Komunikace s úřady - certifikáty české pošty
Re: Komunikace s úřady - certifikáty české pošty
Samozřejmě že to lze, ale musíš uvést více podrobností. V jaké podobě v jaké aplikaci ho máš na těch Windows a kam konkrétně ho chceš dostat do toho linuxu?
- xsouku04
- Administrátor
- Příspěvky: 8167
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Komunikace s úřady - certifikáty české pošty
Veřejný klíč si každý může stáhnout odsud http://www.postsignum.cz/certifikaty_uzivatelu.html
Je veřejný, není to nic tajného.
Naproti tomu privátní klíč, ten bývá spolu v s veřejným klíčem chráněn heslem např. v kontejneru pkcs12, což je soubor s koncovou p12.
Privátní klíč se běžně bez této ochrany vůbec nepřenáší.
Je veřejný, není to nic tajného.
Naproti tomu privátní klíč, ten bývá spolu v s veřejným klíčem chráněn heslem např. v kontejneru pkcs12, což je soubor s koncovou p12.
Privátní klíč se běžně bez této ochrany vůbec nepřenáší.
Re: Komunikace s úřady - certifikáty české pošty
Ano, pro přenášení slouží PKCS 12 kontejner, ovšem ten je potřeba nejprve si vytvořit exportem z prohlížeče, klíče se typicky generují v prohlížeči, ten pak pošle CSR a veřejný klíč certifikační autoritě, tak na základě těchto údajů ověří, že žadatel je držitelem příslušného privátního klíče a jeho identitu a to osvědčí svým podpisem v podobě vydaného certifikátu.
Taky je možné klíče a CSR vygenerovat třeba v openssl a napastovat to formuláře na webu CA, ale to už vyžaduje určité znalosti, to nepředpokládám že je tento případ, to by se dotyčný takto neptal.
Taky je možné klíče a CSR vygenerovat třeba v openssl a napastovat to formuláře na webu CA, ale to už vyžaduje určité znalosti, to nepředpokládám že je tento případ, to by se dotyčný takto neptal.
Re: Komunikace s úřady - certifikáty české pošty
Děkuji za zájem.
Certifikát spravuji jejich programem iSignum a je někde v systémovém
úložišti Wind.
Záloha celého certifikátu je skutečně p12.
Takže pokud je to správně, a dokonce Postsign. má i program pro Linux,
(i když bohužel v javě mohl bych to snad zvládnout.
Kam ho dát v Linuxu - poraďte, počítal jsem s Firefoxem, nevíte cestu k
zaheslování úložiště? Případně je tam ještě nějaký problém, který bych
měl vědět dopředu?
Certifikát spravuji jejich programem iSignum a je někde v systémovém
úložišti Wind.
Záloha celého certifikátu je skutečně p12.
Takže pokud je to správně, a dokonce Postsign. má i program pro Linux,
(i když bohužel v javě mohl bych to snad zvládnout.
Kam ho dát v Linuxu - poraďte, počítal jsem s Firefoxem, nevíte cestu k
zaheslování úložiště? Případně je tam ještě nějaký problém, který bych
měl vědět dopředu?
Re: Komunikace s úřady - certifikáty české pošty
Firefox má pro klíče vlastní úložiště, importovat p12 umí, pro zašifrování uložených důvěrných údajů (klíče, hesla) je potřeba ve Firefoxu nastavit master heslo.
- xsouku04
- Administrátor
- Příspěvky: 8167
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Komunikace s úřady - certifikáty české pošty
Postupujte podle tohoto návodu http://www.utexas.edu/its/help/user-certs/817
Je to nezávislé na OS, takže stejné i v Linuxu. Žádný jejich Java program není třeba, ten se používá jen pro generování.
Je to nezávislé na OS, takže stejné i v Linuxu. Žádný jejich Java program není třeba, ten se používá jen pro generování.
Re: Komunikace s úřady - certifikáty české pošty
Děkuji, v hluboké úctě, dokonalejší to skutečně už být nemohlo.
Pokud bych to nezvládl, musel bych se už stydět.
Pokud bych to nezvládl, musel bych se už stydět.
- xsouku04
- Administrátor
- Příspěvky: 8167
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Komunikace s úřady - certifikáty české pošty
Tak jsem po roce opět nucen zabývat se touto trafikou. Tentokráte jsem šel cestou nejmenšího odporu a využil jejich aplikaci pro Windows. Mám nyní již zálohu nového certifikátu p12 (vše je jednoduché), kterou mohu nainstalovat do Firefoxu v Linuxu, jak je libo. Zbývá dořešit, jak již zazálohované certifikáty z Windows smazat. Mít je uložené ve Windows úložišti totiž není bezpečné.
Viz citace z dokumentuhttps://www.google.cz/url?sa=t&rct=j&q=&esrc=s& ... nXL1WtNXPA :
V Internet Exporeru lze certifikáty nalézt v menu Nástroje->Možnosti internetu->Obsah->Certifikáty. Jedná se o certifikáty uložené v interním úložišti Windows. S obrázky je to popsáno zde. Ve Firefoxu jsem svůj nový certifikát nenašel, zjevně si je spravuje sám. (Firefox má certifikáty v menu Možnosti->Rozšířené>Certifikáty)
Pomocí Internet Exploreru je možné certifikát nejen smazat, ale importovat nebo zálohovat do p12 souboru. Podobně jako můžete provést zálohu vy, může záloho/krádež provést kdokoli, kdo se dostane na chvíli k počítači. (tedy pokud vše necháte tak, jak vám to aplikace od postsignum připravila) Nemluvě o tom, že to lze i na dálku. Jistější tedy je, certifikáty smazat a používat je jen v Linuxu ve firefoxu/thunderbird, chráněné master heslem, který je odolnějším proti virům.
Viz citace z dokumentuhttps://www.google.cz/url?sa=t&rct=j&q=&esrc=s& ... nXL1WtNXPA :
Tak už jsem na to přišel. Certifikát lze smazat pomocí Internet Exploreru, který je naštěstí stále přítomen i ve Windows 10 - jen schovali ikonky, protože tlačený Edge práci s certifikáty neumí - ani vypsat info o použitém certifikátu. a léta si za to nechá Microsoft na svém fóru nadávat.3.2 Privátní klíč uložen v systémovém úložišti Windows
Uložení privátních klíčů v systémovém úložišti Windows nelze považovat za bezpečný způsob uložení. Při infiltraci počítače malwarem nebo při přímém přístupu osoby existuje riziko zcizení klíčů zde uložených. Existují techniky, jak získat klíče uložené v systémovém úložišti, které byly označeny jako neexportovatelné.
Pokud přesto budete tuto variantu využívat, pak doporučujeme nastavit heslo, jež bude vyžadováno při každém přístupu ke klíčům, a nastavit příznak neexportovatelnosti privátních klíčů v rámci procesu importu. Neexportovatelnost nenastavujte, pokud budete privátní klíč potřebovat naimportovat do tokenu a máte jej uložen v systémovém úložišti. Postup exportu je popsán v Jak exportovat privátní klíč do souboru.
Veškeré operace s privátními klíči jsou prováděny na Vašem zařízení a systém získává pouze výsledek.
Postup pro získání páru privátního a veřejného klíče, které budou uloženy v systémovém úložišti Windows, je popsán v Jak získat pár privátního a veřejného klíče.
V Internet Exporeru lze certifikáty nalézt v menu Nástroje->Možnosti internetu->Obsah->Certifikáty. Jedná se o certifikáty uložené v interním úložišti Windows. S obrázky je to popsáno zde. Ve Firefoxu jsem svůj nový certifikát nenašel, zjevně si je spravuje sám. (Firefox má certifikáty v menu Možnosti->Rozšířené>Certifikáty)
Pomocí Internet Exploreru je možné certifikát nejen smazat, ale importovat nebo zálohovat do p12 souboru. Podobně jako můžete provést zálohu vy, může záloho/krádež provést kdokoli, kdo se dostane na chvíli k počítači. (tedy pokud vše necháte tak, jak vám to aplikace od postsignum připravila) Nemluvě o tom, že to lze i na dálku. Jistější tedy je, certifikáty smazat a používat je jen v Linuxu ve firefoxu/thunderbird, chráněné master heslem, který je odolnějším proti virům.
Re: Komunikace s úřady - certifikáty české pošty
Bez popisu konkrétní zranitelnosti je to jen blábol.3.2 Privátní klíč uložen v systémovém úložišti Windows
Uložení privátních klíčů v systémovém úložišti Windows nelze považovat za bezpečný způsob uložení. Při infiltraci počítače malwarem nebo při přímém přístupu osoby existuje riziko zcizení klíčů zde uložených. Existují techniky, jak získat klíče uložené v systémovém úložišti, které byly označeny jako neexportovatelné.
Pokud přesto budete tuto variantu využívat, pak doporučujeme nastavit heslo, jež bude vyžadováno při každém přístupu ke klíčům, a nastavit příznak neexportovatelnosti privátních klíčů v rámci procesu importu. Neexportovatelnost nenastavujte, pokud budete privátní klíč potřebovat naimportovat do tokenu a máte jej uložen v systémovém úložišti. Postup exportu je popsán v Jak exportovat privátní klíč do souboru.
Veškeré operace s privátními klíči jsou prováděny na Vašem zařízení a systém získává pouze výsledek.
Postup pro získání páru privátního a veřejného klíče, které budou uloženy v systémovém úložišti Windows, je popsán v Jak získat pár privátního a veřejného klíče.
Jinak certifikát od Postsignum QCA mám taky a prakticky ho nepoužívám, v čím dál víc situacích se pro ověření identity dá alternativně použít single signon přes Datové Schránky, takže váhám, jestli si ho obnovovat.
Pro obnovu používám prohlížeč (už si nepamatuju jestli IE nebo FF) přišlo mi to taky snadné a pohodlné.