Certifikát Thawte - MujMAC.cz - Apple, Mac OS X, Apple iPod

Odběr fotomagazínu

Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!

 

Zadejte Vaši e-mailovou adresu:

Kamarád fotí rád?

Přihlas ho k odběru fotomagazínu!

 

Zadejte e-mailovou adresu kamaráda:

Soutěž

Sponzorem soutěže je:

IDIF

 

Kde se narodil známý fotograf František Drtikol?

V dnešní soutěži hrajeme o:

Seriály

Více seriálů



Software

Certifikát Thawte

29. srpna 2006, 00.00 | Dnes si ukážeme, jak pokračovat dále pro získání certifikátu a jeho instalaci do systému, tak, aby byl k dispozici (nejen, ale především) pro služby v aplikaci Mail.

V minulém dílu našeho seriálu jsme si krok za krokem ukázali, kterak se připojit k serveru Thawte a jak si tam vytvořit uživatelské konto. Skončili jsme ve chvíli, kdy jsme úspěšně konto potvrdili s použitím vygenerovaného jednorázového hesla, přijatého prostřednictvím e-mailu.

Dnes si ukážeme, jak pokračovat dále pro získání certifikátu a jeho instalaci do systému, tak, aby byl k dispozici (nejen, ale především) pro služby v aplikaci Mail.

Pokud jste své konto podle minulého článku právě vytvořili, stačí stisknout tlačítko "next" v uvítací obrazovce:

Jinak se prostě přihlásíme na stránky Thawte na adrese www.thawte.com, využívajíce ovšem pro uživatelské jméno e-mailové adresy, již jsme zadali při vytváření konta, stejně jako hesla, jež jsme si zvolili (již je máte uložené v aplikaci KeyChain? Ne-li, je na to při prvním přihlášení ideální chvíle).

Žádost o certifikát

V úvodní stránce našeho osobního konta se pomocí odpovídající položky z nabídky u levého okraje okna přesuneme do skupiny služeb, souvisejících přímo s certifikáty:

V ní si pak vyžádáme vytvoření certifikátu, odpovídajícího standardu X.509 – což je právě standard, s nímž pracuje Mac OS X (stejně jako prakticky všechny ostatní operační systémy):

Následující stránka, již pro nás server Thawte automaticky otevře v novém okně – sestavení certifikátu, podobně jako vytvoření nového uživatelského konta, probíhá v samostatném okně – je na první pohled poněkud problematická. Jejím prostřednictvím totiž zvolíme typ webového browseru, s nímž pracujeme; server Thawte mu přizpůsobí mechanismus předání certifikátu. Jenže... náš browser Safari v této stránce není.

Řešení je naštěstí dosti snadné: prostě vybereme nejobecnější variantu "Mozilla Firefox/Thunderbird, Netscape Communicator/Messenger":

Jak uvidíme později, při ní server certifikát pošle jako soubor ve standardním formátu P12 s korektním nastavením typu MIME; Safari to rozezná, a certifikát automaticky předá aplikaci KeyChain. To ale zatím předbíháme – nejprve musíme určit požadovaná nastavení certifikátu.

Prvá stránka je jednoduchá – v ní bychom mohli vybrat jméno nositele certifikátu a jeho podniku; pokud jsme ovšem použili nové konto, získané zdarma postupem z minulého článku, nemáme na vybranou: jméno je fixní, a žádný název zaměstnavatele není k dispozici:

Důležitější je následující stránka; v ní je zapotřebí určit, že naše e-mailová adresa se má stát součástí certifikátu. Pozor, defaultní volba je "vypnuto" – pokud bychom ji však ponechali, nebude nám certifikát v aplikaci Mail moc platný; Mac OS X totiž požaduje, aby součástí certifikátu, využitého k digitálnímu podpisu, byla též e-mailová adresa, z níž je zpráva odesílána.

Vložení adresy tedy explicitně zapneme:

V následující stránce jen klepneme na tlačítko "next" (není v ní co vybírat), a pak potvrdíme "Default Extensions":

Následuje volba kryptografické síly veřejného klíče; pokud z nějakého důvodu nemáme speciální požadavky, vybereme prostě nejdelší klíč, jenž nám server Thawte nabídne – v současnosti to je 2048 bitů:

Pozor: už v této chvíli nám systém vytvoří dvojici privátního a veřejného klíče – můžeme si to ověřit nahlédnutím do aplikace Keychain Access, v níž se tyto klíče oba ihned objeví:

Pokud bychom si nějakou náhodou tyto klíče smazali, máme smůlu: aplikace Thawte totiž samozřejmě náš privátní klíč vůbec nemá k dispozici. Přijdeme-li tedy o něj, neexistuje žádný způsob, kterak certifikát obnovit – v takovém případě bychom si museli vyžádat jiný.

Samozřejmě, rozumné je si certifikát i s klíči zazálohovat; buď v rámci celé "klíčenky" (keychain) – to samozřejmě stejně děláte, že? – nebo jej lze vyexportovat samostatně. Jak se to dělá si ukážeme později, až se budeme zabývat prací s aplikací Keychain Access.

Vraťme se však ke tvorbě certifikátu: po vytvoření klíče již jen v nové stránce potvrdíme zadané hodnoty:

a pak si počkáme, než server Thawte certifikát vytvoří – obvykle to trvá několik minut. Po vytvoření certifikátu dostaneme e-mailovou zprávu, jež obsahuje přímo odkaz pro "stažení" hotového certifikátu z webových stránek Thawte:

Povšimněme si, že URL vrací jméno aplikace "deliver.exe", jež certifikát patrně na webu Thawte generuje; nesmíme se proto divit, že na přijetí certifikátu Safari zareaguje následujícím bezpečnostním dotazem:

Potvrdíme jej samozřejmě.

Tím jsme hotovi: ačkoli se totiž získaný soubor, obsahující certifikát, jmenuje nesmyslně "deliver.exe", webový server Thawte jej doprovází korektním typem MIME. Díky tomu Safari automaticky otevře aplikaci Keychain Access a certifikát jí předá – a aplikace Keychain Access certifikát přidá do standardní "klíčenky" (v níž již jsou, jak jsme si před chvílí řekli, uloženy odpovídající klíče).

Pozor na jednu drobnost: server Thawte předávaný certifikát chrání vším možným i nemožným :), takže jak uvádí varování v e-mailu, skutečně jej musíme importovat v témže browseru a na témže počítači v rámci téhož uživatelského konta – jinak to nebude fungovat. Sám jsem kdysi na tento "podraz" zapomněl, a dlouho jsem marně hledal v čem je chyba, když jsem se snažil certifikát, vyžádaný na laptopu, importovat do správné "klíčenky" – jenže na jiném počítači.

Pokud jsme použili správný počítač, správný browser a tak dále, vidíme hned, že certifikát v "klíčence" máme k dispozici:

a ihned jej také můžeme používat v aplikaci Mail, jak ukazuje ikonka "digitálního podpisu" na pravém okraji lišty:

Nakonec jen pro úplnost – patrně neuvidíte ve vaší aplikaci rozevírací nabídku pro výběr identity – na obrázku nahoře označenou "Account": to proto, že pravděpodobně budete mít zkonfigurovaný pouze jediný účet, vhodný k odesílání zpráv. Aplikace Mail nabídku zobrazí teprve tehdy, když je z čeho vybírat.

Obsah seriálu (více o seriálu):

Tématické zařazení:

 » Rubriky  » Informace  

 » Rubriky  » Agregator  

 » Rubriky  » Tipy a Triky  

 » Rubriky  » Software  

Diskuse k článku

 

Vložit nový příspěvek   Sbalit příspěvky

 

A co "Velký Bratr" a master password ?

Autor: Rudolf Müller Muž

Založeno: 04.09.2006, 17:49
Odpovědí: 0

Hezký, dobrý a užitečný článek. Jenom by mně ale zajímalo jestli v dnešní době teroristických útoků a tudíž i zesílené péče \"velkého bratra\" o naše bezpečí je opravdu klíč nezlomitelný anebo jestli má Thawte v případě soudního příkazu povinnost umožnit (a tudíž i dopředu zabezpečit) přístup k přečtení zpráv zamčených mým privátním klíčem... Lze z klíče samotného zjistit jestli k němu neexistuje "master" ? asi ne co ? víte někdo jak to je...? Díky. r.

Odpovědět na příspěvek

RE: A co

Autor: Standa David Muž

Založeno: 09.12.2009, 09:18

Žádná certifikační autorita neuschovává vaše soukromá hesla...to by hodně rychle skončila:-)
Standa David
Standa-David.com

Odpovědět na příspěvek

RE: A co

Autor: OC Muž

Založeno: 21.01.2012, 17:40

Především: samozřejmě, existuje určitá _NAPROSTO ZANEDBATELNĚ MALÁ_ -- ale nenulová! -- pravděpodobnost, že firma Apple má v Mac OS X zabudována nějaká zadní vrátka, jimiž (a) privátní klíče odesílá k uložení, co já vím, třeba na servery NSA nebo tak něco, (b) dokáže přečíst keychain bez znalosti hesla, když opravdu chce.

Ponecháme-li tuto možnost stranou, pak privátní klíč je naprosto bezpečný, pokud si jej nekompromitujete sám. Vy si jej u sebe vygenerujete postupem popsaných v článcích (to je také odpověď na dotaz výše), a Mac OS X jej uloží do keychainu. Odsud se nikdy a nijak nedostane ven bez Vašeho explicitního svolení. Speciálně, certifikační autorita _jej vůbec nikdy a nijak nevidí_ (a tedy si jej nemůže ani nikam uložit).

Rozesílá se pouze Váš veřejný klíč (který je -- kromě jiného -- právě uložen do toho certifikátu, který od certifikační autority dostanete).

"Master" neexistuje a principiálně existovat nemůže --pokud a dokud platí současné představy matematiků (je pravda, že NP<>P dosud není dokázáno, aspoň nakolik je známo veřejně, takže určitá možnost existence "master" klíče je -- ale je hodně malá :)).

Finálně pak, v zemích fašistických, jakou je kupříkladu současná Velká Británie (a kam socani jiných zemí míří rychlým krokem, bohužel :( ), sice neexistuje soudní příkaz, který by zveřejnil Váš privátní klíč; zato však existuje, promiňte onen výraz, naprosto svinská a v jakékoli alespoň marginálně civilisované zemi zcela nepředstavitelná legislativa, jež zjednodušeně praví: "Chce-li to státní dráb, buď mu všechna hesla dáte, nebo půjdete bručet." Pro podrobnosti si dohledejte např. "RIPA III". Doporučuji na prázdný žaludek, je to velmi silné emetikum :(

Odpovědět na příspěvek

nechapu to

Autor: martink Muž

Založeno: 27.09.2009, 22:28
Odpovědí: 0

Dobrý den, snad mi pomužete - vše jsem udělal přesně podle návodu, certifikat jsem naimportoval do klienta ( the bat ) a poté jsem se chystal podepsat zpravu a ejhle klient mi to nechce pobrat jelikož nevlastním nějaký soukromý klíč, ale já jsem si nikde na stránkách thawte nevytvářel soukromý klíč. Můžette mi prosím vysvětlit jak se tedy podepísují emaily? děkuji

Odpovědět na příspěvek

 

 

Vložit nový příspěvek

Jméno:

Pohlaví:

,

E-mail:

Předmět:

Příspěvek:

 

Kontrola:

Do spodního pole opište z obrázku 5 znaků:

Kód pro ověření

 

 

 

 

 

Přihlášení k mému účtu

Uživatelské jméno:

Heslo: