Máme certifikát, který bychom chtěli použít pro komunikaci s autentizační službou (AS). Z dokumentace nám není jasné, zda splňujeme všechny požadavky. V souboru `cert.info` připojuji výpis příkazu `openssl x509 -in port.fondkinematografie.cz.crt -text`.
Dále jsme zkusili provést:
curl -k --cert port.fondkinematografie.cz.crt --key port.fondkinematografie.cz.key https://ws1c.czebox.cz/cert/DS/df -v
Výsledkem je chyba:
curl: (35) error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate
Prosím o posouzení, zda je certifikát vhodný pro dané použití. Pokud není, požádal bych Vás o informaci jak a kde vhodný certifikát (se správnými parametry) získat.
Děkuji
Pospíšil
ata:
Version: 3 (0x2) Serial Number: 01:8f:d4:c8:47:1e:39:5a:1e Signature Algorithm: sha256WithRSAEncryption Issuer: C = CZ, CN = I.CA SSL CA/RSA 07/2015, O = "Prvn\C3\AD certifika\C4\8Dn\C3\AD autorita, a.s.", serialNumber = NTRCZ-26439395 Validity Not Before: May 30 06:17:47 2018 GMT Not After : May 30 06:17:47 2019 GMT Subject: CN = port.fondkinematografie.cz, C = CZ, ST = Hlavn\C3\AD m\C4\9Bsto Praha, L = Praha 7, O = St\C3\A1tn\C3\AD fond kinematografie, serialNumber = ICA - 986423 Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:d2:0d:ad:5f:9c:50:78:9c:a0:fc:db:4f:80:45: 7b:e8:16:10:cc:70:6c:d5:f2:5c:cb:46:e7:c2:42: e4:f9:26:c4:11:11:e9:c8:a1:90:be:c0:85:0b:3c: 86:8c:6b:80:0b:ea:66:e9:b1:a9:b9:6a:6c:b7:be: d0:ac:53:fd:64:58:7c:d1:d7:6e:99:41:66:31:16: aa:83:e2:50:41:85:ab:a8:07:a8:e1:43:c4:6f:c7: 08:3e:53:ad:fc:ea:b9:8b:85:4d:44:59:5f:d1:07: 32:9b:41:17:10:8b:f1:52:08:20:1a:24:80:8e:98: 55:20:fa:44:fe:e9:a6:27:4d:ea:84:77:bb:86:7b: fd:a4:1b:8a:7a:cf:16:c1:54:c1:54:2f:7b:20:75: 0d:71:bc:e6:29:ac:da:8a:71:fe:af:63:fd:3d:2e: 21:2f:3f:c1:18:d1:a0:fe:e9:0b:d4:b6:68:2c:57: 8a:0e:8b:bd:0e:21:8e:e7:36:ff:42:56:89:cc:56: d0:d7:17:68:ef:1f:cf:09:23:d0:fc:41:06:98:9c: 66:94:9d:d3:45:7f:bf:02:24:b4:ec:6b:63:69:9e: 85:a6:ad:5d:89:e1:a0:cf:ab:34:b1:13:86:67:bb: 77:7e:51:23:09:59:32:20:5c:e3:53:8e:20:a1:f5: 4d:a1 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Alternative Name: DNS:port.fondkinematografie.cz X509v3 Basic Constraints: CA:FALSE X509v3 Certificate Policies: Policy: 1.3.6.1.4.1.23624.10.1.72.1.1 CPS: http://www.ica.cz Policy: 2.23.140.1.2.2
X509v3 CRL Distribution Points:
Full Name: URI:http://scrldp1.ica.cz/sca15_rsa.crl
Full Name: URI:http://scrldp2.ica.cz/sca15_rsa.crl
Authority Information Access: CA Issuers - URI:http://s.ica.cz/sca15_rsa.cer OCSP - URI:http://ocsp.ica.cz/sca15_rsa
X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Authority Key Identifier: keyid:8B:33:43:A7:28:A6:F1:6F:64:6F:E8:ED:DE:55:D4:01:1A:25:89:96
X509v3 Subject Key Identifier: 6C:DA:C8:78:DE:FD:07:DF:91:4E:D4:07:93:2D:E9:46:1A:2F:BF:F1 X509v3 Extended Key Usage: TLS Web Server Authentication Signature Algorithm: sha256WithRSAEncryption 00:ef:d8:87:2e:72:f0:3a:99:3a:7f:82:dd:74:92:73:33:81: c5:06:ba:18:5a:46:4f:b8:76:4c:34:72:95:48:06:43:86:9f: 89:1c:d6:e5:a8:80:39:ef:ab:ea:e1:07:a2:4a:72:4c:30:f5: 39:fb:b5:47:42:3f:dd:3d:68:6c:89:7b:bd:1d:56:17:5a:08: 5b:50:73:14:ec:4d:74:a3:57:d5:0f:f1:0b:89:ea:53:8b:f2: 59:d3:9d:29:29:7a:f2:52:fa:9b:c8:99:26:d4:6e:96:48:79: 15:ee:f1:72:56:73:4f:af:cf:dd:b1:25:41:f4:2f:9e:6e:96: 5f:88:6e:77:29:89:e4:1c:d6:4f:3a:2d:47:b7:be:a2:0b:5f: c0:ef:ff:95:6d:2e:bf:3b:6a:62:2c:2d:e9:70:24:b6:93:6e: a3:a5:56:42:06:eb:3f:1d:e3:15:b9:28:42:c4:6c:6a:35:c5: 40:27:13:f1:79:d5:d7:37:63:cd:0c:28:de:44:4c:9f:40:b7: 8b:d0:7e:cb:aa:ba:48:aa:14:9b:ed:64:8f:e8:73:d5:55:ce: e5:02:a0:c5:92:2d:b3:9a:ec:1e:a5:f5:8e:fa:8e:f3:9d:58: 0a:73:be:ab:d6:51:35:bf:04:fe:7f:fb:20:41:67:f4:e8:b1: 4e:55:e0:24:8a:ee:92:5e:0e:49:ab:c9:6d:93:0c:c5:8d:3c: 4c:d1:c5:b7:f7:5f:78:77:08:f4:3d:8e:28:43:24:61:eb:57: 82:c7:15:dd:6e:79:cb:74:bc:f9:03:94:62:8f:7b:f2:37:c7: 73:d7:b7:61:a3:d9:c1:f8:39:43:84:22:18:45:78:a5:e0:f6: 9a:8e:95:cd:16:1a:34:7d:41:3f:de:a1:97:46:4d:01:03:6b: f9:ec:22:6a:11:34:87:44:27:97:3e:b9:50:f2:ed:9b:5e:aa: fc:5d:6e:e6:34:d0:96:fc:30:4e:d7:cf:24:03:3f:53:c8:38: 03:8e:9d:4f:49:89:db:1e:4f:94:6b:92:73:03:04:27:a3:5e: 0c:c9:6d:ff:25:b9:59:41:b4:57:41:51:6a:4d:8f:21:2a:00: ce:59:90:51:da:33:56:2d:22:67:f5:ee:dd:d5:67:b3:a0:b8: 1c:78:a1:d5:33:48:c4:04:c8:ca:4c:1b:13:b1:ac:7b:05:56: 69:65:67:a2:cf:14:05:ab:1d:2c:70:87:b9:8f:1f:58:57:85: 9e:d1:a9:f3:86:8a:f5:65:85:ab:71:4c:20:6e:48:ad:ff:eb: b3:4f:9c:0a:d9:d5:37:0a:8d:6a:b1:fe:0a:b3:db:09:20:85: 68:b3:f0:48:39:fe:d2:77-----BEGIN CERTIFICATE-----MIIGRjCCBC6gAwIBAgIJAY/UyEceOVoeMA0GCSqGSIb3DQEBCwUAMHcxCzAJBgNVBAYTAkNaMSAwHgYDVQQDDBdJLkNBIFNTTCBDQS9SU0EgMDcvMjAxNTEtMCsGA1UECgwkUHJ2bsOtIGNlcnRpZmlrYcSNbsOtIGF1dG9yaXRhLCBhLnMuMRcwFQYDVQQFEw5OVFJDWi0yNjQzOTM5NTAeFw0xODA1MzAwNjE3NDdaFw0xOTA1MzAwNjE3NDdaMIGhMSMwIQYDVQQDDBpwb3J0LmZvbmRraW5lbWF0b2dyYWZpZS5jejELMAkGA1UEBhMCQ1oxHTAbBgNVBAgMFEhsYXZuw60gbcSbc3RvIFByYWhhMRAwDgYDVQQHDAdQcmFoYSA3MSUwIwYDVQQKDBxTdMOhdG7DrSBmb25kIGtpbmVtYXRvZ3JhZmllMRUwEwYDVQQFEwxJQ0EgLSA5ODY0MjMwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDSDa1fnFB4nKD820+ARXvoFhDMcGzV8lzLRufCQuT5JsQREenIoZC+wIULPIaMa4AL6mbpsam5amy3vtCsU/1kWHzR126ZQWYxFqqD4lBBhauoB6jhQ8Rvxwg+U6386rmLhU1EWV/RBzKbQRcQi/FSCCAaJICOmFUg+kT+6aYnTeqEd7uGe/2kG4p6zxbBVMFUL3sgdQ1xvOYprNqKcf6vY/09LiEvP8EY0aD+6QvUtmgsV4oOi70OIY7nNv9CVonMVtDXF2jvH88JI9D8QQaYnGaUndNFf78CJLTsa2NpnoWmrV2J4aDPqzSxE4Znu3d+USMJWTIgXONTjiCh9U2hAgMBAAGjggGoMIIBpDAlBgNVHREEHjAcghpwb3J0LmZvbmRraW5lbWF0b2dyYWZpZS5jejAJBgNVHRMEAjAAMEUGA1UdIAQ+MDwwMAYNKwYBBAGBuEgKAUgBATAfMB0GCCsGAQUFBwIBFhFodHRwOi8vd3d3LmljYS5jejAIBgZngQwBAgIwXwYDVR0fBFgwVjApoCegJYYjaHR0cDovL3NjcmxkcDEuaWNhLmN6L3NjYTE1X3JzYS5jcmwwKaAnoCWGI2h0dHA6Ly9zY3JsZHAyLmljYS5jei9zY2ExNV9yc2EuY3JsMGMGCCsGAQUFBwEBBFcwVTApBggrBgEFBQcwAoYdaHR0cDovL3MuaWNhLmN6L3NjYTE1X3JzYS5jZXIwKAYIKwYBBQUHMAGGHGh0dHA6Ly9vY3NwLmljYS5jei9zY2ExNV9yc2EwDgYDVR0PAQH/BAQDAgWgMB8GA1UdIwQYMBaAFIszQ6copvFvZG/o7d5V1AEaJYmWMB0GA1UdDgQWBBRs2sh43v0H35FO1AeTLelGGi+/8TATBgNVHSUEDDAKBggrBgEFBQcDATANBgkqhkiG9w0BAQsFAAOCAgEAAO/Yhy5y8DqZOn+C3XSSczOBxQa6GFpGT7h2TDRylUgGQ4afiRzW5aiAOe+r6uEHokpyTDD1Ofu1R0I/3T1obIl7vR1WF1oIW1BzFOxNdKNX1Q/xC4nqU4vyWdOdKSl68lL6m8iZJtRulkh5Fe7xclZzT6/P3bElQfQvnm6WX4hudymJ5BzWTzotR7e+ogtfwO//lW0uvztqYiwt6XAktpNuo6VWQgbrPx3jFbkoQsRsajXFQCcT8XnV1zdjzQwo3kRMn0C3i9B+y6q6SKoUm+1kj+hz1VXO5QKgxZIts5rsHqX1jvqO851YCnO+q9ZRNb8E/n/7IEFn9OixTlXgJIrukl4OSavJbZMMxY08TNHFt/dfeHcI9D2OKEMkYetXgscV3W55y3S8+QOUYo978jfHc9e3YaPZwfg5Q4QiGEV4peD2mo6VzRYaNH1BP96hl0ZNAQNr+ewiahE0h0Qnlz65UPLtm16q/F1u5jTQlvwwTtfPJAM/U8g4A46dT0mJ2x5PlGuScwMEJ6NeDMlt/yW5WUG0V0FRak2PISoAzlmQUdozVi0iZ/Xu3dVns6C4HHih1TNIxATIykwbE7GsewVWaWVnos8UBasdLHCHuY8fWFeFntGp84aK9WWFq3FMIG5Irf/rs0+cCtnVNwqNarH+CrPbCSCFaLPwSDn+0nc=-----END CERTIFICATE-----
169.1 Re: Požadavky na certifikát pro využití autentizační služby
602jsima 25.07.2018 07:54Dobrý den,
nejlépe vhodnost poznáte, když to vyzkoušíte na Veřejném testu - zkuste Nastavení > Přístup externích aplikací > Odesílací brána, tam vytvořte novou registraci a vložte certifikát - pokud to projde, je vše OK (pak službu zase odregistrujte, pokud ji nebudete využívat). Totéž můžete opakovaně zkoušet na produkčním prostředí. Registrace Odesílací brány je totožná z Autentizační službou.
Na certifikátu nevidím na první pohled nic špatného.
Jan Šíma
ISDS
169.2 Re: Požadavky na certifikát pro využití autentizační služby
radim.pospisil@proofreason.com 25.07.2018 20:09Předpokládám, že se vkládá pouze veřejný certifikát. Tento jsme u služby úspěšně zaregistrovali, a proto jej považujeme za validní.
Děkuji za posouzení a informaci k otestování vhodnosti certifikátu.
Pospíšil