Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem Podepisování kódu aneb jak získat code signing certifikát

Co znamená podepisování kódu a k čemu je to dobré? Podepsaná aplikace zaručuje, že nebyla po vydání autorem změněna. Měly by (úmyslně píšu měly) zmizet falešné poplachy antivirových firem, Windows se přestanou k aplikaci chovat macešsky a varovat před jejím spuštěním jako před aplikací od neznámého vydavatele. MS a Google stále zvyšuje tlak na to, aby byly aplikace a instalační programy digitálně podepsány. Možná si pamatujete, že tím MS začal hrozit v době nástupu Windows Vista - že nepodepsané aplikace nepůjdou nainstalovat, případně že poběží v nějakém jiném režimu s omezeným přístupem k prostředkům. Situace se opakuje a nyní je to Google se svým vlastním životem si žijícím Chrome, který se občas z ničehož nic rozhodne blokovat soubor, stažený z internetu. A nic s tím nenaděláte, nikam se nedovoláte. Pokud okamžitě nezačnete jednat, pomalu se blokace rozrůstá a najednou je zablokováno vše z daného serveru a pak začínají opravdové problémy.

Ale konec strašení. Co budeme potřebovat, abychom byli schopni aplikaci podepsat? No přece certifikát pro Code signing. A aby to mělo smysl, musí být vydaný nějakou ověřenou certifikační autoritou, obsaženou mezi kořenovými autoritami ve Windows a internetu vůbec (jako bych něco takového už někde slyšel).
Když si zkusíte ve vyhledávači najít Code signing certificate, zjistíte, že to vůbec není levná záležitost. Já jsem si vybral kSoftware, partnera firmy Comodo. Mimo jiné je tam šikovná utilitka, která vám podepisování zjednoduší, včetně vložení časového razítka.

Princip

Podepisování:
[21439-code-signing-process-png]

Ověřování:
[21440-code-signing-verification-process-png]

Obrázky pochází ze serveru developer.apple.com

Zatím to vypadá jednoduše - prostě si koupím certifikát a je to. Následuje moje cesta k certifikátu, která vám doufám ušetří spoustu času, pokud se do podobného dobrodružství pustíte.

Den d - žádost o certifikát

Tahle část je nejjednodušší. Prostě si na webové stránce vyplním žádost, přejdu na další stránku, zaplatím - v mém případě pomocí PayPal a mám to za sebou. Přišel mail s potvrzením objednávky. Hurá, říkám si. Mám to v suchu. A ani to nebolelo.
Já žádal jako individuální osoba, možná díky tomu jsem to pak měl trochuu jednodušší.

Doporučení 1: použijte Internet Explorer - jde o to, že potvrzením žádosti se vygeneruje request (žádost o certifikát) a ta se zapíše do úložiště certifikátů mezi žádosti. Ať pak nemusíte na konci řešit, kde máte žádost uloženu. Přesvědčit se můžete přes certmgr.msc. Použitím IE se vyhnete problémům.
Doporučení 2: uveďte pravdivé a aktuální údaje. Ušetříte si spoustu starostí v následujících dnech.

Den d+1 - doložení informací

Dostávám mail od Comodo s informací, že začal validační proces.

Požadované údaje:

1. odkaz na oficiální registr firem - tohle je v pohodě, odkaz na ARES to řeší.
Pokud by záznam v obchodním rejstříku, Ares apod. nebyl k dispozici, musel bych to doložit nějakým dalším dokladem (živnostenský list, firemní výpis z účtu, telefonní účet - pevná linka, nějaké vyúčtování energie nebo leasing), samozřejmě vše s adresou, kterou jste uvedli v žádosti.

2. ověření telefonního čísla - musíte být v nějakém oficiálním internetovém seznamu, jako Zlaté stránky nebo 1188. Oba seznamy umožňují založení záznamu zdarma. Já se našel (k mé radosti) v 1188, ale jen s pevnou linkou, mobil, který jsem uvedl v žádosti nikde nebyl. Takže hned vyplňuju žádost o založení bezplatného firemního záznamu ve Zlatých stránkách.

3. je třeba mít aktuální údaje u domény - to jsem samozřejmě neměl, takže založit tickety a protože jsem potřeboval opravit i adresu u vlastníka domény, tak to znamenalo vytisknout ticket a zaběhnout pro ověřený podpis. Matrika za 30Kč to jistí, je tam méně lidí než na Czech pointu na poště. Naštěstí stačí ověřený ticket oskenovat a poslat registrátorovi.

Přišel další dotaz z Comodo, jestli chci firemní (podepisování za firmu) nebo individuální certifikát. Potvrdil jsem, že požaduji individuální certifikát.

Dal jsem vše do pořádku a těšil jsem se, že to mám z krku. To jsem ještě nevěděl, co mne čeká dál...

Doporučení 3: pokud uvádíte odkazy na internetové stránky, používejte odkazy na anglickou verzi všude, kde je to možné a posílejte screenshoty s naznačením, kde mají klikat. Přece jen komunikujete s USA a tam mají komiksy rádi.

Den d+3 - validační proces pokračuje

Přichází další mail s odkazem na tzv. face to face document. V podstatě to znamená, že chtějí, abych zašel k notáři (protože jen notář může v ČR ověřovat pro zahraničí), nechal si ověřit totožnost, nechal notáře vypsat dodatek a nechal notáře ověřit sebe na základě 2 dalších dokumentů, např. bankovní výpis a účet za telefon.

Podle pokynů mám notáře přesvědčit, aby to všechno odfaxoval do USA a já to následně poslal poštou papírově.
Nastalo mailování s Comodo validation týmem.
Vysvětlil jsem jim, že jsem z druhé strany světa a že cena za notáře, fax a poštovné by několikrát překročila cenu certifikátu (trošku jsem si vymýšlel). Dohodli jsme se na tom, že to ověřené naskenuji a pošlu. To byla pro mne schůdná cesta.

Narážím na několik problémů:
1. potřebuju notáře, který umí anglicky (nebo aspoň jeho úřednice). Naštěstí mám kontakty na soudu, tak si nechávám notáře doporučit.
2. notář nic nevyplňuje
3. notář nesmí ověřovat žádné oficiální doklady, jako OP nebo pas
4. notář neověří nic takového jako je bankovní výpis nebo účet za telefon ani z nich neudělá ověřenou kopii
5. jediné, co notář dělá je, že ověří, že jste dokument (na obsahu nezáleží) podepsali vy - to je ta dobrá informace

Takže vyplňují část, kterou mám vyplnit, ignoruji část pro notáře, před notářem dokument podepíšu (to jsem nevěděl, že jsem měl velké štěstí, že jsem notářku zastihl v kanceláři), koncipientka na druhou stranu vytiskne doložku, notářka podepíše a já s dobrým pocitem a o 36Kč lehčí odcházím.
Naskenuju dokument, přidám skeny občanky, výpisu z účtu a telefonního účtu (na všech musí souhlasit adresa!) a odesílám.

Den d+7

Přichází mail z Comodo, že neakceptují dokumenty, protože nebyly "notarized". Jedná se o skeny občanky a účtů. Marně vysvětluji, že notář v ČR nesmí ověřit doklady. Po několika mailech jsme se dohodli, že jim postačí, když to bude vše svázané dohromady a ověřené.
Současně s tím hledám cestu (konzultuji s notářem), jak to udělat, aby se Comodo nažralo a abych nemusel k něčemu nezákonnému notářku nutit s pistolí u hlavy (u její).

Výsledný tvar, který akceptuje Comodo a je schůdný i pro notáře:
Podepíšu znovu face to face dokument, na sken občanky napíšu prohlášení (česky, protože notářka anglicky neumí), v následujícím znění:
Prohlašuji, že kopie občanského průkazu souhlasí s originálem mého občanského průkazu. Podpis a datum.
Tím pádem notářka ověřuje, že jsem to podepsal a ne obsah dokumentu. Chápu, je to trochu postavené na hlavu.

Zbavuji face to face dokument spodní části (kterou notářka stejně nevyplní), aby bylo místo pro notářskou doložku.
Na výtisk s občankou píšu čestné prohlášení.
Okopíruju výpis z banky a účet za telefon a opět vyrážím k notářce. Podařilo se mi koncipientku přesvědčit, aby mi to svázala šňůrkou s přelepenou pečetí - vypadá to oficiálněji než jen přelepený a orazítkovaný rožek a v USA mají "red line" rádi.
Podepisuji face to face dokument, podepisuji čestné prohlášení na kopii občanky. A protože paní notářka není v kanceláři, nechávám tam papíry s tím, ať je podepíše, až se vrátí, že si to pak vyzvednu.

Den d+8

Následující den vyzvedávám v kanceláři notářky podepsaný dokument a odcházím lehčí o dalších 73 Kč.
S pocitem vítězství skenuju dokument tak, aby byly vidět průběžně i provázky a hlavně krásná červená pečeť na zadní straně.
Posílám e-mailem validačnímu týmu s vysvětlením, proč tam je český text a co znamená.

Kontaktovala mě paní ze Zlatých stránek, že jsem si založil záznam zdarma a hned mi nabízela, co všechno by se s tím dalo dělat - propagace, další informace... Vysvětlil jsem jí (slušně), že s tím záznamem nehodlám dělat nic.

Den d+10

Přichází dotaz od validačního týmu, abych jim vysvětlil, co jsem jim to vlatně poslal za dokumenty, že nebyli schopní je dohledat. Pomalu si začínám myslet o pracovnících v USA něco nepěkného - mají to přece napsané na face to face dokumentu. Ale musím uznat, že občanku poznali.

Byl jsem požádán, abych jim rukou na dokumenty udělal překlad důležitých údajů a pod to napsal prohlášení, že je překlad v pořádku. Něco jako:
[/i]I hereby declare this translation to be true and accurate[/i]
Takže vytisknu naskenované dokumenty, dopíšu na to překlad, přidám prohlášení. Opět oskenuju a přiložím do e-mailu.
V rámci toho, abych jim ukázal, že jsou to skutečné výpisy a vyúčtování uvádím do mailu odkazy na banku. Na stránkách banky jsem našel výpisy z transparentních účtů, takže přidám odkaz na výpis z účtu přímo na stránkách banky, aby si mohli ověřit, že jde skutečně o bankovní výpis.
Přidávám odkaz na stránky O2 a na jejich stránkách nalézám i [urlhttp://www.o2.cz/osobni/en/224484-seznamte_se_s_fakturami _o2/#_il=lang-en-osobni-224484-seznamte_se_s_faktu rami_o2 ]popis vyúčtování v angličtině[/url].
Posílám i odkaz na nový záznam ve Zlatých stránkách, ověřující telefonní číslo.
Obsáhlý mail odesílám validačnímu týmu.

Den d+12

Přichází mail od validačního týmu, abych jim poslal odkaz na registraci notářky v nějakém oficiálním seznamu.

V odpovědi posílám odkaz na adresář notářské komory s instrukcemi, jak tam najdou notářku, co a kam je třeba zadat včetně screenshotů s postupem kam klinout.

Den d+13

Přichází mail od validačního týmu, že potřebují kontaktovat notářku a ověřit si, zda notář opravdu ověřil dokumenty. Chtějí znát kontakt a pracovní dobu.
Nerozumím tomu požadavku, protože kontakt i pracovní dobu kanceláře notářky měli v záznamu z notářské komory i na screenshotech, co jsem posílal. Kdybych začal být neslušný, tak bych si nepomohl, takže slušně odpovídám, opisuju pracovní dobu kanceláře a telefon, vysvětluju, že jsme v jiném časovém pásmu, že je mezi námi posun 6 hodin a píšu jim čas, kdy ve své pracovní době mohou zastihnout notářku a současně dávám jméno koncipientky, která by měla jako jediná v kanceláři umět anglicky.

Den d+14

Volá mi žena do práce, že někdo volal domů, mluvil anglicky a vůbec mu nebylo rozumět. Že to zřejmě byl někdo ohledně toho certifikátu, kolem kterého v poslední době běhám.
Píšu tedy z práce validačnímu týmu, zda to byli oni, kteří volali a udávám čas, kdy mne mohou doma zastihnout.

Když dorazím domů, přichází mail, že mi tedy zavolají ve stanoveném čase. Tomu nerozumím a odpovídám, že klidně mohou zavolat hned, že už jsem doma, jak jsem jim ráno psal. Za chvíli zvoní telefon, nějak se domluvím s pracovníkem, který očividně není rodilý mluvčí a rozloučíme se. Ověření telefonního čísla zřejmě proběhlo v pořádku.

Po pár minutách přichází mail s odkazem na stažení certifikátu. Stahuji, instaluji (opět použijte IE) a v osobních certifikátech mám certifikát pro podepisování kódu:

[21438-jf03bm-000713-png]

Nyní už zbývá certifikát pouze vyexportovat včetně privátního klíče a použít.

Závěr

Bylo to vyčerpávající, ale ten pocit na konci za to stojí.

Pár doporučení pro vyplnění žádosti:
Uveďte adresu a telefon, který můžete doložit a ověřit
Sežeňte si notáře, kde koncipient mluví anglicky (notář stejně v pracovní době v kanceláři moc nebývá).
Snažte se validačnímu týmu pomáhat, kde můžete, v odpovědích odkazujte na dokumenty a stránky, které ověřují vaše dokumenty a vypomáhejte si screenshoty s návodem, jak se k výsledku dobrat.

Co mi moc nebylo jasné:
Proč se validační tým ptá několikrát na stejné věci
Proč chce validační tým posílat informace a odkazy, které už dostali. Připadalo mi to, jako by na tom pracoval každý den někdo jiný a neměli přístup k historii komunikace. Na konci dne jen zaškrtnou, kam až se dostali.

Co mě pobavilo:
Rozdílné požadavky a zákony. Jedna strana požaduje notářem ověřené dokumenty a náš notář vlastně udělá pouze to, že ověří, že jste se před ním podepsali. Bez ohledu na to, co je na zbytku papíru, který jste podepsali. Klidně si tam napište, že jste právoplatný král Velké Moravy a nechte si to od notáře potvrdit. Budete to mít úředně ověřené. Za 36Kč to stojí, ne?

Z diskuze

Odkazy na levné code signing certifikáty:
Start.com - class 2/3 certifikát - 59 USD (není úplně jasné, zda cena je za rok nebo 2 roky)

Jsou zobrazeny jen nové komentáře. Zobrazit všechny
Předmět Autor Datum
ty jsi mi dal. přítulka fachá na počtě, tak jsem se šel uptat, jestli ona může ověřit podpis- může.…
kmochna 27.01.2015 02:24
kmochna
Postsignum neposkytuje Code signing certifikat :-( Jinak bych si to lítání po úřadech samozřejmě uše…
Jan Fiala 27.01.2015 07:12
Jan Fiala
Jinak bych si to lítání po úřadech samozřejmě ušetřil (to je jedna z věcí, kterou nesnáším). Tak n… nový
L-Core 28.01.2015 13:45
L-Core
Jistě, získal jsem další spoustu zkušeností. Jen o tom nesmím moc nahlas, aby si to nevšimli ti naho… nový
Jan Fiala 28.01.2015 14:20
Jan Fiala
Kolega nedávno dělal certifikáty (extended validation a class 2) ověření pro firemní weby. Myslím, ž…
JR_Ewing 27.01.2015 18:40
JR_Ewing
StartSSL používám pro serverové certifikáty tam, kde není až tak velký tlak na "kvalitu" a naopak tl… nový
touchwood 31.01.2015 15:46
touchwood
Problém je v tomto případě cena. Už jen přímá cena od velkých autorit je v některých případech šílen… nový
Jan Fiala 31.01.2015 20:08
Jan Fiala
koukal jsem do úložiště a narazil jsem i na českou ca- Partneri je zařazen v rootca a tvrdí, že ově… nový
kmochna 01.02.2015 08:46
kmochna
Nevím o tom, že by ICA poskytovala Code signing certifikát. Je to lokální certifikační autorita, jed… nový
Jan Fiala 01.02.2015 12:35
Jan Fiala
Jak jsem říkal, poskytují i vyšší urovně a ty jsou placené. nový
JR_Ewing 02.02.2015 09:46
JR_Ewing
urcite je to zaujimave a poucne, ale po vete: použijte Internet Explorer som rovno prestal citat.
wam_Spider007 27.01.2015 20:28
wam_Spider007
A určitě víš, o čem píšeš?
Jan Fiala 27.01.2015 20:32
Jan Fiala
a preco by som nemal vediet :)
wam_Spider007 27.01.2015 20:41
wam_Spider007
Tak ten svůj předchozí příspěvek vysvětli. Podle něj máš určitě spoustu zkušeností s ukládáním reque…
Jan Fiala 27.01.2015 20:54
Jan Fiala
praveze nemam (preto som pisal, ze to je urcite poucne), ale pokial na toto potrebujem IE, tak to pr…
wam_Spider007 27.01.2015 21:01
wam_Spider007
Nepotřebuješ IE. Ale s IE máš život jednodušší, protože pro uložení žádosti (requestu) a následnému…
Jan Fiala 27.01.2015 21:15
Jan Fiala
Request je možné udělat třeba pomocí openssl knihovny :-)
JR_Ewing 27.01.2015 21:24
JR_Ewing
Takže chceš říct, že pokud ztratíš request, tak si prostě vygeneruješ nový a pomocí takového request…
Jan Fiala 27.01.2015 21:46
Jan Fiala
To jsem nepsal. A request sám o sobě je jen hromada náhodně generovaných čísel, která vůbec nic nezn…
JR_Ewing 28.01.2015 06:09
JR_Ewing
Rozumím. Ano, request můžešvygenerovat různě. Vzniká jako poslední krok při žádostech o certifikát (… nový
Jan Fiala 28.01.2015 06:48
Jan Fiala
jen doplním: FF má naprosto nezáludný systém úložiště certifikátů, navíc jej lze jednoduše "globáln… nový
touchwood 31.01.2015 15:51
touchwood
Možná by to stálo za článek... Nějakou osvětu. nový
Jan Fiala 31.01.2015 20:04
Jan Fiala
Díky za článek a gratuluju k získání certifikátu. Bylo to jako detektivka. Sice bez mrtvoly, ale s d… nový
host 28.01.2015 20:00
host
• Ten D-14, mohl byt klidne pojmenovan "Den D" :-) Prehledné, vysvetlené, opravdu etapa po etape. nový
CoCoChanel 30.01.2015 16:41
CoCoChanel
Mna by zaujimalo, ci je mozne ziskat takyto cetifikat na osobu kedze nemam firmu, ci zivnost. Je to… nový
Matooo 12.02.2015 13:30
Matooo
Bude to složitější, protože nejsi schopný dostát podmínce - být zaregistrován v nějakém státním rejs… nový
Jan Fiala 17.02.2015 21:02
Jan Fiala
Nuz cely tento clanok je podla mna znacne prehnany. Nemam skusenost s vybavovanim individualneho ce… nový
Slappy 17.04.2015 08:12
Slappy
Este par technickych zalezitosti: nepouzil som IE - to vobec nie je podmienka. Pouzil som Firefox, c… nový
Slappy 17.04.2015 08:17
Slappy
Moc díky za podrobný popis tohoto martyria - díky němu mě to stálo jen jednu cestu k notáři a celý p… nový
vandrovnik 11.04.2017 23:54
vandrovnik
Prosím, nepoužívejte už ksoftware - stal se z něj asi scam. Objednal jsem před 3 týdny, nikdo se neo… nový
jerry314 31.03.2022 15:55
jerry314
You can check out SignMyCode an affordable source for obtaining code signing certs like Individual C… nový
AnnaShipman 22.09.2022 09:45
AnnaShipman
If you are looking for cost-effective code signing certificates, CerteraSSL is an excellent choice.… poslední
JP Mehta 19.06.2023 10:06
JP Mehta

ty jsi mi dal. přítulka fachá na počtě, tak jsem se šel uptat, jestli ona může ověřit podpis- může. a hodinu mi dělala školení, že u nás to dělá pouze postsignum.cz (ca) v zastoupení počty.

když jsem se jí zeptal, jestli černoušek v honolulu na kradených windows má root ca postsignum nainstalovanej, a že existují celosvětové ca, které fungují tak nějak automaticky všude, tak nevěděla která bije.

krásně je to vidět, když si otevřu el. fakturu vodafonu:

cn=PostSignum Qualified CA 2
o=Česká pošta, s.p. [IČ 47114983]
c=CZ
---
tento certifikát není důvěryhodný.
a já si do certifikátů nebudu dávat kdejakou kravinu. dost na tom, že tam mám ssl cirkus z programu fiddler2.
--
teď už je to dobrý, už se jenom trochu hádáme.

Postsignum neposkytuje Code signing certifikat :-( Jinak bych si to lítání po úřadech samozřejmě ušetřil (to je jedna z věcí, kterou nesnáším).
Pošta samozřejmě může ověřit podpis, ale je to platné pouze pro ČR. Platné ověření pro zahraničí je pouze notář.

Existují i nějaké možnosti, jak získat certifikát zdarma - www.cacert.org, ale když jsem studoval podmínky, tak by to trvalo hodně dlouho. Musíš zskat velký počet bodů, abys dosáhl na code signing.

Jinak bych si to lítání po úřadech samozřejmě ušetřil (to je jedna z věcí, kterou nesnáším).

Tak nějak přemýšlím, jestli jsi ziskem toho certifikátu nepřišel k nějakému nepeněžnímu příjmu. Něco, co by se dalo zdanit… ]:)

Honzo, velice poučné čtení. K dokonalosti působení úředního šimla v něm chybí jen jedno, nějaké to nekonečné zacyklení (abys získal A, musíš dodat B. B ti bez áčka nedají). Jednání s nerodilými mluvčími po telefonu je občas také docela adrenalinová záležitost :)

Kolega nedávno dělal certifikáty (extended validation a class 2) ověření pro firemní weby. Myslím, že to tak šílené nebylo. A přinejmenším je to ve stejném časovém pásmu. Nejprve ověřují osobu, a přes její důvěryhodnost potom firmu. O notáři se vůbec nezmiňoval. Mají zajímavou filozofii, cokoli dělá automatický systém, je to zdarma.

www.startssl.com

Problém je v tomto případě cena. Už jen přímá cena od velkých autorit je v některých případech šílená a není problém sehnat certifikát za 250 EUR/rok a to jsou ještě ty levnější.
V podstatě poslouží jakákoliv autorita, ktera má zastoupení mezi standardními autoritami v OS a aktualizují se jí tam kořenové certifikáty automaticky v rámci aktualizací. Což Start.com (StartSSL je taky). Asi jsem špatně hledal, takže za rok napíšu pokračování, jak to chodí u Start.com ]:)

Nevím o tom, že by ICA poskytovala Code signing certifikát. Je to lokální certifikační autorita, jedna ze 3, které jsou oprávněny zajišťovat kvalifikované certifikáty pro komunikaci s úřady (další pak PostSignum, eIdentity).
Nabízí pouze kvalifikované certifikáty (serverové i osobní) pro podepisování dokumentů a komerční pro šifrování dat. Tohle poskytují už od začátku a nic jiného jsem u nich neobjevil.
V kořenových certifikátech ji máme u nás, ale pochybuju, že bude šířená celosvětově. To by bylo úložiště plné root certifikátů z celého světa...

Nepotřebuješ IE. Ale s IE máš život jednodušší, protože pro uložení žádosti (requestu) a následnému spárování s vystaveným certifikátem se použije standardní Windows úložiště certifikátů a protože to prostě funguje.
Jde to i na jiných prohlížečích, jen se pak použije interní úložiště certifikátů prohlížeče. Ve tvém případě bych si napřed zjistil, jaká je nejlepší cesta pro tvůj OS.
Příklad pro Firefox:
http://certhelp.ksoftware.net/support/solutions/ar ticles/17158-how-do-i-export-my-code-signing-certi ficate-from-firefox-

IE jsem doporučoval, protože získávání certifikátů přes něj mám dlouhodobě mnohokrát ověřené a nejsou tam žádné problémy.

Zásady: vystavený certifikát musíš instalovat pod stejným účtem jako jsi vystavil žádost, ve tvém případě pak vystavený certifikát naimportovat tam, kde máš část se žádostí. Ty 2 části pak vytvoří finální certifikát, který vyexportuješ. Jakmile přijdeš o request, pak si můžeš rovnou koupit nový certifikát.

Je to jako když ti někdo dá půlku tisícovky a řekne ti, že zbytek ti dá týpek za hodinu u orloje. Poznávací znamení - ty půlky budou po přiložení sedět. Máš svou půlku (request), budeš mít celou tisícovku. Nemáš ji? Pak máš smůlu.

To jsem nepsal. A request sám o sobě je jen hromada náhodně generovaných čísel, která vůbec nic neznamená. Mnohem důležitější je privátní klíč, který tímto vznikne. Ale to nebylo předmětem. Samozřejmě, že openssl ti nezaručí uschování nebo kompletnost certifikátu, ale je to jedna z cest pro majitele jiných operačních systémů, kde IE není.

Rozumím.
Ano, request můžešvygenerovat různě. Vzniká jako poslední krok při žádostech o certifikát (vyplňování webových formulářů) u certifikačních autorit. Tam se jednoduše odešle spolu se spoustou údajů o žadateli autoritě.
Pokud bys to generoval takto separátně, musel by ses pak dohadovat s podporou autority, nevím, zda by bez správné funkce prohlížeče došlo k dokončení objednávky a nevím, zda by se s tebou vlastně vůbec bavili :-(

Opan SSL se hodně často používá pro generování self signed certifikátů - typické použití serverová a klientská část Open VPN.

jen doplním:

FF má naprosto nezáludný systém úložiště certifikátů, navíc jej lze jednoduše "globálně" zálohovat a přenášet. Takže pokud uživatelé potřebují "jednoduchý" systém v prohlížeči, je to minimálně stejně dobrá volba.

A samozřejmě člověk, co s certifikáty pracuje více, zvolí nejspíše nějaký "švýcarský nožík" - ve Windows např. XCA, v Linuxu jednoznačně OpenSSL.

Bohužel většina lidí naprosto nechápe principy generování páru klíč-cerifikát, popř. jejich certifikaci certifikační autoritou. Dost často potkám samotný certifikát bez klíče a dotaz "ono to nefunguje, proč?", následovaný usilovným hledáním privátního klíče.. :-)

Bude to složitější, protože nejsi schopný dostát podmínce - být zaregistrován v nějakém státním rejstříku.
Ale není to nemožné.
Jen je třeba od začátku chtít certifikát jako "jedinec" (individual) a ne společnost. Přesto, že jsem to v žádosti uvedl, chtěli po mě na začátku registraci v nějakém oficiálním seznamu. Až pak následoval dotaz na to, jestli chtit opravdu certifikát jako jedinec. Možná v tom byl ten zakopaný pes a od té doby nic ohledně organizace nechtěli.
Ten jejich validační proces je takový zmatený. Jak už jsem psal v článku, zdálo se mi, jako by to každý den řešil úplně někdo jiný a mezi sebou si nepředávali informace. 4asto jsem odpovídal na stejné dotazy několikrát.

Nuz cely tento clanok je podla mna znacne prehnany.

Nemam skusenost s vybavovanim individualneho certifikatu, vybavoval som ale certifikat pre spolocnost (s. r. o.) na codesigning.ksoftware.net a prebiehalo to ovela jednoduchsie a cele to trvalo 5 dni.

Predpoklady:

a) Zalozenie s. r. o. po oficialnej stranke, zapisanie do Obchodneho Registra, ICO, DIC atd atd. toto vsetko som mal vybavene v 2/2015 - slovenske urady maju na vsetko zhruba 30 dni takze to trvalo :)

b) O certifikat som ziadal 4/2015 - toto je podla mna klucovy bod. Jednoducho treba mat vsetko zapisane v jednotlivych registroch, ktore overuju.

Samotny proces certifikacie:
1) Den D: Ziadost o certifikat (online) + okamzite platba cez PayPal. Prakticky hned po zaplateni prisli automaticke maily.
O niekolko hodin neskor (este v ten isty den kedze USA je nejakych + 8hodin posunuta) prisiel email od cloveka (Mne pridelili Aldena), ktory mal na starosti moju validaciu.
Zakladne udaje o spolocnosti mal, vsetko vedel co a ako (podla zadanych parametrov do formulara a webstranky - napr. ja mam na stranke uvedene ICO, DIC, cisla uctov a podobne veci, dobre to tam mat: contact)

2) Den D+1: Email o doplneni udajov do telefonneho zoznamu (ponukol nam Zoznam.sk ale tam sa neda rpidat novy zapis rucne). Kedze sme neboli nikde uvedeni nedala sa overit adresa + cislo.
Pridal som teda zaznam na Zlate Stranky kde je sparovana sro s adresou, cislom a strankou.

3) Den D+2: Stale cakam kym Zlate Stranky spracuju zaznam - robia to rucne a overuju cez register.

4) Den D+3: Zlate stranky pridali zaznam (ale nevolali), preposielam link Aldenovi. (v priebehu dna)
Vecer dostavam potvrdzujuci email a aby som nahlasil cas kedy mi ma volat, odpisujem: Volat od 6:00 do 22:00 GMT a vysvetlujem lokaciu: Slovakia, EU, GMT time zone.

5) Den D+4: 7:50 vola Alden, cca 5 minutovy rozhovor potvrdzuje si udaje, kontroluje co som zadal (musim mu nadiktovat udaje nazad), potvrdzuje certifikaciu, vsetko je OK, dakuje za zavolanie (volal on :D) a nech napisem feedback ako som spokojny.

Za cca 30min prichadzaju dalsie maily: certifikat, nejake potvrdenia, feedback, heslo, informacie.
Certifikat vybaveny a platny od D+4 2 roky (ziadal som na 2 roky).

Cize cely proces trval 5 dni - z toho keby som mal zaznam v nejakej telefonnej spolocnosti dalo by sa to skratit o 1 den resp. aj o 2.

Cely proces uplne v pohode, vsetko pozistovali sami, ziaden problem ziadne duplikatne vybavovanie a behanie po notaroch...

Este par technickych zalezitosti: nepouzil som IE - to vobec nie je podmienka. Pouzil som Firefox, certifikat prisiel a siel nainstalovat aj do FF.

Certifikat pouzivam hlavne na podpisovanie aplikacii. Urobil som teda to ,ze som po nainstalovani certifikatu do FF zvolil Nastavenia -> Spresnenie -> Certifikaty -> Zobrazit certifikaty -> Vase certifikaty.

Zobrazeny certifikat som dal Zalohovat a ulozil na disk. Certifikat sa uklada vo formate .p12 a vacsina aplikacii potrebuje .pfx format.

Je to to iste, cize ak potrebujete .pfx jednoducho premenujete priponu subora na .pfx.

Moc díky za podrobný popis tohoto martyria - díky němu mě to stálo jen jednu cestu k notáři a celý proces proběhl podstatně rychleji: v pátek jsem to začal řešit a v úterý večer už mám certifikát (Comodo).

Prosím, nepoužívejte už ksoftware - stal se z něj asi scam. Objednal jsem před 3 týdny, nikdo se neozval. Zrovna řeším reklamaci a vrácení peněz u banky. Jejich recenze jsem si bohužel přečetl až bylo pozdě. Poslední dva měsíce to vypadá na scam za scamem. 3-[ 3-[ 3-[

Zpět na články Přidat komentář k článku Nahoru