[an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive]
 
[an error occurred while processing this directive] [an error occurred while processing this directive]
Skåne Sjælland Linux User Group - http://www.sslug.dk Home   Subscribe   Mail Archive   Forum   Calendar   Search
MhonArc Date: [Date Prev] [Date Index] [Date Next]   Thread: [Date Prev] [Thread Index] [Date Next]   MhonArc
 

SV: [SIGNATUR] Gang i opgaven?



Et par svar til Erling og Mads.

Flow:
Flowet er at man på egen maskine danner nøgler, og indtaster hvad der skal
stå i certifikatet - Herefter laver man en REQ ( PKCS#10 fil) med de
indtastede oplysninger samt den offentlige nøgle. Samtidigt lægges den
prvate nøgle i en lokal passwordbeskyttet fil. ( PEM filen).
PKCS#10 requestet uploades på KMDs hjemmeside:
https://www.kmd-ca.dk/bestilling/bestilling_avancpers_start.asp
Den finde nemmest ved at staret med at bestille et personcertifikat og når
man får valget så at vælge anden / avanceret metode. Afvent teksten: 
"Bemærk, at du for at installere KMD WebAnmod skal have Windows-styresystem
og en browser, der understøtter et program som KMD WebAnmod. Kan du ikke
installere KMD WebAnmod, kan du følge en anden procedure"  Klick på "anden
procedure"

Når filen er uploaded og godkendt bliver man bedt om supplerende
oplysninger, så som CPR nummer.
Man får så tilsendt en e-mail på den addresse som man angav. Heri ligger en
kontrolkode. Denne kontrolkode tager man med på posthuset, hvor det man vil
have stående i sit certifikat bliver kontrolleret, og man skal desuden
legitimere sig med Sygesikringskort samt pas eller kørekort. 
Herefter får man tilsendt et link hvor man kan ahgente sit certifikat. 
Herefter har man et certifikat på sin harddisk og den private nøgle som man
startede med at lave.
Næste spørgsmål er hvad skal der til for at forskellige programmer i Linux
kan anvende dem til at signere og kryptere? I Windows skal de sættes samme i
en PKCS#12 fil ( Digital_ID fil) for at de kan importeres og anvendes i
Explorer og Outlook.

Test af Req fil:
I kunne naturligvis blot sende de første REQ filer i laver op fra denne
addresse, men jeg tilbød på mødet at i sendte dem til mig, og at jeg chekede
dem på vores testsystem, så vil i får en mere kvalficeret forklaring, hvis
der skulle være mangler, end websystemet der blot afviser.

PEM fil: 
ja det er den private nøgle, og det kald vi anvender er det beskrevne.

Request fil:.
PKCS#10 filen er en binær fil, men når den bliver fortolket af et program
der kan læse ANS1 kan man se at den er opbygget som nedensående.
De indtastede informationer skulle være til at lokalisere, men desuden
lægger KMDs program nogle standardinformationer med så som politikken, der
skal udstedes efter. Men alle inforationer er i nedenstående parsing.
Bemærk at "PID nummeret" laver KMD udfra det CPR nummer som man indtaster
undervejs - det er at betragte som et kundenummer.

ABS1 parsing af PKCS#10 request fil:

SEQUENCE [546]
	SEQUENCE [395]
		INTEGER [1] ( 00 )
		SEQUENCE [192]
			SET [11]
				SEQUENCE [9]
					OBJECT IDENTIFIER [3]( 2.5.4.6 -
countryName )
					PrintableString [2] ( DK )
			SET [41]
				SEQUENCE [39]
					OBJECT IDENTIFIER [3]( 2.5.4.10 -
organizationName )
					PrintableString [32] ( Ingen
organisatorisk tilknytning )
			SET [40]
				SEQUENCE [38]
					OBJECT IDENTIFIER [3]( 2.5.4.3 -
commonName )
					PrintableString [31] ( Joern
Guldberg // PID:xxxxxxxxx )
			SET [25]
				SEQUENCE [23]
					OBJECT IDENTIFIER [9](
1.2.840.113549.1.9.1 - UNKNOWN OBJECT IDENTIFIER )
					IA5String [10] ( sslug@sslug )
			SET [14]
				SEQUENCE [12]
					OBJECT IDENTIFIER [3]( 2.5.4.42 -
givenName )
					PrintableString [5] ( Joern )
			SET [17]
				SEQUENCE [15]
					OBJECT IDENTIFIER [3]( 2.5.4.4 -
surname )
					PrintableString [8] ( Guldberg )
			SET [30]
				SEQUENCE [28]
					OBJECT IDENTIFIER [3]( 2.5.4.5 -
UNKNOWN OBJECT IDENTIFIER )
					PrintableString [21] (
9208-2001-1-xxxxxxxxx )
		SEQUENCE [159]
			SEQUENCE [13]
				OBJECT IDENTIFIER [9]( 1.2.840.113549.1.1.1
- rsaEncryption )
				NULL [0] ( )
			BIT STRING [141] ( 00 30 81 89 02 81 81 00 A5 F8 15
01 F1 F2 4F 74 F1 F5 84 ... )
		[CONTEXT SPECIFIC 0] [33]
			SEQUENCE [31]
				OBJECT IDENTIFIER [9]( 1.2.840.113549.1.9.14
- UNKNOWN OBJECT IDENTIFIER )
				SET [18]
					SEQUENCE [16]
						SEQUENCE [14]
							OBJECT IDENTIFIER
[3]( 2.5.29.15 - keyUsage )
							BOOLEAN [1] ( ÿ )
							OCTET STRING [4] (
03 02 03 F8 )
	SEQUENCE [13]
		OBJECT IDENTIFIER [9]( 1.2.840.113549.1.1.5 - UNKNOWN OBJECT
IDENTIFIER )
		NULL [0] ( )
	BIT STRING [129] ( 00 16 4F 56 01 7C FE 28 8C E5 40 FD 07 D7 46 1A
38 0B A4 ... )
 

-----Oprindelig meddelelse-----
Fra: E. Sjørlund [mailto:sslug@sslug
Sendt: 3. marts 2002 21:52
Til: sslug@sslug
Emne: Re: [SIGNATUR] Gang i opgaven?



"Mads Bondo Dydensborg" <sslug@sslug> wrote in message
news:sslug@sslug
On Sun, 3 Mar 2002, E. Sjørlund wrote:

> > Uklarheder
> > > a.1 : Hvilke informationer skal indsamles
> > a.2 : Hvordan skal de repræsenteres
> > a.3 : Hvordan skal de formateres
> >

>> Screen (måske) på www.arianeskema.dk/signatur/kmdsign.dk

>kmdsign.png, faktisk ;-)

Undskyld.

> >(Hvis det ikke virker sender jeg den til dig selv).
>>
>> Billede 1 er de oplysninger, man skal give, og som skal med ind i nøglen
>>
>OK - man indtaster kun de hvide felter, antager jeg?

Korrekt

> Billede 2 er blot indtastningen af et password.

>OK. Har du nogen fornemmelse for hvad det anvendes til? Jeg har stadig
>ikke overblik over proceduren.
Mit gæt er, at det skal bruges til at åbne det certifikat, som KMD
returnerer.
Man kan uden videre åbne sin req, mens man ikke kan gøre noget med sin
nøgle. Begge er genereret af KMD's program.

> Billede tre er de informationer, programmet kan trække ud af nøglen (eller
> måske af den anmodning, man kan sende til KMD).

OK - så billede tre er altså det der bliver sendt til KMD?

Hvad indeholder de to filer .req og .pem?
Pem:
-----BEGIN RSA PRIVATE KEY-----

Proc-Type: 4,ENCRYPTED

DEK-Info: DES-EDE3-CBC,CC896442BDD9E341

V7CGRxApeQsAvJyX2vm6pLyU91VZSbUZLqVQ5Z+vs33g5z4Ovi/Fv6ld7SOUa4kP

Os+AmBlQk4McPkMJHipTu5aSb2rq4rBxO/5QbVmm3pcByVNi1kWQ4Tkvl0vXnb91

y8p1TJjzUJXJES41IXO3+P5mFzx4E1wey0FdVfCTAUwugTkSQhkUu/BKBpf3dWOr

RNHWPUSs9B+jO6JiQHMG6/TVUP0Y3wnrN+9yoOJHThqTpnzHVklB3ncjkOxe0Ezc

lYSj9Ld4sln17WMJUsJDX1ftKoOU3QI6qiCm7QbFDxZl7yCP/et2hs8LJAAyXfOU

BWUWco8lIuQkuRYyv7t0hxRfZ8nO+wAc6hwCvZsOiGhBfQCT0yJVDEgH1zNFmAGn

Jhsjm96x85GvB7Vv1O6W7D7ZJPo5WJwIoEN5cuDZc7N5LPzxF6hbGZ+RManjI5c3

/PUqRSJjw9zJk33mKRDUcwnoLS9FDlHjRc+luqRhrKyXBV4fHXU84+1bx4DQOqjs

flSxtUT/GOxiLPJBFZaHH0TflCLBaJGbPPqOGuL7DsZtEKe4EJfDI7KjiwWbsjfy

JtyubDs23q15Gj/RgssUL6PKxl2B/84PEOTO3EOcTYITq5sKpgzLPujTDnhV3cIo

38Ew9NZiBiOwETZvZ/xoS/hzMIgm4G1q43Z+fWAY/FKM46ipgyW9u0qW2dFmmZfg

ZkPm8lQYenR9TnteQ2BOqiITMzaXnJ0N+IGqK8t8duV9fAO+zmKbe6ZO9cFOSrpJ

0htzk577FIcixiD6fTJkPLBdO0mgjAQAKyOXXFxTT4nt/caAdR/MFQ==

-----END RSA PRIVATE KEY-----

***************************
req er mere end rodet.
0,-0,-&#0;0Ë1
0 UDK1)0'U

 Ingen organisatorisk tilknytning1*0(U!Erling Sjoerlund //
PID:xxxxxxxxx1 0- *?H?÷

 sslug@sslug

U*Erling10U Sjoerlund1-0U9208-2001-1-xxxxxxxxx0Y0

 *?H?÷

&#0;&#0;0?&#0;ÙVjX±Ówjdf>mùõ¦GÏ2Z#¯".6tt"'º-ØæQ?f±6¬6ÿ>g%³
Æv³ißó
sN>9ß98»-n8xØ>(?vÇ,ù=µz¶1òÅúÈjZ Î;?<»yDµ{Óö©/%dB:Eß^ïÕ&#0; !0
*?H?÷

 100U ÿø0

 *?H?÷

&#0;&#0;&E??Ç,6plX,FeBæø[
÷gæÚÈ5aEëп¢9ydø.|^!_Ez

ÊÉÏõªµÆ±°×ÐhÊ_+jJ

$²?50±P×2
3¬Å2-"âùɽ´2S?zS$aøN¹÷ )"LX >úoMF'So/ÓB@

****** slut ******

Som jeg har forstået det, er .pem ens private key, mens den anden fil skal
sendes til KMD for at starte registreringsproceduren.

Snip fra ældre indlæg fra Jørn Guldberg

>>

Svar:
PEM filen er den private nøgle, som er beskyttet med kryptering og
adgangskode. Der ligger ingen standardiseringskrav her, da det er samme
program, der skal hente nøglen ud igen senere. Derfor har vi valgt at buge
et kald i OpenSSL til at laver denne fil.
Her er kaldet:
PEM_write_PrivateKey(fpKey, // FILE*
   pKey, // EVP_PKEY*
   EVP_des_ede3_cbc(), // Choose 3DES encryption
   (unsigned char*) sPwd.c_str(), // Password
   sPwd.length(), // Password length
   NULL,
   NULL);

Generelt kan man sige at nøglen i hvert fald skal beskyttes med stærk
kryptering.
Mvh Jørn
<<

>
> Det eneste jeg ville kunne bidrage med er en GUI i Kylix.

>Sludder. :-)

>Der er masser af andet du ville kunne bidrage med. Spørgsmålet er om du
>vil ;-)

Det er ikke vilje men evner, det skorter på. Har kun brugt LibC.System kald
indtil nu i Kylix.

> Det jeg lagde op til var, at man skulle lave kodegenereringen på en måde,
> så det kan styres via kommandolinien, primært fordi det vil give adgang
for
> enhver GUI. Uden den mulighed er jeg afskåret fra at medvirke.

>Hvis jeg ikke tager meget fejl, kan Kylix stadig bruge biblioteker på
>systemet. Og, det kan i mange sammenhænge være mere pålideligt end at
>skulle hælde alting gennem en shell.

>Jeg synes stadig det er for tidligt at snakke om en GUI, men hvis vi
>skal, så er der ligesom "to" tilgange:

Det eneste jeg mener er, at der skal laves et kommandoliniestyret program,
hvor man ved at kalde med bestemte parametre får den fil dannet, der skal
anvendes. Hvis parametre osv. er veldokumenterede, kan enhver bagefter komme
og skrive sit eget bud på en GUI.. En ret spændende ide kunne jo være at
lave et cgi script, som kunne lægges på firmaets hjemmeside, så
medarbejderne ikke skulle bøvle med at hente eller installere noget som
helst.
Omvejen over kommandolinien gør det så vidt jeg kan se langt mere
fleksibelt. Har ikke fantasi til at forestille mig programmeringssprog til
Linux, som ikke kan bruge den slags.
Det var såmænd bare det, jeg forsøgte at formulere.

Andre ting du og andre kan hjælpe med:
- Du kører jo Windows, så der er en masse ? du vil kunne besvare
- Afprøvning - sammenligning mellem information, svar, request filer, hvad
  ved jeg
- Dokumentation
- Sprogrettelser
- Osv.

Nåh ja. (Osv = hente Cola og smøger, skriv det bare som det er;)
Jeg kan ikke engang finde ud af at få lavet mig en kerne og initrd, som kan
startes med linload, og derefter automatisk starte en rsync.




 
Home   Subscribe   Mail Archive   Index   Calendar   Search

 
 
Questions about the web-pages to <www_admin>. Last modified 2005-08-10, 20:33 CEST [an error occurred while processing this directive]
This page is maintained by [an error occurred while processing this directive]MHonArc [an error occurred while processing this directive] # [an error occurred while processing this directive] *