Instalace certifikátu elektronického podpisu v Linuxu

obecna.png V Linuxu je situace s certifikáty o něco komplikovanější tím, že mezi jednotlivými distribucemi neexistuje jejich jednotné úložiště. OpenOffice.org využívá v Linuxu šifrovací a podepisovací knihovny NSS , resp. Mozilly (Firefox či Thunderbird) – musíte je mít tedy nainstalovány a certifikáty v nich naimportovány.  

OpenOffice upřednostňuje úložiště certifikátů v Thunderbirdu – pokud v něm nic není, pak teprve sáhne do uživatelského profilu Firefoxu (alespoň tak se chová v Mandrivě 2010.1). Seznam certifikátů z úložiště se načítá při spuštění OpenOffice, tzn. pokud přidáte do úložiště nový certifikát, je potřeba celý OpenOffice zavřít a znovu spustit.

Jestliže pro elektronickou poštu používáte Thunderbird, bude vhodnější certifikát elektronického podpisu naimportovat do něj – budete ho pak moci použít jak k podepisování dokumentů v OpenOffice, tak k podepisování odesílaných e-mailů. Přes menu Úpravy | Nastavení účtu otevřete dialog pro nastavení účtů a v seznamu vlevo vyberte položku Zabezpečení.

Dialog pro nastavení účtů v ThunderbirduDialog pro nastavení účtů v Thunderbirdu

Dole v sekci Certifikáty klikněte na tlačítko Zobrazit certifikáty, tím se zobrazí dialog pro správu certifikátů v Thunderbirdu. Vyberte kartu Osobní a klikněte na Importovat. Vyberte váš certifikát, zadejte k němu heslo a dokončete import. Pokud vše proběhne v pořádku, zobrazí se váš certifikát v seznamu. Je důležité, aby byl v seznamu na kartě Osobní.

Správce certifikátů v MozilleSprávce certifikátů v Mozille

Poklepáním na certifikát zobrazíte podrobné informace o něm. Na kartě Obecné jsou důležité informace zejména o ověřených účelech použití certifikátu a době jeho platnosti.

Obecné informace o certifikátuObecné informace o certifikátu

Pokud chcete certifikát využít také k podepisování e-mailů, musí zde být uvedeno alespoň použití „Certifikát autora e-mailu“. Jestliže je zde informace Certifikát nemohl být ověřen a přitom víte, že je platný, může být problém v tom, že Thunderbird nezná vydavatele vašeho certifikátu a je potřeba naimportovat také tzv. kořenové certifikáty autority, která váš certifikát vydala, aby jí systém mohl důvěřovat a následně pak také všem certifikátům, které tato autorita vydala. Bohužel kořenové certifikáty českých akreditovaných certifikačních autorit nejsou součástí výchozího seznamu důvěryhodných autorit v internetových prohlížečích a e-mailových aplikacích.

Klikněte na kartu Detaily , kde jsou zobrazeny informace o hierarchii certifikátu a položkách v něm obsažených. Je důležité, aby posloupnost certifikátů vedoucích k tomu vašemu byla kompletní, tj. aby v systému byly nainstalovány všechny nadřazené certifikáty odpovídající vydávající autority. V případě eIdentity a PostSignum jsou to dva nadřazené certifikáty, v případě I.CA pouze jeden.

Informace o cestě k certifikátu a dalších položkáchInformace o cestě k certifikátu a dalších položkách

V sekci Hierarchie certifikátu klikněte na váš certifikát a v sekci Položky certifikátu vyberte položku Vydavatel – tím se v sekci Hodnota zobrazí informace o vydavateli vašeho certifikátu.

Pokud je nutné naimportovat certifikáty vydávající certifikační autority, použijte kartu Autority a tlačítko Importovat. Při importu certifikátu autority je potřeba vybrat, pro jaké účely ji budete důvěřovat. Všechny tři výše uvedené certifikační autority mohou vydávat certifikáty pro všechny tři zde uvedené účely.

Dialog pro nastavení účelů uznávání při instalaci certifikátu certifikační autorityDialog pro nastavení účelů uznávání při instalaci certifikátu certifikační autority

Je lhostejné, v jakém pořadí naimportujete certifikáty (váš a certifikáty autority), důležité je, abyste při importu certifikátů autorit nastavili správně účel uznávání. Pokud si tím nejste jisti, smažte dříve naimportovaný certifikát autority a naimportuje jej znovu.

Nastavení certifikátu elektronického podpisu, který se má používat při podepisování e-mailů, provedete v dialogu Nastavení účtu výše – v sekci Elektronický podpis klikněte na tlačítko Vybrat a z nabídnutého seznamu vyberte odpovídající certifikát. Zde je na místě upozornit na dvě velmi důležité skutečnosti:

  1. kvalifikovaný certifikát elektronického podpisu nesmíte dle zákona použít k šifrování,
  2. v certifikátu musí být uvedena stejná e-mailová adresa jaká je nastavena ve vašem profilu e-mailového účtu, jinak nebude možné ověřit elektronický podpis e-mailu.

Jestliže Thunderbird nepoužíváte, můžete k instalaci certifikátů použít Firefox. V dialogu z menu Úpravy | Předvolby vyberte nahoře ikonu Rozšířené a na kartě Šifrování klikněte na tlačítko Certifikáty. Tím se zobrazí stejný Správce certifikátů jako v Thunderbirdu – ovládání je stejné, vizte postup výše, ale obsah úložišť certifikátů se (bohužel) liší.

Otevření Správce certifikátů ve FirefoxuOtevření Správce certifikátů ve Firefoxu

Pokud OpenOffice nemůže nalézt vaše osobní certifikáty nainstalované ve Firefoxu – a v Thunderbirdu žádné naimportovány nemáte – je nutné provést nastavení systémové proměnné MOZILLA_CERTIFICATE_FOLDER na adresář vašeho uživatelského profilu, např. v terminálu pomocí příkazu

export MOZILLA_CERTIFICATE_FOLDER=~/.mozilla/firefox/XXXXXXXX.default

kde se XXXXXXXX nahradí konkrétním kódem, který najdete ve skrytém adresáři .mozilla/firefox/ ve vašem domovském adresáři, např.

export MOZILLA_CERTIFICATE_FOLDER=~/.mozilla/firefox/958l1hjj.default

OpenOffice poté musíte také spustit z terminálu a nastavení je platné jen pro toto konkrétní spuštění OpenOffice, navíc hodnota takto nastavené systémové proměnné se po restartu/vypnutí systému ztratí. Pokud chcete tento problém vyřešit trvale, musíte použít jiné řešení v závislosti na vaší distribuci, např. úpravu ~/.bashrc.

Příští díl seriálu bude pojednávat o certifikátu elektronického podpisu v Adobe Readeru.

(Jako ve škole) Průměr: 1.00 | Hodnotilo: 2
 

Komentáře

user avatar Ivan
Odpovědět
Instalace certifikátu elektronického podpisu v Linuxu
29. 05. 2015, 09:12:56
I po těch letech aktuální - díky, pomohlo.

Přidat názor

 

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích najdete v nápovědě. Diskuzi můžete sledovat pomocí RSS kanálu.

 
Tomáš Hanusek

Tomáš Hanusek

 
 
 
woo jaw demo hz