Postsignum
Z Wiki.linux.cz
Získání kvalifikovaného certifikátu od CA Postsignum
Certifikační autoritu Postsignum provozuje Česká pošta a protože jsou mimořádně přívětiví i pro linuxové uživatele, je certifikát od nich celkem jednoznačnou volbou. Žádost lze vygenerovat pomocí openssl, což je zásadní rozdíl proti ICA, kde je nutný speciální formát žádosti, který openssl zatím generovat neumí.
Tento návod vychází z návodů na ABClinuxu a to konkrétně z Jak na kvalifikovaný certifikát České pošty a Kvalifikovaný certifikát České pošty a vlastní zkušenosti.
Generování žádosti je možné provést na libovolném počítači, kde je instalováno OpenSSL. Není pořeba dělat žádné zvláštní změny v konfiguraci, pošta si položky, které by případně chyběly, doplní. Protože u mě nefungoval korektně parametr -utf8 pro vložení diakritiky do certifikátu, dělal jsem žádost bez diakritiky a pošta si ji doplnila sama.
První potřebná věc je generování privátního klíče. Ten se vytvoří takto
openssl genrsa -des3 -out private.key 2048
Tento příkaz generuje 2048 bitový privátní klíč, uloží jej do souboru private.key a zašifruje algoritmem 3des. Klíč si velmi dobře uschovejte, ten kdo jej získá může např. prodat váš dům nebo cokoliv jiného.
Dalším krokem je generování žádosti. Příkaz je opět velmi jednoduchý:
openssl req -new -newhdr -days 365 -asn1-kludge -outform pem -key private.key -out cert.req
V reále to potom vypadá takto:
dan@dan:/tmp> openssl genrsa -des3 -out private.key 2048 Generating RSA private key, 2048 bit long modulus ...............................................................................+++ .................................+++ e is 65537 (0x10001) Enter pass phrase for private.key: Verifying - Enter pass phrase for private.key: dan@dan:/tmp> openssl req -new -newhdr -days 365 -asn1-kludge -outform pem -key private.key -out cert.req Enter pass phrase for private.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:CZ State or Province Name (full name) [Some-State]:Czech Republic Locality Name (eg, city) []:Rudna u Prahy Organization Name (eg, company) [Internet Widgits Pty Ltd]:. Organizational Unit Name (eg, section) []:. Common Name (eg, YOUR name) []:Dan Ohnesorg Email Address []:dan@ohnesorg.cz Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
Povšimněte si, že tam, kde jsem nechtěl odpovědět jsem nezadával prázdnou odpověď, ale zadával jsem tečku. Tím dáváme OpenSSL najevo, že nemá použít výchozí odpověď, ale skutečně prázdný výraz.
Výsledkem je soubor cert.req, který odneseme na poštu. Sebou si musíme vzít dokumenty, soukromé osoby dva doklady totožnosti a živnostnící navíc ještě živnostenský list. Z webu certifikační autority si stáhneme žádosti, které vyplníme v OpenOffice.org, a to už je vše co je potřeba.
Domů si přineseme disketu na které bude několik souborů. Teď nás čeká o něco více práce. Všechny si je zkopírujeme do dočasného adresáře a v něm zdáme postupně:
openssl x509 -inform DER -outform PEM -in cert.crt -out cert.pem cat postsignum_qca_root.pem > CA.pem cat postsignum_qca_sub.pem >> CA.pem openssl pkcs12 -inkey private.key -chain -in cert.pem -CAfile CA.pem -out postcert.p12 -name "Dan Ohnesorg" -export
Může se stát, že na disketě nenaleznete soubory postsignum_qca_root.pem a postsignum_qca_sub.pem, v takovém případě si je musíte vytvořit příkazy:
openssl x509 -inform DER -outform PEM -in postsignum_qca_root.crt -out postsignum_qca_root.pem openssl x509 -inform DER -outform PEM -in postsignum_qca_sub.crt -out postsignum_qca_sub.pem
A tím jsme u konce, v souboru postcert.p12 máme balíček našeho certifikátu, kořenového certifikátu poštovní CA a i certifikátu, kterým je podepsán náš certifikát, protože ten se nepodepisuje kořenovým certifikátem, ale takovým mezicertifikátem, který nevím jak se přesně jmenuje česky. Tento soubor lze načíst jak do Mozilly, tak do Thunderbirdu či Firefoxu. Stejně tak jej lze použít i pod Microsoft Windows.
--
dan ohnesborg
