Zde se ukazuje obsah binárního souboru se soukromými klíči a veřejnými certifikáty. Klíče a certifikáty jsou striktně odděleny pro každého uživatele IS Orsoft a leží na serveru na disku v souboru o1jXXXXXXXXXX.ks, kde XXXXXXXXXX označuje číslo uživatele z osob na 10 míst. Formát souboru datový typ „keystore“ a to v režimu „UBER“ BouncyCastle.
Každá položka seznamu je buď:
Příklad:
klimes_qca8 je soukromý klíč (má na začátku řádku klíček) a je platný (resp. je ocertifikován platným certifikátem).
mf_sifr je již neplatný certifikát (pravděpodobně šifrovací).
Soukromý klíč v sobě obsahuje privátní data pro tvorbu elektronických podpisů. V detailu jsou informace z „nejbližšího“ certifikátu.
Příklad:
Z tohoto soukromého klíče můžeme vyčíst, kdo je majitel „nejbližšího“ certifikátu, kdo jej vydal atd. Zajímavý je konec obrazovky, kde je uvedeno řazení nadřízených certifikátů. Zde je jasné, že nejbližší certifikát ke klíči je Jan Klimeš, tento certifikát byl vydán certfikační autoritou PostSignum QCA2, která je certifikována PostSignum Root CA.
Certifikát je ve svém hlavním principu ověření, že daná osoba je vlastníkem soukromého klíče, ke kterému patří veřejný klíč, který je v certifikátu obsažen.
Po této relativně složité definici si to lze rozebrat takto:
Nový klíč lze založit klávesou Enter. Tím se zapne obrazovka s omezeným zadáním, kde lze zadat jen informace, které jsou pro založení klíče třeba.
Není třeba zadávat mnoho informací, neboť během procesu certifikace (PostSignum, I.CA, …) budou informace doplněny do certifikátu.
Po zadání hesla uložení by měla vzniknout nová položka s jediným nadřízeným, tzv. self-signed certifikátem.
Po založení nového klíče je třeba vytvořit „Žádost o cerfitikát“ (také certificate signing request). Postup je tento:
Na klienta se do zvoleného adresáře vytvoří soubor (velký pouze několik kb) s názvem certreq.req. Soubor je textový a obsahuje žádost ve formátu PKCS#10. S touto žádostí jdeme na Certifikační Autoritu (např. PostSignum, I.CA, …), kde nám vystaví certifikát.
Po vystavení certifikátu (buď ho dostaneme na flash paměti nebo si ho následně stáhneme ze stránek CA - dle pokynů CA) jej naimportujeme ke klíči.
Z tohoto plyne jedna důležitá věc:
CERTIFIKÁT LZE NAIMPORTOVAT JEN A POUZE KE KLÍČI, ZE KTERÉHO BYLA VYTVOŘENA ŽÁDOST O CERTIFIKÁT!
Jak už bylo zmíněno, zde se naimportuje certifikát, který byl vydán CA ke správnému klíči. K tomu musíme mít v úložišti klíčů ještě důvěryhodné nadřízené certifikáty CA. K tomu slouží dálší volba „Import důvěryhodného certifikátu“.
Touto volbou dostaneme do úložiště klíčů certifikáty (veřejné klíče) certifikačních autorit, nebo také certifikáty nutné pro https spojení se zabezpečenými webovými stránkami a SOAP službami.
Pro možnost přenosu klíčů a certifikátů bezpečným způsobem mezi aplikacemi/počítači/systémy, byl vymyšlen standart PKCS#12. Do zašifrovaného souboru lze uložit jak soukromé klíče, tak i certifikáty. Soubor má většinou příponu .p12 nebo .pfx (také se o tom hovoří jako Personal Information Exchange)
Tímto způsobem je možné využít následujícího scénáře žádostí o certifikát:
Nebo i opačně, udělat klíč, žádost, ocertifikování na IS Orsoft a pak přenést klíč do MS Windows, Lotus Notes, Outlook, a nevím kam všude ještě byste chtěli…
Pokud máme certifikát od PostSignum můžeme žádat z Orsoftu rovnou o následný certifikát. Co se stane?
Jedním z nejdůležitějších certifikátů pro uživatele mezd a personalistiky je šifrovací certifikát ČSSZ pro přístup na VREP. Tento certifikát mívá většinou název csszsifr (ale může se lišit) a vlastník je DIS.CSSZ. RRRR . Každý rok je nový. Pro ulehčení práce stačí stisknout tuto volbu a bude do systému importován nový certifikát s původním jménem, aby nebylo třeba překonfigurovávat typy transakcí.
V Orsoftu byla podobná práce s certifikáty a klíči, ale ty byly uloženy trochu jinak. Při spuštění této konverze dojde k tomu, že se veze původní soubor o1jXXXXX.ks a jeho obsah je vložen do nového o1jXXXXXXXXXXX.ks kde XXXXX je původní osobní číslo na 5 znaků a ponovu je to na 10 znaků a je použit jiný formát úložiště klíčů.