dolezel.net

Co není v hlavě, je v blogu...

RouterOS a import certifikátu od Windows CA

Skoro týden si hraju s RouterOS 3.xx a dnes jsem došel k dosud nenakonfigurovanému restu. Chtěl jsem zakázat nekryptovaný HTTP přístup na administrační webové rozhraní a místo toho spustit šifrovaný HTTPS přístup. Jelikož jsem si rozjel svoji vlastní certifikační autoritu na Windows, chtěl jsem pochopitelně použít certifikát vydaný touto CA. Jak na to? Při implementaci certifikátu je možné zvolit jednu ze dvou cest. Více...

Konverze PVK+SPC na PFX a naopak

Pokud se někdo zaobíral code signing certifikáty pro podepisování Microsoft kódu, možná ví, že certifikační autority dodávají .SPC soubor. Na Windows XP/2003 je ještě před vlastní žádostí vytvořen .PVK soubor, jenž obsahuje privátní klíč. Na Windows Vista/W2008 Serveru je privátní klíč uložen v registry a kupříkladu s Thawte certifikátem není možné certifikát zazálohova, přenést na jiný stroj… Předpokládejme tedy, že o certifikát bylo zažádáno na WXP či W2003. Co dělat dál po obdržení SPC souboru od certifikační autority? Více...

Thawte code signing certifikát – nikdy z Vist!

 

Nepěkně jsem se spálil při vydávání Thawte code signing certifikátu. Prostě jsem se zapomněl a požádal o vydání 3-letého certifikátu z výborného operačního systému Windows Vista. Výsledkem je certifikát, který jsem sice dokázal rozchodit na svém OS, ale neexistuje možnost, jak jej zazálohovat (do PFX), natož převést na počítače vývojářů. Takže životní nutnost – pro code signing certifikáty zásadně používat WXP nebo W2003. Více...

Konverze PFX certifikátů

Zjistil jsem, že by nebylo špatné si připravit takový drobný manuálek na konverzi PFX certifikátu. Přeci jenom to člověk neprovádí každý den. Úvodem stručné vysvětlení pár pojmů.

PKCS#12 je přenosný formát k uložení a přenosu uživatelských či počítačových privátních a veřejných klíčů a certifikátů. Plné jméno je Public Key Cryptography Standards #12. Data jsou uložena v binárním tvaru. Tento formát je na Windows znám jako PFX soubor. Kdo aspoň jednou zálohoval či importoval již vytvořený certifikát, ví přesně, o co jde. Microsoft u PFX formátu uvádí název Personal Information Exchange. PFX je jediný formát, který je na Windows použitelný při exportu včetně privátního klíče. Více...

Kontrola obsahu CSR

Předtím než zažádám komerční certifikační autoritu o vydání certifikátu, je záhodno vždy zkontrolovat, co zadal administrátor během vytváření Certificate Signing Request (CSR).

Pokud je již nainstalováno Win32 OpenSSL, stačí zadat:

c:\openssl\bin\openssl.exe req -text -noout - verify -in c:\certs\my.csr

Konverze PFX na PEM a zpět

Vzhledem k použitým multiplatformním technologiím potřebuji občas zkonvertovat jeden formát certifikátu do druhého. Používá se k tomu openssl.exe. Mocný, ale náročný program. Příjde mi, že je složen z několika modulů, každý od jiného tvůrce, s naprosto odlišnou syntaxí příkazů, přepínačů, voleb. Pamatovat si vše z hlavy je pro mne nadlidský úkol. Takže si sem budu poznamenávat nejčastější příkazy. Více...

VisualSVN Server setup

V tuto chvíli nejjednodušší cestou, jak zprovoznit na Windows platformě Subversion server komunikující přes HTTP(S), je freeware produkt VisualSVN server. Následující text pojednává o experimentálním zprovoznění beta verze tak, aby fungovala dle mého očekávání. Více...

Thawte a Comodo - e-mailové SSL certifikáty zdarma

Pro podepisování a šifrování e-mailové komunikace je základním předpokladem existence SSL certifikátu, který je nainstalovaný v používaném poštovním programu. V případě nepříliš technicky zdatných uživatelů Internetu je pak velmi důležitý fakt, zdali je certifikát implicitně důvěryhodný pro počítač/program odesílatele i adresáta. Nehodlám zde rozebírat právní aspekty certifikačních autorit, jde mi o snadnost použití mezi běžnými uživateli. Mezi vhodné poskytovatele takových e-mailových certifikátu patří Thawte a Comodo. Více...

Kontrola expirace SSL certifikátů

Vzhledem k tomu, že jsem v práci nucen pracovat s certifikáty řady komerčních certifikačních autorit (implicitně důvěryhodných i těch, kterým standardně operační systémy nedůvěřují), interními certifikačními autoritami různých provozovatelů, lámal jsem si hlavu, jakým způsobem nejsnadněji evidovat soupis certifikátů včetně data jejich expirace. Každá komerční autorita poskytuje e-mailová avíza, která vás upozorní, že vám vydaný certifikát brzy vyprší. Různé interní CA (tu, která je ve Windows 2003 nevyjímaje) však žádný takový anotační nástroj nemají a je pouze na zodpovědnosti správců aplikací, v nichž jsou certifikáty použity, a správce CA, že jim neuteče žádný termín.

Dnes sem náhodou narazil na aplikaci, která neřeší úplně všechny požadavky, ale i tak je alespoň pro mne velmi přínosná - http://www.dscoduc.com/file.axd?file=VerifySSL.zip. Dovoluje importovat/exportovat seznam kontrolovaných certifikátů, export je zároveň i výpisem posledně provedené kontroly. Zvládá HTTPS, IMAP4S, POP3S, LDAPS. Nechodí mi kontrola SMTPS, pokud je vyžadováno povinné přihlášení uživatele.

Thawte Personal E-mail certifikáty a Vista

Obrátil se na mne kamarád, jestli jako Thawte notář vím o problému Vist a Thawte certifikátu. Jelikož mi zrovna vypršel certifikát na jednu e-mailovou adresu, měl jsem možnost tento problém ihned ověřit. Bohužel musím konstatovat, že je to pravda. Žádost o nový certifikát (případně žádost o obnovu již existujícího) vypadá dobře až do stisknutí tlačítka Accept  na stránce "configure X.509v3 certificate extensions". Více...