Kvalifikovaný certifikát od ICA pomocí openssl (diskuse)

Heh, co to je, za exota ze u kvalifikovaneho certifikatu vyzaduje konkretni certifikacni autoritu? :-D

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

26.3.2009 07:03 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl

Tak např. se celníkama se jinak, nežli s certifikátama od pošty, nebo ica nedomluvíš ;-)

Zdar Max

Měl jsem sen ... :(

26.3.2009 09:42 Libor Tvrdík | skóre: 2 | blog: Linuxová kapsička
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl

Ten exot se jmenuje Zákon č. 227/2000 Sb. respektive novelizovaná verze č. 440/2004 Sb. Požadavky na vydávání kvalifikovaného certifikátu jsou poměrně přísné a náklady obrovské, proto se do tohoto procesu nikdo nežene. V současné době máme pouze dva kvalifikované poskytovatele. A jak se zdá (rozhodnutí o umožnění přístupu do datových schránek pouze pomocí jméno/heslo, tedy bez nutnosti využít kvalifikovaný certifikát) dlouho to tak zůstane. Náš trh je prostě malý.

26.3.2009 11:03 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl

26.3.2009 16:13 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl

No to je sice moc hezke, ale trochu mi unika cely smysl tveho zapisku. Cely tvuj prispevek je totiz jednoznacnym dukazem, ze pozadovat u kvalifikovaneho certifikatu konkretni certifikacni autoritu naprosta blbost. Prave proto se tomu rika kvalifikovany a prave proto musi dana certifikacni autorita splnit docela prisne podminky aby bylo jedno ktera autorita dany certifikat vydala.

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

26.3.2009 16:51 caha | skóre: 1 | blog: Cahas_blog
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl

Nektere lidi nema cenu presvedcovat :) ... "nas zakaznik, nas pan" ;). Ale je pravda, ze v te dobe, kdy jsme poprve o certifikat zadali, postsignum teprve zacinalo a ica byla v te dobe jedinou certifikacni autoritou, ktera vam byla schopna zaroven poskytnout mpsv identifikator, takze kdyz uz jsem si ho porizoval, ani jsem se tomu nebranil ....

caha

aktuálně vyžaduje 1.CA "drobnou" změnu a to přechod z SHA-1 na SHA-2, čili do openssl.cnf přidat řádek:
default_md = sha256
a žádost o certifikát generovat:

openssl req -sha256 -config openssl.cnf -newkey rsa:2048 -nodes -utf8 -out /tmp/newreq.pem -keyout /tmp/privkey.pem

taky bych chtěl poděkovat panu Jančíkovi z 1.CA za pomoc

13.1.2012 10:03 caha | skóre: 1 | blog: Cahas_blog
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl

doplnil jsem do textu ,,, diky caha

Dnes jsem si chtel udelat podle tohoto navodu u ICA novy certifikat pro epodpis a neproslo to. Pro duvody jsem se musel obratit na technickou podporu, ktera reagovala prijemne rychle:

jsou tam 2 chyby.

Položka name nesmí být v prvotním certifikátu přítomna. E-mail nesmí být uveden v předmětu certifikátu, pokud e-mail chcete uvést, pak v rámci subjectAltName.

25.5.2017 12:04 caha | skóre: 1 | blog: Cahas_blog
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl

zajimave ... musel bych videt tu vygenerovanou zadost nebo konfigurak, jak jste ji generoval. Nerikali z podpory, jak stare jsou to zmeny? Cca pred mesicem jsem svuj certifikat obnovoval, na .cnf souboru jsem nic nemenil a vsechno probehlo bez problemu ... polozku Name (OID=2.5.4.41) tam mam a e-mail mam porad v polozce emailAddress (OID=1.2.840.113549.1.9.1).

25.5.2017 12:43 František
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl

Generoval jsem to přesně podle tohoto návodu, v konfiguráku jsem jen vyměnil faktické údaje a vygeneroval jsem to taky uvedeným příkazem. Z toho textu od podpory (který jsem odcitoval beze změny) bych to chápal tak, že nutnost absence Name se vztahuje jen na iniciální certifikát, takže při obnově to nejsistíte. A s tím emailem si to taky nedokážu vysvětlit, musím se na ten vygenerovaný request pořádně podívat, jestli tam nezafungovala nějaká automagie. Až se mi podaří to protlačit, dám sem výsledek.

26.5.2017 12:57 František
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl

Dnes už se vygenerování certifikátu na ICA povedlo, takže potvrzuji, co bylo napsáno z podpory - pro iniciální vystavení certifikátu je v příkladu v článku potřeba zakomentovat položky name a emailAddress a emailovou adresu uvést až v sekci v3_req jako

subjectAltName = email:ferda@mravenec.cz

K tomu emailu jsem googloval a na několika nezávislých místech (např. http://www.macfreek.nl/memory/Email_in_certificates) jsem četl, že správnější je opravdu uvádět email v subjectAltName, takže proto asi ICA změnila politiku, jen se asi nedozvíme kdy, protože paní na výdejním místě to nevěděla a na podporu jen kvůli tomu psát nebudu. Ve specifikacích se píše, že emailAddress se má akceptovat z důvodů kompatibility se staršími implementacemi i v DN a proto je to asi u již vydaných certifikátů tolerovatelné.

26.5.2017 13:38 caha | skóre: 1 | blog: Cahas_blog
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl

jj, tak to museli zmenit fakt nedavno. Ok, diky za info ... zapracuju do navodu

Informace z tohoto článku, vlastních poznatků i mnoha jiných článků pro další scénáře použití digitálního podpisu jsem sepsal do podoby spustitelných shellových skriptů a založil na to repozitář na GitHub https://github.com/calaveraInfo/podpis. Přijde mi to použitelnější a do budoucna životaschopnější, než slovní návod. Budu rád za jakoukoli spolupráci.

11.3.2018 10:20 caha | skóre: 1 | blog: Cahas_blog
Rozbalit Rozbalit vše Re: Kvalifikovaný certifikát od ICA pomocí openssl

bezva :) ... jj, v te dobe github nebyl, tak abclinuxu byla nejschudnejsi cesta.