Re: OT: certifikát na USB disku

Jiri Foldyna jiri.f na foldynovi.cz
Pondělí Leden 8 21:14:28 CET 2018


Dne 08.01.2018 v 19:17 Jindroush napsal(a):
> Dobry den,
> abych si to upresnil:
> 
> Neni certifikat jen nejaky soubor ulozeny na disku? Tj. vas dotaz je, 
> jak donutit cizi aplikaci nebo primo windows samy (pokud aplikace 
> vyuziva Windowsovsky cert store), aby si samy od sebe vyhledaly na 
> nejakych remote-storage discich soubor s certifikatem a zadani hesla?
> 
> On 8.1.2018 18:39, Jiri Foldyna wrote:
>> potřeboval bych nekvalifikovanému uživateli umožnit použití 
>> kvalifikovaného osobního certifikátu bez nutnosti trvalé instalace na 
>> počítači. OS je Windows 7 Professional, certifikát (PostSignum) nebyl 
>> vytvořen jako dedikovaný pro instalaci do kryptografického úložiště. 
>> Nemá prosím někdo zkušenost s instalací certifikátu do fyzického 
>> úložiště vytvořeného na USB flash disku (běžného, ne kryptografického 
>> úložiště na USB tokenu)?

Dobrý den,

ano, to je v podstatě ono. Uživatel dostal certifikát od PostSignum ve 
formě .crt souboru, naimportoval jej do svého počítače a následně 
vyexportoval pro daší import. Uživatel je lékařka v důchodovém věku, 
osobní kvalifikovaný certifikát je (díky eReceptu) nucena používat při 
zástupech a na službách, vesměs v prostředí, kde nemůže být ani řeči o 
tom, že by měla certifikát importovaný do úložiště v registrech Windows 
na pracovišti pod kontrolou.
Pokud jsem to stihl, zařídil jsem pro ně osobní certifikáty na TokenMe 
(kryptografické úložiště), kde je riziko kompromitování certifikátu 
podstatně nižší; v tomto konkrétním případě jsem to ale nestihl a tak 
bych certifikát rád udržel alespoň na hw pod kontrolou uživatele. 
Představa je taková, že bych chtěl certifikát importovat do uložiště 
vytvořeného na běžném USB flash disku a toto úložiště zpřístupnit na 
cílovém počítači tak, aby jej aplikace využívající Windows certifikační 
mechanismus našla a certifikát dokázala použít. Samosebou, mohu 
certifikát naimportovat do již zmíněného tokenu, ale zajímalo by mě, 
jestli je naznačený způsob přes vyměnitelné médium vůbec možný a pokud 
ano, tak jak :-)

Díky
jf


Další informace o konferenci Hw-list