Kvalifikovany certifikat (openssl)

Dan Ohnesorg Dan na feld.cvut.cz
Úterý Srpen 5 16:11:20 CEST 2003


Dne Tue, Aug 05, 2003 at 10:04:36AM +0200, Petr Vejsada napsal:

> zacal jsem studovat moznost implementace kvalifikovanych osobnich certifikatu 
> ICA. V techto se pouziva diakritika, dle certifikacni politiky ICA bud 
> US-ASCII (tedy zadna diakritika) nebo UTF8. Neni mi zcela jasne, zda je pro 
> kvalifikovany certifikat diakritika povinna. Pokud ano ci pokud by majitel 
> certifikatu chtel mit certifikat s diakritikou, mam tu trochu problemy.

No povinna zcela jiste je, pokud mate ve jmene diakritiku. Nevim ted, jestli
to byla ICA nebo ne, ale kdyz jsem se o to zajimal asi pred pul rokem, tak
jsem zjistil, ze kvalifikovany certifikat obsahujici identifikator MPSV mi
podepise jen jedina ceritifkacni autorita a ta mi nepodepise PEM verzi, ale
jen verzi vygenerovaou jejich windows only programem, resp. ActiveX
komponentou, ke ktere mam absolutne nulovou duveru. Tak jsem jim napsal, ze
privatni klic je od toho privatni ze ho nikdo nezna a tim mene nejaka jejich
ActiveX komponenta. Neobtezovali se odpovedet.

> 1.) Nepodarilo se mi vubec rozumne zobrazit kvalifikovany certifikat v Mozille 
> (1.3.1, 1.4). Stahl jsem si .PEM kvalifikovany certifikat nahodne vybraneho 
> cloveka ze serveru ICA a naimportoval do Mozilly. Zda se, ze by i fungoval, 
> nicmene pri pokusu o zobrazeni obsahu certifikatu vidim misto diakritiky 
> rozsypany caj. Konqueror nezobrazi rozsypany caj, ale oslashovane 
> hexadecimalni hodnoty. Lze pracovat v linuxu s kvalifikovanymi certifikaty (= 
> s certifikaty s diakritikou) nejak rozumne ?

Myslim ze v dnesni dobe ne. U mozilly je na to nejaky zaznam v bugzille, u
konquerroru nevim. 

> 2.) Pokud chci certifikat zobrazit pomoci openssl (openssl x509 -in 
> certifikat.pem -text) vidim hodnoty vyjadrene hexadecimalne. Lze je nejak 
> zobrazit "normalne", t.j. vystup na terminal v ISO-LATIN2 ?

Ne, protoze openssl se prekodovavanim nezabyva, bud je nutne mit UTF
terminal a nebo to prohnat nejakou konverzi.

> Rad bych s tim zacal normalne pracovat (napriklad vygenerovat si zadosti o 
> certifikaty v openssl (s diakritikou), co se musi nastavit ? Staci 
> (openssl.cnf) string_mask = utf8only ? Vygenerovat takto zadost o certifikat 

Podle vseho co jsem nasel v dokumentaci to tak je. Nicmene podle me jim
nechodi podpis, kdyz se ten certifikat v openssl i podepise, tak v msie neni
videt cestina. Coz by podle me melo byt OK, protoze kdyby tim trpely
certifikaty vydavane ICA tak uz by se asi nekdo ozval. Sam nevim, protoze
jsem nikdy nevidel jejich certifikat obsahujici diakritiku.

> Dale jsem si pohraval s prikazem openssl smime (zajimave), tam jsem uplne na 
> zacatku. Zda se, ze by to mohlo i fungovat. Lze toto nejak zaintegrovat do 
> K-Mailu ? O projektu aegypten vim, pokusy s nim jsem ukoncil po pokusu o 
> kompilaci, ktery skoncil hlaskou ze PAM not found (mel pravdu, PAM skutecne 
> nemam). Lze to bez PAM ?

No asi ne, dalo by to moc prace. Bez PAM se da smime pouzivat v muttu.

zdravim
dan


-- 
                    ________________________________________
DDDDDD             
DD   DD                Dan Ohnesorg, supervisor on POWER     
DD  OOOO               Dan na feld.cvut.cz
DD OODDOO              Dep. of Power Engineering
DDDDDD OO              CTU FEL Prague, Bohemia
   OO  OO              work: +420 2 24352785;+420 2 24972109
    OOOO               home: +420 311 679679;+420 311 679311
                    ________________________________________

Uz je to tak.
  Nekteri lide se uzaviraji do sve veze z voloviny.


Další informace o konferenci Linux