Stránka 3 z 3

Re: Komunikace s úřady - certifikáty české pošty

Napsal: sob 28. úno 2015 11:25:43
od xtonda
Samozřejmě že to lze, ale musíš uvést více podrobností. V jaké podobě v jaké aplikaci ho máš na těch Windows a kam konkrétně ho chceš dostat do toho linuxu?

Re: Komunikace s úřady - certifikáty české pošty

Napsal: sob 28. úno 2015 11:54:01
od xsouku04
Veřejný klíč si každý může stáhnout odsud http://www.postsignum.cz/certifikaty_uzivatelu.html
Je veřejný, není to nic tajného.
Naproti tomu privátní klíč, ten bývá spolu v s veřejným klíčem chráněn heslem např. v kontejneru pkcs12, což je soubor s koncovou p12.
Privátní klíč se běžně bez této ochrany vůbec nepřenáší.

Re: Komunikace s úřady - certifikáty české pošty

Napsal: sob 28. úno 2015 12:18:49
od xtonda
Ano, pro přenášení slouží PKCS 12 kontejner, ovšem ten je potřeba nejprve si vytvořit exportem z prohlížeče, klíče se typicky generují v prohlížeči, ten pak pošle CSR a veřejný klíč certifikační autoritě, tak na základě těchto údajů ověří, že žadatel je držitelem příslušného privátního klíče a jeho identitu a to osvědčí svým podpisem v podobě vydaného certifikátu.

Taky je možné klíče a CSR vygenerovat třeba v openssl a napastovat to formuláře na webu CA, ale to už vyžaduje určité znalosti, to nepředpokládám že je tento případ, to by se dotyčný takto neptal.

Re: Komunikace s úřady - certifikáty české pošty

Napsal: sob 28. úno 2015 21:42:37
od STP
Děkuji za zájem.
Certifikát spravuji jejich programem iSignum a je někde v systémovém
úložišti Wind.
Záloha celého certifikátu je skutečně p12.
Takže pokud je to správně, a dokonce Postsign. má i program pro Linux,
(i když bohužel v javě ;) mohl bych to snad zvládnout.
Kam ho dát v Linuxu - poraďte, počítal jsem s Firefoxem, nevíte cestu k
zaheslování úložiště? Případně je tam ještě nějaký problém, který bych
měl vědět dopředu?

Re: Komunikace s úřady - certifikáty české pošty

Napsal: sob 28. úno 2015 21:52:41
od xtonda
Firefox má pro klíče vlastní úložiště, importovat p12 umí, pro zašifrování uložených důvěrných údajů (klíče, hesla) je potřeba ve Firefoxu nastavit master heslo.

Re: Komunikace s úřady - certifikáty české pošty

Napsal: sob 28. úno 2015 22:09:18
od xsouku04
Postupujte podle tohoto návodu http://www.utexas.edu/its/help/user-certs/817
Je to nezávislé na OS, takže stejné i v Linuxu. Žádný jejich Java program není třeba, ten se používá jen pro generování.

Re: Komunikace s úřady - certifikáty české pošty

Napsal: sob 28. úno 2015 22:34:43
od STP
Děkuji, v hluboké úctě, dokonalejší to skutečně už být nemohlo.
Pokud bych to nezvládl, musel bych se už stydět.

Re: Komunikace s úřady - certifikáty české pošty

Napsal: pát 03. bře 2017 10:33:47
od xsouku04
Tak jsem po roce opět nucen zabývat se touto trafikou. Tentokráte jsem šel cestou nejmenšího odporu a využil jejich aplikaci pro Windows. Mám nyní již zálohu nového certifikátu p12 (vše je jednoduché), kterou mohu nainstalovat do Firefoxu v Linuxu, jak je libo. Zbývá dořešit, jak již zazálohované certifikáty z Windows smazat. Mít je uložené ve Windows úložišti totiž není bezpečné.
Viz citace z dokumentuhttps://www.google.cz/url?sa=t&rct=j&q=&esrc=s& ... nXL1WtNXPA :
3.2 Privátní klíč uložen v systémovém úložišti Windows
Uložení privátních klíčů v systémovém úložišti Windows nelze považovat za bezpečný způsob uložení. Při infiltraci počítače malwarem nebo při přímém přístupu osoby existuje riziko zcizení klíčů zde uložených. Existují techniky, jak získat klíče uložené v systémovém úložišti, které byly označeny jako neexportovatelné.
Pokud přesto budete tuto variantu využívat, pak doporučujeme nastavit heslo, jež bude vyžadováno při každém přístupu ke klíčům, a nastavit příznak neexportovatelnosti privátních klíčů v rámci procesu importu. Neexportovatelnost nenastavujte, pokud budete privátní klíč potřebovat naimportovat do tokenu a máte jej uložen v systémovém úložišti. Postup exportu je popsán v Jak exportovat privátní klíč do souboru.
Veškeré operace s privátními klíči jsou prováděny na Vašem zařízení a systém získává pouze výsledek.
Postup pro získání páru privátního a veřejného klíče, které budou uloženy v systémovém úložišti Windows, je popsán v Jak získat pár privátního a veřejného klíče.
Tak už jsem na to přišel. Certifikát lze smazat pomocí Internet Exploreru, který je naštěstí stále přítomen i ve Windows 10 - jen schovali ikonky, protože tlačený Edge práci s certifikáty neumí - ani vypsat info o použitém certifikátu. a léta si za to nechá Microsoft na svém fóru nadávat.

V Internet Exporeru lze certifikáty nalézt v menu Nástroje->Možnosti internetu->Obsah->Certifikáty. Jedná se o certifikáty uložené v interním úložišti Windows. S obrázky je to popsáno zde. Ve Firefoxu jsem svůj nový certifikát nenašel, zjevně si je spravuje sám. (Firefox má certifikáty v menu Možnosti->Rozšířené>Certifikáty)

Pomocí Internet Exploreru je možné certifikát nejen smazat, ale importovat nebo zálohovat do p12 souboru. Podobně jako můžete provést zálohu vy, může záloho/krádež provést kdokoli, kdo se dostane na chvíli k počítači. (tedy pokud vše necháte tak, jak vám to aplikace od postsignum připravila) Nemluvě o tom, že to lze i na dálku. Jistější tedy je, certifikáty smazat a používat je jen v Linuxu ve firefoxu/thunderbird, chráněné master heslem, který je odolnějším proti virům.

Re: Komunikace s úřady - certifikáty české pošty

Napsal: pát 03. bře 2017 12:03:34
od xtonda
3.2 Privátní klíč uložen v systémovém úložišti Windows
Uložení privátních klíčů v systémovém úložišti Windows nelze považovat za bezpečný způsob uložení. Při infiltraci počítače malwarem nebo při přímém přístupu osoby existuje riziko zcizení klíčů zde uložených. Existují techniky, jak získat klíče uložené v systémovém úložišti, které byly označeny jako neexportovatelné.
Pokud přesto budete tuto variantu využívat, pak doporučujeme nastavit heslo, jež bude vyžadováno při každém přístupu ke klíčům, a nastavit příznak neexportovatelnosti privátních klíčů v rámci procesu importu. Neexportovatelnost nenastavujte, pokud budete privátní klíč potřebovat naimportovat do tokenu a máte jej uložen v systémovém úložišti. Postup exportu je popsán v Jak exportovat privátní klíč do souboru.
Veškeré operace s privátními klíči jsou prováděny na Vašem zařízení a systém získává pouze výsledek.
Postup pro získání páru privátního a veřejného klíče, které budou uloženy v systémovém úložišti Windows, je popsán v Jak získat pár privátního a veřejného klíče.
Bez popisu konkrétní zranitelnosti je to jen blábol.
Jinak certifikát od Postsignum QCA mám taky a prakticky ho nepoužívám, v čím dál víc situacích se pro ověření identity dá alternativně použít single signon přes Datové Schránky, takže váhám, jestli si ho obnovovat.

Pro obnovu používám prohlížeč (už si nepamatuju jestli IE nebo FF) přišlo mi to taky snadné a pohodlné.