| Jakub | Import certifikátu od České pošty |
| Zdravim,
chtel bych se zeptat, zda ma nekdo zkusenost s importem certifikatu od Ceske posty do Notesu (verze 7 i 8). Na support lince posty mi nebyli schopni rict nic, co bych jiz predtim nevyzkousel (pry nepodporuji Lotus Notes). Pri importu hodi chybu: A certificate chain could not be constructed.
Diky. |
| Martin Hansgut | Re: Import certifikátu od České pošty |
admin
22.05.2009
12:27:24
ID: 2924.1
 
| Certifikat od Ceske posty jsem instaloval naposledy na verzi 6 a nebyl s tim nejak zvlast problem. |
| Jakub | Re: Import certifikátu od České pošty |
22.05.2009
13:38:51
ID: 2924.2
| Ve verzi 6 soucasny certifikat hazi stejnou chybu. |
| peto | 6,7 taky |
22.05.2009
21:08:44
ID: 2924.3
| bez problému, to Vám ale asi moc nepomůže ...
link1 |
| Luboš | Připravit jej včetně nadřazeného certifikátu |
25.05.2009
10:39:24
ID: 2924.4
| Musel jsem do LN importovat certifikát ve formátu PKCS č.7 včetně certifikátu nadřazené CA autority.
Tzn. naimportovat to do normálně Windows a pak v MSIE přejít na správu certifikátů, dát export a jako formát exportu zvolte „Certifikáty standardu PKCS č.7“ a nezapomeňte zapnout
„Zahrnout všechny certifikáty na cestě ...“.
Výsledný PKCS soubor je vlastně balíček 2 certifikátů. Ten lze pak importovat do LN. Import pak uloží jak certifikát CA PostSignum, tak vlastní osobní certifikát ... |
| Jakub | Re: Připravit jej včetně nadřazeného certifikátu |
25.05.2009
13:55:42
ID: 2924.5
| Tento postup vypadal nadejne, ale opet skoncil chybou. Tentokrat: Ze souboru importu nelze pridat certifikat.
|
| Luboš | u jiného uživatele to jde ? |
25.05.2009
14:31:02
ID: 2924.6
| Zkuste ten import provést u jiného uživatele. Ověříme snad vadu IDčka ... |
| Jakub | Re: u jiného uživatele to jde ? |
25.05.2009
15:01:13
ID: 2924.7
| Zkouseli jsme to s kolegou i u sebe se stejnym vysledkem. Cetrifikat Postsignum QCA naimportovat jde. Osobni jiz ne. |
| D. | přes PFX |
03.06.2009
07:35:49
ID: 2924.8
| ... ten certifikát ČP QCA není jeden ale jsou 3 (osobní, root a sub) to vše se nasype do IE z toho se exportuje do PFX formátu (je to PKCS č.10) a teprve ten se importuje do LN, do ID přesně (jeho velikost tak bude z 5 kB asi na 15 kB). |
| D. | ... ještě k verzi LN |
03.06.2009
07:39:23
ID: 2924.9
| ... u verzí 6.x a 7, byla opravená jedna DLL (nstrings.mui) tuším z 11/2007, ta se vložila místo původní DLL. U 8 by to mělo být už opravené (?), aspoň jsem už nic nevkládal a nikdo si nestěžoval ..... |
| Honza K. | import |
03.06.2009
11:47:42
ID: 2924.10
| Certifikát od České pošty jsem si importoval před dvěma týdny. Nejprve jsem do lokální adresní knihy, pohled Certificates importoval certifikát kvalifikované certifikační autority (přes menu Actions - Import Internet Certificates). Pak jsem importoval svůj certifikát do ID souboru a funguje.
snad to pomůže
Honza K. |
| Martin Hansgut | Re: Import certifikátu od České pošty |
admin
08.06.2009
15:10:17
ID: 2924.11
| Certifikát od České pošty jsem už dlouho neimportoval, ale dříve mě fungoval následující postup link1 . Článek je sice na I.CA, ale na Českou poštu šel také použít.
Bohužel Česká pošta neumožňuje vygenerovat testovací certifikát a tak se to špatně zkouší. |
| DP | to jakub |
11.06.2009
13:21:25
ID: 2924.12
| pri exportu z IE je treba zaskrtnout volbu exportovat soukromy klic, v defaultu je neoznacena. A pri prvotnim sparovani v IE se musi oznacit soukromy klic jako exportovatelny.
Dasli obvykla chyba je provedeni sparovani souboru z ceske posty na jinem uzivateskem profilu/pocitaci nez byla generovana zadost. IE se pak tvari normalne, ale certifikat nefunguje, ani v IE ani nikde jinde. Poznate to napriklad prave tak, ze nenabidne pri exportu volbu exportovat soukromy klic. |
| Petr | Obnovený certifikát po roce |
19.01.2010
15:04:21
ID: 2924.13
| Obdržel jsem obnovený certifikát od ČP/PostSignum a mám problém ho dostat do Notesů (8.5.1.)
Předchozí certifikát jsem bez problémů naimportoval a používal. Nový certifkát mi nejde naimportovat.
Ze systémového úložiště, nebo z IE, vyexportuji osobní certifikát, zatrhnu exporotvat osobní klíč, zatrhnu exportovat všechny certifikáty v cestě... Soubor má koncovku .pfx, dám import v Notes klientovi, zadám heslo a napíše to "The signature on the certificate was found to be invalid. Check the log file for details." V logu není žádný záznam.
Stejný .pfx certifikát lze přitom bez problémů naimportovat do Firefoxu.
Zjistil jsem, že rozdíl mezi certifikáty je ten, že starší měl algoritmus podpisu SHA1, a novější má SHA256. viz. link1
Řešil a vyřešil to už někdo?
Zatím jsme k tomu nic dalšího nevygooglil :o(
|
| Martin Hansgut | Re: Import certifikátu od České pošty |
admin
19.01.2010
19:37:17
ID: 2924.14
| Má stejný problém s certifikátem SHA-2 s délkou klíče 2048 od I.CA. Zajímalo by mě zda dělám něco špatně nebo zda Lotus Notes tyto klíče nepodporuje. |
| Petr | Takže to bude nejspíše certifikátem SHA2 |
19.01.2010
21:52:19
ID: 2924.15
| Hmm, tak to vypadá na bug v Notesech, nebo takové SHA2 klíče Notesy (zatím?) nepodporují. Může to někdo ověřit přímo u IBM? |
| DP | bug asi ne |
20.01.2010
09:33:24
ID: 2924.16
| Na odkazu výše je moznost udelat testovaci certifikát, ten jsem bez problémů naimportoval do LN 8.0.2. |
| Luboš Černý | LN 8.5.1 US - nejde |
20.01.2010
10:12:51
ID: 2924.17
| Tak jsem vygeneroval demo certifikát a při importu jsem dostal také vynadáno. |
| Luboš Černý | LN 6.5.6 - OK |
20.01.2010
10:23:30
ID: 2924.18
| Stejný demo certifikat jsem ovsem bez problémů importoval do R6.5.6.
Takže nějaký bug/vlastnost to bude ? |
| DP | Stejne id? |
20.01.2010
11:01:21
ID: 2924.19
| Je to stejné id? Jestli to třeba není starším formátem cílového id souboru. Pokud stejné je, tak je to tedy bug verze 8.5, ale workaround se nabízí sám.:o) |
| Martin Hansgut | Re: Import certifikátu od České pošty |
admin
20.01.2010
11:14:13
ID: 2924.20
| Tak jsem zkusil testovací certifikát PostSignu a v IE ho mám v úložišti Ostatní uživatelé a nejde vyexportovat ve formátu PKCS12. Dělám někde chybu? |
| Martin Hansgut | Re: Import certifikátu od České pošty |
admin
20.01.2010
11:49:28
ID: 2924.21
| Tak jsem si vyzkoušel import certifikátů do níže uvedených klientů a výsledky uvádím. Vždy bylo použito stejné ID a vždy byl použit stejný certifikát ICA
Lotus Notes 6.5.5 CZ ... OK
Lotus Notes 6.5.5 EN ... OK
Lotus Notes 7.0.3 EN ... OK
Lotus Notes 8.5.0 EN ... OK
Lotus Notes 8.5.1 EN ... CHYBA "The signature on the certificate was found to be invalid. Check the log file for details.
Když se podívám do logu, tak jak uvádí víše Petr, v logu nic není. |
| Petr | Certifikát SHA1 vs. SHA2 |
20.01.2010
13:49:54
ID: 2924.22
| Do Lotus Notes 8.5.1 EN jsem zkusil naimportovat můj starší certifikát, který má ještě pár dní platnost, a jde to. Novější, s SHA2 nejde. Tuším problém někde tady. |
| McAndrew | Report na IBM |
admin, develop - all in one :)
18.02.2010
10:08:59
ID: 2924.23
| Tak jsem bojoval s IBM a pěkně jsem jim vše napsal. PMR se dostala až na L3 support, který řekl, že chyba je ve vlastním certifikátu, který nevyhovuje bezpečnostní politice, která byla implementována od verze LN 8.5. Pro report jsem užil testovací certifikát od I.CA. Oficialni text IBM je zde:
The subject key identifier of the CA certificate does not match the authority identifier in the leaf certificate.
And the signature did not verify. So whoever built the pkcs12 file to be imported, did not build the correct chain - or at least one that could verify the signature of the leaf cert.
As such there is not more I can do for this PMR via the PMR process, as I cannot ask L3 to reverse security tightening which allows the 8.5 client to be more tolerant, that only course of action to take is to revisit the certificate with the L3 comments. L3 have marked this SPR as Pending/Not a bug.
Takže jsem provedl report na I.CA (dnes) a čekám na odpověď. Bojím se, že skončíme v ohni 2 firem - každý bude tvrdit, že on to má správně :(
|
| McAndrew | Report na IBM - dalsi reakce |
28.02.2010
19:00:08
ID: 2924.24
| Tak pry je v klientovi implementovana vyssi bezpecnost na zaklade SPR LORN79EPJ7, a proto import neprojde. Bohuzel dodnes IBM nerekla co je na tom certifikcatu spatne :( Dle Ceske Posty i dle I.CA je vse OK a certifikaty jsou OK. |
| McAndrew | Report na IBM - story pokračuje :) |
03.03.2010
17:17:02
ID: 2924.25
| Tak poslední odpověď supportu:
Still the same issue - signature is not verified in the chain.
However the other problem of importing the certificates into the directory has been fixed by this chain - dropping the critical flag for CRL Distribution.
A complete verified chain must be present when importing into the ID file.
Teď je je problém asi někde jinde :((( moc jsem ale nepobral co je vlastně špatně. Dle IBM generované certifikáty od I.CA či české pošty jsou chybné :(((
Boj s větrnými mlýny :(( Jinak to co brání importu je prý nové super bezpečnostní inovace v LN klientovi :) který tam bylo nově přidáno z Domino serveru, kde bylo již od jedné verze dříve... |
| Petr | Report na IBM - credit to McAndrew |
04.03.2010
09:47:09
ID: 2924.26
| @McAndrew -> Díky moc, že se to snažíš protlačit/řešit přes Support IBM.
Nechce se mi ale věřit, že by ty certifikáty I.CA a PostSignum měly 'nějaké české specifikum' a i v jiných zemích (jiní vydavatelé certifikátů) by vše bylo OK. Hmm.... :o( |
| Martin Hansgut | Re: Import certifikátu od České pošty |
admin
04.03.2010
13:34:49
ID: 2924.27
| Škoda že IBM neřekne co je špatně aby se s I.CA a PostSignum dala řešit konkrétní záležitost případně že to není řešeno přímo na úrovni certifikačních autorit a IBM. Zajímavé je, že uvedený problém mají pouze certifikáty SHA-2. Starší certifikáty SHA-1 jdou importovat. |
| McAndrew | Tak ted jsem skoro neuveril co mi napsali :( |
10.03.2010
14:26:30
ID: 2924.28
| Nyni jsem dostal ofiko IBM odpoved, ze SHA-2 není (ano rozumite dobre NENI) pro LN 8.5.1 podporován??? Cast emailu od IBM support:
I have an update from the Developer, SHA-2 is not supported sadly.
Takže co dříve šlo nyní nejde a ono to není nově podporováno??? No ted nevim co jim napsat :((( no neco zkusim :))) |
| D. | Chci vyzkoušet LN 8.5 cz s odpovídající nstrings |
15.03.2010
09:27:04
ID: 2924.29
| a SHA2 (QCA PostSignum) zítra a jestli ani tohle nepůjde, tak je to špatné .... |
| D. | .. je to v pořádku (s 8.5 cz) |
16.03.2010
11:06:56
ID: 2924.30
| klient je 8.5 cz (rev. 20081211.1925) a naimportovaný certif.QCA má účinnost klíče 2048 b., a algorimtmus podpisu RSA (jen toto), takže asi zpátky k 8.5 cz .... |
| Martin Hansgut | Re: .. je to v pořádku (s 8.5 cz) |
admin
16.03.2010
11:50:22
ID: 2924.31
| @ D.: Problém je až od verze 8.5.1 link1 Na starších verzích import funguje. |
| McAndrew | Ano, ano "zaplata" ... |
16.03.2010
23:29:06
ID: 2924.32
| je do klienta pridana od verze 8.5.1 (zaplata = slovy IBM zabezpeceni, ktere omylem i brani importu tohoto certifikatu)...verze 8.5 vsechny jazyky jsou OK. |
| Daniel | řešení? |
03.07.2010
16:58:34
ID: 2924.33
| Už se to nějak za uplynulé tři měsíce vyřešilo? |
| Tomáš | importovaný nevidím v 8.5.1 FP3 |
14.07.2010
15:11:55
ID: 2924.34
| Povedlo se mi importovat nový certifikát od České pošty do user.id pomocí Lotus Notes 6.5.6. Pak jsem si to user.id zkopíroval do Lotus Notes 8.5.1 FP3, a tam ten importovaný certifikát není vidět, stejně tak certifikát z minulého roku. Přičemž je možná relevantní, že v 6.5.6 u těch dvou certifikátů vidím ve sloupci "Issued To" místo svého jména XX=Pdddd (kde dddd je nějaké v obou případech stejné čtyřciferné číslo). Ještě bych dodal, že mám zaměstnanecký certifikát, možná že položky, které jsou v něm navíc matou klienta. Nevím jak je to u fyzické nepodnikající osoby. |
| Tomáš | dodatek |
14.07.2010
15:39:45
ID: 2924.35
| Když jsem si zkusil z Lotus Notes 8.5.1 FP3 poslat podepsaný mail na internetovou adresu na linux server (aby to bylo podepsané S/MIME), a pak jsem si ten mail z toho linuxu bouncnul zpátky do notesů. Tak to po mě chtělo při otevření mailu cross certifikaci.
V dialogu na cross-cert jsem viděl, že to je podepsané už tím novým, což šlo poznat z názvů přiložených certifikátů autorit (Postsignum Root QCA 2, Postsignum Qualified CA 2), minulý certifikát jsem měl podepsaný staršími. Takže i když mi nezobrazuje ten nový certifikát, tak to s ním je schopný podepsat.
Ty žádosti o cross certifikaci mi to přestalo zobrazovat až když jsem cross certifikoval i přímo svůj kvalifikovaný certifikát, mít cross certifikované autority nestačilo. Mám pocit, že funguje v Lotus Notes nějak špatně vazba na ty autority. |
| McAndrew | Finální slovo IBM |
28.07.2010
10:04:18
ID: 2924.36
| Takže po delších bojích s IBM nemám dobrou zprávu. IBM nebude podporovat SHA-2 certifikát v nejbližší době a ani nevytvoří hotfix na tuto oblast. Od verze klienta 8.5.1 je to nepodporované ze strany IBM a jelikož to je úmyslně (ochrana proti nějaké bezpečnostní díře), tak to logicky nebudou nijak řešit. Tuto informaci mám přímo od vývojářů LDN, kam jsem se postupně dostal přes různé země a různé telefonáty s L3 supportem (nejvíce mě bavil Egypt :) )...
co teď? no netuším...zůstat u 8.5 cz navěky? žádná možnost upgrade clientů u lidí co užívají certifikáty? Změnit zákony v ČR, aby šlo koupit i něco jiného než SHA-2? Posílám poslední email ze supportu IBM:
Hi Ondrej,
I have contacted development about this issue with SHA-2 certificates, this
was their reply.
As background, there is no support for the SHA-2 hash in the product and,
even if previous releases were permitting the import, they could not
generate or validate such hashes. We have gotten out of the business of
building our own crypto and, instead, consume a standard,IBM recommended,
FIPS validated crypto library from Tivoli called ICC. The version of ICC
in ND 8.51 does not contain SHA-2 and there is no mechanism to patch in
support of SHA2 without invalidating FIPS. So there is no possibility to
actually implement this into ND 851.
As a result, unfortunately, we will not be creating a fix for SHA-2
certificates, and are advised to use a different form of encryption.
|
| McAndrew | Finální slovo IBM |
admin, develop - all in one :)
28.07.2010
10:06:42
ID: 2924.37
| Jen pro info. IBM nebude podporovat SHA-2 v blizke budoucnosti a zadny fix taky nebude, pac to proste nejde viz. tyden stary email od vyvojaru LDN zaslany pres support...
Hi Ondrej,
I have contacted development about this issue with SHA-2 certificates, this
was their reply.
As background, there is no support for the SHA-2 hash in the product and,
even if previous releases were permitting the import, they could not
generate or validate such hashes. We have gotten out of the business of
building our own crypto and, instead, consume a standard,IBM recommended,
FIPS validated crypto library from Tivoli called ICC. The version of ICC
in ND 8.51 does not contain SHA-2 and there is no mechanism to patch in
support of SHA2 without invalidating FIPS. So there is no possibility to
actually implement this into ND 851.
As a result, unfortunately, we will not be creating a fix for SHA-2
certificates, and are advised to use a different form of encryption. |
| Petr | Jak to řeší ostaní? st. správa, úřady, banky...? |
29.07.2010
22:23:15
ID: 2924.38
| @McAndrew: Díky moc, jak to už přes půl roku řešíš a tlačíš přes IBM support.
Jen se chci zeptat zdejší komunity, jak to zatím řeší, resp. jak to řeší u svých klientů? |
| Martin Humpolec | Re: Import certifikátu od České pošty |
30.07.2010
10:14:51
ID: 2924.39
| Zatím to asi nijak neřešíme, zákazníci zjevně moc nepodepisují. Ale od české IBM jsou zprávy, že věc je v řešení, pravděpodobně to bohužel nebude čistě LN řešení - musíme se nechat překvapit. |
| Martin Hansgut | Re: Import certifikátu od České pošty |
admin
30.07.2010
11:08:05
ID: 2924.40
| Zatím jsem neřešil, protože v současné době mají uživatelé ještě platné certifikáty v jejich ID souborech a informace že SHA-2 je v Lotus Notes nepodporovaný je příliš čerstvá.
U dvou uživatelů kde bylo potřeba udělat import fungovalo to, že jsme udělali import ve verzi kde to šlo (6.5.4 nebo 8.5) a následné použití ve verzi 8.5.1 funguje (nemám od uživatelů žádné info že by s podepsaným mailem byl problém). Pravdou ale je, že během několika týdnů či měsíců to budu muset řešit i u ostatních ktří mají povinnost používat elektronický podpis a šifrování v emailech.
Aktuálně jsou asi dvě možnosti, jedna kterou uvádím výše a druhou je instalace LN 8.5 pro užvatele kteří potřebují používat elektronický podpis.
Spíše je otázkou jak se to bude řešit, protože "ukončení" podpory pro SHA-2 od IBM přišlo v okamžiku kdy v ČR bylo používání SHA-2 nařízeno a tak nebyl prostor pro přípravu na řešení tohoto problému.
Otázkou je i to, zda se tomuto problému nedalo předejít. IBM nevěděla že ve verzi 8.5.1 a vyšší nebude podpora pro SHA-2? IBM ČR nevěděla že od 1.1.2010 bude v ČR povinnost používat pouze SHA-2 certifikáty? Certifkační autority, výrobci SW a státní orgány při tak zásadních změnách spolu nekomunikují?
Články které jsem k problmatice přechodu na SHA-2 viděl řeší zda na tento typ certifikátu jsou připraveny operační systémy, ale nikde jsem neviděl přehled toho které programy pracující s maily jsou na tyto typy certifikátu připraveny.
V celku by mě zajímalo zda jsme jediný stát kde je možné získat pouze SHA-2 certifikát a povinnost používat tyto cyrtifikáty pro elektronické podpisy nebo nebo zda toto je problém celosvětový. |
| dou | Podrobne informace |
03.08.2010
08:27:39
ID: 2924.41
| Myslím, že podrobně je to rozebráno např. zde:
link1 |
| Martin Hansgut | Re: Import certifikátu od České pošty |
admin
26.01.2012
17:16:20
ID: 2924.42
| Tak jsem na webu ideajam vytvořil položku (odkaz je i z mého webu) pro podporu SHA-2 certifikátů, tak pokud máte problém s tím, že Lotus Notes nepodporuje certifikáty SHA-2 tak zkuste hlasovat. Třeba to něco přinese.
Odkaz na mém webu link1
Odkaz přímo na web ideajam link2 |
| Jiří Krákora | Re: Import certifikátu od České pošty |
IT
30.01.2012
15:17:38
ID: 2924.43
| Petr Kunc mi poradil tohle:
link1
Máte s tím někdo zkušenost?
JiKra |
| Martin Hansgut | Re: Import certifikátu od České pošty |
admin
30.01.2012
17:55:24
ID: 2924.44
| @JiKra: To je to co jsem ti psal na Twitteru jako možnost řešení a cena $52 per user tě zaskočila. Osobně by mě také zajímalo zda někdo v ČR to používá nebo s tím má nějakou zkušenost.
Na druhou stranu podle prezentace Eda Brilla z LS12 by v nějaké verzi 8.5.x měla být zahrnuta podpora SHA-2. Otázkou je kdy ta verze 8.5.x bude, ale nečekal bych to dříve jak 3-4Q/2012. |
| Jiří Krákora | Re: Import certifikátu od České pošty |
IT
30.01.2012
18:13:42
ID: 2924.45
| No, každopádně jsem nenašel ani náznak dokumentace.
Lotus Protector for Mail Encryption technical library odkazuje na Lotus Protector for Mail Security documentation, wiki link1 je prázdná, a jinak kde nic, tu nic. Tak nevím, zda to vůbec má smysl. |
| Jiří Krákora | Re: Import certifikátu od České pošty |
IT
31.01.2012
11:13:03
ID: 2924.46
| Díky za tu nasdílenou dokumentaci. Je to docela obsáhlé. Původně jsem myslel, že je to jenom klientská aplikace, ale ono to má i serverovou část. |
| Martin Hansgut | Re: Import certifikátu od České pošty |
admin
31.01.2012
14:29:14
ID: 2924.47
| Pokud jsem to správně pochopil, tak to je hlavně o té serverové části, která realizuje to šifrování a snad i podpisy. A pokud se nepletu, tak celé to je realizované na WebSphere App Serveru a DB2.
Mělo by to umět i takovou věc, že pokud odesílatel pošle šifrovaný email někomu kdo nemá internetový certifikát, tak ten email zůstane na tom Encryption serveru a adresát dostane mailem infor jak si ho může na tom serveru vyzvednout, ale nejsem si jit zda si to z něčím nepletu.
|
| Martin Humpolec | Re: Import certifikátu od České pošty |
01.02.2012
10:19:50
ID: 2924.48
| 8.5.4 v druhé polovině roku by snad měla pomoci (http://sutol.cz/sutol/sutol.nsf/0/80497E4312F8174F
C1257994006DF07C) |
