Lukas Zapletal wrote: > Jeste jednou diky, funguje to. Zajimave je, ze heslo klice je stejne > jako heslo celeho certifikatu, dokumentace tvrdi, ze to nemusi byt > pravidlem, me se ale pri exportu z Mozilly na druhe heslo program > neptal...
To je normalni, ze jsou oba klice stejne, i OpenSSL to defaultne dela taky tak. Jenom pro poradek - zacnete, prosim, rozlisovat certifikat od ostatnich veci, v tomto pripade od PKCS12 souboru nesouciho certifikat a tajny klic. Certifikat je verejny klic spolu s informaci o drziteli, oboji podepsane certifikacni autoritou. K certifikatu jeho majitel potrebuje jeste tajny klic prislusny tomu verejnemu klici z certifikatu. Certifikat je vec verejna, a rozdava se kazdemu na potkani. Naopak tajny klic se musi chranit jako oko v hlave. To co potrebujete nacitat je ve skutecnosti tajny klic, pro podepisovani certifikat nepotrebujete. Certifikat bude potrebovat az druha strana pro overeni podpisu. PKCS12 je format souboru, ve kterem muze byt zaroven certifikat i tajny klic. Samotny X509 certifikat se obvykle uchovava v PEM nebo DER kodovanem souboru, ve Windowsech to ma priponu tusim .crt > Sestavit podepisovaci kod jiz bylo snadne. Co me vsak trosku zarazilo > -- na zaklade typu klice musim rozhodnout o algoritmu. Java nabizi > md5, sha s dsa a rsa sifrovanim, ale co kdyz bude mit certifikat klic > pro jiny algoritmus? Stava se to, nebo jsou DSA a RSA (u nasich > autorit) tak vyuzivane, ze se to prakticky nemuze stat? Pokud vim, tak realne certifikacni autority vydavaji certifikaty jenom k RSA a DSA klicum, kvuli co nejsirsi kompatibilite s ruznymi softwary. Par klicu se stejne obvykle generuje v prohlizeci, a mam pocit, ze prohlizece umi dokonce jenom RSA. > Jen pro informaci: potrebuji udelat applet, ktery se pokusi certifikat > najit v prohlizeci (JRE 5.0 tohle umi s IE standardne, s Firefoxem > pres nejaky JSS/NSS plugin), pokud jej nenajde, tak bude pozadovat > certifikat z disku. Applet bude pak podepisovat odesilana data ve > formularich, podobne, jako to ma treba eBanka. Snad to nejak pujde > udelat, momentalne resim problem, jak se dostat do globalniho > javovskeho keystore (toho ktery je dostupny v Ovladacich panelech -- v > ControlPanelu na Linuxu). Poslednim (asi nejtezsim krokem) bude dostat > ty certifikaty z prohlizece -- u MSIE by to melo IMHO byt tak, ze se > automaticky objevi v Java certifikatech. No, v Java Control Panelu na Linuxu v Security - Certificates mam dve zalozky, User a System. Kdyz si do Client Authentication pro User naimportuju PKCS12 soubor, tak se mi ulozi do souboru .java/deployment/security/trusted.clientcerts coz je keystore typu JKS, muzu si ho vypsat pomoci keytool -list -v -keystore .java/deployment/security/trusted.clientcerts Do systemoveho uloziste nic ulozit nemuzu, ale to da rozum. S JKS souborem se pracuje normalne, da se nacist stejne jako PKCS12 soubor, da se do nej pridat a pak zapsat pomoci KeyStore.store(), viz http://java.sun.com/j2se/1.5.0/docs/api/java/security/KeyStore.html Jestli se daji v Appletu dostat certifikaty z prohlizece netusim. Makub -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Supercomputing Center Brno Martin Kuba Institute of Computer Science email: [EMAIL PROTECTED] Masaryk University http://www.ics.muni.cz/~makub/ Botanicka 68a, 60200 Brno, CZ mobil: +420-603-533775 --------------------------------------------------------------
smime.p7s
Description: S/MIME Cryptographic Signature
