Problémové zřízení elektronického podpisu
Dnes jsem konečně naznal, že přišel čas zřídit elektronický podpis - ano, ten od České pošty. Je to mnohem jednodušší, než kvůli každé blbosti běhat na czechpoint a ještě posílat doporučený dopis (je to nudné, zdlouhavé a ještě ke vsemu vyžaduje ruční vypsání adresy). Zřízení je (na poměry tohoto státu) kupodivu celkem jednoduché. Zřizoval jsem elektronický podpis pro nepodnikatele.
Zřízení a nastálé problémy
Nejdříve je třeba vytisknout smlouvu (2x - jedna pro vás, jedna pro poštu) a list s údaji pro vydání certifikátu (1x). Vše je možné stáhnout z webu [postsignum. Jedná se o PDF formuláře - snadno je tedy vyplníte na PC, vytisknete, podepíšete a vydáte se na poštu. Tady začaly problémy. Na poště mě obsluhovala paní, která podpis/certifikát ještě nikdy nevydávala. Takže jsem se stal exemplářem při zaučování další paní z pošty. Tím se vše protáhlo na cca 30-35 minut. Pro zřízení dále potřebujete dva doklady (OP/pas + řidičák, pas, rodný list) a vygenerovanou žádost (.req) na flash disku.
Generování žádosti na Linuxu je možné pomocí OpenSSL:
openssl req -out request.req -new -newkey rsa:4096 -keyout privatekey.key
Na flashce mějte raději pouze daný soubor, jelikož jej prověřují antivirovou kontrolou (jako by to něčemu pomohlo, že...). Po všech podpisech byla práce hotova, já zaplatil 396,- (pouze v hotovosti, na to pozor) a dostal vygenerovaný certifikát na flashce. Jak asi tušíte, po příchodu domů jsem zjistil, že na flashce certifikát není, takže jsem jej musel stáhnout z e-mailu, který je použit jako záložní kanál. Flashka byla formátována na NTFS, takže nechápu, proč tam certifikát nebyl (že by jej neuměly nakopírovat?).
Instalace do počítače a mega průser
Váš certifikát není důvěryhodný - nelze s ním tedy dobře pracovat. Je třeba nainstalovat kořenové certifikáty PostSignum. No a tady nastává ten průser. Certifikáty můežete stáhnout z jejich webu. Můžete si všimnout, že se stahují pomocí nezabezpečeného protokolu http - certifikáty je tedy možné velice snadno podvrhnout, což si ani nemůžete zkontrolovat, jelikož na webu nejsou ani MD5 součty daných souborů (a ani web není na https, takže je to vlastně jedno). Pro jistotu tu uvádím sha256 potřebných souborů, takže ironicky řečeno si můžete zkontrolovat, že vám falešné certifikáty podhodil někdo jiný než mně.
postsignum_qca2_root.pem
952729291c6d55ef53e7b6ee220704f1f400561ed8b7a6de047a29c11e27e0c2
postsignum_qca2_sub.pem
991978cb1832bf67b2e15e7108cd0a4112eec8aa7e150ba9897f0d8311b77eec
postsignum_qca3_sub.pem
04cb2e112e00c0ca1f353bc7c23b19df4d16b9624e1863600b933e00a71db81e
Pro podepsání dokumentů používám LibreOffice (umí dokonce export odt -> pdf a pdf podepsat). LibreOffice si certifikáty k podpisu tahá z Thunderbirdu, případně Firefoxu. Do Thunderbirdu je tedy třebá importovat kořenové certifikáty (do Authorities) a váš certifikát ve formátu pfx. PFX vytvoříte opět pomocí OpenSSL, kde privatekey je privátní klíč (vzniknul při žádosti) a certificate.pem je certifikát, který dostanete na poště:
openssl pkcs12 -export -out cert.pfx -inkey privatekey.key -in certificate.pem
Takto vytvořený soubor importujete do Your Certificates.
Pokud se nezdaří import (proběhne bez chyby, ale přesto certifikát není naimportován), smažte soubor ~/.thunderbird/something.default/cert8.db. Přijdete tak o doposud uložené certifikáty v Thunderbirdu, na to pozor. Jiné řešení chyby s importem bohužel neznám.
Podepisování dokumentu
Podepisování odt souboru je jednoduché - "podepisovací" okno vyvoláte ve Writeru pomocí "File -> Digital Signatures". Pro podepsání exportovaného PDF je nutné spustit "File -> Export to PDF" a na kartě Digital Signatures zvolit požadovaný certifikát pro podpis.
(NE)Bezpečnosti s PostSignumm zdar...
Comments
certifikát
také se podělím:
na naší poště jsem byl druhý soukromý žadatel , takže pošťačky tápaly,
a objednaly mě až dorazí na šichtu znalejší slečna. i tak to trvalo asi 20min.
dodal jsem OP a rodný list. soubor *.req na flash nechtěly, jen ID žádosti.
platit v hotovosti jsem nemusel.
doma mě čekal mail s odkazem na stažení *.cer
nainstaloval, integroval do Thunderbirdu a .... nic . házelo to hlášku že se
něco nepodařilo ověřit - nebo tak něco. už jsem to pomalu vzdával, a po
dlouhém zkoumání jsem se podíval na stránkách postsignum a našel tam
návod. musí se totiž rovněž naistalovat (naimportovat) certifikáty ČP/Postsignum
http://www.postsignum.cz/files/navody/inst_ca_thunderbird/index.html
stačí jen ty 3 z předposledního obrázku
odtud:
http://www.postsignum.cz/certifikaty_autorit.html (pro Thunderbird *.DER)
pro Outlook/IE : http://www.postsignum.cz/files/CA_postsignum.exe
a voila! podepsané maily funkční!
rovněž mohu podepisovat *.pdf v Acrobat Readeru a dokumenty v office
:-)
Add new comment