RE: KeyStore implementace nad DB
Dobry den, nevim, zda to jde, jen metak okamzite napadlo: Nebylo by mozne ukladat soubor s klici do DB jako BLOB? Dejme tomu, ze by nebyl jeden velky keystore, ale sada mensich (napr.kazdy uzivatel by mel svuj keystore). mp. From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Moravec JanSent: Wednesday, May 03, 2006 4:13 PMTo: JavaSubject: RE: KeyStore implementace nad DB Dobry den, BouncyCastle znam a pouzivam, ale nevim o tom, ze by meli KeyStore nad DB. Pokud vim, maji pouzitelnyPKCS#12 nad souborem, ale topro me ucelynestaci, viz nize. Jan Moravec -Original Message-From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED]On Behalf Of Martin KrajciSent: Wednesday, May 03, 2006 4:08 PMTo: JavaSubject: Re: KeyStore implementace nad DB Dobry den,mozno pomoze: http://www.bouncycastle.org/Martin Krajci On 5/3/06, Moravec Jan [EMAIL PROTECTED] wrote: Zdravim, Neznate nekdo jiz hotovou a pouzitelnou implementaci Javovskeho KeyStore nad databazi?V aplikaci potrebuji za behu generovat klice a certifikaty.Pouzivat standardniJKS/PKCS#12 implementace bezici nad souboremmi neprijdemoc pouzitelnes ohledem na konkurentni pristup uzivatelu, navic v klusteru. Implementovat nejakou zamykaci vrstvu nad tim souboremby byl spise zoufalyhack. Kupodivu jsem nic nevygoogloval i kdyz mi prijde, ze to je obecne dost pouzitelna funkcionalita. Diky, Honza-- Best regards,Martin Krajci
root certifikat
Dobry den, zakaznik ma vlastny root certifikat a od neho ma odvodenych asi 50 SSL certifikatov pre dcerske spolocnosti. Admin samozrejme nema chut vsetkych 50 dcerskych certifikatov opatrovat v KeyStore a chcel by pouzivat iba svoj root certifikat. Vygooglovala som, ze v KeyStore musi byt vzdy pritomny originalny certifikat, root certifikat nestaci. Vie mi prosim niekto poradit ako by sa dal tento problem riesit? Rozmyslala som nad vlatnym TrustManagerom, ale neviem ci je to spravna cesta. Dakujem vopred za Vase rady a nazory Radovana Straube __ Do You Yahoo!? Tired of spam? Yahoo! Mail has the best spam protection around http://mail.yahoo.com
Re: root certifikat
Radovana Straube wrote: Dobry den, zakaznik ma vlastny root certifikat a od neho ma odvodenych asi 50 SSL certifikatov pre dcerske spolocnosti. Admin samozrejme nema chut vsetkych 50 dcerskych certifikatov opatrovat v KeyStore a chcel by pouzivat iba svoj root certifikat. Vygooglovala som, ze v KeyStore musi byt vzdy pritomny originalny certifikat, root certifikat nestaci. Vie mi prosim niekto poradit ako by sa dal tento problem riesit? Rozmyslala som nad vlatnym TrustManagerom, ale neviem ci je to spravna cesta. Dakujem vopred za Vase rady a nazory Radovana Straube Nějak to nechápu, můžete popsat na co potřebujete ty certifikáty použít ? Pokud má zákazník vlastní root certifikát, je svou vlastní Certifikační Autoritou. Když vydá certifikáty dceřiným společnostem, tak vystupuje v roli CA a nepotřebuje si ty certifikáty držet, snad kromě případné revokace. KeyStore prostě ukládá dva druhy záznamů: 1) můj tajný klíč + řetězec certifikátů od mého až k root CA 2) cizí certifikát První druh záznamů můžu používat k mée autentizaci vůči ostatním. Druhý druh záznamů můžu používat pro autentizaci ostatních vůči mně. Který z těchto dvou typů záznamů potřebujete používat ? Makub -- ~~ Supercomputing Center Brno Martin Kuba Institute of Computer Scienceemail: [EMAIL PROTECTED] Masaryk University http://www.ics.muni.cz/~makub/ Botanicka 68a, 60200 Brno, CZ mobil: +420-603-533775 -- smime.p7s Description: S/MIME Cryptographic Signature
Re: root certifikat
On Thursday 04 May 2006 12:28, Radovana Straube wrote: Dobry den, zakaznik ma vlastny root certifikat a od neho ma odvodenych asi 50 SSL certifikatov pre dcerske spolocnosti. Admin samozrejme nema chut vsetkych 50 dcerskych certifikatov opatrovat v KeyStore a chcel by pouzivat iba svoj root certifikat. Vygooglovala som, ze v KeyStore musi byt vzdy pritomny originalny certifikat, root certifikat nestaci. Vie mi prosim niekto poradit ako by sa dal tento problem riesit? Rozmyslala som nad vlatnym TrustManagerom, ale neviem ci je to spravna cesta. Spravna cesta je nakopat admina nekam nebo jej primo vykopat. Z vlastni zkusenosti znam priklad, kdy neni dobre se spolehat pouze na to, ze onen certifikat byl podepsan onim rootem. Bylo nutne odstrihnout jednoho konkretniho nepohodlneho zamestnance s certifikatem. Kdyby stacil root CA, musel by se pregenerovavat root CA asi tisic certifikatu jim podepsanych. A navic, neni problem preci KeyStore zaskriptovat. -- Oto 'tapik' Buchta, [EMAIL PROTECTED] http://www.buchtovi.cz __ This email has been scanned by the MessageLabs Email Security System. For more information please visit http://www.messagelabs.com/email __
RE: root certifikat
Dobry den, domnivam se, ze na reseni vami popsane situace slouzi tzv. Certificate Revocation List (CRL). Rekl bych, ze to, co navrhujete/popisujete, jde trochu proti podstate fungovani certifikatu a jejich hierarchii. Btw. toho admina bych nechal jeste zit... :-) mp. -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Oto 'tapik' Buchta Sent: Thursday, May 04, 2006 1:48 PM To: Java Subject: Re: root certifikat On Thursday 04 May 2006 12:28, Radovana Straube wrote: Dobry den, zakaznik ma vlastny root certifikat a od neho ma odvodenych asi 50 SSL certifikatov pre dcerske spolocnosti. Admin samozrejme nema chut vsetkych 50 dcerskych certifikatov opatrovat v KeyStore a chcel by pouzivat iba svoj root certifikat. Vygooglovala som, ze v KeyStore musi byt vzdy pritomny originalny certifikat, root certifikat nestaci. Vie mi prosim niekto poradit ako by sa dal tento problem riesit? Rozmyslala som nad vlatnym TrustManagerom, ale neviem ci je to spravna cesta. Spravna cesta je nakopat admina nekam nebo jej primo vykopat. Z vlastni zkusenosti znam priklad, kdy neni dobre se spolehat pouze na to, ze onen certifikat byl podepsan onim rootem. Bylo nutne odstrihnout jednoho konkretniho nepohodlneho zamestnance s certifikatem. Kdyby stacil root CA, musel by se pregenerovavat root CA asi tisic certifikatu jim podepsanych. A navic, neni problem preci KeyStore zaskriptovat. -- Oto 'tapik' Buchta, [EMAIL PROTECTED] http://www.buchtovi.cz __ This email has been scanned by the MessageLabs Email Security System. For more information please visit http://www.messagelabs.com/email __
RE: root certifikat
Dobry den, mate pravdu, ze kdyz ukonci zamestnanec pracovni pomer a ja nechci, aby pristupoval k systemum ve firme, neni prave fer, kdyz mu seberu obcanku (jeho osobni certifikat pro vseobecne pouziti). Na druhou stranu je v poradku, kdyz mu odeberu identifikacni kartu, kterou se prokazuje pri vstupu do budovy zamestnavatele (tj. jeho firemni certifikat). Mel jsem dojem, ze se bavime prave o tom firemnim certifikatu, ktery mu vydala firemni certifikacni autorita... mp. -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Martin Kuba Sent: Thursday, May 04, 2006 3:45 PM To: Java Subject: Re: root certifikat Mno, oba pletete dohromady autentizaci s autorizaci. Autentizace zjisti, kdo to je, a autorizace, zda neco muze delat. Sebrat uzivateli certifikat, aby nekam nemohl, je nevhodne spojovani autentizace s autorizaci. Ten uzivatel se certifikatem muze porad prokazovat, dokud je to on, ale autorizace by nemela dovolit, aby neco delal. Z realneho sveta - obcansky prukaz je autentizacni vec, kdyz mi jej nekdo ukaze, tak vim, kdo to je. Ale jeste nevim jestli je to padouch nebo hrdina, tj. autorizacni informaci, a jestli mu muzu pujcit svoji kolobezku nebo mercedes. Sebrat nekomu obcanku, kdyz je to padouch, je nemistne. Proto jim ani neberte certifikaty. Makub Michal Palička wrote: Dobry den, domnivam se, ze na reseni vami popsane situace slouzi tzv. Certificate Revocation List (CRL). Rekl bych, ze to, co navrhujete/popisujete, jde trochu proti podstate fungovani certifikatu a jejich hierarchii. Btw. toho admina bych nechal jeste zit... :-) mp. -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Oto 'tapik' Buchta Sent: Thursday, May 04, 2006 1:48 PM To: Java Subject: Re: root certifikat On Thursday 04 May 2006 12:28, Radovana Straube wrote: Dobry den, zakaznik ma vlastny root certifikat a od neho ma odvodenych asi 50 SSL certifikatov pre dcerske spolocnosti. Admin samozrejme nema chut vsetkych 50 dcerskych certifikatov opatrovat v KeyStore a chcel by pouzivat iba svoj root certifikat. Vygooglovala som, ze v KeyStore musi byt vzdy pritomny originalny certifikat, root certifikat nestaci. Vie mi prosim niekto poradit ako by sa dal tento problem riesit? Rozmyslala som nad vlatnym TrustManagerom, ale neviem ci je to spravna cesta. Spravna cesta je nakopat admina nekam nebo jej primo vykopat. Z vlastni zkusenosti znam priklad, kdy neni dobre se spolehat pouze na to, ze onen certifikat byl podepsan onim rootem. Bylo nutne odstrihnout jednoho konkretniho nepohodlneho zamestnance s certifikatem. Kdyby stacil root CA, musel by se pregenerovavat root CA asi tisic certifikatu jim podepsanych. A navic, neni problem preci KeyStore zaskriptovat. -- Oto 'tapik' Buchta, [EMAIL PROTECTED] http://www.buchtovi.cz __ This email has been scanned by the MessageLabs Email Security System. For more information please visit http://www.messagelabs.com/email __ -- ~~ Supercomputing Center Brno Martin Kuba Institute of Computer Scienceemail: [EMAIL PROTECTED] Masaryk University http://www.ics.muni.cz/~makub/ Botanicka 68a, 60200 Brno, CZ mobil: +420-603-533775 --
Re: root certifikat
Michal Palička napsal(a): Dobry den, mate pravdu, ze kdyz ukonci zamestnanec pracovni pomer a ja nechci, aby pristupoval k systemum ve firme, neni prave fer, kdyz mu seberu obcanku (jeho osobni certifikat pro vseobecne pouziti). Na druhou stranu je v poradku, kdyz mu odeberu identifikacni kartu, kterou se prokazuje pri vstupu do budovy zamestnavatele (tj. jeho firemni certifikat). Mel jsem dojem, ze se bavime prave o tom firemnim certifikatu, ktery mu vydala firemni certifikacni autorita... Kopirovani karty lze snadno zabranit napr. hologramem (levne a bez elektronoveho mikroskopu nepadelatelne). Kopirovani certifikatu muze zabranit pouze spravne bezpecnostni politika nekde na urovni CIA a i tak si ho muze opsat na kus papiru. Bez zneplatneni to rozumne nejde.
Re: KeyStore implementace nad DB
A pouzit jdbm? Nebo jinou hash on disk DB?