagara | Komentářů: 2
dnes 08:55 | Zajímavý projekt

Uživatel GitHubu joeycastillo představil The Open Book Project, jehož cílem je vytvořit open-source čtečku elektronických knih. Projekt se zatím nachází v rané fázi vývoje, už nyní ale obsahuje použitelný návrh hardware prototypu „Feather Wing“, jehož cílem má být ověření konceptu na 4,2palcovém displeji. Tento koncept je postaven na kitu Adafruit Feather M4 Express, který ovládá hlavní desku s displeji a tlačítky. Po úspěšném ověření

… více »
Bystroushaak | Komentářů: 16
dnes 05:00 | Nová verze

Byla vydána verze 5.0.0 svobodného systému pro detekci a prevenci průniků a monitorování bezpečnosti počítačových sítí Suricata (Wikipedie). Přehled novinek v oficiálním oznámení a v aktualizované dokumentaci.

Ladislav Hagara | Komentářů: 0
včera 20:33 | Zajímavý projekt

Byly zveřejněny schémata, firmware a instrukce pro sestavení trackballu Ploopy. Ten používá Arduino, senzor PMW3360 a 1,75palcovou kouli. Zdrojové soubory jsou šířeny pod open-hardware licencí CERN a GNU GPLv3. Tvar je inspirovaný klasickým trackballem Microsoft Trackball Explorer, jehož výroba byla ukončena kolem roku 2005 bez náhrady; projekt Ploopy se k tomu ale z právních důvodů nehlásí. Již vyrobené díly je možno objednat za 200 kanadských dolarů. Další podrobnosti v příspěvcích uživatele crop_octagon na Redditu.

Fluttershy, yay! | Komentářů: 16
včera 20:22 | Nová verze

Vyšlo desktopové prostředí KDE Plasma 5.17. Novinkou je např. „noční režim“ (pro X11, nejen Wayland), skrytí upozornění při prezentacích (když je připojena obrazovka se stejným obrazem), lepší podpora HiDPI, optimalizace využití zdrojů a mnoho drobných zlepšení a oprav.

Fluttershy, yay! | Komentářů: 1
včera 12:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 169. brněnský sraz, který proběhne v pátek 18. října od 19:00 v restauraci Racek (Jungmanova 5). Před srazem proběhne v 18:00 komentovaná prohlídka nových prostor hackerspacu base48 (přístup je z Mojmírova náměstí).

Ladislav Hagara | Komentářů: 8
včera 05:55 | Bezpečnostní upozornění

V příkazu sudo byla nalezena a ve verzi 1.8.28 byla již opravena bezpečnostní chyba CVE-2019-14287. V souboru /etc/sudoers lze nastavit, aby daný uživatel mohl konkrétní příkaz spouštět s právy libovolného uživatele (ALL) nebo libovolného uživatele kromě uživatele root (ALL, !root). Spustí-li tento uživatel daný příkaz se sudo s volbou -u#-1 nebo -u#4294967295, tj. pod uživatelem -1 nebo 4294967295, nebude vyžadována autentizace a příkaz se spustí pod právy roota.

Ladislav Hagara | Komentářů: 1
včera 01:33 | Nová verze

Po více než roce a čtvrt od vydání verze 3.7.0 byla vydána nová verze 3.8.0 programovacího jazyka Python. Přehled novinek v aktualizované dokumentaci. Podrobný přehled změn v Changelogu.

Ladislav Hagara | Komentářů: 15
14.10. 16:11 | IT novinky

Ke zhlédnutí na Invidious a YouTube je videozáznam rozborky a sborky mobilního telefonu Librem 5.

Ladislav Hagara | Komentářů: 52
14.10. 13:33 | Komunita

Richard Stallman, zakladatel hnutí svobodného softwaru, se dnes v e-mailové konferenci guix-devel vyjádřil, že svobodný software je apolitický, resp. jedinou přípustnou politikou je politika svobodného softwaru. Reagoval na některé návrhy, že by se do svobodného softwaru měl zabudovat feminismus nebo jiný -ismus. Říká, že témata jako komunismus nebo sexuální orientace jsou „off-topic“. Je v pořádku mít politické názory, ale lidé

… více »
xkucf03 | Komentářů: 105
Kdy jste naposledy viděli počítač s připojeným běžícím CRT monitorem?
 (19%)
 (4%)
 (11%)
 (39%)
 (24%)
 (2%)
Celkem 403 hlasů
 Komentářů: 22, poslední 23.9. 08:36
Rozcestník

Kvalifikovaný certifikát od ICA pomocí openssl

25.3.2009 15:42 | Přečteno: 3395× | bezpečnost | Výběrový blog | poslední úprava: 2.6.2017 16:03

Ke své práci potřebuji kvalifikovaný certifikát od ICA (dáno zákazníkem) a jako každoročně došlo na jeho prodloužení. Dřív jsem toto řešil pomocí vmware s windows a to většinou dost nahonem, abych mohl pokusničit, ale letos jsem si dal čas na 'odladění' vygenerování žádosti normálním (leč oficiálně nepodporovaným) způsobem bez activeX komponent.

Byl jsem i připraven na to, že narazím, avšak k mému velkému údivu jsem se setkal u všech lidí z ICA, se kterými jsem komunikoval, s ochotou a profesionalitou. Zvláště tímto děkuji paní Štojdlové za pomoc a trpělivost při těch X iteracích, než jsme odladili postup žádosti tak, aby vše prošlo bez problémů.

Takže, vycházel jsem z politiky vystavené na stránkách ICA. Na tu nespoléhejte, žádost neprošla asi se 4mi chybami, které jsme postupně odstranili (některé položky byly navic, některé chyběly a jiné měly špatný formát).

Níže uvedený popis se týká pouze prodloužení kvalifikovaného certifikátu, ne o jeho prvotní žádost *)... kvůli ní samozřejmě musí každý stejně osobně pro ověření totožnosti. (a nechci polemizovat o správnosti generování privátního klíče prvotní žádosti na počítači, který nemám pod kontrolou sám, někde na pobočce ICA ...)

*) ... na konci článku doplněno

Pro jednoduchost uvádím přímo funkční openssl.cnf včetně příkladů položek

---------- openssl.cnf ----------
HOME                    = .
RANDFILE                = $ENV::HOME/.rnd
oid_section             = new_oids

# To use this configuration file with the "-extfile" option of the
# "openssl x509" utility, name here the section containing the
# X.509v3 extensions to use:
# extensions            =
# (Alternatively, use a configuration file that has only
# X.509v3 extensions in its main [= default] section.)

[ new_oids ]
oid_mpsv=1.3.6.1.4.1.11801.2.1

[ req ]
default_bits            = 2048
default_keyfile         = privkey.pem
default_md              = sha256
distinguished_name      = req_distinguished_name
#attributes             = req_attributes

# Passwords for private keys if not present they will be prompted for
# input_password = secret
# output_password = secret

string_mask = utf8only
req_extensions = v3_req # The extensions to add to a certificate request

[ req_distinguished_name ]

countryName              = Country Name (2 znaky kod) (C OID=2.5.4.6)
countryName_default      = CZ

commonName               = titul jmeno prijmeni (CN OID=2.5.4.3)
commonName_default       = Ing. Ferda Mravenec

emailAddress             = Email Address (Email OID=1.2.840.113549.1.9.1)
emailAddress_default     = ferda@mravenec.cz

givenName                = Krestni jmeno  (GN OID=2.5.4.42)
givenName_default        = Ferda

name                     = Jmeno (Name OID=2.5.4.41)
name_default             = Ing. Ferda Mravenec

surname                  = Prijmeni (SN OID=2.5.4.4)
surname_default          = Mravenec

serialNumber             = serialNumber (OID=2.5.4.5)
serialNumber_default     = ICA - 12345678

#oid_mpsv                = IK MPSV (OID=1.3.6.1.4.1.11801.2.1)
#oid_mpsv_default        = 1234567890

[ req_attributes ]
#challengePassword       = A challenge password

[ v3_req ]
# Extensions to add to a certificate request
#basicConstraints = CA:FALSE - podle novych pravidel tohle treba zakomentovat
keyUsage = nonRepudiation, digitalSignature, keyEncipherment, dataEncipherment

---------- end openssl.cnf -----------

Položku MPSV uvádím pro úplnost kvůli jejímu OID, ale tato položka není potřeba vyplňovat, protože se automaticky přebere z údajů minulého certifikátu. Pozor, pokud by jí někdo přesto uváděl, nesmí být v subjectu certifikátu, ale v extensions! Ostatní položky si změníme (zvláště serialNumber) podle našeho předchozího certifikátu a kódování musí být v UTF8!

Request vygenerujeme příkazem:

openssl req -sha256 -config openssl.cnf -newkey rsa:2048 -nodes -utf8 -out newreq.pem -keyout privkey.pem

a soubor newreq.pem pošleme jako přílohu (!) na adresu 'renewal@ica.cz'. Text zprávy nechávám na fantazii každého, nemá to vliv na podepsání žádosti :-). Mail musíme samozřejmě podepsat svým platným certifikátem! Po obdržení proforma faktury a zaplacení dostaneme zipfile s naším certifikátem v různých tvarech a aktuální veřejný certifikát CA v DER formátu. Ten si převedeme na formát PEM příkazem:

openssl x509 -inform der -in cert_ca.der -outform PEM -out cert_ca.pem

a můžeme si vyrobit pro většinu programů stravitelný pkcs12

openssl pkcs12 -export -in 12345678.pem -inkey privkey.pem -certfile cert_ca.pem -out muj-ica.p12 -name ferda

Omlouvám se, pokud by se některého zdatnějšího uživatele dotkl můj (asi až příliš) polopatický návod :-), ale chci tím eliminovat co nejvíce dotazů a chybných requestů na ICA, protože oceňuji jejich vstřícný přístup a nerad bych, aby za něj byli 'po zásluze potrestání' :-) ...

Mnoho zdaru, Caha

-------------------------

Tak ještě doplnění ze strany ICA k tomu vydání prvotního certifikátu.

Žádost o prvotní certifikát si můžete vygenerovat stejným způsobem jako žádost o obnovu. Pouze nebudete generovat položku serialNumber= serialNumber (OID=2.5.4.5), ta se do certifikátu dostane automaticky při vydávání prvotního certifikátu. Co se týče MPSV OID, ta se v žádosti se negeneruje, pouze při vyřizování žádosti na RA nahlásíte požadavek na IKMPSV - v procesu vydávání certifikátů je na základě tohoto parametru kontaktován server MPSV a IKMPSV se do certu přidá, i když nebylo nic v žádosti.

Vygenerovanou žádost si uložíte na médium ( klíčenku ??, disketu :-) ), které jsou schopni na pobočce RA přečíst a načíst si vaši žádost.

-------------------------

doplnena zmena v generovani zadosti (diky klamiku) aktuálně vyžaduje 1.CA "drobnou" změnu a to přechod z SHA-1 na SHA-2, čili do openssl.cnf přidat řádek: default_md = sha256

-------------------------

doplnena dalsi zmena v generovani zadosti pro inicialní vystavení (diky Františku)

Pro iniciální vystavení certifikátu je v příkladu v článku potřeba zakomentovat položky name a emailAddress a emailovou adresu uvést až v sekci v3_req jako subjectAltName = email:ferda@mravenec.cz viz. diskuse dole ...

       

Hodnocení: 100 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

25.3.2009 23:32 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl
Heh, co to je, za exota ze u kvalifikovaneho certifikatu vyzaduje konkretni certifikacni autoritu? :-D
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
Max avatar 26.3.2009 07:03 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl
Tak např. se celníkama se jinak, nežli s certifikátama od pošty, nebo ica nedomluvíš ;-)
Zdar Max
Měl jsem sen ... :(
26.3.2009 09:42 Libor Tvrdík | skóre: 2 | blog: Linuxová kapsička
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl
Ten exot se jmenuje Zákon č. 227/2000 Sb. respektive novelizovaná verze č. 440/2004 Sb. Požadavky na vydávání kvalifikovaného certifikátu jsou poměrně přísné a náklady obrovské, proto se do tohoto procesu nikdo nežene. V současné době máme pouze dva kvalifikované poskytovatele. A jak se zdá (rozhodnutí o umožnění přístupu do datových schránek pouze pomocí jméno/heslo, tedy bez nutnosti využít kvalifikovaný certifikát) dlouho to tak zůstane. Náš trh je prostě malý.
26.3.2009 11:03 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl
3.
26.3.2009 16:13 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl
No to je sice moc hezke, ale trochu mi unika cely smysl tveho zapisku. Cely tvuj prispevek je totiz jednoznacnym dukazem, ze pozadovat u kvalifikovaneho certifikatu konkretni certifikacni autoritu naprosta blbost. Prave proto se tomu rika kvalifikovany a prave proto musi dana certifikacni autorita splnit docela prisne podminky aby bylo jedno ktera autorita dany certifikat vydala.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
26.3.2009 16:51 caha | skóre: 1 | blog: Cahas_blog
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl

Nektere lidi nema cenu presvedcovat :) ... "nas zakaznik, nas pan" ;). Ale je pravda, ze v te dobe, kdy jsme poprve o certifikat zadali, postsignum teprve zacinalo a ica byla v te dobe jedinou certifikacni autoritou, ktera vam byla schopna zaroven poskytnout mpsv identifikator, takze kdyz uz jsem si ho porizoval, ani jsem se tomu nebranil ....

caha

26.3.2009 09:14 Tomáš Pelc | skóre: 22 | blog: multimedialni_pc_k_LCD_TV
Rozbalit Rozbalit vše Re: Díky

Děkuji za zápisek. S největší pravděpodobností v budoucnu využiju.

26.3.2009 17:46 caha | skóre: 1 | blog: Cahas_blog
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl

Doplněno pro uplnost k vydání prvotního certifikátu....

24.9.2009 13:30 jmacku
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl

Díky. Přesně tohle jsem hledal. Už jdu na ně :-).

13.1.2012 09:42 tlamik | skóre: 21 | Karvina
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl
aktuálně vyžaduje 1.CA "drobnou" změnu a to přechod z SHA-1 na SHA-2, čili do openssl.cnf přidat řádek:
default_md = sha256
a žádost o certifikát generovat:
openssl req -sha256 -config openssl.cnf -newkey rsa:2048 -nodes -utf8 -out /tmp/newreq.pem -keyout /tmp/privkey.pem 

taky bych chtěl poděkovat panu Jančíkovi z 1.CA za pomoc
13.1.2012 10:03 caha | skóre: 1 | blog: Cahas_blog
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl
doplnil jsem do textu ,,, diky caha
9.3.2012 12:29 caha | skóre: 1 | blog: Cahas_blog
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl
tak jeste dalsi zmena ... v ICA se zmenila politika aje potreba z konfigurace vyhodit z extensions radek 'basicConstraints = CA:FALSE'. Overeno, odzkouseno, doplneno do konfigurace v clanku.
25.5.2017 11:16 František
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl
Dnes jsem si chtel udelat podle tohoto navodu u ICA novy certifikat pro epodpis a neproslo to. Pro duvody jsem se musel obratit na technickou podporu, ktera reagovala prijemne rychle:

jsou tam 2 chyby.

Položka name nesmí být v prvotním certifikátu přítomna. E-mail nesmí být uveden v předmětu certifikátu, pokud e-mail chcete uvést, pak v rámci subjectAltName.
25.5.2017 12:04 caha | skóre: 1 | blog: Cahas_blog
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl
zajimave ... musel bych videt tu vygenerovanou zadost nebo konfigurak, jak jste ji generoval. Nerikali z podpory, jak stare jsou to zmeny? Cca pred mesicem jsem svuj certifikat obnovoval, na .cnf souboru jsem nic nemenil a vsechno probehlo bez problemu ... polozku Name (OID=2.5.4.41) tam mam a e-mail mam porad v polozce emailAddress (OID=1.2.840.113549.1.9.1).
25.5.2017 12:43 František
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl
Generoval jsem to přesně podle tohoto návodu, v konfiguráku jsem jen vyměnil faktické údaje a vygeneroval jsem to taky uvedeným příkazem. Z toho textu od podpory (který jsem odcitoval beze změny) bych to chápal tak, že nutnost absence Name se vztahuje jen na iniciální certifikát, takže při obnově to nejsistíte. A s tím emailem si to taky nedokážu vysvětlit, musím se na ten vygenerovaný request pořádně podívat, jestli tam nezafungovala nějaká automagie. Až se mi podaří to protlačit, dám sem výsledek.
26.5.2017 12:57 František
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl
Dnes už se vygenerování certifikátu na ICA povedlo, takže potvrzuji, co bylo napsáno z podpory - pro iniciální vystavení certifikátu je v příkladu v článku potřeba zakomentovat položky name a emailAddress a emailovou adresu uvést až v sekci v3_req jako

subjectAltName = email:ferda@mravenec.cz

K tomu emailu jsem googloval a na několika nezávislých místech (např. http://www.macfreek.nl/memory/Email_in_certificates) jsem četl, že správnější je opravdu uvádět email v subjectAltName, takže proto asi ICA změnila politiku, jen se asi nedozvíme kdy, protože paní na výdejním místě to nevěděla a na podporu jen kvůli tomu psát nebudu. Ve specifikacích se píše, že emailAddress se má akceptovat z důvodů kompatibility se staršími implementacemi i v DN a proto je to asi u již vydaných certifikátů tolerovatelné.
26.5.2017 13:38 caha | skóre: 1 | blog: Cahas_blog
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl
jj, tak to museli zmenit fakt nedavno. Ok, diky za info ... zapracuju do navodu
10.3.2018 12:12 František
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl
Informace z tohoto článku, vlastních poznatků i mnoha jiných článků pro další scénáře použití digitálního podpisu jsem sepsal do podoby spustitelných shellových skriptů a založil na to repozitář na GitHub https://github.com/calaveraInfo/podpis. Přijde mi to použitelnější a do budoucna životaschopnější, než slovní návod. Budu rád za jakoukoli spolupráci.
11.3.2018 10:20 caha | skóre: 1 | blog: Cahas_blog
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl
bezva :) ... jj, v te dobe github nebyl, tak abclinuxu byla nejschudnejsi cesta.

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.