locked
Import kvalifikovného SHA2 certifikátu vydaného na XP SP3

    Dotaz

  • Dobrý den,

    Dokončujeme přechod na Windows Vista a narazili jsme na problém s kvalifikovanými uživatelskými certifikáty od I.CA využívající nové SHA2 algoritmy.
    Pokud se žádost vydá ve Vistách, tak je vše ok a certifikát se dá používat pro ověření identity, šifrování, atd. Problém nastává pokud se certifikát vydá na Windows XP SP3 a který si uživatel včetně privátního klíče vyexportuje. Při pokusu o import na cílovou Windows Vista stanici se zobrazí chyba:



    Rozdíl v CSP asi opravdu existuje - XP používají Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype) a Visty Microsoft Enhanced RSA and AES Cryptographic Provider .
    Experimentálně jsme zjistili, že stačí přejmenování klíče v registrech a certifikát je poté možné naimportovat, ale ani poté není možné v MS Outlook 2007 používat SHA2 algoritmy:





    Je tedy vůbec možné naimportovat do Vist tyto certifikáty vydané na Windows XP SP3, nebo bude nutné vyřídit (a zaplatit) si novou žádost o vydání na Windows Vista?
    Děkuji za odpovědi.

    pátek 5. února 2010 12:53

Odpovědi

  • Vyřešeno s tech. podporou I.CA během 30s: PFX soubor (vytvořený na XP) naimportovat do Firefoxu, ve Firefoxu pak exportovat do .p12, a ten se pak naimportuje do Vist naprosto bez problému.
    středa 17. února 2010 8:18

Všechny reakce

  • Dobrý den,
    na úvod bych Vás chtěl pochválit za konkrétní a hezky popsaný (i s obrázky) dotaz, takových tu moc nebývá, snad se tedy nejde někdo v této oblasti fundovanější než já.


    Prozatím bych Vám doporučil články na Lupě - Soumrak SHA-1, ohrožení elektronických podpisů i rozpočtů IT a Zavedení hash algoritmů SHA-2 v prostředí OS Microsoft Windows, kde se podrobněji zabývají i podporou SHA-2 v CryptoAPI v systémech Windows XP SP3, osobně se (mým amaterským pohledem) obávám nemožnosti jejich kvalifikovaného importu, protože primárně je ve Windows XP (i s SP3) zabudována pouze možnost jejich oveření - viz onen rozdíl v CSP. Případně dejte prosím vědět, pokud byste zjistil něco nového.
    neděle 7. února 2010 13:25
    Vlastník
  • Děkuji :-)

    Začal jsem to řešit přímo s I.CA, tak pokud se něco dozvím, podělím se o své poznatky.

    čtvrtek 11. února 2010 16:37
  • Dobrý den,

    připojují se k dotazu v naprosto stejném, a v prvním příspěvku popsaném případě:
    privatni klic ulozen a vyexportovan na stanici s Windows XP, pokus o naimportovani tohoto klice do Windows Vista ci Windows 7, selhava na ceske variaci stejne hlasky (nemate opravneni ... nebo neni nainstalovana podpora ... )

    pokud by nekdo vedel reseni, tomu predem dekuji za poznatky
    pondělí 15. února 2010 19:19
  • Vyřešeno s tech. podporou I.CA během 30s: PFX soubor (vytvořený na XP) naimportovat do Firefoxu, ve Firefoxu pak exportovat do .p12, a ten se pak naimportuje do Vist naprosto bez problému.
    středa 17. února 2010 8:18
  • Openssl.exe je skvely nastroj na konverzi formatu

    MP
    středa 17. února 2010 9:00
    Moderátor
  • Takže člověk musí na vydávací stanici nainstalovat Firefox.. no zajímavé :-) Vyzkouším.
    Děkuji.
    středa 17. února 2010 9:52
  • nebo zkus doporucovany openssl

    MP
    středa 17. února 2010 9:59
    Moderátor