Jak na kvalifikovaný certifikát České pošty?

14.9.2005 16:55 | Přečteno: 7437× | Linux | poslední úprava: 14.9.2005 17:09

Česká pošta, s. p. se stala akreditovaným poskytovatelem certifikačních služeb dne 3.8.2005 na základě akreditace udělené Ministerstvem informatiky ČR. Jak si tedy uděláme kvalifikovaný certifikát v Linuxu?

Už jsem o tom psal v minulém příspěvku, takže jen bleskově zopakuji, že budeme potřebovat openssl. Obvykle jej máte, pokud ne, nainstalujte si jej. Potom v příkazové řádce (nemusíte být root) vygenerujete svůj privátní klíč:


openssl genrsa -des3 -out private.key 2048

a následně žádost o certifikát:


openssl req -new -newhdr -days 365 -asn1-kludge -outform PEM 
-key private.key -out cert.req

Tu si nahrajete na disketu (soubor cert.req) a vydáte se s ní na poštu. Tam Vám ji za 190Kč podepíší a domů si přinesete soubor cert.crt. Můžete se zmínit, že používáte Linux a požádat o formát PEM, ale operátorky na to zatím nejsou připravené, zbytečně by jste je tak uváděli do rozpaků, takže můžete vzít i to, co Vám vydají.

Pokud máte běžný poštovní formát (DER) převeďte si jej doma na PEM příkazem:


openssl x509 -inform DER -outform PEM -in cert.crt -out cert_post.pem

a následně si vygenerujte certifikát pkcs12:


openssl pkcs12 -export -name "PostSignum" -in cert_post.pem -inkey
private.key -certfile postsignum_qca_root.crt -out post.p12

Ten už pak snadno importujete např. do Mozilly nebo kam chcete, cesta ke komunikaci s úřady je tím otevřená.

Rád bych za pomoc poděkoval pracovníkům České pošty, zejména panu Šlancarovi za otestování žádosti o certifikát a paní Lence Kadlčákové z ICZ (převod DER na PEM).

PS. Nezapomeňte si přečíst dokumentaci a vzít s sebou potřebné papíry.

Hodně úspěchů při komunikaci s úřady státní správy :)

Relevantní linky:
PostSignum QCA
Dokumentace OpenSSL

Komentáře

Nemám disketovou mechaniku. Podle mých dosavadních zkušeností s "firmou" Česká pošta jsem tím pádem nadosmrti bez nároku certifikát u ní získat...

Nemám rád NVidii!

14.9.2005 20:57 petr_p
Rozbalit Rozbalit vše Re: Disketu???

A ja bych zas mohl rict, ze nemam v jadre zakompilovnou podporu vfat.

Udajne se na tom pracuje (viz nekde tady na abicku vyjadreni udajneho zamesnance posty). Myslim, ze kdyz jim prineses zadost o certifikat na CD, tak to zvladnou precist. Certifikat si pak muzes stahnout z netu nebo nechat poslat mailem (a nakonec by mel i jit vytisknout a nadatlovat rucne).

14.9.2005 21:35 diverman | skóre: 32 | blog: život s tučňáčkem
Rozbalit Rozbalit vše Re: Disketu???

Viz můj článek v blogu.

deb http://ftp.cz.debian.org/debian jessie main contrib non-free

14.9.2005 22:12 hufhendr | skóre: 33 | blog: U hufhendra
Rozbalit Rozbalit vše Re: Disketu???

Co jsem mluvil s operátorkami přímo na kontaktním místě v Jindřišské ulici, tak prý berou bez problémů i USB flashdisky. Pravděpodobně tedy i CDROM, ale garantují pouze tu disketu. Zřejmě nejsou všude stejně vybaveni nebo proškoleni. Takže já bych doporučoval nejprve telefonicky ověřit aktuální stav. Pan Šlancar z české pošty neměl problém otestovat ani žádost poslanou v textové formě e-mailem. Naopak operátorky na CA si s tím už neporadily a chtěli žádost jako přílohu.

Je to pro poštu věc poměrně dost nová, moc certifikátů zatím vydáno není, takže od operátorek nemůžete očekávat nějaké extra zkušenosti a znalosti. Spíše bych doporučoval trpělivost. Snahu ale mají a tento postup funguje.

15.9.2005 07:44 Petr Jelínek | skóre: 17 | blog: Vyprovokovanej | Praha
Rozbalit Rozbalit vše Re: Disketu???

Tak to mě tedy pošta velmi příjemně překvapuje. Uvidím, vyzkouším. Ten flashdisk bych považoval za optimální alternativu.

Nemám rád NVidii!

15.9.2005 12:46 hufhendr | skóre: 33 | blog: U hufhendra
Rozbalit Rozbalit vše Re: Disketu???

Stejně si to z toho flashdisku překopírují na disketu :)

27.9.2005 21:52 T.
Rozbalit Rozbalit vše Re: Disketu???

Samozřejmě. U ICZ eště o ničem jiném neslyšeli :-)

) takže veškerej soft těch operátorek to neumí :(

30.4.2007 21:22 Honza
Rozbalit Rozbalit vše Re: Disketu???

potvrzuji ze FlashDisky na poste berou, a musim rict ze byli prijemni a vedeli co delaji, diky ceska post btw, upozorneni pro militantni pravicaky - muj nazor radeji ignorujte, ceska posta je hnusny statni podnik ktery z definice nemuze delat nic dobre, zeeee .-)

Tak uz jsem take stastnym majitelem certifikatu.

Jedine co me zarazilo bylo, ze zpusob jakym openssl vlozil do certifikatu moji emailovou adresu nebyl pro jejich RA srozumitelny a email se nenacetl.

Druhy problem byl s diakritikou. Po chvili boje s parametrem -utf8 u openssl jsem zadost vytvoril bez diakritiky. To vzali na poste bez problemu, diskritiku sami pred vydanim certifikatu doplnili.

Jinak zaslouzi pochalu, mel jsem certifkat od ICA a na poste byli milejsi, rychlejsi, profesionalnejsi a vubec fajn. Rovnou jsem rekl, ze jsem zadost delal po Linuxem a tak si nejsem jisty, ze je v poradku, ale pani rekla: "Bez problemu, podivam se Vam na to".

Jakozto bezpecak mam jediny problem, musel jsem podepsat papir, ze mi byl vydan certifikat s SHA sumou XY, aniz bych mel jakoukoliv moznost si to overit. Bylo to i jedine co je prekvapilo, zrejme jeste nikoho nenapadlo, ze by si mohl vzit certifikat, prozkoumat jej a teprve potom podepsat papiry. Jejich pravidla rikaji, vy nam papir, my vam disketu a certifikatem.

I'm an Igor, thur. We don't athk quethtionth. Really? Why not? I don't know, thur. I didn't athk. TP -- Making Money

musím říct, že tenhle postup pořád funguje a děkuji za něj...

jen pár změn: 1. vygeneruju na postsignum.cz (win + iexplore) žádost o certifikát, poznamenám si však jenom číslo žádosti, nepotřebuju žádnou flash, nebo disketu 2. zajdu na poštu, řeknu číslo a vydají mi crt + pem 3. vzal jsem si private key z pfx souboru

openssl pkcs12 -in cert_z_windows.pfx -nocerts -out privateKey.pem

4. zkombinoval s vydaným pem od pošty

openssl pkcs12 -export -name "PostSignum" -in cert_post.pem -inkey private.key -certfile postsignum_qca_root.crt -out post.p12

a zdá se že to funguje!

Jak na kvalifikovaný certifikát České pošty?

Hodnocení: -

Komentáře