Digitální podpisy - obnova certifikátů

Od: hooonza 13.08.08 18:29 odpovědí: 6 změna: 14.08.08 16:19

Hezký den, už si nějakou dobu lámu hlavu s následující otázkou a nikde nemůžu najít odpověď: pro testování a rodinu používáme digitální podpisy, pro jejich správu program xca ( xca.sourceforge.net/... Vše funguje jak má. Xca umožňuje obnovit certifikát po uplynutí doby jeho platnosti - vytvoří kopii certifikátu se stejným soukromým klíčem, jen je jiná doby platnosti.
Teď otázka: jak distribuovat tento obnovený certifikát? Není problém vyexportovat celý obnovený podpis i se soukromým klíčem (soubor PKCS12) a ten uživateli dopravit. Ale chci se vyhnout posílání podpisů se soukromým klíčem mailem (a možnost dovézt podpisy osobně nechávám jako poslední).
Přesto, když jsem teď obnovoval certifikát autorizované CA, přišly v mailu jenom certifikáty (*.cer, tj. bez soukromého klíče) a po spuštění nějakého skriptu se certifikáty ve správci certifikátů obnovily. Jakým způsobem?
Když dám ve správci certifikátů u klíče volbu obnovit certifikát se shodným klíčem, dočkám se jediného hlášení: Průvodce nelze spustit, protože se nepodařilo kontaktovat adresář služby Active Directory. Přesto se výše uvedenému skriptu povedlo certifikáty obnovit?
Jak tedy obnovit elektronické certifikáty (S/MIME) bez toho, abych musel posílat mailem soukromé klíče, aby stačilo poslat uživatelům jenom samotné certifikáty?
Díky! H.

Odpovědět na otázku Skočit na nejnovější odpověď

6 odpovědí na otázku

Řazeno dle hodnocení

kovis®

14.08.08 09:11

Dobrý den, odpověď na otázku neznám, ale neodpustím se jednu věc. At už se vám podaří vyřešit problém nebo ne, tak v žádném případě nikomu nedávejte certifikát se svým soukromým klíčem! Ani osobně, natož mailem. Je to jako byste někomu dal podepsaný prázdný papír.

kovis®

14.08.08 09:26

Ještě k té druhé polovině - pokud certifikáty máte jako soubory *.cer, můžete je importovat přes menu ve správci certikátů. Totéž lze provést automazovaně pomocí skriptování (tímto se importovaly kvalifikované cerifikáty CA). Pokud tyto certifikáty nemáte, můžete o ně požádat pomocí integrované funkce, která ale spolupracuje se serverem Active Directory, což není překvapující vzhledem k tomu, že správce je součástí Windows. Správce cerifikátů ale není schopen certikát sám vytvořit, pokud vaše otázka směřovala k tomuto.

Ve vašem případě to tedy musíte provést prvním způsobem, tj. získat soubory z xca a importovat ručně či automatizovaně, ale bohužel tuto aplikaci vůbec neznám. Nahlédnul jsem okrajově do dokumentace a je na výběr z několik výstupních formátů, zkuste v ní hledat.

hooonza

14.08.08 15:37

No - o to právě jde. Certifikát *.cer mám a můžu importovat - ale importem se starý certifikát neobnoví. Nový certifikát se naimportuje, kam budu chtít, ale součástí toho importovaného certifikátu nebude soukromý klíč.
Když kliknu pravým myšítkem na starý klíčnajdu tam možnost obnovit certifikát se shodným klíčem, což je asi to, o co mi jde. Teď je ve hře ta spolupráce se serverem Active Directory. Tomu vůbec nerozumím. Kde to dostanu, jak to pustím? Z toho, co nacházím na internetu ( google.cz/... zrovna 3x moudrý nejdem...
Díky! h

kovis®

14.08.08 15:56

Pokud se nenajde někdo, kdo bude schopen pomoci, tak se na to ve volném čase mrknu, jak se s tím má pracovat.

Certifikát NELZE prodloužit a obnovit. Můžete naimportovat nový (existují v té chvíli oba dva), a pak starý smazat. Od té chvíle podepisujete novým. Příjemce v té chvíli už musí mít nový certifikát s vaším veřejným klíčem. Můžete je tam také nechat oba dva a do konce jejich platnosti je na střídačku oba používat.

Správce cerifikátů umožňuje s těmito certifikáty pracovat. Certifikát ale musí vydat někdo jiný - certifikační autorita. Certifikační autoritou může být veřejná certifikační autorita (I.CA, Česká pošta, Thawte atd.), lokální certifikační autorita (server Active Directory) nebo jiná aplikace, která umí generovat certifikáty (to je ta vaše xca). Active Directory je pouze jedna z alternativ a ta volba ve správci certifikátů je tam jenom na ulehčení práce.

Skript, který provedl obnovu udělal to, co jsem popsal: vzal odněkud certifikát (web, mail, soubor), importoval je do úložiště a původní smazal.

hooonza

14.08.08 16:19

Díky za pomoc!
Certifikát NELZE prodloužit a obnovit.
To dělám v xca, s tím není problém.
Můžete naimportovat nový
Ano: z xca vyimportuju nový certifikát. Můžu jej vyimportovat jako PKCS12 (teda i se soukromým klíčem) - v tom také není problém, pokud se týká mého klíče na mém počítači, který nemusím nikam poslat. Tento podpis potom normálně naimportuju a normálně jej můžu použít. To funguje. Mám pak nainstalované 2 certifikáty a třeba do konce platnosti můžu oba používat.
Přes internet nechci ale nikomu druhému posílat soukromý klíč, který vyexportuju z xca. Viděl jsem, že pro obnovu to ani není nutné a chci tedy zjistit, jak to udělat:
Skript, který provedl obnovu udělal to, co jsem popsal: vzal odněkud certifikát (web, mail, soubor), importoval je do úložiště a původní smazal.
Jakým způsobem vzít nově vydaný certifikát (*.cer - tedy bez soukromého klíče, který můžu také z xca vyexportovat a nebudu se jej bát poslat internetem někomu druhému), připojit k němu soukromý klíč ze starého podpisu (protože tento soukromý klíč má uživatel v počítači už nainstalovaný se starým podpisem a nový certifikát byl s tímto starým klíčem vygenerován) a uložit takto nový podpis v úložišti.
Díky!

Skočit na otázku
Vložit novou otázku

hooonza

14.08.08 15:43

Anebo, ještě jinak: onu oficiální obnovu certifikátu provedl nějaký skript bez toho, aby služba Active Directory v počítači běžela (zkoušel jsem udělat obnovu ručně a objevila se jen ta chybová hláška Průvodce nelze spustit, protože se nepodařilo kontaktovat adresář služby Active Directory.). Takže to nějak zřejmě musí jít i bez té služby?

[přidat komentář]

Přidat svou odpověď

Přihlásit se k odběru odpovědí z této otázky:

Neneseme odpovědnost za správnost informací a za škodu vzniklou jejich využitím. Jednotlivé odpovědi vyjadřují názory jejich autorů a nemusí se shodovat s názorem provozovatele poradny Poradte.cz.

Používáním poradny vyjadřujete souhlas s personifikovanou reklamou, která pomáhá financovat tento server, děkujeme.