Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

5.5.2         Žádost o vydání nového certifikátu

Z výše uvedených skutečností vyplývá, že kromě případu s čipovou kartou či USB tokenem[22] by zájemce o vydání certifikátu neměl „jen tak“ přijít na certifikační (či registrační) autoritu a požadovat po ní, aby mu certifikát vystavila. Přesněji neměl by chtít, aby vše začalo až teprve na certifikační autoritě.

Místo toho je nutné, aby si zájemce o certifikát nejprve připravil – a to „u sebe“, na svém počítači – potřebnou žádost o vydání nového certifikátu. Přílohou takovéto žádosti nejspíše budou i určité smluvní dokumenty, které musí žadatel vyplnit. Samotnou žádostí (ve věcném slova smyslu) je ale datový soubor předepsaného formátu (PKCS#10, viz část 5.3.2.), obvykle s příponou .req.

Jak již víme z předchozího výkladu, ještě před touto žádostí (nebo v rámci jejího vytváření) muselo dojít ke generování nezbytných párových dat tak, aby veřejný klíč mohl být přiložen k samotné žádosti, a tato mohla být podepsána pomocí odpovídajícího soukromého klíče.

Teprve se správně vytvořenou žádostí má smysl chodit na certifikační autoritu a chtít po ní vystavení nového certifikátu. Případně jej certifikační autoritě poslat, pokud pro vydání certifikátu není nutná osobní přítomnost žadatele (viz dále). Protože to první, co certifikační autorita bude po každém žadateli požadovat, je právě takováto (správně vytvořená) žádost.

Připomeňme si také, že již při generování žádosti musí zájemce správně zohlednit to, jak bude chtít následně vydaný certifikát používat, především pokud jde o jeho uložení a možnost exportu. Musí na to pamatovat již při generování párových dat, které pro svou žádost potřebuje.

Snad netřeba zdůrazňovat, že certifikační autorita neodpovídá za případné chyby, ke kterým zde může dojít. Například pokud si uživatel nechá vygenerovat soukromý klíč jako neexportovatelný, a kvůli tomu nejde exportovat a následně importovat do jiného úložiště, není to vina certifikační autority a není to důvodem k bezplatnému vydání nového certifikátu. Obdobně v případě, kdy si uživatel nechal vygenerovat soukromý klíč do nějakého konkrétního úložiště, ale pak o něj přišel (například kvůli havárii disku). Nebo když potřebuje instalovat již vydaný certifikát do jiného úložiště (či jen skrze jiný CSP modul), než do kterého byl vygenerován soukromý klíč.


[22] Kdy certifikační autorita poskytne zákazníkovi novou kartu či token, a párová data generuje přímo v této kartě či tokenu



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61