Kde vzít certifikát? - MujMAC.cz - Apple, Mac OS X, Apple iPod

Odběr fotomagazínu

Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!

 

Zadejte Vaši e-mailovou adresu:

Kamarád fotí rád?

Přihlas ho k odběru fotomagazínu!

 

Zadejte e-mailovou adresu kamaráda:

Soutěž

Sponzorem soutěže je:

IDIF

 

Kde se narodil známý fotograf František Drtikol?

V dnešní soutěži hrajeme o:

Seriály

Více seriálů



Software

Kde vzít certifikát?

23. srpna 2006, 00.00 | Asi nejvíce uživatelů se pro své certifikáty obrací na firmu Thawte: ta základní certifikáty bez speciálních služeb nabízí zdarma, a sama patří mezi společnosti jimž Apple "věří" (jinými slovy, certifikát od nich má kořenovou certifikační autoritu, již každá standardní instalace Mac OS X uznává).

V minulém dílu našeho seriálu, věnovaného bezpečnosti operačního systému Mac OS X, jsme se seznámili s certifikáty a vysvětlili jsme si principy jejich funkce i to, jak jich systém a aplikace mohou využívat pro šifrování a ověřování digitálně podepsaných dokumentů.

Kde ale takový certifikát vezmeme? Jak jsme si vysvětlili minule, sami si jej v zásadě vyrobit nemůžeme – přesněji řečeno, můžeme (a zanedlouho si ukážeme jak na to), ovšem takový certifikát nebude potvrzen certifikační autoritou, již by uznávaly systémy ostatních uživatelů – takže pokud jím pak podepíšeme třeba mailovou zprávu, mailový klient příjemce zprávu jako korektně podepsanou nepotvrdí, protože nebude mít k dispozici řetěz certifikačních autorit, který by končil ve standardní "klíčence" "X509Anchors" ve složce "/System/Library/Keychains".

Certifikáty Thawte

Z tohoto důvodu je zapotřebí získat certifikát s certifikační autoritou, jež sama je (nebo alespoň má sama ceritifkační autoritu, jež je) ve standardní "klíčence" "X509Anchors" ve složce "/System/Library/Keychains". Asi nejvíce uživatelů se pro své certifikáty obrací na firmu Thawte: ta základní certifikáty bez speciálních služeb nabízí zdarma, a sama patří mezi společnosti jimž Apple "věří" (jinými slovy, certifikát od nich má kořenovou certifikační autoritu, již každá standardní instalace Mac OS X uznává).

Pojďme se postupně podívat na postup, kterak od firmy Thawte získat vhodný certifikát, i jak jej instalovat do Mac OS X, abychom jej měli k dispozici pro podepisování zpráv (a naši partneři pro jejich šifrování). Firma Thawte "sídlí" na adrese www.thawte.com; jejich server se nám ohlásí nějak takto – a my si z nabídky "Products" vybereme "Free Personal E-mail Certificates":

Z následující nabídky si pak vyžádáme certifikát pomocí odpovídajícího odkazu při dolním okraji stránky:

Vytvoření uživatelského konta

Server Thawte otevře nové samostatné okno, v němž probíhá následující komunikace; nejprve v něm odklepneme "Terms and Conditions" – neuškodí samozřejmě si je při té příležitosti přečíst :) – a pak se již můžeme pustit do vytváření nového uživatelského konta:

Pokud byste měli s vyplněním formuláře problémy (jednou či dvakrát se mi to stalo), přepněte explicitně znakovou sadu ("Charset...") na UTF-8 – jak ve formuláři, tak i v Safari (zde se dá požadovaná znaková sada zvolit v nabídce "View / Text Encoding").

Po odeslání formuláře si webová aplikace vyžádá vložení e-mailu; jeho prostřednictvím s vámi pak bude systém komunikovat, takže s vymyšlenou adresou se nikam nedostanete ;)

Po nastavení poštovní adresy projdeme nastavení předvoleb a dostaneme se k vkládání hesla. Zde je vhodné samozřejmě zvolit heslo co nejsložitější; pamatovat si je nebudeme muset, od toho máme aplikaci KeyChain. Něco málo o vhodných heslech jsme si řekli již v jednom z předchozích článků.

Následují otázky, jejichž prostřednictvím můžeme obnovit svůj účet v případě, že bychom heslo zapomněli nebo ztratili. Podle mého názoru je nejvhodnější tyto otázky nepoužít a namísto toho pečlivě zazálohovat (v zabezpečené podobě) samotné heslo; někomu jinému ovšem mohou vyhovovat naopak právě tato "zadní vrátka".

Pak již nám server Thawte pošle mailem odkaz na další krok, spolu s jednorázově vygenerovanou dvojicí hesel, jimiž prokážeme že skutečně jsme vlastníky patřičné e-mailové adresy.

Pozor na to, že formát zprávy je poněkud podobný spamům – Mail jej proto poměrně snadno, v závislosti na tom, jak přesně jsme si jej "vycvičili", může zařadit mezi junk:

Je proto vhodné, obzvláště máme-li dojem, že potvrzující e-mail nějak dlouho nepřichází, si hlídat odpovídající mailbox (nebo upravit pravidla tak, aby cokoli od odesilatele thawte.com nebylo označeno za junk).

Přejdeme na nabídnutou stránku (stačí samozřejmě klepnout na odkaz ve zprávě) a ve formuláři zadáme dvojici hesel z e-mailu – a to je vše: nyní máme vlastní konto na serveru Thawte, a můžeme je využít k vytvoření požadovaného certifikátu.

Tomu se ale budeme podrobně krok za krokem věnovat zase příště.

Obsah seriálu (více o seriálu):

Tématické zařazení:

 » Rubriky  » Informace  

 » Rubriky  » Agregator  

 » Rubriky  » Tipy a Triky  

 » Rubriky  » Software  

Diskuse k článku

 

Vložit nový příspěvek   Sbalit příspěvky

 

kontrolni otazky

Autor: sundevil Muž

Založeno: 23.08.2006, 08:22
Odpovědí: 0

kdyz jsem tento certifikat zkousel tak jsem musel zadat pet otazek a odpovedi. Jinak mne to nepustilo dal. No mozna jsem nekde udelal chybu.

Odpovědět na příspěvek

RE: kontrolni otazky

Autor: OC Muž

Založeno: 23.08.2006, 19:35

Omlouvám se za nesmyslnou formulaci, teď to po sobě čtu, a z "tyto otázky nepoužít" opravdu plyne "nechat je prázdné" (což samozřejmě nejde).

Mínil jsem "zadat nesmyslné (náhodné) a neuhádnutelné a po pečlivém zazálohování hesla je spokojeně zapomenout". Omlouvám se.

Odpovědět na příspěvek

SmartCard

Autor: Peter Sevc Muž

Založeno: 23.08.2006, 09:49
Odpovědí: 0

Bude aj cast venovana spolupraci Mac OSX a smartcard a ulozenie certifikatu na smatrcard?

Odpovědět na příspěvek

RE: SmartCard

Autor: OC Muž

Založeno: 23.08.2006, 19:37

Neslibuji, ale pokusím se.

Odpovědět na příspěvek

RE: RE: SmartCard

Autor: kirsten Muž

Založeno: 24.08.2006, 08:45

po zasunuti SC se objevi v keychain access nova polozka s privatnim klicem a certikatem a vse pak funguje uplne stejne, jako by byl certikat v uzivatelske polozce. pro zpristupneni je potreba zadat pin. na to clanek prece potreba neni. jina vec je fungovani PKI, ale na to zde asi neni vhodny prostor.

Odpovědět na příspěvek

ICA

Autor: I. Chandrycky Muž

Založeno: 23.08.2006, 12:39
Odpovědí: 0

Ze Thawte veri Apple je sice hezke, ale v ceskych podminkach je v podstate jedina duveryhodna autorita První certifikacni autorita (pro MF, MPSV, ...). Mam od ní certifikat od minuleho podzimu (uzival na XP) a minuly tyden se mi podaril rozchodit se Safari (na prvni pokus) si nacetl .p12, ale do Mailu pres Klicenku jsem ho nenainstaloval ani po sesti hodinach snazeni. Porad je unknown (ICA.cer) nebo invalid (muj vlastni). Jestli nekdo zna jak, prosim, napiste.

Odpovědět na příspěvek

RE: ICA

Autor: kirsten Muž

Založeno: 23.08.2006, 16:13

ale vzdyt to bylo v clanku popsane, ne? musit jejich root ca dat do x509 anchor. pak to funguje bez problemu.

Odpovědět na příspěvek

RE: RE: ICA

Autor: I. Chan Muž

Založeno: 23.08.2006, 17:49

Děkuji, opravdu taky na první pokus.

Odpovědět na příspěvek

 

 

Vložit nový příspěvek

Jméno:

Pohlaví:

,

E-mail:

Předmět:

Příspěvek:

 

Kontrola:

Do spodního pole opište z obrázku 5 znaků:

Kód pro ověření

 

 

 

 

 

Přihlášení k mému účtu

Uživatelské jméno:

Heslo: