Закупуване на цифров сертификат за подписване на шофьор (физическо лице) - Информационен форум
Много любезен разработчик
Автор:Казакевич Олег.
Поздрави на всички разгледали.
В тази тема бих искал да споделя опита си от закупуването на цифров сертификат. Подобни теми вече са повдигани:
Затова ще се радвам, ако предоставената информация е полезна за някого.
И имате нужда от малко - да получите цифров сертификат за частно лице и така че с този сертификат можете да подписвате не само exe и dll, но и драйвери на 64-битова Vista и по-нова версия. Това е частно лице. Не в офис, дори не на индивидуален предприемач, а на най-обикновения "Вася Пупкин".
Доскоро вече чух за това, че сертификатите не се продават на всички, само за фирма, трябва DUNS номер, офис, представителство в САЩ и т.н., а простосмъртният , особено от страна като Беларус, няма на какво да разчита.
Започнах проучването си от страницата, където Microsoft публикува кръстосани сертификати за подписване на драйвери. Както знаете, всеки сертификат от доставчика съответства на строго дефиниран кръстосан сертификат от Microsoft и и двата трябва да бъдат включени в подписа, така че драйверът да може да работи на необходимите системи (разбира се, системи от 64-битова Vista и по-нови). Тази страница е тук: http://msdn.microsoft.com/en-us/library/windows/hardware/gg487315.aspx
След това направих малка онлайн обиколка на уебсайтовете на компаниите, изброени на тази страница, свързах се с поддръжката на някои места, зададох въпроси и т.н. Като цяло имам чувството, че само VeriSign и GlobalSign са "живи", останалите или вече не участват в издаването на Authenticode сертификати, или работят само в географски ограничен регион, или нещо друго.
Опцията с VeriSign веднага отпада, тъй като сертификатите им за физически лица не позволяват подписване на драйвери , а други издават само в офиса. Това, което остава, е GlobalSign. И въпреки че неведнъж съм чувал за тяхната неясна подкрепа, за всякакви проблеми и за отношението им към страните от третия свят, реших да рискувам.
Както знаете, GlobalSign продава два вида сертификати Authenticode – за офис (Software Vendors & Organisations, $229 на година) и за индивидуални разработчици (Individual Developers, $129 на година). Знаех, че можете да подписвате драйвери със сертификати от първия тип, но имаше силни съмнения относно втория тип, особено след като не намерих подробно обяснение в често задаваните въпроси или във форумите.
Зададох въпрос на техническата поддръжка - те казаха да, сертификатите за физически лица ви позволяват да подписвате драйвери на Vista-64. Но това ми се стори недостатъчно. Знаех, че GlobalSign има главен основен сертификат, той се нарича GlobalSign Root CA (1998-2028) и Microsoft пусна необходимия кръст за него, което ви позволява да използвате сертификати, издадени от GlobalSign Root CA, за подписване на драйвери. Зададох още един въпрос на техническата поддръжка - възможно ли е да избера този сертификат като основен сертификат при поръчка на сертификат за отделен разработчик. Казаха ми да, няма проблем с това. На това проучване може да се счита за завършено.
За да направите поръчка в GlobalSign ще ви трябва:
1. Пластмасова карта като Visa или Mastercard със сметка в долари или евро. Направих си най-обикновена дебитна карта Visa Classic в най-обикновена банка. Разбира се, не всички пластмасови карти ви позволяват да плащате в Интернет. Например Visa Electron по принцип не е предназначена за това.
2. Скан на паспорт (последна страница) в електронен вид.
Отидете на www.globalsign.com. По-добре е да извършвате всички операции от браузъра FireFox, в други бяха забелязани проблеми с различна степен на странност. Същата препоръка се препоръчва да следвате в GlobalSign.
На страницата „Подробности за продукта“ въведете „код на кампанията“ в съответното поле и щракнете върху „Осребряване на кода“ – ще бъде зададена правилната цена.
На страницата „Подробности за самоличността на сертификата“ поставете отметка в квадратчето „Лични лица“ и задайте така наречената парола за получаване. Тази парола ще ви трябва по-късно, когато вземете сертификата.
Следва "Данни за плащане" - това е всъщност плащане. Посочваме всички подробности, точно както на пластмасова карта, включително полетата "Извлечение" - цялата необходима информация е на самата карта, ако някой не знае.
ВНИМАНИЕ! Получаването на сертификат е еднократна процедура, трябва да се извършва внимателно, за да не се „проблеми“ сертификата с някое неволно действие, след което е възможно да последват определени процедури с техническа поддръжка. Изводът е, че публичният и частният ключ се генерират веднъж и само в момента, в който искате да вземете сертификата. След това страницата се унищожава, така че никой освен вас не може да получи ключовете. И аз силно препоръчвам да използвате само FireFox.
Така че в имейл ще ви бъде изпратена връзка към временна страница, където ще бъдат генерирани ключовете и откъдето можете да ги импортирате в браузъра. Няма нищо сложно, просто трябва да натиснете няколко големи бутона. Тук ще ви трябва парола за получаване, създадена при поръчка на сертификат (вижте по-горе). Преди да вземете сертификата от тази страница, отидете в настройките на FireFox, в раздела „Защита“ и активирайте главната парола. Без тази стъпка сертификатът ще бъде експортиран от браузъра без частенключ, което в контекста на разглежданата проблематика е безсмислено. Това е всичко. След процедурата за импортиране на сертификата в браузъра можете да отидете в настройките на FireFox, в раздела „Разширени“, да отворите списъка със сертификати, да намерите своя сред тях и да го експортирате във файл. Например, получих файл с разширение .p12.
Този сертификат от GlobalSign, както очаквах, има всички необходими и привлекателни свойства. Първо, той се "разпознава" от всички, без изключение, "голи" системи от XP до Windows 8 Release Preview; не е необходимо да използвате интернет или услуги за подновяване на сертификати. Второ, подписът на драйвера също работи добре, както и проверката от помощната програма signtool (signtool.exe verify /kp), просто трябва да запомните за кръстосания сертификат. Вече тествах този сертификат на различни 64-битови системи от Vista и по-нови - всичко е наред със стартирането на драйвера. Трето, в основата на веригата на доверие е същият GlobalSign Root CA, валиден до 2028 г. Точно този, който исках.
Това е всичко, всъщност. Благодаря ви за вниманието!