Digital signatur
Denne side indeholder en række løse noter og hints til mig selv om brug af digital signatur.
Indhold
- Forny TDC OCES Signatur
- Enable CRL checks in Gnus
- Screenshots af diverse sites der virker
- Diverse links
- Certifikat fra KMD-CA
- Diverse
- CRL
- Skift password på Software Security Device i Galeon
- RFCer
- Bøger
- Skift password på din nøgle
Forny TDC OCES Signatur
Man modtager en mail fra TDC med et link til en hjemmeside hvor man logger ind med sin nuværende signatur.
Enable CRL checks in Gnus
This functionality is now available in Gnus (from version 5.10.4). It requires at least OpenSSL version 0.9.7.
Just type
M-x customize-variable RET smime-crl-check RET
Screenshots af diverse sites der virker
Diverse links
Certifikat fra KMD-CA
- Kvitteringsmail fra KMD-CA ifbm. bestilling af certifikat
- Mail fra KMD-CA om at certifikat kan downloades
- Screen shots fra download af cetifikat:
Diverse
- Konverter signatur i mail til offentlig nøgle i PEM-format:
openssl pkcs7 -inform DER -in smime.p7s -print_certs > offentlig_noegle
- Find offentlig nøgle i LDAP ud fra
mail-adresse hos KMD-CA:
ldapsearch -x -t -h certifikater.kmd.dk -b c=dk "mail=arne@arnested.dk" "userCertificate;binary"
... og hos TDC:ldapsearch -x -t -h dir.certifikat.dk -b c=dk "mail=arne@arnested.dk" "userCertificate;binary"
CRL
- Find CRL-lister på LDAP (KMD-CA):
ldapsearch -t -h certifikater.kmd.dk -b c=dk "certificateRevocationList;binary=*" "certificateRevocationList;binary"
- Find CRL-lister på web (TDK, Verisign, se flere på http://crl.certifikat.dk/):
- http://crl.oces.certifikat.dk/oces.crl
- http://crl.certifikat.dk/Certificate_Hotel_II.crl
- http://crl.verisign.com/class1.crl
- Verificér CRL-liste vha. rodcertifikater
(PEM-format) i ~/.cert :
openssl crl -in crl.der -inform DER -noout -CApath ~/.cert
- Se indholdet af CRL-lister (bl.a. serial number
og begrundelser)
openssl crl -in crl.der -inform DER -text
Skift password på Software Security Device i Galeon
Det virkede en gang før min nuværende version 2.0.1
Galeon har ikke nogen konfigurationsdel eller lignende til at skifet passwordet på dens Software Security Device (det er den der bl.a. indeholder det såkaldte master password der beskytter ens certifikater).
Det kan føles som et problem hvis man (som undetegnede) har valgt noget fjollet og/eller usikkert første gang fordi man blot var i en testfase og den slags kan man jo altid skifte senere ... Det er selvfølgelig også et problem når man går op i at skifte den slags med jævne mellemrum.
Problemet er dog ikke større end at man skriver følgende URL i adressefeltet: chrome://pippki/content/device_manager.xul.
Linket kan ikke følges normalt i Galeon. I stedet kan du skrive adresse ind i adressefeltet eller åbne siden i et nyt vindue eller et nyt faneblad (via højreklik på linket).
RFCer
- 3851: Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.1 Message Specification.
- 3281: An Internet Attribute Certificate Profile for Authorization.
- 3280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile.
- 3279: Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile.
- 2632: S/MIME Version 3 Certificate Handling.
- 2311: S/MIME Version 2 Message Specification.
Bøger
- Open-Source PKI Book
- Gnus-afsnittet i beta-udgaven af SSLUGs Signatur-bog
- Betænkning om e-signaturs retsvirkninger (Justitsministeriets betænkning 1456)
- TDC Best Pratice-dokumenter om implementation af Digital Signatur
Skift password på din nøgle
At skifte password på ens certifikat foregår ved at skrive til en ny fil med det nye password.
openssl rsa -des3 -in certifikat.pem -out nytcertifikat.pem
Hvis du vil have en nøgle uden password på (fx til din webserver):
openssl rsa -in certifikat.pem -out nytcertifikat.pem