Thawte code signing certifikát – nikdy z Vist!

 

Nepěkně jsem se spálil při vydávání Thawte code signing certifikátu. Prostě jsem se zapomněl a požádal o vydání 3-letého certifikátu z výborného operačního systému Windows Vista. Výsledkem je certifikát, který jsem sice dokázal rozchodit na svém OS, ale neexistuje možnost, jak jej zazálohovat (do PFX), natož převést na počítače vývojářů. Takže životní nutnost – pro code signing certifikáty zásadně používat WXP nebo W2003.

Thawte samotné má v hloubi své KB uveřejněn článek o MS Authenticode Certificate na Vistách. Ten článek je ale zatraceně nepřesný.

Je faktem, že Vista/IE7 již nevytváří .PVK soubor s privátním klíčem ke code-signing certifikátu, ale uloží ten klíč kamsi do registrů. Thawte návod radí, že se má .SPC soubor stáhnout na disk a naimportovat dvojklikem do úložiště certifikátů. No moje instalace Vist prostě .SPC nezná.  Naštěstí se to dá obejít ručním importem certifikátu, takže pak dojde ke spárování s privátním klíčem, jenž je uložený v registrech.

Nejhorší ale je, že takto vytvořený certifikát má privátní klíč označený jako NEEXPORTOVATELNÝ. V návodu Thawte samozřejmě ani slovo. To má fatální důsledky pro vytvoření zálohy certifikátu do .PFX souboru, např. pro účely reinstalace operačního systému nebo předání code signing certifikátu vývojářům.

Našel jsem článek podobně postiženého Thawte uživatele (samozřejmě až poté, kdy už bylo pozdě), jedinou šancí je provést REISSUE proceduru. No jo, ale to by musel Thawte SPKI fungovat :( Ocitl jsem se v začarovaném kruhu, kdy jsem nejdříve vyzván k vygenerování jednorázového reissue hesla, následně přesměrován na stránku s certifikátem a tlačítkem Reissue no a z něj se dostanu na stránku s chybou a zpět na stránku s vygenerování jednorázového hesla. A takhle pořád dokolečka.

Jak jsem byl dřív s Thawte velmi spokojen, tak nyní je to děs a utrpení. Asi bude čas změnit partnera – možná Comodo?

Doplnění 22.7.

Thawte support potvrdil, že jejich Code signing certifikát zhotovený z Vist je neexportovatelný. A také radí o něj zažádat z WXP či W2003.

Ohledně reissue procedury mi vysvětlili, že pro korektní provedení si musím “koupit” reissue credit za 0,- USD. Tohle mne tedy fakt nenapadlo. Po tomto “nákupu” již bylo možné dokončit provedení znovuvydání certifikátu, tentokráte ovšem z W2003 Serveru, kde jedním z prvních kroků je tvorba PVK souboru.

Zobrazit komentáře