Podepisování kódu aneb jak získat code signing certifikát

Jan Fiala, 27.01.2015 01:00, Internet, 32 odpovědí (17282 zobrazení)

Co znamená podepisování kódu a k čemu je to dobré? Podepsaná aplikace zaručuje, že nebyla po vydání autorem změněna. Měly by (úmyslně píšu měly) zmizet falešné poplachy antivirových firem, Windows se přestanou k aplikaci chovat macešsky a varovat před jejím spuštěním jako před aplikací od neznámého vydavatele. MS a Google stále zvyšuje tlak na to, aby byly aplikace a instalační programy digitálně podepsány. Možná si pamatujete, že tím MS začal hrozit v době nástupu Windows Vista - že nepodepsané aplikace nepůjdou nainstalovat, případně že poběží v nějakém jiném režimu s omezeným přístupem k prostředkům. Situace se opakuje a nyní je to Google se svým vlastním životem si žijícím Chrome, který se občas z ničehož nic rozhodne blokovat soubor, stažený z internetu. A nic s tím nenaděláte, nikam se nedovoláte. Pokud okamžitě nezačnete jednat, pomalu se blokace rozrůstá a najednou je zablokováno vše z daného serveru a pak začínají opravdové problémy.

Ale konec strašení. Co budeme potřebovat, abychom byli schopni aplikaci podepsat? No přece certifikát pro Code signing. A aby to mělo smysl, musí být vydaný nějakou ověřenou certifikační autoritou, obsaženou mezi kořenovými autoritami ve Windows a internetu vůbec (jako bych něco takového už někde slyšel).
Když si zkusíte ve vyhledávači najít Code signing certificate, zjistíte, že to vůbec není levná záležitost. Já jsem si vybral kSoftware, partnera firmy Comodo. Mimo jiné je tam šikovná utilitka, která vám podepisování zjednoduší, včetně vložení časového razítka.

Princip

Podepisování:
21439-code-signing-process-png

Ověřování:
21440-code-signing-verification-process-png

Obrázky pochází ze serveru developer.apple.com

Zatím to vypadá jednoduše - prostě si koupím certifikát a je to. Následuje moje cesta k certifikátu, která vám doufám ušetří spoustu času, pokud se do podobného dobrodružství pustíte.

Den d - žádost o certifikát

Tahle část je nejjednodušší. Prostě si na webové stránce vyplním žádost, přejdu na další stránku, zaplatím - v mém případě pomocí PayPal a mám to za sebou. Přišel mail s potvrzením objednávky. Hurá, říkám si. Mám to v suchu. A ani to nebolelo.
Já žádal jako individuální osoba, možná díky tomu jsem to pak měl trochuu jednodušší.

Doporučení 1: použijte Internet Explorer - jde o to, že potvrzením žádosti se vygeneruje request (žádost o certifikát) a ta se zapíše do úložiště certifikátů mezi žádosti. Ať pak nemusíte na konci řešit, kde máte žádost uloženu. Přesvědčit se můžete přes certmgr.msc. Použitím IE se vyhnete problémům.
Doporučení 2: uveďte pravdivé a aktuální údaje. Ušetříte si spoustu starostí v následujících dnech.

Den d+1 - doložení informací

Dostávám mail od Comodo s informací, že začal validační proces.

Požadované údaje:

1. odkaz na oficiální registr firem - tohle je v pohodě, odkaz na ARES to řeší.
Pokud by záznam v obchodním rejstříku, Ares apod. nebyl k dispozici, musel bych to doložit nějakým dalším dokladem (živnostenský list, firemní výpis z účtu, telefonní účet - pevná linka, nějaké vyúčtování energie nebo leasing), samozřejmě vše s adresou, kterou jste uvedli v žádosti.

2. ověření telefonního čísla - musíte být v nějakém oficiálním internetovém seznamu, jako Zlaté stránky nebo 1188. Oba seznamy umožňují založení záznamu zdarma. Já se našel (k mé radosti) v 1188, ale jen s pevnou linkou, mobil, který jsem uvedl v žádosti nikde nebyl. Takže hned vyplňuju žádost o založení bezplatného firemního záznamu ve Zlatých stránkách.

3. je třeba mít aktuální údaje u domény - to jsem samozřejmě neměl, takže založit tickety a protože jsem potřeboval opravit i adresu u vlastníka domény, tak to znamenalo vytisknout ticket a zaběhnout pro ověřený podpis. Matrika za 30Kč to jistí, je tam méně lidí než na Czech pointu na poště. Naštěstí stačí ověřený ticket oskenovat a poslat registrátorovi.

Přišel další dotaz z Comodo, jestli chci firemní (podepisování za firmu) nebo individuální certifikát. Potvrdil jsem, že požaduji individuální certifikát.

Dal jsem vše do pořádku a těšil jsem se, že to mám z krku. To jsem ještě nevěděl, co mne čeká dál...

Doporučení 3: pokud uvádíte odkazy na internetové stránky, používejte odkazy na anglickou verzi všude, kde je to možné a posílejte screenshoty s naznačením, kde mají klikat. Přece jen komunikujete s USA a tam mají komiksy rádi.

Den d+3 - validační proces pokračuje

Přichází další mail s odkazem na tzv. [i]face to face[/i] document. V podstatě to znamená, že chtějí, abych zašel k notáři (protože jen notář může v ČR ověřovat pro zahraničí), nechal si ověřit totožnost, nechal notáře vypsat dodatek a nechal notáře ověřit sebe na základě 2 dalších dokumentů, např. bankovní výpis a účet za telefon.

Podle pokynů mám notáře přesvědčit, aby to všechno odfaxoval do USA a já to následně poslal poštou papírově.
Nastalo mailování s Comodo validation týmem.
Vysvětlil jsem jim, že jsem z druhé strany světa a že cena za notáře, fax a poštovné by několikrát překročila cenu certifikátu (trošku jsem si vymýšlel). Dohodli jsme se na tom, že to ověřené naskenuji a pošlu. To byla pro mne schůdná cesta.

Narážím na několik problémů:
1. potřebuju notáře, který umí anglicky (nebo aspoň jeho úřednice). Naštěstí mám kontakty na soudu, tak si nechávám notáře doporučit.
2. notář nic nevyplňuje
3. notář nesmí ověřovat žádné oficiální doklady, jako OP nebo pas
4. notář neověří nic takového jako je bankovní výpis nebo účet za telefon ani z nich neudělá ověřenou kopii
5. jediné, co notář dělá je, že ověří, že jste dokument (na obsahu nezáleží) podepsali vy - to je ta dobrá informace

Takže vyplňují část, kterou mám vyplnit, ignoruji část pro notáře, před notářem dokument podepíšu (to jsem nevěděl, že jsem měl velké štěstí, že jsem notářku zastihl v kanceláři), koncipientka na druhou stranu vytiskne doložku, notářka podepíše a já s dobrým pocitem a o 36Kč lehčí odcházím.
Naskenuju dokument, přidám skeny občanky, výpisu z účtu a telefonního účtu (na všech musí souhlasit adresa!) a odesílám.

Den d+7

Přichází mail z Comodo, že neakceptují dokumenty, protože nebyly "notarized". Jedná se o skeny občanky a účtů. Marně vysvětluji, že notář v ČR nesmí ověřit doklady. Po několika mailech jsme se dohodli, že jim postačí, když to bude vše svázané dohromady a ověřené.
Současně s tím hledám cestu (konzultuji s notářem), jak to udělat, aby se Comodo nažralo a abych nemusel k něčemu nezákonnému notářku nutit s pistolí u hlavy (u její).

Výsledný tvar, který akceptuje Comodo a je schůdný i pro notáře:
Podepíšu znovu face to face dokument, na sken občanky napíšu prohlášení (česky, protože notářka anglicky neumí), v následujícím znění:
Prohlašuji, že kopie občanského průkazu souhlasí s originálem mého občanského průkazu. Podpis a datum.
Tím pádem notářka ověřuje, že jsem to podepsal a ne obsah dokumentu. Chápu, je to trochu postavené na hlavu.

Zbavuji face to face dokument spodní části (kterou notářka stejně nevyplní), aby bylo místo pro notářskou doložku.
Na výtisk s občankou píšu čestné prohlášení.
Okopíruju výpis z banky a účet za telefon a opět vyrážím k notářce. Podařilo se mi koncipientku přesvědčit, aby mi to svázala šňůrkou s přelepenou pečetí - vypadá to oficiálněji než jen přelepený a orazítkovaný rožek a v USA mají "red line" rádi.
Podepisuji face to face dokument, podepisuji čestné prohlášení na kopii občanky. A protože paní notářka není v kanceláři, nechávám tam papíry s tím, ať je podepíše, až se vrátí, že si to pak vyzvednu.

Den d+8

Následující den vyzvedávám v kanceláři notářky podepsaný dokument a odcházím lehčí o dalších 73 Kč.
S pocitem vítězství skenuju dokument tak, aby byly vidět průběžně i provázky a hlavně krásná červená pečeť na zadní straně.
Posílám e-mailem validačnímu týmu s vysvětlením, proč tam je český text a co znamená.

Kontaktovala mě paní ze Zlatých stránek, že jsem si založil záznam zdarma a hned mi nabízela, co všechno by se s tím dalo dělat - propagace, další informace... Vysvětlil jsem jí (slušně), že s tím záznamem nehodlám dělat nic.

[h2]Den d+10[/h2]

Přichází dotaz od validačního týmu, abych jim vysvětlil, co jsem jim to vlatně poslal za dokumenty, že nebyli schopní je dohledat. Pomalu si začínám myslet o pracovnících v USA něco nepěkného - mají to přece napsané na face to face dokumentu. Ale musím uznat, že občanku poznali.

Byl jsem požádán, abych jim rukou na dokumenty udělal překlad důležitých údajů a pod to napsal prohlášení, že je překlad v pořádku. Něco jako:
[/i]I hereby declare this translation to be true and accurate[/i]
Takže vytisknu naskenované dokumenty, dopíšu na to překlad, přidám prohlášení. Opět oskenuju a přiložím do e-mailu.
V rámci toho, abych jim ukázal, že jsou to skutečné výpisy a vyúčtování uvádím do mailu odkazy na banku. Na stránkách banky jsem našel výpisy z transparentních účtů, takže přidám odkaz na výpis z účtu přímo na stránkách banky, aby si mohli ověřit, že jde skutečně o bankovní výpis.
Přidávám odkaz na stránky O2 a na jejich stránkách nalézám i [urlhttp://www.o2.cz/osobni/en/224484-seznamte_se_s_fakturami _o2/#_il=lang-en-osobni-224484-seznamte_se_s_faktu rami_o2 ]popis vyúčtování v angličtině[/url].
Posílám i odkaz na nový záznam ve Zlatých stránkách, ověřující telefonní číslo.
Obsáhlý mail odesílám validačnímu týmu.

Den d+12

Přichází mail od validačního týmu, abych jim poslal odkaz na registraci notářky v nějakém oficiálním seznamu.

V odpovědi posílám odkaz na adresář notářské komory s instrukcemi, jak tam najdou notářku, co a kam je třeba zadat včetně screenshotů s postupem kam klinout.

Den d+13

Přichází mail od validačního týmu, že potřebují kontaktovat notářku a ověřit si, zda notář opravdu ověřil dokumenty. Chtějí znát kontakt a pracovní dobu.
Nerozumím tomu požadavku, protože kontakt i pracovní dobu kanceláře notářky měli v záznamu z notářské komory i na screenshotech, co jsem posílal. Kdybych začal být neslušný, tak bych si nepomohl, takže slušně odpovídám, opisuju pracovní dobu kanceláře a telefon, vysvětluju, že jsme v jiném časovém pásmu, že je mezi námi posun 6 hodin a píšu jim čas, kdy ve své pracovní době mohou zastihnout notářku a současně dávám jméno koncipientky, která by měla jako jediná v kanceláři umět anglicky.

Den d+14

Volá mi žena do práce, že někdo volal domů, mluvil anglicky a vůbec mu nebylo rozumět. Že to zřejmě byl někdo ohledně toho certifikátu, kolem kterého v poslední době běhám.
Píšu tedy z práce validačnímu týmu, zda to byli oni, kteří volali a udávám čas, kdy mne mohou doma zastihnout.

Když dorazím domů, přichází mail, že mi tedy zavolají ve stanoveném čase. Tomu nerozumím a odpovídám, že klidně mohou zavolat hned, že už jsem doma, jak jsem jim ráno psal. Za chvíli zvoní telefon, nějak se domluvím s pracovníkem, který očividně není rodilý mluvčí a rozloučíme se. Ověření telefonního čísla zřejmě proběhlo v pořádku.

Po pár minutách přichází mail s odkazem na stažení certifikátu. Stahuji, instaluji (opět použijte IE) a v osobních certifikátech mám certifikát pro podepisování kódu:

21438-jf03bm-000713-png

Nyní už zbývá certifikát pouze vyexportovat včetně privátního klíče a použít.

Závěr

Bylo to vyčerpávající, ale ten pocit na konci za to stojí.

Pár doporučení pro vyplnění žádosti:
Uveďte adresu a telefon, který můžete doložit a ověřit
Sežeňte si notáře, kde koncipient mluví anglicky (notář stejně v pracovní době v kanceláři moc nebývá).
Snažte se validačnímu týmu pomáhat, kde můžete, v odpovědích odkazujte na dokumenty a stránky, které ověřují vaše dokumenty a vypomáhejte si screenshoty s návodem, jak se k výsledku dobrat.

Co mi moc nebylo jasné:
Proč se validační tým ptá několikrát na stejné věci
Proč chce validační tým posílat informace a odkazy, které už dostali. Připadalo mi to, jako by na tom pracoval každý den někdo jiný a neměli přístup k historii komunikace. Na konci dne jen zaškrtnou, kam až se dostali.

Co mě pobavilo:
Rozdílné požadavky a zákony. Jedna strana požaduje notářem ověřené dokumenty a náš notář vlastně udělá pouze to, že ověří, že jste se před ním podepsali. Bez ohledu na to, co je na zbytku papíru, který jste podepsali. Klidně si tam napište, že jste právoplatný král Velké Moravy a nechte si to od notáře potvrdit. Budete to mít úředně ověřené. Za 36Kč to stojí, ne?

Z diskuze

Odkazy na levné code signing certifikáty:
Start.com - class 2/3 certifikát - 59 USD (není úplně jasné, zda cena je za rok nebo 2 roky)

Odpovědět


PředmětAutorDatum
Re: Podepisování kódu aneb dlouhá cesta k code sign certifikátu kmochna27.01.2015 02:24
Re: Podepisování kódu aneb dlouhá cesta k code sign certifikátu Jan Fiala27.01.2015 07:12
Re: Podepisování kódu aneb dlouhá cesta k code sign certifikátu kmochna27.01.2015 09:10
Re: Podepisování kódu aneb dlouhá cesta k code sign certifikátu Jan Fiala27.01.2015 09:38
Re: Podepisování kódu aneb dlouhá cesta k code sign certifikátu L-Core28.01.2015 13:45
Re: Podepisování kódu aneb dlouhá cesta k code sign certifikátu Jan Fiala28.01.2015 14:20
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu JR_Ewing27.01.2015 18:40
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu Jan Fiala27.01.2015 19:36
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu touchwood31.01.2015 15:46
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu Jan Fiala31.01.2015 20:08
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu kmochna01.02.2015 08:46
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu Jan Fiala01.02.2015 12:35
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu JR_Ewing02.02.2015 09:46
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu wam_Spider00727.01.2015 20:28
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu Jan Fiala27.01.2015 20:32
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu wam_Spider00727.01.2015 20:41
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu Jan Fiala27.01.2015 20:54
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu wam_Spider00727.01.2015 21:01
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu Jan Fiala27.01.2015 21:15
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu JR_Ewing27.01.2015 21:24
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu Jan Fiala27.01.2015 21:46
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu JR_Ewing28.01.2015 06:09
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu Jan Fiala28.01.2015 06:48
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu touchwood31.01.2015 15:51
Re: Podepisování kódu aneb dlouhá cesta k code signing certifikátu Jan Fiala31.01.2015 20:04
Re: Podepisování kódu aneb jak získat code signing certifikát host28.01.2015 20:00
Re: Podepisování kódu aneb jak získat code signing certifikát CoCoChanel30.01.2015 16:41
Re: Podepisování kódu aneb jak získat code signing certifikát Matooo12.02.2015 13:30
Re: Podepisování kódu aneb jak získat code signing certifikát Jan Fiala17.02.2015 21:02
Re: Podepisování kódu aneb jak získat code signing certifikát Slappy17.04.2015 08:12
Re: Podepisování kódu aneb jak získat code signing certifikát Slappy17.04.2015 08:17
Re: Podepisování kódu aneb jak získat code signing certifikát poslednívandrovnik11.04.2017 23:54

TOPlist