Thawte Personal E-mail certifikáty a Vista
Obrátil se na mne kamarád, jestli jako Thawte notář vím o problému Vist a Thawte certifikátu. Jelikož mi zrovna vypršel certifikát na jednu e-mailovou adresu, měl jsem možnost tento problém ihned ověřit. Bohužel musím konstatovat, že je to pravda. Žádost o nový certifikát (případně žádost o obnovu již existujícího) vypadá dobře až do stisknutí tlačítka Accept na stránce "configure X.509v3 certificate extensions".
Na následující stránce se objeví VBScript chyba "424 Object required". Stránky Thawte bohužel neumějí pracovat s Vistou (resp. s její vyšší úrovní zabezpečení), protože v menu, v němž by se měly objevit dostupné CSP (Cryptographic Service Provider), je prázdno.
Špatným zprávám však není konec. Ve Vistách totiž není možné ani naimportovat již existující certifikát z Thawte stránek. Mechanismus importu se patrně kvůli vyššímu zabezpečení změnil, probíhá ve dvou fázích. Nejprve se otevře dočasné úložiště certifikátů a teprve z něj je možné certifikát naimportovat do správného úložiště. Jenže během této operace se ztratí privátní klíč certifikátu, čímž se stává certifikát pro podepisování či šifrování e-mailů bezcenným.
Jedinou možností tak je požádat o certifikát na Thawte stránkách z Windows XP či Windows Serveru 2003, počkat na jeho vygenerování, stáhnout tento certifikát (fetch) a pak jej vyexportovat do PFX souboru včetně privátního klíče. Tento PFX soubor již do Vist naimportovat lze.
Thawte i Verisign (vlastník Thawte) údajně pracují na vyřešení kompatibility, ale bez uvedení jakéhokoliv odhadu, kdy by mohl být problém odstraněn. Tak jsem docela zvědav, jestli dřív bude toto nebo dřív vydá CheckPoint x64bit klienta pro svůj VPN server.