Pro testování jsem si pořídil testovací kvalifikovaný certifikát PostSignum
a nainstaloval ho do systému WIN7. Při pokusu o registraci certifikátu
na testovacím portále (https://www.czebox.cz/portal/ISDS/index?.... ,
tlačítko registrovat certifikát) se web pokusí přejít na stránku
https://reg.czebox.cz/as/registerCertificate?XCSRF=....
a webový prohlížeč (Firefox., poslední verze 29.0.1) zobrazí chybovou hlášku:
------------------------------------------------
Chyba zabezpečeného spojení
Při spojení s reg.czebox.cz nastala chyba. S partnerem protokolu SSL se nepodařilo domluvit akceptovatelnou množinu
bezpečnostních parametrů. (Kód chyby: ssl_error_handshake_failure_alert)
Požadovanou stránku nelze zobrazit, protože nelze ověřit autenticitu přijatých dat.
Kontaktujte prosím vlastníka webového serveru a informujte ho o tomto problému.
Případně použijte dialog upozornění na chybou stránku z nabídky Nápověda a na tuto stránku upozorněte.
------------------------------------------------
Všechny certifikáty mám nainstalované (jinak bych se asi ani ke schránce nepřihlásil).
V čem může být problém?
Děkuji
Roman Krejčí
117.1 Re: Stále nelze zaregistrovat certifikát k datové schránce
admin 17.01.2017 11:36Dobrý den.
Na tuto otázku je stále stejná odpověď: buď máte špatný certifikát nebo jej máte nainstalovaný na špatném místě. Napřípad Firefox má své vlastní úložiště certifikátů. Kdybyste měl správný ve správném úložišti, nabídlo by se Vám okno s výběrem certifikátů.
Zavolejte si případně na Callcentrum, tam ten postup s Vámi proberou krok za krokem.
Jan Šíma
ISDS
117.2 Re: Stále nelze zaregistrovat certifikát k datové schránce
admin 17.01.2017 11:36Ještě mě napadlo - máte správný "komerční" certifikát? V dotazu píšete totiž o "kvalifikovaném" - kvalifikovaný certifkát se nemůže použít k přihlašování, ten má jiné použití. Proto se také nenabízí k registraci.
Jan Šíma
ISDS
117.3 Re: Stále nelze zaregistrovat certifikát k datové schránce
admin 17.01.2017 11:36Dobrý den,
děkuji za odpověď - je možné, že nemám správný certifikát na správném
místě - ale může toto mít za následek výše popsanou chybu? Totiž že
se na požadovanou stránku vůbec nepodaří přejít? Nemělo by to být spíš
tak, že vše proběhne bez chyby, ale sada certifikátů nabídnutách k registraci
bude prázdná? Nebo ještě lépe - certifikát nevhodný pro registraci bude během
pokusu o registraci odmítnut? Takhle to na mne dělá dojem, že SSL
certifikát kterým se prokazuje stránka reg.czebox.cz je vadný.
Roman Krejčí
117.4 Re: Stále nelze zaregistrovat certifikát k datové schránce
admin 17.01.2017 11:36Dobrý den - tak jsem to konečně rozchodil :-)
Důležité informace jsou
1) Je **nutný** ostrý komerční certifikát od akreditovaných registračních autorit (i na testovací větvi).
2) Tento ostrý komerční certifikát musí být nainstalován v systémovém úložišti
3) V systémovém úložišti ho najde pouze kód pro Internet Explorer (samo si vyhledá,
samo nabídne v blbuvzdorném dialogu), čili k registraci je nutné použít IE.
Tudíž moje původní představa, že z prohlížeče zašlu certifikát (jeho veřejnou část)
do ISDS jako soubor, nebyla správná. Bohužel současná implementace procesu
nedává moc šancí zjistit v čem je chyba pokud při registraci k nějaké chybě dojde.
Ale už mně to běhá, takže konec dobrý všechno dobré .. :-) Děkuji za trpělivost.
117.4.1 Re: Re: Stále nelze zaregistrovat certifikát k datové schránce
admin 17.01.2017 11:36Dobrý den.
Bod 1) OK. Zkontrolujeme dokumentaci, kde je to popsáno.
Bod 2) platí pouze pro IE, pro ostatní browsery je třeba použít jiné úložiště.
Bod 3) platí pro IE, jiné browsery lze také použít, viz bod 2.
Jan Šíma
ISDS
117.5 Re: Stále nelze zaregistrovat certifikát k datové schránce
admin 17.01.2017 11:36Dobrý den,
mám stejný problém. Jak to tedy je? Je možné používat testovací certifikát od Post Signum? 3 roky nám to s ním fungovalo. Teď to ale nejde. Očekával bych tedy, že se nepodaří certifikát zaregistrovat v ISDS, ale to nám funguje. Jen potom při připojení se objeví chyba SSL handshake error.
Potřebuji tedy vědět, jestli koupit produkční certifikát nebo jestli hledat chybu někde jinde.
Děkuji za odpověď.
Michal Podzimek