RE: Certifikaty cez web s iterakciou pouzivatela
Nedavno jsem delal (interne pouzivane) CA s BouncyCastle. Ma to IMO vse co potrebujete: - generovani key pairs - generovani self-signed certifikatu - generovani CSR - podepisovani CSR - hratky s KeyUsage a ExtendedKeyUsage pro vymezeni pouziti certifikatu - prace s CRL ... To je v zasade vse co pro implementaci CA potrebujete, pak uz jen ten prikop s krokodyly. Mrknete na tridu X509V3CertificateGenerator. Honza -Původní zpráva- Od: konference-boun...@java.cz [mailto:konference-boun...@java.cz] za uživatele Martin Kuba Odesláno: 30 listopada 2009 08:16 Komu: Java Předmět: Re: Certifikaty cez web s iterakciou pouzivatela Gabriel Gajdos napsal(a): Mal som v úmysle využiť najskôr usera na vloženie údajov, ktoré vie vložiť on (typicky meno a e-mail), s tými by potom pracovala CA za použitia klientsky generovaného kľúča... Je nejaká free implementácia CA na jave? Chcete se opravdu pustit do provozování CA ? To je náročné hlavně organizačně. Záleží na její plánované důvěryhodnosti, ale třeba CA pro bankovní použití musí být ve speciálním bunkru, do kterého vede turniket propouštějící jenom jednu osobu, a samotné zařízení CA musí mít autodestrukční systém. Aspoň tak mi to popisovali kdysi v MUZO,a.s., které provozovalo CA pro certifikaci v rámci platebního protokolu SET. Jestli okolo bunkru byl vodní příkop s krokodýly se zuby napuštěnými jedem už neříkali :-) Co se týká implementace CA, zdarma je http://www.openssl.org/ která je sice v Céčku, ale není problém ty programy volat pomocí System.exec(). O free implementaci v Javě nevím. Makub -- ~~ Supercomputing Center Brno Martin Kuba Institute of Computer Scienceemail: ma...@ics.muni.cz Masaryk University http://www.ics.muni.cz/~makub/ Botanicka 68a, 60200 Brno, CZ mobil: +420-603-533775 --
Re: Certifikaty cez web s iterakciou pouzivatela
Gabriel Gajdos napsal(a): Mal som v úmysle využiť najskôr usera na vloženie údajov, ktoré vie vložiť on (typicky meno a e-mail), s tými by potom pracovala CA za použitia klientsky generovaného kľúča... Je nejaká free implementácia CA na jave? Chcete se opravdu pustit do provozování CA ? To je náročné hlavně organizačně. Záleží na její plánované důvěryhodnosti, ale třeba CA pro bankovní použití musí být ve speciálním bunkru, do kterého vede turniket propouštějící jenom jednu osobu, a samotné zařízení CA musí mít autodestrukční systém. Aspoň tak mi to popisovali kdysi v MUZO,a.s., které provozovalo CA pro certifikaci v rámci platebního protokolu SET. Jestli okolo bunkru byl vodní příkop s krokodýly se zuby napuštěnými jedem už neříkali :-) Co se týká implementace CA, zdarma je http://www.openssl.org/ která je sice v Céčku, ale není problém ty programy volat pomocí System.exec(). O free implementaci v Javě nevím. Makub -- ~~ Supercomputing Center Brno Martin Kuba Institute of Computer Scienceemail: ma...@ics.muni.cz Masaryk University http://www.ics.muni.cz/~makub/ Botanicka 68a, 60200 Brno, CZ mobil: +420-603-533775 -- smime.p7s Description: S/MIME Cryptographic Signature
Re: Certifikaty cez web s iterakciou pouzivatela
Gabriel Gajdos napsal(a): Zdravím konferu. Už niekto riešil „ako“ vytvárať certifikáty pre elektronický podpis? Nechcem návod typu „keytool –help“ ani odkaz na javadoc. Hľadám skôr nejaké hotové riešenie, ktoré by sa dalo adaptovať v Jave (alebo aspoň používať)... Pri generovaní certifikátov je potrebné riešiť niekoľko oblastí (vytvorenie kľúča, certtificate request, overenie autoritou, databázu autority...). Ide mi skrátka o to, aby to, čo má bežať u klienta, zostalo u klienta a to, čo má bežať na serveri, aj bežalo na serveri... Certifikáty je nejlepší generovat přímo v prohlížeči, protože na to jsou CA zařízené. A potom certifikát vyexportovat z prohlížeče jako *.p12 (PKCS12) soubor a načíst ho v Javě pomocí PKCS12 keystore. Udělátko v Javě, které by certifikát generovalo, by muselo nějak interagovat s CA, a každá CA má jiné rozhraní. Obvykle je postup takový, že uživatel navštíví Registrační Autoritu (RA), tam předloží doklady a dostane nějaký tajný kód. Pak přijde ke svému počítači, přes prohlížeč se připojí na Certifikační Autoritu (CA), zadá ten tajný kód od RA, načež CA způsobí vygenerování párů klíčů v prohlížeči, vytvoří certifikát a ten do prohlížeče vloží. Nahrazovat tenhle postup mi přijde zbytečné. Leda že byste měl v úmyslu napsat si kompletně i novou CA, ale to asi není tenhle případ. Makub -- ~~ Supercomputing Center Brno Martin Kuba Institute of Computer Scienceemail: ma...@ics.muni.cz Masaryk University http://www.ics.muni.cz/~makub/ Botanicka 68a, 60200 Brno, CZ mobil: +420-603-533775 -- smime.p7s Description: S/MIME Cryptographic Signature
RE: Certifikaty cez web s iterakciou pouzivatela
Mal som v úmysle využiť najskôr usera na vloženie údajov, ktoré vie vložiť on (typicky meno a e-mail), s tými by potom pracovala CA za použitia klientsky generovaného kľúča... Je nejaká free implementácia CA na jave? GG -Original Message- From: konference-boun...@java.cz [mailto:konference-boun...@java.cz] On Behalf Of Martin Kuba Sent: Friday, November 27, 2009 5:49 PM To: Java Subject: Re: Certifikaty cez web s iterakciou pouzivatela Gabriel Gajdos napsal(a): Zdravím konferu. Už niekto riešil ako vytvárať certifikáty pre elektronický podpis? Nechcem návod typu keytool -help ani odkaz na javadoc. Hľadám skôr nejaké hotové riešenie, ktoré by sa dalo adaptovať v Jave (alebo aspoň používať)... Pri generovaní certifikátov je potrebné riešiť niekoľko oblastí (vytvorenie kľúča, certtificate request, overenie autoritou, databázu autority...). Ide mi skrátka o to, aby to, čo má bežať u klienta, zostalo u klienta a to, čo má bežať na serveri, aj bežalo na serveri... Certifikáty je nejlepší generovat přímo v prohlížeči, protože na to jsou CA zařízené. A potom certifikát vyexportovat z prohlížeče jako *.p12 (PKCS12) soubor a načíst ho v Javě pomocí PKCS12 keystore. Udělátko v Javě, které by certifikát generovalo, by muselo nějak interagovat s CA, a každá CA má jiné rozhraní. Obvykle je postup takový, že uživatel navštíví Registrační Autoritu (RA), tam předloží doklady a dostane nějaký tajný kód. Pak přijde ke svému počítači, přes prohlížeč se připojí na Certifikační Autoritu (CA), zadá ten tajný kód od RA, načež CA způsobí vygenerování párů klíčů v prohlížeči, vytvoří certifikát a ten do prohlížeče vloží. Nahrazovat tenhle postup mi přijde zbytečné. Leda že byste měl v úmyslu napsat si kompletně i novou CA, ale to asi není tenhle případ. Makub -- ~~ Supercomputing Center Brno Martin Kuba Institute of Computer Scienceemail: ma...@ics.muni.cz Masaryk University http://www.ics.muni.cz/~makub/ Botanicka 68a, 60200 Brno, CZ mobil: +420-603-533775 -- smime.p7s Description: S/MIME cryptographic signature