RE: [ml] Una banale domanda: creare un certificato digitale personale ed

>Si tratterebbe:
>
>a) di creare un certificato digitale personale.
>   Per crearlo mi servono sia:
>            - un prodotto freeware utilizzabile a furia di pigiar bottoni
>            - un onesto porting a linea di comando di qualcosa esistente
>sotto UNIX

Io uso http://www.openssl.org/
Meglio di un freeware, perchè è open source, ed inoltre lo utilizzi da linea
di comando

>b) di utilizzarlo in Mozilla/Outlook Express. A dire TUTTA la verità, io
>un freeware che crea certificati digitali personali l'ho trovato
>(pubblicità spicciola non è opportuno farne, tutti gli interessati possono
>contattarmi via e-mail), ma mi interessano molto anche altri suggerimenti
>(e mi manca sempre il porting a linea di comando ecc.). Una volta creato
>questo buon certificato (in formato X.509 ovvero ".cer" oppure in formato
>".p7b"), però, utilizzarlo in Mozilla/OE non è la cosa più semplice di
>questo mondo. Per quanto riguarda OE, lo importo con Internet Explorer
>addirittura fra le "Autorità di certificazione fonti attendibili", ma
>quando poi vado in OE in Strumenti/Opzioni/Protezione/ID Digitali, lo
>seleziono avendo cura di spuntare "Posta elettronica protetta" tra le
>"Avanzate", e provo ad utilizzarlo, non funziona (al momento di spedire
il
>messaggio compare il magico 'Firma digitale non valida'). Trattandosi di
>certificato personale, ho provato anche ad importarlo da IE in
>"Personali", ma non me lo fa fare proprio. In Mozilla la procedura è più
>o
>meno analoga. In entrambi i casi, a lume di naso la soluzione dovrebbe
>essere nel "magico" formato PKCS #12 (ma chiedo conferma; se è così, ho
>bisogno di un freeware e di un tool a riga di comando ecc. per creare un
>PKCS #12).

Per firmare hai ovviamente bisogno sia del certificato digitale che
della chiave privata corrispondente.
Direi che visto il formato (X509) e l'estensione (.cer)  che indichi,
hai utilizzato solo il certificato senza la chiave. OE lo riconosce come
certificato di
una Certification Auhority, perchè probabilmente è self signed.
Come tu stesso hai indicato una soluzione è quella di ricorrere ad un
PKCS#12, contenente però sia il certificato digitale che la chiave privata.
Di seguito ti riporto  la procedura che puoi utilizzare
con openssl, una volta che hai configurato la CA (modificando il file myOpenssl.cnf)

1 - generare una coppia di chiavi per un utente
- openssl genrsa -des3 -out user.key 1024 -rand ./demoCA/private/.rand

2 - generare una richiesta di certificato per le chiavi pocanzi generate.
- openssl req -new -key user.key -out user.csr -config  ./demoCA/myOpenssl.cnf

3 -  far firmare dalla ca la richiesta di certificato e generare il
certificato.
- openssl ca -in user.csr -out user.crt -config ./demoCA/myOpenssl.cnf

4 -  ricavare un file pkcs12 partendo dalla chiave privata e dal certificato
- openssl pkcs12 -export -in user.crt -inkey user.key  -out file.p12

Con mozilla funziona benissimo, sicuramente anche in OE.

In alternativa ti consiglio

http://ejbca.sourceforge.net/

una vera è propria infrastruttura di CA, implementata in J2EE,
che puoi usare sia da linea di comando per procedure batch, sia da interfaccia
web
(Java quindi sia su Unix, linux o windox)

Dante Verona
security consultant

__________________________________________________________________
Tiscali Adsl 2 Mega Free: naviga gratis tutto l'anno!
Supera tutti i limiti di velocita' con Tiscali Adsl 2 Mega Free.
Sei libero da costi fissi e, se ti abboni entro l'8 novembre,
navighi gratis tutto l'anno.
http://abbonati.tiscali.it/adsl/