Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

5.5.1.2         Možnost exportu soukromého klíče

Z obecných pravidel (o vazbě soukromého klíče na konkrétní úložiště), popisovaných v předchozí části, naštěstí existují určité výjimky. Konkrétně možnost tzv. exportu soukromého klíče. Ta se ale netýká „počáteční fáze“ žádosti o certifikát a nezbavuje nás nutnosti instalovat nově vydaný certifikát přesně do toho úložiště, do kterého byl vygenerován soukromý klíč.

Možnost exportu se týká až následného postupu: když už jsme nový certifikát nainstalovali „tam, kde jsme vytvářeli žádost“ a kde se nachází odpovídající soukromý klíč, umožňuje nám následně provést „export“ tohoto certifikátu i se soukromým klíčem do námi zvoleného souboru. Tento soubor pak můžeme nějak zálohovat, ale stejně tak můžeme jeho obsah „importovat“ do jiného úložiště[18]. A tím dosáhnout „přenesení“ osobního certifikátu, spolu s odpovídajícím soukromým klíčem, do jiného úložiště.

Upřesněme si ale, že o možnosti exportu soukromého klíče se také rozhoduje již v okamžiku generování příslušných párových dat, v rámci žádosti o vydání nového certifikátu. Takže, řečeno jinými slovy: chceme-li (později) mít možnost exportu soukromého klíče, musíme na to pamatovat již na počátku, při vytváření příslušné žádosti o vydání nového certifikátu, a příslušný soukromý klíč nechat generovat rovnou jako exportovatelný.

Stejně tak ale mějme na paměti, že ne vždy je to možné. V řadě případů, kdy dochází ke generování párových dat, není možné nastavení „exportovatelnosti“ soukromého klíče ovlivnit.

Například pokud žádáte o vydání nového osobního certifikátu u CA PostSignum, je klíč generován jako exportovatelný automaticky a žadatel nemá možnost to změnit. V případě I. CA a eIDentity máte možnost si sami zvolit, zda má být soukromý klíč generován jako exportovatelný či nikoli, viz následující dva obrázky.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklady volby (prováděné již při žádosti o nový certifikát), zda soukromý klíč má být exportovatelný

Obrázek 5 - 46: Příklady volby (prováděné již při žádosti o nový certifikát), zda soukromý klíč má být exportovatelný


[18] Ovšem pouze do takého úložiště (a skrze takový modul CSP), který je kompatibilní s původním úložištěm (a modulem CSP), například co do rozsahu klíčů a používané hašovací funkce.



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61