Měl jsem na výběr z následujících "autorit".
VeriSign (http://www.verisign.com/) - na jejich stránkách jsem nic jako kvalifikovaný certifikát nenašel.
Následní dva trafikanti mají společné to, že se rozhodli, že budou vydávat certifikáty maximálně na rok. Zjevně proto, aby zákazníka nutili s nimi udržovat dlouhodobý vztah a platit. (Oficiální záminka je bezpečnost)
I. CA (http://www.ica.cz/)
PostSignum (http://www.postsignum.cz/)
Rozhodl jsem se pro poslední - poštu - má nejvíce poboček a zdá se být levnější.
Jaké všechny formuláře je třeba vyplnit píší zde : http://www.postsignum.cz/postup_pro_zis ... ikatu.html
Další věc je, že je třeba generovat žádost o certifikát, což znamená pro ty, co nemají windows, že je nutné si stáhnout pragram v Javě, který má verzi i pro Linux. Návod k programu. Generování žádosti pomocí tohoto programu říkají off-line generování. V mém případě, kdy vystupuji jako jednatel firmy, jsem zvolil Kvalifikovaný certifikáte - certifikát zaměstnance. Výsledkem je poté certifikát s politikou "Kvalifikovaný osobní certifikát". Programem vygenerovaný soubor cert_sign.req si nahraji na flešku a jdu s ním na poštu. (osobně jsem "zapomněl odmountovat" a tak jsem to musel opakovat protože soubor se nestihnul opravdu uložit.) Na Czech-point. Na poštu běžte v rozumnou dobu, protože u okýnka to může trvat až 40 minut a můžete tak celou poštu "ucpat".
Výsledkem je soubor QCA159XXXX.crt na flešce, tedy ne jak jsem čekal veřejný a privátní klíč.
Tento soubor žere onen Java program, který mi z něj pak po zadání dalšího hesla podle návodu vyplivne soubor cert_sign.p12. Tento soubor zdá se již umí otevřít např Kleopatra, Thunderbird nebo Firefox, pokud zadáme stejné heslo. V něm by měl být obsažen jak privátní tak veřejný klíč ve formátu pkcs12, zašifrován heslem.
Privátní a veřejný klíč lze ze souboru cert_sign.p12 získat v konzoli následovně:
Kód: Vybrat vše
# nutné zadat heslo pro uložení privátního klíče, pokud by se zadalo prázdné heslo uloží nesmysl
openssl pkcs12 -in cert_sign.p12 -nocerts -out privat-key.pem
# zašifrování privátního klíče heslem pak mohu odstranit
openssl rsa -in privat-key.pem -out privat-key_nopass.pem
openssl pkcs12 -in cert_sign.p12 -nokeys -out cert.pem
# certifikát mohu pak použít např. pomocí wget automatizovaně
wget --no-check-certificate --certificate=cert.pem --private-key=privat-key_nopass.pem https://rnpdbf.cnpac.cz/rnpdbf/filedownload/download?file_name=fix_resync_2023_04_17_00_00.csv -O fix_resync_2023_04_17_00_00.csv
Protože pošta je pofiderní autorita, je nutné si ji jako autoritu též doinstalovat z tohoto zdroje.
Vydané certifikáty je pak možné najít podle emialu a stáhnout veřejné části DER,PEM a TXT http://www.postsignum.cz/certifikaty_uzivatelu.html Pokud to zrovna nejde, smažte si veškeré cookies od
postsignum.cz
Pokud chcete certifikát prodloužit a nemáte Internet Explorer, je potřeba to udělat podepsaným emailem dříve než původní certifikát vyprší. Na poštu není nutné chodit. Postup je úplně stejný jako u nové žádosti, použijete Java program PostSignum Tool Plus. Postup je popsán výše. Stačí odpovědět podepsaným emailem na email který informuje u vypršení původního certifikátu a přiložit soubor cert_sign.req jako přílohu. V tomto emailu jsou totiž uvedeny všechny detaily, které mohou na postsignum potřebovat.
Nastavit thunderbird pro používání podpisu.
Aby privátní klíč "nešel" ukrást, je třeba si nastavit master heslo. Jinak lze zkopírovat celá konfigurace thunderbirdu včetně certifikátů na jiný počítač a nic nebrání jejímu použití.