510 likes | 1.36k Views
電子化政府公開金鑰基礎建設憑證申請及應用說明會. GCA 機關構單位 SSL 類伺服器應用軟體憑證申請與安裝介紹. 報告人 : 中華電信數據通信分公司 陳立群. 題綱. 什麼是伺服器應用軟體憑證 伺服器應用軟體憑證的功能 伺服器應用軟體憑證申請流程 伺服器應用軟體憑證的通知展示 伺服器應用軟體憑證到期的因應 Q & A. 什麼是伺服器應用軟體憑證. Server AP 憑證 (AP 係指 Application Process) SSL 類別的 Server AP 憑證 專屬類別 (Proprietary) 的 Server AP 憑證
E N D
電子化政府公開金鑰基礎建設憑證申請及應用說明會電子化政府公開金鑰基礎建設憑證申請及應用說明會 GCA機關構單位SSL類伺服器應用軟體憑證申請與安裝介紹 報告人:中華電信數據通信分公司 陳立群
題綱 • 什麼是伺服器應用軟體憑證 • 伺服器應用軟體憑證的功能 • 伺服器應用軟體憑證申請流程 • 伺服器應用軟體憑證的通知展示 • 伺服器應用軟體憑證到期的因應 • Q & A
什麼是伺服器應用軟體憑證 • Server AP 憑證(AP係指Application Process) • SSL類別的Server AP憑證 • 專屬類別 (Proprietary)的Server AP憑證 • 時戳類別的Server AP憑證
什麼是伺服器應用軟體憑證 • Server AP 憑證(AP係指Application Process) • SSL類的Server AP憑證使用到SSL通信協定的憑證可申請 - SSL的Server AP憑證,則Common name註記為該Server AP所 使用的Domain name。 *SSL伺服軟體憑證,例如:大型行政資訊系統電子閘門(研考會電子閘門平台案、戶役政電子閘門、工商電子閘門、稅務電子閘門、地政電子閘門、公路監理電子閘 門、、、等)或是一般電子化政府網站。 • 專屬類別 (Proprietary)的Server AP憑證其他類別 - 如為專屬類別時,其Common name使用Server AP的名稱或是IP Address(註1) 。 *註1:因為IP Address並沒有像domain name有向Trust Third Party登記,所以 視為Proprietary。 *專屬伺服軟體憑證,例如:研考會建置公文電子閘道委外服務、財稅五年平台案網路報稅、電子公文交換、、、等。
什麼是伺服器應用軟體憑證 • 時戳類的Server AP憑證 - 透過數位簽章技術與標準時間源之連結,時戳提供文件在 某一時間點 之前就已經存在之證明 - 對於政府機關單位提供時戳服務之伺服器應用軟體規劃於 將來簽發其憑證 備註:本課程僅講授SSL伺服器軟體憑證之申請與安裝,專屬類伺服軟體憑證申請流程請至GCA網站下載簡報參考
伺服器應用軟體憑證的功能 • 確認伺服器應用程序(Server Application Process)之身分,確保資訊傳遞的安全。 • SSL類的Server AP 憑證: • 網站參觀者確信網站的真實身分,使瀏覽器與伺服器之間的通訊有安全加密的功能,以便確保通訊過程的資料安全以及傳遞資料的完整性。 • 可供用戶分辨官方網站和釣魚網站之不同 • 確保與網站之通訊不被攔截或破解 • 確保所傳遞之資訊沒有遺漏或遭竄改
機關構單(位) 非IC卡類憑證及伺服器應用軟體憑證的不同 • “機關(構)單位非IC卡類憑證”:憑證主體為機關(構)單位,載具存放在IC卡以外的媒介,例如硬體保密器,代表機關(構)及單位之電子關防. • “機關(構)及單位伺服器應用軟體憑證”:憑證主體代表機關(構)及單位所擁有之伺服器應用軟體(可能是專屬類別軟體或Web Server或時戳服務伺服器,伺服器應用軟體屬於機關或單位擁有之財產),此種憑證用以確認伺服器應用程序(Server Application Process)之身分,確保資訊傳遞的安全。
進入經認證的安全網站(1) • 如https://www.ecard.net.tw/
進入經認證的安全網站(2) 瀏覽器下方顯示安全鎖結合狀態代表 SSL 安全機制已啟動,提供機密性、完整性與鑑別性之服務
瀏覽器對於伺服器應用軟體憑證的安全檢查 • 瀏覽器對於安裝伺服器應用軟體憑證的網站,其憑證串鏈路徑,憑證效期以及憑證註記的網址和用戶在瀏覽器所輸入之網址會做檢查,如果有不符合將會出現安全性告警訊息,請用戶決定是否繼續瀏覽該網站
伺服器應用軟體憑證申請流程 上網填寫申請資料 線上登錄完成後,請檢附 「GCA伺服器應用軟體憑證申請書」 正本以公文書方式函送至前端註冊(RA) 窗口(行政院研考會)辦理。 憑證申請人請連線至 政府憑證管理中心網站, http://gca.nat.gov.tw 進行線上憑證申請書填寫。 函送 審核 申請憑證之用戶在收到Email後, 應連線至本管理中心網站 (http://gca.nat.gov.tw)。 用戶輸入憑證序號及用戶代碼, 執行憑證接受作業。 前端註冊(RA)窗口進行憑證審驗之 作業,檢查並核對申請資料正確無 誤後,上傳相關申請資料至GCA。 接受憑證 簽發憑證 GCA將以Email方式通知 憑證聯絡人。 GCA進行憑證簽發作業。 Email
SSL類伺服應用軟體憑證申請流程(1) 1.點選 「申請伺服器應用軟體憑證」 2.點選 「SSL憑證」->我要申請 (下頁圖) 2 1 步驟 1 連線至 http://gca.nat.gov.tw
SSL類伺服應用軟體憑證申請流程(3) 您正式申請憑證之前,為確保您的權益,請詳細閱讀「用戶約定條款」;在按下「我同意條款內容」之後,可繼續下列申請步驟。 步驟 2 閱讀「用戶約訂條款」
SSL類伺服應用軟體憑證申請流程(4) 步驟 3 填寫「伺服器應用軟體憑證申請表(SSL類)」 請將表上所列之各項資訊 正確選擇或填入。注意:* 為必填資料。 請將表上所列之各項資訊 正確選擇或填入。注意:* 為必填資料。 請點選“政府機關單位OID按鈕”,將查詢結果正確填入。 填入範例:2.16.886.101.20001 請輸入6位元以上之英數字或符號 (大小寫有別),此用戶代碼將用於憑證申請相關事宜,例如憑證接受等作業,請務必牢記! ※一定要正確填寫信箱,憑證通過申請後,將以此信箱Email通知用戶憑證接受。
SSL類伺服應用軟體憑證申請流程(5) 步驟 3(續) 填寫「伺服器應用軟體憑證申請表(SSL類)」 請點選“瀏覽”按鈕,輸入來源檔案路徑。憑證請求檔需自行製作。 Default為*.txt檔,另可更改為*.b64等附屬檔名,將base64編碼之*.b64檔匯入
SSL類伺服應用軟體憑證申請流程(6) 步驟 4 上傳「伺服器應用軟體 憑證申請表(SSL類) 」 請按右下方「 」鈕,將您所填寫的資料上傳至伺服器。 若欲稍後才上傳您所填的資料,可按此鈕,系統會將資料儲存至您的電腦( *.dat 格式)。 若您儲存申請資料過,可按此鈕,開啟之前您所儲存的檔案,系統會將檔案載入,您可以繼續填寫或更改資料。
SSL類伺服應用軟體憑證申請流程(7) 步驟 5 列印「伺服器應用軟體 憑證申請表(SSL類) 」 上傳成功後,畫面更新,下方功能鈕改變。 請按下「 」鈕,將已成功上傳至伺服器的申請表列印出來。 請列印用戶代碼函並妥善保存下來。(GCA無法查詢您所設定的用戶代碼) 在列印申請表之前,想要修正之前所填資料,可按此鈕。
SSL類伺服應用軟體憑證申請流程(8) 步驟 6 將申請表函送至GCA 憑證窗口審驗 按下「 」鈕後,畫面將會更新如右。 請至瀏覽器上方的功能表選擇 檔案/列印,將畫面上的申請 表列印 2份, 檢查無誤, 正本一份以公文書方式函送至 前端註冊(RA)窗口 ( 行政院研 考會 ) 辦理 ,另一份則自行收 執。
申請流程注意事項 • 申請公文函送行政院研究發展考核委員會 地址:100 台北市中正區濟南路一段 2-2號 6樓。 可使用電子公文交換方式申請 • 檢附公文內容,請一定要清楚註明申請Server AP憑證之用途、申請類別及申請張數以方便註冊窗口進行審核。 • 用戶代碼函由申請人自行保管請勿函送註冊窗口。 • 1個憑證請求檔只能申請1張Server Ap憑證。 如若您的需求為3張Server Ap憑證,請產生3個憑證請求檔。多張申請表可以合併於1份公文下遞送。 • 憑證請求檔(CSR)產生方式 • IIS web server、Apache web server、Tomcat 伺服器,請至GCA網站「表單及資料下載」下的「憑證相關資料下載」(http://gca.nat.gov.tw/05-02.html)下載參考手冊 • 電子閘門可參考GCA網站「表單及資料下載」下的「憑證相關資料下載」(http://gca.nat.gov.tw/05-02.html)之「金鑰產製程式操作手冊」的相關說明
申請流程注意事項 • 憑證請求檔範例 -----BEGIN NEW CERTIFICATE REQUEST---- MIIBCTCBtAIBADBPMQswCQYDVQQGEwJVUzEQMA4GA1UECBMHRmxvcmlkYTEYMBYG A1UEChMPRXllcyBvbiBUaGUgV2ViMRQwEgYDVQQDFAt3d3cuZXR3Lm5ldDBcMA0G CSqGSIb3DQEBAQUAA0sAMEgCQQCeojtjnHqg0GTxp+XZ56RaSe1iZWpumXjU6Sx7 v1FdXzsY1oLOQa090Jtnu1WsQRHh0yDS+45oncjKm1zCG/IZAgMBAAGgADANBgkq hkiG9w0BAQQFAANBAFBj9g+NiUh8YWPrFGntgf4miUd/wqUshptjJy4PjdsD3ugy 5svvuh3G//PpGh2aYXIjHpJXTUBQyzxSEIINYtc= -----END NEW CERTIFICATE REQUEST-----
查詢及補列印申請書 1.如上傳申請資料後,未列印申請書可補列印申請書 2.如申請資料有誤,可使用此功能更正資料,再補列印申請書 3.不知案件流水號,可使用查詢憑證申請狀態功能,輸入OID 後可查詢得知案號
用戶代碼重設 1.請連線至GCA網站 http://gca.nat.gov.tw 選擇儲存庫,下載及填寫用戶代碼重設申請書。 2.發函連同申請書通知註冊窗口(行政院研考會)。 3.GCA將以Email通知新的用戶代碼。 注意:本申請需隨函檢送才受理。但可先傳真至02-23972248先行處理,事後需補公文,如未補公文,GCA將逕行廢止憑證,並彙整人員名單公佈於GCA網站,並發文機關。
GCA 憑證申請狀態查詢 -已經有申請資料,等待正式申請文件(公文)。 -RAO審驗中。 -憑證已經簽發。 -憑證申請失敗。(可能原因為公鑰重複…) -作業已遭退件。(例如地址重複寫縣市) 請重新產生憑證請求檔
伺服器應用軟體憑證的簽發通知展示 • 伺服器應用軟體憑證簽發與憑證接受通知 親愛的用戶您好: 您所申請的憑證已簽發,其主要內容如下所列,請確認這張憑證的內容 (1)憑證類別:XXXXXXXXXXXXXX (2)憑證序號:XXXXXXXXXXXXXX (3)唯一識別名稱DN:XXXXXXXXXXXXXX (4)有效起始時間:XXXXXXXXXXXXXX (5)失效到期時間:XXXXXXXXXXXXXX (6)保證等級:3 (7)金鑰用途:XXXXXXXXXXXXXX (8)URL: XXXXXXXXXXXXXX 請您立即連線至GCA網站的"憑證接受之伺服器應用軟體"網頁進行憑證接受作業, 此網頁的URL: http://gca.nat.gov.tw 依GCA的憑證實務作業基準(CPS)的規範,您要在完成憑證接受作業後,則該憑證 才可真正生效及使用,並且憑證才會被公佈至儲存庫中;如您不進行憑證接受, 則此憑證將在簽發後的90天被系統自動廢止。 我們會持續的送出電子郵件,以提醒您早日完成憑證接受作業。 政府憑證管理中心敬上 服務電話:02-8768-1628
GCA 憑證接受範例 -請留意勿輸入錯誤之憑證序號或用戶代碼
GCA 憑證不接受範例 -若選擇 “不接受憑證“,將註銷並公布該張憑證於儲存庫,憑證狀態顯示為”已註銷”。
GCA 憑證廢止 用戶在以下情形時(但不限)必須向註冊中心提出廢止憑證申請: • 懷疑或證實私密金鑰遭到破解。 • 憑證所記載之資訊重大改變,足以影響其信賴度。 • 憑證不再需要使用。 廢止程序: 1.請連線至 http://gca.nat.gov.tw 選擇表單及資料下載,依照憑證類別下載及填寫憑證廢止申請書。 2.發函連同申請書通知註冊窗口(行政院研究發展考核委員會)。 3.請連線至 http://gca.nat.gov.tw 選擇查詢憑證查詢及下載,查詢是否廢止成功。 注意:如因變更OID要廢止憑證,申請書上請填寫原來申請的OID。 如因網站名稱填寫錯誤要廢止憑證,申請書上請填寫原來申請 的網站名稱。
GCA 憑證廢止 GCA得就下列情形逕行廢止憑證,毋須事先經過用戶同意: • 確認憑證記載之內容不實。 • 確認用戶之簽章用私密金鑰遭冒用、偽造或破解。 • 確認GCA本身之私密金鑰或系統遭冒用、偽造或破解,足以影響憑證之信賴度。 • 確認用戶之機關(構)或單位裁撤或合併。 • 確認用戶之憑證未依憑證實務作業基準規定之程序簽發。 • 確認用戶違反憑證實務作業基準或相關法令規定。 • 依據司法機關、監察機關或治安機關之通知。
GCA Server AP憑證之安裝(1) 一、取得GRCA自簽憑證及GCA憑證之憑證串鏈 二、安裝GRCA自簽憑證及GCA憑證之憑證串鏈 三、安裝SSL伺服器軟體憑證 四、散佈GRCA自簽憑證到Web用戶端 安裝時請參考所選用之Web Server的相關手冊,詢問Web Server供應商 建議您採用符合安全規範的硬體密碼模組(Hardware Security Module,HSM)來產製及儲存金鑰,以便加強對金鑰的保護。如果您使用硬體密碼模組的話,請參考硬體密碼模組使用手冊來設定金鑰。 即使您成功地安裝的SSL伺服軟體相關的憑證檔案,成功地建立了SSL連線,這並不表示您的SSL連線絕對是安全的,建議參考所使用的Web Server及SSL模組之相關使用手冊,調整相關的安全組態設定,以確保SSL連線的安全,尤其必須特別注意SSL Server金鑰的使用權限設定,防止您的SSL Server金鑰遭到竊取。
GCA Server AP憑證之安裝(2) • 於GCA網站首頁左邊「表單及資料下載」 → 「憑證相關資料下載」(http://gca.nat.gov.tw/05-02.html)內有IIS、APache、Tomcat及中華電信金鑰管理程式等之伺服器憑證安裝手冊可以參考
憑證即將到期之重新申請憑證與安裝(1) • 伺服器應用軟體到期前3個月採以下幾種方式通知: • E-mail通知:GCA用戶憑證自97年5月17日起陸續到期,系統將發於到期前90天e-mail通知用戶(憑證聯絡人)重新申請憑證 • 公文通知:行政院研考會發文中央機關與縣市政府轉文至各使用單位,提供用戶憑證即將到期清冊 • 網站公告:網站會公告到期之憑證清冊,包含憑證序號、憑證主體名稱、到期日、憑證聯絡人姓名等資訊
憑證即將到期之重新申請憑證與安裝(2) • 到期通知發信範例: 親愛的GCA伺服器應用軟體憑證申請者,您好: 目前您所申請的伺服器應用軟體憑證 憑證序號: F05E2D40A675EB31F7E1648070C4917B 即將於 2008/05/21 10:12:42 過期,特以此電子郵件通知您。 根據GCA憑證實務作業基準之規定,伺服器應用軟體憑證到期前3個月內, 必須重新申請憑證,產製新的金鑰對, 請您於近期至GCA網站 點選首頁左邊之[GCA憑證申請]下方的[申請伺服器應用軟體憑證]超連結 並請參考相關流程說明,重新申請憑證。 我們會持續的送出電子郵件,以提醒您早日完成憑證更新作業。(我不再收信) 如您還有其他任何問題,請使用服務電話聯絡 謝謝!! 若已經重新申請憑證,可點選此超連結不再收到系統通知信
憑證即將到期之重新申請憑證與安裝(3) • 有些伺服器應用軟體如Apache Server可在不同目錄下產製金鑰對,產生憑證請求檔,等新憑證簽發後再於新的目錄內安裝,移除舊的私密金鑰與憑證。 • 有些伺服器應用軟體如Microsoft IIS,必須先將舊憑證與私密金鑰匯出備份(以密碼保護的PKCS #12檔案,附屬檔名為*.pfx),產製新的金鑰對,製作憑證請求檔後,再將備份後之舊私密金鑰與憑證安裝回去,繼續提供線上服務,等新憑證簽發下來再匯入新的憑證與新私密金鑰取代舊的私密金鑰與憑證。
Q&A 1.使用SSL憑證,用戶端出現"這個憑證不受信任...."之訊息 答: Server 端:完成SSL憑證安裝後,請把GRCA和GCA 自身憑證也匯入至web server上。 可至 GRCA網站,透過安全管道下載GRCA自簽憑證 並至GCA網站 http://210.241.69.194/download/gca.cer 下載GCA憑證匯入。 Client 端:為使client 端也信任該網站憑證授權是由GRCA所核發的憑證,client端必須安裝GRCA 自身憑證,請在網站的首頁加上如下的script。 <head> <OBJECT data="http://grca.nat.gov.tw/pse/InstallRootCert.html" type="text/html"></OBJECT> </head> 此script可使GRCA的憑證,在用戶第一次連線時,安裝至client 端的電腦。建議您必須讓您的用戶以一般的HTTP連線方式開啟到您的網站首頁 Microsoft於2004年第3季開始透過WindowsUpdate提供GRCA自簽憑證,GRCA自簽憑證將會透過安全管道自動安裝到Windows XP(含以後版本)的用戶之電腦中,Windows2000以前版本的用戶可透過Windows Update網站手動安裝GRCA自簽憑證
Q&A 2.安裝SSL憑證前,必須自安全管道取得GRCA自簽憑證,進行GRCA及GCA憑證串鏈之安裝,何謂GRCA自簽憑證的安全散佈管道? 答:以下敘述線上安全取得GRCA自簽憑證及GCA憑證之憑證串鏈的步驟如下: (註:請在Windows平台上使用IE瀏覽器來進行 1. 登入Windows系統中。(註:如果您所使用的Windows系統為Windows NT、Windows 2000、Windows XP、Windows 2003以上的版本,則您必須使用具有Administrator權限的帳號登入) 2.打開IE瀏覽器,並連線到網址http://grca.nat.gov.tw/pse/index.html。(註:IE瀏覽器版本建議使用5.5版以上) 3.出現詢問是否安裝並執行「Chunghwa Telecom Co., Ltd.」(中華電信)所簽署及發佈的「CA Certificates Distributor」元件之畫面,如下圖,請按「是」。
Q&A 5.出現「GRCA自簽憑證自動安裝網頁」,表示GRCA憑證已經經由安全的「CA Certificates Distributor」元件自動安裝到您的IE瀏覽器中。您可以參考http://grca.nat.gov.tw/pse/screenshots.htm網頁的說明,確認是否已經成功下載並安裝GRCA自簽憑證。
Q&A • GRCA已於2003年通過BS 7799-2:2002稽核,2005年初通過WebTrust for CA稽核,2006年通過ISO 27001:2005稽核 • Microsoft於2004年第3季開始透過安全管道提供GRCA自簽憑證,自Windows XP以後,雖然不再於windows出廠光碟中增加Root CA憑證,以避免用戶的Windows系統中裝了一大堆不必要的Root CA憑證。但當用戶有收到某一個PKI Domain裡面的憑證(例如進行SSL連線或是收到Secure Email時),會自動把該PKI Domain的Root CA憑證(必須先通過Microsoft認證)安裝到用戶的windows系統中 • 用戶剛安裝完Windows XP或Vista時,其系統中並不會有GRCA自簽憑證,而是等到用戶連線到任何GPKI發證的SSL網站或是收到GPKI用戶憑證之Secure Email時,Windows XP或Vista會自動去微軟的網站下載GRCA自簽憑證,這樣的效果等同於Windows XP或Vista內建了GRCA自簽憑證 • Widows 2000等版本可以透過Windows Update網站手動安裝GRCA自簽憑證。 • Mozilla Firefox 瀏覽器自2006年11月起內建GRCA自簽憑證 • 也可以連上GRCA網站使Browser安全自動安裝GRCA自簽憑證 • GRCA自簽憑證是GPKI信賴的起源 • 使Browser可以信賴GPKI的各個CA所簽發的憑證
Q&A 3. Java KeyTool無法將GRCA憑證Import到Java keystore的問題,例如作業環境:windows: 2K, sdk:java 1.3.1, Server:Tomcat 4.1.30, 輸入以下的 command:keytool -import -alias GRCA -trustcacerts -keystore cacerts -file c:\GRCA.cer -storepass changeit要將 GRCA 憑證匯入 keystore 時, 出現以下的錯誤keytool error: java.lang.Exception: Input not an X.509 certificate請問該如何解決? 答:Sun所出的Java版本(1.4版或以前的版本)所附的JCE Provider模組,其密碼運算能力太弱,無法處理4096 bits的金鑰(GRCA自簽憑證即是),所以建議客戶應該去向Sun抱怨。事實上網路上應經有很多人在抱怨這個問題了,只要用google輸入Java 4096 key size等關鍵字,就可以找到許多相關文章。Java 1.5版(已改稱為Java 5.0版)及其之後版本(如Java 6.0版)已加強其底層密碼模組,並開始支援無限長度的金鑰。若您手邊沒有Java 1.5版,可以在舊版Java上安裝Third-Party提供的 JCE Provider模組(幸好Java的JCE是開放的架構,用戶可以加入自己喜歡的密碼模組),有些Third-Party提供的 JCE Provider模組可以支援4096 bits的金鑰。例如在Java 1.4.2_03版上安裝Bouncy Castle JCE Provider模組,確定可以成功將GRCA憑證Import到Java keystore。 由於這是Java的問題,所以相關安裝細節建議客戶參考Java相關文件,或向Sun以及JCE Provider提供廠商詢問。
Q&A 網路上抱怨Sun Java不支援4096 bits金鑰之討論信示例一 Date: Thu, 11 Sep 2003 11:29:26 -0400 Reply-To: java-security@SUN.COM Sender:java-security@SUN.COM From: "Cesard, Patrick O." <PATRICK.O.CESARD@SAIC.COM> Subject: JAVASEC - key size = 4096 Content-Type: text/plain; charset="iso-8859-1 "Hello, I'm not able to get JSSE to recognize my certificate with key size = 4096 (i.e., java.security.spec.InvalidKeySpecException: Unknown key spec) Why this limitation? Does Sun plan on supporting key sizes greater then 2048 in next version? Tech Forum did not provide an answer :) Patrick O. Cesard Senior Systems Engineer C4I Advanced Systems Division Science Applications International Corporation Office: (703) 676-7703 Fax: (703) 676-4290
Q&A 網路上抱怨Sun Java不支援4096 bits金鑰之討論信示例二 RE: Invalid RSA modulus size -------------------------------------------------------------------------------- From: Kalnichevski, Oleg Subject: RE: Invalid RSA modulus size Date: Thu, 17 Jun 2004 05:27:07 -0700 -------------------------------------------------------------------------------- Tim, I have had good results with IAIK JCE & SSL libraries. They are neither free nor open-source but seem just fine otherwise http://jce.iaik.tugraz.at/products/index.php You'd still need to check with the IAIK's technical folks if their JCE implementation is capable of handling larger keys Hope this helps Oleg
Q&A 網路上抱怨Sun Java不支援4096 bits金鑰之討論信示例二 -----Original Message----- From: Tim Wild [mailto:[EMAIL PROTECTED] Sent: Thursday, June 17, 2004 1:43 To: Commons HttpClient Project Subject: Re: Invalid RSA modulus size Thanks for that Oleg, you were indeed correct. Using JDK1.4 I couldn't get this to work, but it worked pefectly on 1.5.0 beta 2. I had a few problems getting all my certificates in the right place, but in the end I got there. Eric, your -trustcacerts was helpful too, and thanks to everyone who made suggestions. We're using Sybase EAServer, and we're locked into using JDK 1.4.2_03. Because of this I think i'll need to look into 3rd party JSSE or JCE implementations. Bouncycastle is the only provider I know of, but they don't seem to support TLS. Google isn't helping me much here. Does anyone know of a suitable provider that might have a working version of JSSE/JCE? FYI the error i'm talking getting is:
Q&A 網路上抱怨Sun Java不支援4096 bits金鑰之討論信示例二 javax.net.ssl.SSLProtocolException: java.io.IOException: subject key, Unknown key spec: Invalid RSA modulus size. One tip I found: if you generate your private key using openssl, then get a certificate back from a CA, it can be hard to get this into your Java keystore. The only way I know to do it is to create a pkcs12 certificate containing both your public and private key, the using keytoolgui you have to use the "import key pair" option instead of using "import certificate". The java keytool can't do this because it doesn't understand pcsk12, and there's no way I could find to import a private key. The other option is to generate your private key using keytool, but it's difficult to get the private key out of the keystore. Incidentally keytoolgui has now been turned into a commercial product, but the old one still works if you can find it. I hope this helps someone, and I appreciate any suggestions anyone has about my problem. Tim Oleg Kalnichevski wrote: >Tim, > >This is believed to be a limitation of all Sun's JCE/JSSE
Q&A 網路上抱怨Sun Java不支援4096 bits金鑰之討論信示例二 >implementations up to Java version 1.5. You can try testing your >application with Java 1.5-b2 to see if the problem has indeed been >fixed. Alternatively consider using IBM Java 1.4 or 3rd party JCE/JSSE >implementations which _may_ not exhibit the same limitation >HTH >Oleg >On Sat, 2004-06-12 at 05:36, Tim Wild wrote: >>Hi, >>I'm using HttpClient to connect to an apache server that requires >>certificates. When I use client and server certificates from my own CA >>with 1024 bit keys it works perfectly. When I get a commercial >>certificate with a longer key (4096 bits), I get the following error >>(full message below) when I connect to apache: >>javax.net.ssl.SSLProtocolException: java.io.IOException: subject key, >>Unknown key spec: Invalid RSA modulus size. >>Google produced one result, which talked about a maximum key size using >>the JCE of 2048 bits using the JDK 1.4.2 default policy files. Another >>site suggested getting the unrestricted policy files, so I got and >>installed them, but it doesn't seem to make any difference at all. >>Does anyone have any thought or suggestions? Half formed thoughs or >>ideas are welcome as it might give me a lead that I can follow myself. >>Thanks >>Tim Wild
Q&A 4.請問電子閘門所需之Server AP憑證其設計之原則為何?申請時應如何勾選金鑰用途?應用系統申請之規定為何?能否舉實例? 答:Server AP 憑證(AP係指Application Process),其分類是以通訊協定義來區分.分類原則為 a.Server AP憑證分類是以通訊協定義 目前最通行的工業標準通訊協定為SSL,其它各AP有其自定專屬的通訊協定,因此目前粗分類成為兩大類:SSL類及專屬類。 b. 符合於GPKI 雙金鑰對(Dual key)、專key專用的政策 伺服器軟體憑證,採取雙金鑰對分開的方式,較為安全. c. 符合於SSL V3 protocol client及server憑證金鑰用途的用法. d. 對政府電子閘門的特殊應用做考慮
Q&A 憑證申請實例: 1. 一般商用Web Server做https的通訊時,例如Apache,IIS,iPlanet等,請申請「做為Server用的SSL類Server AP憑證」 。 2.若在電子閘門中做為IP Server且僅具SSL通訊協定的Server身分時,則申請「做為Server用之SSL類Server AP憑證」;做為IR Server且僅具SSL通訊協定的Client身分時,則申請「做為Client用之SSL類Server AP憑證」;若IP Server或IR Server同時兼具SSL通訊協定的Server及Client身分時,則須同時申請前述的兩種SSL類Server AP憑證 (例如地政、稅務、刑案資訊及貨物通關電子閘門 )。 3.部分系統例如勞保電子閘門等要求另外申請1張專屬類別憑證,作為簽章及數位信封加解密用.也有些系統可能會另外要求申請1張機關單位非IC卡類憑證做 “線上查驗“.