Tohle si musím napsat.
Zaručený elektronický podpis je založený na kvalifikovaném certifikátu pro elektronické podpisy, pro který původní zákon o elektronickém podpisu (zákon č. 227/2000 Sb.) používal pojem „uznávaný elektronický podpis“. Certifikát může být uložen přímo v OS.
Kvalifikovaný elektronický podpis - QES (qualified electronic signature) je zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy vydaným kvalifikovaným poskytovatelem služeb vytvářejících důvěru. Takže mými slovy - kvalifikovaný certifikát uložený v počítači na kvalifikovaný elektronický podpis již nestačí, soukromý klíč certifikátu musí být uložen na "kvalifikované" klíčence/kartě, kterou vydává/poskytuje certifikační autorita.
Veřejná správa musí používat kvalifikovaný elektronický podpis od 20.9.2018.
"Dle nařízení Evropského Parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES je nejvyšší formou elektronického podpisu (co do své důvěryhodnosti) tzv. kvalifikovaný elektronický podpis."
https://www.czechpoint.cz/public/kvalifikovane-elektronicke-podpisy-dle-narizeni-eidas-novy-pozadavek-na-obsluhu-czech-pointu/
Tohle je docela zvláštní. Přešel jsem z nedůvěryhodných StartSSL certifikátů zpět k vlastní certifikační autoritě. Vydal jsem certifikát s CN, přidal .KEY a .PEM do příslušného web serveru. Přistupuji k webu pomocí Vivaldi 1.11 - a web server mi hlásí problém s certifikátem. Povoluji výjimku a nahazuji F12, abych se dozvěděl víc.
Security overview mi hlásí "This page is not secure (broken HTTPS)". A pod tím vidím hlášku, že "Subject Alternative Name missing". Začínám hledat na webu - a našel jsem toto a toto. Více...
Jak vypadá důvěryhodné internetové bankovnictví? Takhle určitě ne. Tohle je těžký fail.
Jsem zvědav, za jak dlouho to opraví. Paní účetní je z toho jaksi nesvá. A ani se jí nedivím.
Vypršel mi StartSSL certifikát, tak jsem si před obnovou řekl, že už je na čase obměnit SHA1 za SHA256. No jo, jenže IIS Manager ve Windows Serveru 2012 R2 vyrobí CSR automaticky jen s SHA1. Tak dobrá, nahodím mmc.exe, přidám si Certificates snap-in a holt ten požadavek vyrobím ručně. V tu chvíli jsem netušil, jakou zábavu jsem si připravil pro pár hodin v průběhu několika dalších dní.
Úvodem jsem dal Request New Certificate…. Špatně, správně je nutné zvolit Advanced Operations a následně Create Custom Request… Více...
Předpoklady:
CA akceptuje SAN CSR.
Chci mít certifikát s možností exportu privátního klíče.
Postup:
Stáhnu si přílohu ssl.inf a doplním/změním požadované parametry.
Vytvořím CSR soubor
certreq -new ssl.inf ssl.req
CSR můžu zkontrolovat pomocí
certutil ssl.req
Pokud je CA dostupná přes RPC, můžu následující příkaz spustit rovnou tam, kde jsem vytvářel CSR. Jinak musím soubor na CA nejdříve překopírovat.
certreq -submit ssl.req
nebo
certreq -attrib “CertificateTemplate:webserver” -submit ssl.req
Druhou variantu je nutné použít např. v případě, kdy bych chtěl takto vydat certifikát na základě CSR vytvořeného v průvodci Exchange 2010 (a možná i 2013).
Předposledním krokem je instalace vydaného certifikátu, čímž dojde k propojení s privátním klíčem
certreq -accept ssl.cer
Posledním krokem je export certifikátu ve formátu PFX a uložení na bezpečné místo. Nejdříve si certifikát vypíšu.
certutil -store My
Musím si poznamenat sériové číslo certifikátu a následně jej vyexportovat
certutil -exportPFX -p "Password" My 610df5bb000000000002 exportovany_certifikat.pfx
Zdroje:
http://blogs.technet.com/b/pki/archive/2009/08/05/how-to-create-a-web-server-ssl-certificate-manually.aspx
http://certificate.fyicenter.com/685_Microsoft_CertUtil_Microsoft_certutil_-user_Certificate_St.html
http://blogs.technet.com/b/yuridiogenes/archive/2011/04/20/exporting-certificates-using-certutil.aspx
ssl.inf (1,4KB)
Současné šílenství se zabezpečováním SSL komunikace má nepříjemné efekty. Třeba teď jsem se po půl roce dostal opět ke konfiguraci prehistorického Linksys WRP400. Firmware pro něj nebyl vydaný už dva roky (a počítám, že už nikdy nebude). Zabudovaný certifikát používá délku klíče menší než 1024 bitů, takže IE s ním nekamarádí už dlouho. Od té doby jsem na konfiguraci používal Firefox. Jenže i ten přešel od verze 33 na nějakou jinou, restriktivnější knihovnu a standardně už také nedovolí připojení k webovému serveru se slabým certifikátem. Nakonec jsem dle této stránky ve FF hrábnul do about:config konfigurace a dočasně nastavil:
security.tls.version.fallback-limit z 1 na 0
security.tls.version.min z 1 na 0
Jelikož nebudu čekat, až ani tohle nepůjde, tak jsem “vylepšil” zabezpečení routeru tím, že jsem vypnul HTTPS a nahodil HTTP. Tomu říkám pokrok. Ještě že aspoň jde zakázat přístup ke konfiguraci routeru přes WLAN a vynutit si pouze “drátové” připojení k administraci.
V dobách Windows 2003 jsem často zprovozňoval interní certifikační autoritu na back-end serveru a CA Web Enrollment a web s CRL na front-end serveru. U Windows 2008 mi identický postup nefungoval, tak jsem to vždy obešel automatickým zprovozněním aplikace /CertSrv po instalaci v Default Web Site. Dnes jsem však potřeboval tuto aplikaci rozchodit na jiném webovém serveru, protože Default Web Site již byl používaný Exchange Serverem 2010. Je to k neuvěření, ale dnes jsem našel jeden blog post z roku 2009, který vše potřebné naprosto geniálně popisuje. Už jen lahůdkou je fakt, že front-end běžící na Windows Serveru 2008 může bez problémů komunikovat s certifikační autoritou spuštěnou na Windows Serveru 2003. Více...
Nedá mi to, tohle si musím uložit. Některá rozhodnutí Evropské unie jsou, vzhledem ke znalosti praktického nasazení technologií a know-how obsluhujícího perzonálu, těžko pochopitelná. Jedním takovým je uznatelnost kvalifikovaných certifikátů vydaných v jiných členských státek EU příslušnými národními orgány veřejné moci. Více...
Zvláštní věc se stala. Běžným způsobem jsem požádal o Exchange 2010 SAN certifikát.
[PS] C:\Windows\system32>$cert = New-ExchangeCertificate -GenerateRequest:$True -SubjectName "c=CZ,s=Praha,L=Praha,o=Telefonica Czech Republic a.s.,ou=Operations,cn=smtpin1.domain.local" -DomainName smtpin1.domain.local,smtpin1 -FriendlyName 'smtpin1.domain.local' -PrivateKeyExportable $true -KeySize '2048'
[PS] C:\Windows\system32>$cert | Out-File c:\temp\smtpin1.domain.local.csr
Soubor jsem vzal a požádal na CA “o štempl”. Odpověď od CA jsem přenesl opět na server a opět korektně zadal toto: Více...
Již včera jsem si všiml, že stránky www.startssl.com jsou opět v plném provozu. Nadále nedostupné byly stránky StartSSL WoT. Před chvílí jsem si ale všiml, že zprovozněn je opětovně už i Web of Trust. Zkoušel jsem se chvíli pídit po informacích, kdy se tak stalo, ale nikde nic. Tak teď už nezbývá než doufat, že obnovení provozu nesouvisí s ohlášeným rozpadem nechvalně proslulé hackerské skupiny LulzSec a že jsou všechna potenciální rizika a díry skutečně odstraněna.