Podepisování kódu aneb jak získat code signing certifikát

Jan Fiala, 27.01.2015 01:00, Internet, 32 odpovědí (18445 zobrazení)

Co znamená podepisování kódu a k čemu je to dobré? Podepsaná aplikace zaručuje, že nebyla po vydání autorem změněna. Měly by (úmyslně píšu měly) zmizet falešné poplachy antivirových firem, Windows se přestanou k aplikaci chovat macešsky a varovat před jejím spuštěním jako před aplikací od neznámého vydavatele. MS a Google stále zvyšuje tlak na to, aby byly aplikace a instalační programy digitálně podepsány. Možná si pamatujete, že tím MS začal hrozit v době nástupu Windows Vista - že nepodepsané aplikace nepůjdou nainstalovat, případně že poběží v nějakém jiném režimu s omezeným přístupem k prostředkům. Situace se opakuje a nyní je to Google se svým vlastním životem si žijícím Chrome, který se občas z ničehož nic rozhodne blokovat soubor, stažený z internetu. A nic s tím nenaděláte, nikam se nedovoláte. Pokud okamžitě nezačnete jednat, pomalu se blokace rozrůstá a najednou je zablokováno vše z daného serveru a pak začínají opravdové problémy.

Ale konec strašení. Co budeme potřebovat, abychom byli schopni aplikaci podepsat? No přece certifikát pro Code signing. A aby to mělo smysl, musí být vydaný nějakou ověřenou certifikační autoritou, obsaženou mezi kořenovými autoritami ve Windows a internetu vůbec (jako bych něco takového už někde slyšel).
Když si zkusíte ve vyhledávači najít Code signing certificate, zjistíte, že to vůbec není levná záležitost. Já jsem si vybral kSoftware, partnera firmy Comodo. Mimo jiné je tam šikovná utilitka, která vám podepisování zjednoduší, včetně vložení časového razítka.

Princip

Podepisování:
21439-code-signing-process-png

Ověřování:
21440-code-signing-verification-process-png

Obrázky pochází ze serveru developer.apple.com

Zatím to vypadá jednoduše - prostě si koupím certifikát a je to. Následuje moje cesta k certifikátu, která vám doufám ušetří spoustu času, pokud se do podobného dobrodružství pustíte.

Den d - žádost o certifikát

Tahle část je nejjednodušší. Prostě si na webové stránce vyplním žádost, přejdu na další stránku, zaplatím - v mém případě pomocí PayPal a mám to za sebou. Přišel mail s potvrzením objednávky. Hurá, říkám si. Mám to v suchu. A ani to nebolelo.
Já žádal jako individuální osoba, možná díky tomu jsem to pak měl trochuu jednodušší.

Doporučení 1: použijte Internet Explorer - jde o to, že potvrzením žádosti se vygeneruje request (žádost o certifikát) a ta se zapíše do úložiště certifikátů mezi žádosti. Ať pak nemusíte na konci řešit, kde máte žádost uloženu. Přesvědčit se můžete přes certmgr.msc. Použitím IE se vyhnete problémům.
Doporučení 2: uveďte pravdivé a aktuální údaje. Ušetříte si spoustu starostí v následujících dnech.

Den d+1 - doložení informací

Dostávám mail od Comodo s informací, že začal validační proces.

Požadované údaje:

1. odkaz na oficiální registr firem - tohle je v pohodě, odkaz na ARES to řeší.
Pokud by záznam v obchodním rejstříku, Ares apod. nebyl k dispozici, musel bych to doložit nějakým dalším dokladem (živnostenský list, firemní výpis z účtu, telefonní účet - pevná linka, nějaké vyúčtování energie nebo leasing), samozřejmě vše s adresou, kterou jste uvedli v žádosti.

2. ověření telefonního čísla - musíte být v nějakém oficiálním internetovém seznamu, jako Zlaté stránky nebo 1188. Oba seznamy umožňují založení záznamu zdarma. Já se našel (k mé radosti) v 1188, ale jen s pevnou linkou, mobil, který jsem uvedl v žádosti nikde nebyl. Takže hned vyplňuju žádost o založení bezplatného firemního záznamu ve Zlatých stránkách.

3. je třeba mít aktuální údaje u domény - to jsem samozřejmě neměl, takže založit tickety a protože jsem potřeboval opravit i adresu u vlastníka domény, tak to znamenalo vytisknout ticket a zaběhnout pro ověřený podpis. Matrika za 30Kč to jistí, je tam méně lidí než na Czech pointu na poště. Naštěstí stačí ověřený ticket oskenovat a poslat registrátorovi.

Přišel další dotaz z Comodo, jestli chci firemní (podepisování za firmu) nebo individuální certifikát. Potvrdil jsem, že požaduji individuální certifikát.

Dal jsem vše do pořádku a těšil jsem se, že to mám z krku. To jsem ještě nevěděl, co mne čeká dál...

Doporučení 3: pokud uvádíte odkazy na internetové stránky, používejte odkazy na anglickou verzi všude, kde je to možné a posílejte screenshoty s naznačením, kde mají klikat. Přece jen komunikujete s USA a tam mají komiksy rádi.

Den d+3 - validační proces pokračuje

Přichází další mail s odkazem na tzv. [i]face to face[/i] document. V podstatě to znamená, že chtějí, abych zašel k notáři (protože jen notář může v ČR ověřovat pro zahraničí), nechal si ověřit totožnost, nechal notáře vypsat dodatek a nechal notáře ověřit sebe na základě 2 dalších dokumentů, např. bankovní výpis a účet za telefon.

Podle pokynů mám notáře přesvědčit, aby to všechno odfaxoval do USA a já to následně poslal poštou papírově.
Nastalo mailování s Comodo validation týmem.
Vysvětlil jsem jim, že jsem z druhé strany světa a že cena za notáře, fax a poštovné by několikrát překročila cenu certifikátu (trošku jsem si vymýšlel). Dohodli jsme se na tom, že to ověřené naskenuji a pošlu. To byla pro mne schůdná cesta.

Narážím na několik problémů:
1. potřebuju notáře, který umí anglicky (nebo aspoň jeho úřednice). Naštěstí mám kontakty na soudu, tak si nechávám notáře doporučit.
2. notář nic nevyplňuje
3. notář nesmí ověřovat žádné oficiální doklady, jako OP nebo pas
4. notář neověří nic takového jako je bankovní výpis nebo účet za telefon ani z nich neudělá ověřenou kopii
5. jediné, co notář dělá je, že ověří, že jste dokument (na obsahu nezáleží) podepsali vy - to je ta dobrá informace

Takže vyplňují část, kterou mám vyplnit, ignoruji část pro notáře, před notářem dokument podepíšu (to jsem nevěděl, že jsem měl velké štěstí, že jsem notářku zastihl v kanceláři), koncipientka na druhou stranu vytiskne doložku, notářka podepíše a já s dobrým pocitem a o 36Kč lehčí odcházím.
Naskenuju dokument, přidám skeny občanky, výpisu z účtu a telefonního účtu (na všech musí souhlasit adresa!) a odesílám.

Den d+7

Přichází mail z Comodo, že neakceptují dokumenty, protože nebyly "notarized". Jedná se o skeny občanky a účtů. Marně vysvětluji, že notář v ČR nesmí ověřit doklady. Po několika mailech jsme se dohodli, že jim postačí, když to bude vše svázané dohromady a ověřené.
Současně s tím hledám cestu (konzultuji s notářem), jak to udělat, aby se Comodo nažralo a abych nemusel k něčemu nezákonnému notářku nutit s pistolí u hlavy (u její).

Výsledný tvar, který akceptuje Comodo a je schůdný i pro notáře:
Podepíšu znovu face to face dokument, na sken občanky napíšu prohlášení (česky, protože notářka anglicky neumí), v následujícím znění:
Prohlašuji, že kopie občanského průkazu souhlasí s originálem mého občanského průkazu. Podpis a datum.
Tím pádem notářka ověřuje, že jsem to podepsal a ne obsah dokumentu. Chápu, je to trochu postavené na hlavu.

Zbavuji face to face dokument spodní části (kterou notářka stejně nevyplní), aby bylo místo pro notářskou doložku.
Na výtisk s občankou píšu čestné prohlášení.
Okopíruju výpis z banky a účet za telefon a opět vyrážím k notářce. Podařilo se mi koncipientku přesvědčit, aby mi to svázala šňůrkou s přelepenou pečetí - vypadá to oficiálněji než jen přelepený a orazítkovaný rožek a v USA mají "red line" rádi.
Podepisuji face to face dokument, podepisuji čestné prohlášení na kopii občanky. A protože paní notářka není v kanceláři, nechávám tam papíry s tím, ať je podepíše, až se vrátí, že si to pak vyzvednu.

Den d+8

Následující den vyzvedávám v kanceláři notářky podepsaný dokument a odcházím lehčí o dalších 73 Kč.
S pocitem vítězství skenuju dokument tak, aby byly vidět průběžně i provázky a hlavně krásná červená pečeť na zadní straně.
Posílám e-mailem validačnímu týmu s vysvětlením, proč tam je český text a co znamená.

Kontaktovala mě paní ze Zlatých stránek, že jsem si založil záznam zdarma a hned mi nabízela, co všechno by se s tím dalo dělat - propagace, další informace... Vysvětlil jsem jí (slušně), že s tím záznamem nehodlám dělat nic.

[h2]Den d+10[/h2]

Přichází dotaz od validačního týmu, abych jim vysvětlil, co jsem jim to vlatně poslal za dokumenty, že nebyli schopní je dohledat. Pomalu si začínám myslet o pracovnících v USA něco nepěkného - mají to přece napsané na face to face dokumentu. Ale musím uznat, že občanku poznali.

Byl jsem požádán, abych jim rukou na dokumenty udělal překlad důležitých údajů a pod to napsal prohlášení, že je překlad v pořádku. Něco jako:
[/i]I hereby declare this translation to be true and accurate[/i]
Takže vytisknu naskenované dokumenty, dopíšu na to překlad, přidám prohlášení. Opět oskenuju a přiložím do e-mailu.
V rámci toho, abych jim ukázal, že jsou to skutečné výpisy a vyúčtování uvádím do mailu odkazy na banku. Na stránkách banky jsem našel výpisy z transparentních účtů, takže přidám odkaz na výpis z účtu přímo na stránkách banky, aby si mohli ověřit, že jde skutečně o bankovní výpis.
Přidávám odkaz na stránky O2 a na jejich stránkách nalézám i [urlhttp://www.o2.cz/osobni/en/224484-seznamte_se_s_fakturami _o2/#_il=lang-en-osobni-224484-seznamte_se_s_faktu rami_o2 ]popis vyúčtování v angličtině[/url].
Posílám i odkaz na nový záznam ve Zlatých stránkách, ověřující telefonní číslo.
Obsáhlý mail odesílám validačnímu týmu.

Den d+12

Přichází mail od validačního týmu, abych jim poslal odkaz na registraci notářky v nějakém oficiálním seznamu.

V odpovědi posílám odkaz na adresář notářské komory s instrukcemi, jak tam najdou notářku, co a kam je třeba zadat včetně screenshotů s postupem kam klinout.

Den d+13

Přichází mail od validačního týmu, že potřebují kontaktovat notářku a ověřit si, zda notář opravdu ověřil dokumenty. Chtějí znát kontakt a pracovní dobu.
Nerozumím tomu požadavku, protože kontakt i pracovní dobu kanceláře notářky měli v záznamu z notářské komory i na screenshotech, co jsem posílal. Kdybych začal být neslušný, tak bych si nepomohl, takže slušně odpovídám, opisuju pracovní dobu kanceláře a telefon, vysvětluju, že jsme v jiném časovém pásmu, že je mezi námi posun 6 hodin a píšu jim čas, kdy ve své pracovní době mohou zastihnout notářku a současně dávám jméno koncipientky, která by měla jako jediná v kanceláři umět anglicky.

Den d+14

Volá mi žena do práce, že někdo volal domů, mluvil anglicky a vůbec mu nebylo rozumět. Že to zřejmě byl někdo ohledně toho certifikátu, kolem kterého v poslední době běhám.
Píšu tedy z práce validačnímu týmu, zda to byli oni, kteří volali a udávám čas, kdy mne mohou doma zastihnout.

Když dorazím domů, přichází mail, že mi tedy zavolají ve stanoveném čase. Tomu nerozumím a odpovídám, že klidně mohou zavolat hned, že už jsem doma, jak jsem jim ráno psal. Za chvíli zvoní telefon, nějak se domluvím s pracovníkem, který očividně není rodilý mluvčí a rozloučíme se. Ověření telefonního čísla zřejmě proběhlo v pořádku.

Po pár minutách přichází mail s odkazem na stažení certifikátu. Stahuji, instaluji (opět použijte IE) a v osobních certifikátech mám certifikát pro podepisování kódu:

21438-jf03bm-000713-png

Nyní už zbývá certifikát pouze vyexportovat včetně privátního klíče a použít.

Závěr

Bylo to vyčerpávající, ale ten pocit na konci za to stojí.

Pár doporučení pro vyplnění žádosti:
Uveďte adresu a telefon, který můžete doložit a ověřit
Sežeňte si notáře, kde koncipient mluví anglicky (notář stejně v pracovní době v kanceláři moc nebývá).
Snažte se validačnímu týmu pomáhat, kde můžete, v odpovědích odkazujte na dokumenty a stránky, které ověřují vaše dokumenty a vypomáhejte si screenshoty s návodem, jak se k výsledku dobrat.

Co mi moc nebylo jasné:
Proč se validační tým ptá několikrát na stejné věci
Proč chce validační tým posílat informace a odkazy, které už dostali. Připadalo mi to, jako by na tom pracoval každý den někdo jiný a neměli přístup k historii komunikace. Na konci dne jen zaškrtnou, kam až se dostali.

Co mě pobavilo:
Rozdílné požadavky a zákony. Jedna strana požaduje notářem ověřené dokumenty a náš notář vlastně udělá pouze to, že ověří, že jste se před ním podepsali. Bez ohledu na to, co je na zbytku papíru, který jste podepsali. Klidně si tam napište, že jste právoplatný král Velké Moravy a nechte si to od notáře potvrdit. Budete to mít úředně ověřené. Za 36Kč to stojí, ne?

Z diskuze

Odkazy na levné code signing certifikáty:
Start.com - class 2/3 certifikát - 59 USD (není úplně jasné, zda cena je za rok nebo 2 roky)

Odpovědět


PředmětAutorDatum
Re: Podepisování kódu aneb dlouhá cesta k code sign certifikátu kmochna27.01.2015 02:24
Re: Podepisování kódu aneb dlouhá cesta k code sign certifikátu Jan Fiala27.01.2015 07:12
Re: Podepisování kódu aneb dlouhá cesta k code sign certifikátu kmochna27.01.2015 09:10
Re: Podepisování kódu aneb dlouhá cesta k code sign certifikátu Jan Fiala27.01.2015 09:38
Re: Podepisování kódu aneb dlouhá cesta k code sign certifikátu L-Core28.01.2015 13:45
Re: Podepisování kódu aneb dlouhá cesta k code sign certifikátu Jan Fiala28.01.2015 14:20
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu JR_Ewing27.01.2015 18:40
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu Jan Fiala27.01.2015 19:36
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu touchwood31.01.2015 15:46
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu Jan Fiala31.01.2015 20:08
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu kmochna01.02.2015 08:46
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu Jan Fiala01.02.2015 12:35
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu JR_Ewing02.02.2015 09:46
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu wam_Spider00727.01.2015 20:28
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu Jan Fiala27.01.2015 20:32
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu wam_Spider00727.01.2015 20:41
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu Jan Fiala27.01.2015 20:54
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu wam_Spider00727.01.2015 21:01
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu Jan Fiala27.01.2015 21:15
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu JR_Ewing27.01.2015 21:24
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu Jan Fiala27.01.2015 21:46
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu JR_Ewing28.01.2015 06:09
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu Jan Fiala28.01.2015 06:48
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu touchwood31.01.2015 15:51
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu Jan Fiala31.01.2015 20:04
Re: Podepisování kódu aneb jak získat code signing certifikát host28.01.2015 20:00
Re: Podepisování kódu aneb jak získat code signing certifikát CoCoChanel30.01.2015 16:41
Re: Podepisování kódu aneb jak získat code signing certifikát Matooo12.02.2015 13:30
Re: Podepisování kódu aneb jak získat code signing certifikát Jan Fiala17.02.2015 21:02
Re: Podepisování kódu aneb jak získat code signing certifikát Slappy17.04.2015 08:12
Re: Podepisování kódu aneb jak získat code signing certifikát Slappy17.04.2015 08:17
Re: Podepisování kódu aneb jak získat code signing certifikát poslednívandrovnik11.04.2017 23:54

Re: Podepisování kódu aneb dlouhá cesta k code sign certifikátu

Zlatý rádce kmochna, 27.01.2015 02:24
ty jsi mi dal. přítulka fachá na počtě, tak jsem se šel uptat, jestli ona může ověřit podpis- může. a hodinu mi dělala školení, že u nás to dělá pouze postsignum.cz (ca) v zastoupení počty.

když jsem se jí zeptal, jestli černoušek v honolulu na kradených windows má root ca postsignum nainstalovanej, a že existují celosvětové ca, které fungují tak nějak automaticky všude, tak nevěděla která bije.

krásně je to vidět, když si otevřu el. fakturu vodafonu:

cn=PostSignum Qualified CA 2
o=Česká pošta, s.p. [IČ 47114983]
c=CZ
---
tento certifikát není důvěryhodný.
a já si do certifikátů nebudu dávat kdejakou kravinu. dost na tom, že tam mám ssl cirkus z programu fiddler2.
--
teď už je to dobrý, už se jenom trochu hádáme.
žádné hradby, žádný příkop ani snesitelný plot. tady by neudrželi ani krávu.

↑ Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code sign certifikátu

Administrátor Jan Fiala, 27.01.2015 07:12
Postsignum neposkytuje Code signing certifikat :-( Jinak bych si to lítání po úřadech samozřejmě ušetřil (to je jedna z věcí, kterou nesnáším).
Pošta samozřejmě může ověřit podpis, ale je to platné pouze pro ČR. Platné ověření pro zahraničí je pouze notář.

Existují i nějaké možnosti, jak získat certifikát zdarma - http://www.cacert.org/, ale když jsem studoval podmínky, tak by to trvalo hodně dlouho. Musíš zskat velký počet bodů, abys dosáhl na code signing.
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code sign certifikátu

Zlatý rádce kmochna, 27.01.2015 09:10
stejně obdivuju tvou trpělivost. já bych na ně ječel už třetí den.
---
ale to mi vysvětli tu cenovou propast mezi podepsáním kódu a podepsáním třeba pdf.
principiálně se jedná o jedno a to samé (já autor podepisuji věc a zaštiťuje mě autorita, které věříš a ona zná mou totožnost- pokud se změní jediný bajtík, je podpis neplatný- takhle si to nějak představuju). na postsignum můžeš mět certifikát za nějakých 250 na rok, ale tvé odkazy na podpis kódu- to je pálka jako hrom.
žádné hradby, žádný příkop ani snesitelný plot. tady by neudrželi ani krávu.

↑ ← Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code sign certifikátu

Administrátor Jan Fiala, 27.01.2015 09:38
Na Postsignum získáš osobní kvalifikovaný certifikát, kterým jsi schopný podepisovat dokumenty, maily apod. případně serverový kvalifikovaný certifikát, který dnes stojí 1000+ (nevím přesně) a slouží pro podepisování dokumentů aplikací.
Oba jsou platné v rámci ČR.

Ani si nedovedeš představit problémy, když ti někdo ze zahraničí pošle podepsaný mail nějakou lokální autoritou a ty máš ověřovat, zda to je opravdu platně podepsané nebo ne. Dohledávání certifikátu na zahraničních serverech autorit...

Code signing certifikát je vlastně certifikát, který používá firma a slouží pro podepsání aplikace (ovladačů, třeba i maker v Excelu apod.) za firmu, takže je to obdoba našeho serverového kvalifikovaného certifikátu, jen je určen pro podepsání programu. Aby měl certifikát smysl, musí být vydán autoritou, kterou jsi schopný ověřit bez toho, abys uživatele nutil instalovat kořenové certifikáty. Takže potřebuješ nějakou autoritu, která se šíří internetem a operačními systémy automaticky - nějakého z velkých hráčů. A tomu pak odpovídá i cena.
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code sign certifikátu

Moderátor L-Core, 28.01.2015 13:45
Jinak bych si to lítání po úřadech samozřejmě ušetřil (to je jedna z věcí, kterou nesnáším).
Tak nějak přemýšlím, jestli jsi ziskem toho certifikátu nepřišel k nějakému nepeněžnímu příjmu. Něco, co by se dalo zdanit… ]:)

Honzo, velice poučné čtení. K dokonalosti působení úředního šimla v něm chybí jen jedno, nějaké to nekonečné zacyklení (abys získal A, musíš dodat B. B ti bez áčka nedají). Jednání s nerodilými mluvčími po telefonu je občas také docela adrenalinová záležitost :)

↑ ← Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code sign certifikátu

Administrátor Jan Fiala, 28.01.2015 14:20
Jistě, získal jsem další spoustu zkušeností. Jen o tom nesmím moc nahlas, aby si to nevšimli ti nahoře a nezdanili mi to ]:)
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu

Stříbrný rádce JR_Ewing, 27.01.2015 18:40
Kolega nedávno dělal certifikáty (extended validation a class 2) ověření pro firemní weby. Myslím, že to tak šílené nebylo. A přinejmenším je to ve stejném časovém pásmu. Nejprve ověřují osobu, a přes její důvěryhodnost potom firmu. O notáři se vůbec nezmiňoval. Mají zajímavou filozofii, cokoli dělá automatický systém, je to zdarma.

https://www.startssl.com/
Vas počítač se nejčasteji skláda z: Základní deska, Procesor, Operační paměť, Pevný disk . Volitelně pak z: Grafická karta, Zvuková karta . A je na něm nainstalován nějaký operační systém

↑ Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu

Administrátor Jan Fiala, 27.01.2015 19:36
Koukám, že nabízí i Code signing. Takže možná je to alternativa, až skončí ten, co teď mám za příjemnější peníz.
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu

Administrátor touchwood, 31.01.2015 15:46
StartSSL používám pro serverové certifikáty tam, kde není až tak velký tlak na "kvalitu" a naopak tlak na cenu (tj. certifikáty zdarma).

Jinak můžu velice doporučit služby czechia.com (Zoner), kteří zprostředkovávají tvorbu zahraničních "velkých" certifikátů od renomovaných CA.
11110110110 ----- Chcete-li soukromě využít našich služeb, obraťte se na placenou službu http://it.poradna.net

↑ ← Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu

Administrátor Jan Fiala, 31.01.2015 20:08
Problém je v tomto případě cena. Už jen přímá cena od velkých autorit je v některých případech šílená a není problém sehnat certifikát za 250 EUR/rok a to jsou ještě ty levnější.
V podstatě poslouží jakákoliv autorita, ktera má zastoupení mezi standardními autoritami v OS a aktualizují se jí tam kořenové certifikáty automaticky v rámci aktualizací. Což Start.com (StartSSL je taky). Asi jsem špatně hledal, takže za rok napíšu pokračování, jak to chodí u Start.com ]:)
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu

Zlatý rádce kmochna, 01.02.2015 08:46
koukal jsem do úložiště a narazil jsem i na českou ca- http://www.ica.cz/Partneri

je zařazen v rootca a tvrdí, že ověřuje kód, když už nic jinýho cenově, přeci jen je to doma.
žádné hradby, žádný příkop ani snesitelný plot. tady by neudrželi ani krávu.

↑ ← Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu

Administrátor Jan Fiala, 01.02.2015 12:35
Nevím o tom, že by ICA poskytovala Code signing certifikát. Je to lokální certifikační autorita, jedna ze 3, které jsou oprávněny zajišťovat kvalifikované certifikáty pro komunikaci s úřady (další pak PostSignum, eIdentity).
Nabízí pouze kvalifikované certifikáty (serverové i osobní) pro podepisování dokumentů a komerční pro šifrování dat. Tohle poskytují už od začátku a nic jiného jsem u nich neobjevil.
V kořenových certifikátech ji máme u nás, ale pochybuju, že bude šířená celosvětově. To by bylo úložiště plné root certifikátů z celého světa...
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu

Stříbrný rádce JR_Ewing, 02.02.2015 09:46
Jak jsem říkal, poskytují i vyšší urovně a ty jsou placené.
Vas počítač se nejčasteji skláda z: Základní deska, Procesor, Operační paměť, Pevný disk . Volitelně pak z: Grafická karta, Zvuková karta . A je na něm nainstalován nějaký operační systém

↑ ← Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu

Registrovaný wam_Spider007, 27.01.2015 20:28
urcite je to zaujimave a poucne, ale po vete:
použijte Internet Explorer
som rovno prestal citat.
http://jannemecek.sk

↑ Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu

Administrátor Jan Fiala, 27.01.2015 20:32
A určitě víš, o čem píšeš?
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět



Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu

Administrátor Jan Fiala, 27.01.2015 20:54
Tak ten svůj předchozí příspěvek vysvětli. Podle něj máš určitě spoustu zkušeností s ukládáním requestů a následným párováním vystavených certifikátů s žádostí v interních úložistích prohlížečů. Dalším čtenářům se podobné zkušenosti budou hodit.
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu

Registrovaný wam_Spider007, 27.01.2015 21:01
praveze nemam (preto som pisal, ze to je urcite poucne), ale pokial na toto potrebujem IE, tak to pre mna (ako cloveka bez Windozu) nema zmysel.
http://jannemecek.sk

↑ ← Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu

Administrátor Jan Fiala, 27.01.2015 21:15
Nepotřebuješ IE. Ale s IE máš život jednodušší, protože pro uložení žádosti (requestu) a následnému spárování s vystaveným certifikátem se použije standardní Windows úložiště certifikátů a protože to prostě funguje.
Jde to i na jiných prohlížečích, jen se pak použije interní úložiště certifikátů prohlížeče. Ve tvém případě bych si napřed zjistil, jaká je nejlepší cesta pro tvůj OS.
Příklad pro Firefox:
http://certhelp.ksoftware.net/support/solutions/ar ticles/17158-how-do-i-export-my-code-signing-certi ficate-from-firefox-

IE jsem doporučoval, protože získávání certifikátů přes něj mám dlouhodobě mnohokrát ověřené a nejsou tam žádné problémy.

Zásady: vystavený certifikát musíš instalovat pod stejným účtem jako jsi vystavil žádost, ve tvém případě pak vystavený certifikát naimportovat tam, kde máš část se žádostí. Ty 2 části pak vytvoří finální certifikát, který vyexportuješ. Jakmile přijdeš o request, pak si můžeš rovnou koupit nový certifikát.

Je to jako když ti někdo dá půlku tisícovky a řekne ti, že zbytek ti dá týpek za hodinu u orloje. Poznávací znamení - ty půlky budou po přiložení sedět. Máš svou půlku (request), budeš mít celou tisícovku. Nemáš ji? Pak máš smůlu.
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu

Stříbrný rádce JR_Ewing, 27.01.2015 21:24
Request je možné udělat třeba pomocí openssl knihovny :-)
Vas počítač se nejčasteji skláda z: Základní deska, Procesor, Operační paměť, Pevný disk . Volitelně pak z: Grafická karta, Zvuková karta . A je na něm nainstalován nějaký operační systém

↑ ← Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu

Administrátor Jan Fiala, 27.01.2015 21:46
Takže chceš říct, že pokud ztratíš request, tak si prostě vygeneruješ nový a pomocí takového requestu pak zkompletuješ vystavený certifikát od autority?
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu

Stříbrný rádce JR_Ewing, 28.01.2015 06:09
To jsem nepsal. A request sám o sobě je jen hromada náhodně generovaných čísel, která vůbec nic neznamená. Mnohem důležitější je privátní klíč, který tímto vznikne. Ale to nebylo předmětem. Samozřejmě, že openssl ti nezaručí uschování nebo kompletnost certifikátu, ale je to jedna z cest pro majitele jiných operačních systémů, kde IE není.
Vas počítač se nejčasteji skláda z: Základní deska, Procesor, Operační paměť, Pevný disk . Volitelně pak z: Grafická karta, Zvuková karta . A je na něm nainstalován nějaký operační systém

↑ ← Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu

Administrátor Jan Fiala, 28.01.2015 06:48
Rozumím.
Ano, request můžešvygenerovat různě. Vzniká jako poslední krok při žádostech o certifikát (vyplňování webových formulářů) u certifikačních autorit. Tam se jednoduše odešle spolu se spoustou údajů o žadateli autoritě.
Pokud bys to generoval takto separátně, musel by ses pak dohadovat s podporou autority, nevím, zda by bez správné funkce prohlížeče došlo k dokončení objednávky a nevím, zda by se s tebou vlastně vůbec bavili :-(

Opan SSL se hodně často používá pro generování self signed certifikátů - typické použití serverová a klientská část Open VPN.
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu

Administrátor touchwood, 31.01.2015 15:51
jen doplním:

FF má naprosto nezáludný systém úložiště certifikátů, navíc jej lze jednoduše "globálně" zálohovat a přenášet. Takže pokud uživatelé potřebují "jednoduchý" systém v prohlížeči, je to minimálně stejně dobrá volba.

A samozřejmě člověk, co s certifikáty pracuje více, zvolí nejspíše nějaký "švýcarský nožík" - ve Windows např. XCA, v Linuxu jednoznačně OpenSSL.

Bohužel většina lidí naprosto nechápe principy generování páru klíč-cerifikát, popř. jejich certifikaci certifikační autoritou. Dost často potkám samotný certifikát bez klíče a dotaz "ono to nefunguje, proč?", následovaný usilovným hledáním privátního klíče.. :-)
11110110110 ----- Chcete-li soukromě využít našich služeb, obraťte se na placenou službu http://it.poradna.net

↑ ← Odpovědět


Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu

Administrátor Jan Fiala, 31.01.2015 20:04
Možná by to stálo za článek... Nějakou osvětu.
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: Podepisování kódu aneb jak získat code signing certifikát

Administrátor host, 28.01.2015 20:00
Díky za článek a gratuluju k získání certifikátu. Bylo to jako detektivka. Sice bez mrtvoly, ale s dobrým koncem! ;-)
Jaká otázka, taková odpověď.

↑ Odpovědět


Re: Podepisování kódu aneb jak získat code signing certifikát

Bronzový rádce CoCoChanel, 30.01.2015 16:41
• Ten D-14, mohl byt klidne pojmenovan "Den D" :-)
Prehledné, vysvetlené, opravdu etapa po etape.
Google překlad > dobrá překlad.

↑ Odpovědět


Re: Podepisování kódu aneb jak získat code signing certifikát

Matooo [212.37.64.xxx], 12.02.2015 13:30
Mna by zaujimalo, ci je mozne ziskat takyto cetifikat na osobu kedze nemam firmu, ci zivnost. Je to mozne. Dakujem.

↑ Odpovědět


Re: Podepisování kódu aneb jak získat code signing certifikát

Administrátor Jan Fiala, 17.02.2015 21:02
Bude to složitější, protože nejsi schopný dostát podmínce - být zaregistrován v nějakém státním rejstříku.
Ale není to nemožné.
Jen je třeba od začátku chtít certifikát jako "jedinec" (individual) a ne společnost. Přesto, že jsem to v žádosti uvedl, chtěli po mě na začátku registraci v nějakém oficiálním seznamu. Až pak následoval dotaz na to, jestli chtit opravdu certifikát jako jedinec. Možná v tom byl ten zakopaný pes a od té doby nic ohledně organizace nechtěli.
Ten jejich validační proces je takový zmatený. Jak už jsem psal v článku, zdálo se mi, jako by to každý den řešil úplně někdo jiný a mezi sebou si nepředávali informace. 4asto jsem odpovídal na stejné dotazy několikrát.
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: Podepisování kódu aneb jak získat code signing certifikát

Registrovaný Slappy, 17.04.2015 08:12
Nuz cely tento clanok je podla mna znacne prehnany.

Nemam skusenost s vybavovanim individualneho certifikatu, vybavoval som ale certifikat pre spolocnost (s. r. o.) na http://codesigning.ksoftware.net/ a prebiehalo to ovela jednoduchsie a cele to trvalo 5 dni.

Predpoklady:

a) Zalozenie s. r. o. po oficialnej stranke, zapisanie do Obchodneho Registra, ICO, DIC atd atd. toto vsetko som mal vybavene v 2/2015 - slovenske urady maju na vsetko zhruba 30 dni takze to trvalo :)

b) O certifikat som ziadal 4/2015 - toto je podla mna klucovy bod. Jednoducho treba mat vsetko zapisane v jednotlivych registroch, ktore overuju.

Samotny proces certifikacie:
1) Den D: Ziadost o certifikat (online) + okamzite platba cez PayPal. Prakticky hned po zaplateni prisli automaticke maily.
O niekolko hodin neskor (este v ten isty den kedze USA je nejakych + 8hodin posunuta) prisiel email od cloveka (Mne pridelili Aldena), ktory mal na starosti moju validaciu.
Zakladne udaje o spolocnosti mal, vsetko vedel co a ako (podla zadanych parametrov do formulara a webstranky - napr. ja mam na stranke uvedene ICO, DIC, cisla uctov a podobne veci, dobre to tam mat: http://unsigned.sk/index.php/contact)

2) Den D+1: Email o doplneni udajov do telefonneho zoznamu (ponukol nam Zoznam.sk ale tam sa neda rpidat novy zapis rucne). Kedze sme neboli nikde uvedeni nedala sa overit adresa + cislo.
Pridal som teda zaznam na Zlate Stranky kde je sparovana sro s adresou, cislom a strankou.

3) Den D+2: Stale cakam kym Zlate Stranky spracuju zaznam - robia to rucne a overuju cez register.

4) Den D+3: Zlate stranky pridali zaznam (ale nevolali), preposielam link Aldenovi. (v priebehu dna)
Vecer dostavam potvrdzujuci email a aby som nahlasil cas kedy mi ma volat, odpisujem: Volat od 6:00 do 22:00 GMT a vysvetlujem lokaciu: Slovakia, EU, GMT time zone.

5) Den D+4: 7:50 vola Alden, cca 5 minutovy rozhovor potvrdzuje si udaje, kontroluje co som zadal (musim mu nadiktovat udaje nazad), potvrdzuje certifikaciu, vsetko je OK, dakuje za zavolanie (volal on :D) a nech napisem feedback ako som spokojny.

Za cca 30min prichadzaju dalsie maily: certifikat, nejake potvrdenia, feedback, heslo, informacie.
Certifikat vybaveny a platny od D+4 2 roky (ziadal som na 2 roky).

Cize cely proces trval 5 dni - z toho keby som mal zaznam v nejakej telefonnej spolocnosti dalo by sa to skratit o 1 den resp. aj o 2.

Cely proces uplne v pohode, vsetko pozistovali sami, ziaden problem ziadne duplikatne vybavovanie a behanie po notaroch...

↑ Odpovědět


Re: Podepisování kódu aneb jak získat code signing certifikát

Registrovaný Slappy, 17.04.2015 08:17
Este par technickych zalezitosti: nepouzil som IE - to vobec nie je podmienka. Pouzil som Firefox, certifikat prisiel a siel nainstalovat aj do FF.

Certifikat pouzivam hlavne na podpisovanie aplikacii. Urobil som teda to ,ze som po nainstalovani certifikatu do FF zvolil Nastavenia -> Spresnenie -> Certifikaty -> Zobrazit certifikaty -> Vase certifikaty.

Zobrazeny certifikat som dal Zalohovat a ulozil na disk. Certifikat sa uklada vo formate .p12 a vacsina aplikacii potrebuje .pfx format.

Je to to iste, cize ak potrebujete .pfx jednoducho premenujete priponu subora na .pfx.

↑ ← Odpovědět


Re: Podepisování kódu aneb jak získat code signing certifikát poslední

vandrovnik [93.99.7.xxx], 11.04.2017 23:54
Moc díky za podrobný popis tohoto martyria - díky němu mě to stálo jen jednu cestu k notáři a celý proces proběhl podstatně rychleji: v pátek jsem to začal řešit a v úterý večer už mám certifikát (Comodo).

↑ Odpovědět


TOPlist