Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

5.5.2.2         Generování žádosti on-line způsobem

Varianta generování žádosti on-line způsobem (tj. prostřednictvím webového prohlížeče) vždy vyžaduje, aby prohlížeč považoval příslušnou certifikační autoritu a její webové stránky za důvěryhodné.

Je to nutné proto, aby prohlížeč byl ochoten provést úkony, které po něm tyto stránky požadují. Z pohledu uživatele to sice může vypadat tak, že generování žádosti (a v rámci ní i generování párových dat, tedy soukromého a veřejného klíče) probíhá „na stránkách certifikační autority“, ve skutečnosti je tomu ale jinak – ke generování párových dat dochází na počítači uživatele, a párová data (soukromý a veřejný klíč) jsou vytvářena v tom úložišti a prostřednictvím toho modulu CSP, který si uživatel určí.

Aby ale něco takového bylo možné, musí si webové stránky certifikační autority vyžádat spuštění určitého kódu („kusu programu“) v rámci uživatelova prohlížeče. Tento kód pak aktivně zasahuje do místního počítače (generuje párová data v příslušném úložišti certifikátů). Proto prohlížeč musí mít jistotu, že požadavek na spuštění onoho „kusu programu“ je legitimní a může mu vyhovět.

V praxi to vyžaduje, aby kořenové certifikáty příslušné certifikační autority (a raději i certifikáty všech podřízených, resp. zprostředkujících autorit) byly nainstalovány v příslušných složkách toho úložiště, se kterým používaný prohlížeč pracuje, a ten je kvůli tomu považoval za důvěryhodné. Díky tomu pak bude považovat za důvěryhodný i serverový certifikát, kterým se prokazují webové stránky certifikační autority, a také certifikát, na kterém je založen podpis toho kódu („kusu programu“), který má být na počítači žadatele spuštěn.

Někdy ale může být zapotřebí i to, aby za důvěryhodné byly explicitně prohlášeny i URL adresy konkrétních webových serverů certifikační autority, viz obrázek.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Přidání webu CA PostSignum mezi důvěryhodné v Internet Exploreru

Obrázek 5 - 48: Přidání webu CA PostSignum mezi důvěryhodné v Internet Exploreru

Řekněme si rovnou, že snad ve všech případech musí jít o prohlížeč Internet Explorer na platformě MS Windows. Jiné prohlížeče obvykle nejsou certifikačními autoritami podporovány (pro generování žádostí). Připomeňme si to na již jednou uvedeném obrázku (v části 5.3).

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad on-line služby (žádosti o certifikát u I.CA), která funguje jen v Internet Exploreru

Obrázek 5 - 49: Příklad on-line služby (žádosti o certifikát u I.CA), která funguje jen v Internet Exploreru

Dalším problémem, který v praxi vyvstane před uživatelem je to, že prohlížeč „neumí“ sám od sebe ty činnosti, které po něm webové stránky certifikační autority požadují, a které jsou nezbytné pro sestavení žádosti o vydání certifikátu (zejména pro generování klíčů a elektronické podepsání žádosti). Jinými slovy: webové stránky s on-line žádostí potřebují spustit určitý kód („kus programu“), který ale není v rámci webového prohlížeče k dispozici. A tak je nutné jej alespoň dodatečně doinstalovat, ve formě vhodného modulu plug-in či prvku ActiveX.

I zde si můžeme říci, že je běžnou praxí, aby různé certifikační autority vyžadovaly instalaci různých knihoven (resp. různých modulů či prvků ActiveX apod.).

Podrobněji jsme si tuto problematiku popisovali v části 5.2.2, a tak si jen připomeňme, na již jednou uvedených obrázcích, že pro generování žádosti o certifikát od CA PostSignum je požadována instalace ActiveX prvku „Microsoft Certificate Enrollment Control“, zatímco u I.CA je požadována instalace ActiveX prvku I.CA – Code Signing.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad žádosti o instalaci prvku ActiveX

Obrázek 5 - 50: Příklad žádosti o instalaci prvku ActiveX

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad instalace vlastní knihovny od I.CA

Obrázek 5 - 51: Příklad instalace vlastní knihovny od I.CA

Když už se podaří generování žádosti o vystavení certifikátu v prohlížeči spustit, může být její vyplnění již relativně jednoduché. Například u žádosti o vystavení osobního kvalifikovaného certifikátu pro nepodnikající fyzickou osobu u CA PostSignum žadatel zadává jen své jméno, příjmení a emailovou adresu[23].

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad formuláře s žádostí o vystavení nového certifikátu u CA PostSignum

Obrázek 5 - 52: Příklad formuláře s žádostí o vystavení nového certifikátu u CA PostSignum

Pozor musíme dát na to, jak velký klíč chceme generovat (dnes již jde standardně o klíče velikosti 2048 bitů), a pak hlavně na volbu správného úložiště. Na předchozím obrázku (u CA PostSignum) je tato volba označena jako volba „umístění soukromého klíče“, ale ve skutečnosti je něčím více, než jen volbou úložiště. Zahrnuje totiž i volbu poskytovatele kryptografických služeb (modulu CSP), prostřednictvím kterého má dojít k vygenerování soukromého (a veřejného) klíče v příslušném úložišti.

Nabídka „umístění soukromého klíče“ se přitom může lišit podle toho, zda na svém počítači máme nainstalováno (a momentálně i dostupné) nějaké externí úložiště, v podobě čipové karty či USB tokenu. Předchozí obrázek byl snímán na počítači, kde byl dostupný právě USB token iKey 4000 – a tak formulář žádosti sám od sebe nabídl umístění soukromého klíče na tento token jako první (a tím i doporučenou) možnost. Vedle ní je nabízeno ještě systémové úložiště operačního systému MS Windows, viz následující obrázek (ve dvou verzích, lišících se podle kompatibility se staršími verzemi operačního systému MS Windows).

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Volba úložiště ze systémem doporučených možností

Obrázek 5 - 53: Volba úložiště ze systémem doporučených možností

Zkušenější uživatelé si mohou zvolit ještě řadu dalších poskytovatelů kryptografických služeb (modulů CSP). Nejprve je ale třeba zrušit omezení jen na doporučená umístění:

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Zrušení omezení jen na doporučená umístění

Obrázek 5 - 54: Zrušení omezení jen na doporučená umístění

Pak je možných umístění (poskytovatelů kryptografických služeb) nabídnuto podstatně více.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Nabídka dalších podporovaných úložišť

Obrázek 5 - 55: Nabídka dalších podporovaných úložišť

Připomeňme si také, že již při generování žádosti o vystavení certifikátu (u CA PostSignum) se rozhoduje i o možnosti exportu („exportovatelnosti“) soukromého klíče. I tato volba je ale závislá na tom, jaké úložiště je pro generování párových dat zvoleno (a jaký poskytovatel, resp. modul CSP): u externích úložišť typu čipových karet a USB tokenů je soukromý klíč generován rovnou jako neexportovatelný, a uživatel nemá možnost to změnit.

U ostatních úložišť (která jsou interní a řešená softwarově) již možnost volby poskytnuta být může. Ale, jak již víme, například u žádostí o certifikát od CA PostSignum poskytnuta není, a soukromý klíč je v těchto úložištích vždy generován jako exportovatelný.

S generováním párových dat a uložením soukromého klíče ve vnitřním softwarovém úložišti (například v systémovém úložišti MS Windows) ale souvisí ještě jedna důležitá volba: toho, jak moc má být v tomto úložišti soukromý klíč chráněn. Nejčastěji jde o to, že přístup k soukromému klíči může být chráněn ještě heslem – a pak lze nastavit, kdy (a jak často) se toto heslo musí zadávat.

V případě systémového úložiště MS Windows je soukromý klíč chráněn nejvíce, pokud každé jeho použití vyžaduje zadání správného hesla. To je nejvyšším stupněm ochrany, kterou systémové úložiště v MS Windows nabízí. Nižším (prostředním) stupněm je nutnost potvrdit každé použití soukromého klíče (prostým kliknutím, nikoli zadáním hesla). Při nejnižším stupni ochrany soukromého klíče není jeho použití uživateli ani signalizováno, natož aby byl požadován jeho souhlas.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Volba změny zabezpečení

Obrázek 5 - 56: Volba změny zabezpečení

Nejprve tedy musíme zvolit umístění certifikátu do systémového úložiště. Díky tomu nám formulář nabídne možnost „Změnit zabezpečení úložiště klíčů“, kterou musíme zaškrtnut, viz následující obrázek.

Možnost změnit zabezpečení je pak skutečně nabídnuta až v okamžiku, kdy je zahájeno generování klíčů. Pak se objeví nabídka pro volbu nejvyšší úrovně ochrany, která vyžaduje zadání hesla, viz obrázek.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Volba vysoké úrovně ochrany a zadání hesla

Obrázek 5 - 57: Volba vysoké úrovně ochrany a zadání hesla

Po úspěšném zadání hesla již může generování žádosti o nový certifikát doběhnout do konce. To znamená, že je vytvořen soubor s příponou .req (v daném případě Cert_sign.req), který obsahuje samotnou žádost a který je třeba si vhodně uložit, například na USB flash disk - a poté odnést na certifikační autoritu jako podklad pro vystavení certifikátu.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Uložení souboru s žádostí o vystavení certifikátu

Obrázek 5 - 58: Uložení souboru s žádostí o vystavení certifikátu


[23] Emailová adresa je u CA PostSignum povinná, ale jinde (například u eIdentity) povinná není.© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61