Dotaz: Certifikaty Postsignum a podepisovací applet QCM

Dobrý den,

řeším problém s elektronickým podpisem na portálu státní správy, je nutnost elektronického podpis, strankách postsingnu jsem si pomocí jejich programu vygeneroval žádost a vyrazil na poštu, zde po cca hodina jsem zpět na USB flash dostal cerfifikát, ten jsem zpět otevřel v programu Postsignum Tools Plus, importoval a vytvořil soukou s konconkou p12.

Mám prohlížeč Firefox 35, vyměnil Kubuntu 14.04, vyměnil jsem OpenJDK Javu za Oracle 1.7.0_76, na web portálu applet pro podepisování funguje. (jde o tento applet https://zakazky.muni.cz/data/manual/QCM.Podepisovaci_applet.pdf ), pro jistotu jsem importoval do firefoxu cerfifikat co jsem dostal a navíc i cerfikat pro CA Postsignum který jsem stáhl zde http://www.postsignum.cz/certifikaty_autorit.html.

Bohužel, stejně se mi nedaří podepsat zprávu kterou chci web aplikace odeslat, podepisuje se QCM java appletem, v tomto appletu vyberu svuj p12 certifikát a dám podepsat, po chvilce přemýšlení to končí na hlášce. --- Certifikát elektronického podpisu není kvalifikovaný, nebo neobsahuje úplnou certifikační cestu. Prosím použijte správný certifikát. The certification chain is too short. It should consist of at least 2 certificates. ---

Tuším, že je problém v tom, že java nemá kořenový certifikát CA Postsignum, netušíte jak přidat CA Postsignum do Javy nebo i třeba obecně do systému, ale to asi nepujde.

Nebo je zde jiný problém? Ondřej

Problém nebude v tom, že ten kořenový certifikát nemáte v systémovém úložišti certifikátů v Javě, ale v tom, že v tom vyexportovaném souboru .p12 máte jen vlastní certifikát a privátní klíč, ale nemáte tam certifikáty CA (PostSignum používá dva – kořenový certifikát pro všechny své CA a podřízený certifikát pro kvalifikovanou CA – QCA). Moc nechápu, proč ta aplikace vyžaduje ty certifikáty CA, když by je měla mít v sobě, ale to je jiná věc… Vyexportujte si certifikát s privátním klíčem znova, ale s celou certifikační cestou.

K práci s certifikáty používám KeyStore Explorer. Tam si ten soubor .p12 otevřete, pravým tlačítkem na řádku s klíčem a certifikátem vyvoláte kontextovou nabídku. Přes View Details – Certificate Chain Details se můžete podívat, zda je řetězec certifikátů opravdu prázdný. Pokud ano, přes Edit Certificate Chain – Append Certificate postupně přidejte nejprve certifikát QCA a pak kořenový certifikát. Pak soubor uložte (raději do nového souboru). Tak si vytvoříte .p12 soubor, kde budete mít svůj privátní klíč, odpovídající certifikát a oba dva certifikáty z certifikační cesty až ke kořenové autoritě.