Re: [J4sign-users] Informazioni su j4sign.
Brought to you by:
resoli
From: Roberto R. <ro...@re...> - 2014-11-05 09:57:21
|
Il 05/11/2014 10:09, Nicola Ranaldo ha scritto: > Il giorno mer, 05/11/2014 alle 09.04 +0100, Roberto Resoli ha scritto: >> Il 05/11/2014 08:31, Nicola Ranaldo ha scritto: >>> Il giorno mar, 28/10/2014 alle 20.06 +0100, Roberto Resoli ha scritto: ... > Si in effetti la procedura non è di quella click e vai, ed ammetto che > ci ho perso un pò di tempo anche io, se può essere utile (rispondendo > anche alla richiesta di Roberto Boschin) posso provare a rifarla daccapo > ed appuntarmi tutti i passi, magari può servire ad integrare il wiki. Ho > bisogno di un pomeriggio sereno però... No, non serve; intendo piuttosto aggiungere la parte necessaria ad aggiungere nel keystore di firma chiavi e certificati di una CA commerciale. >> Il fatto che abbiate una CA locale è interessante, è mantenuta da voi? >> In caso affermativo, avete predisposto anche i relativi servizi di >> revoca? (CRL e/o OCSP) ? > > In realtà usiamo la CA locale in modo molto semplice, con openssl, solo > per generare i certificati per i server ed evitare sui client la > comparsa del warning quindi niente CRL. Quindi, se usate una jvm di versione a 1.7.0_45 o su di lì dovete abbassare il livello di default di sicurezza, o comunque cambiare le impostazioni del runtime java. Giusto? >> Te lo chiedo perche qui per molto tempo ho seguito lo stesso percorso. >> Dato che avevamo in previsione di fornire servizi di firma all'esterno, >> e anche per semplificare l'infrastruttura, abbiamo poi deciso per >> l'acquisto di un certificato di firma codice con CA trusted dalle >> installazioni JVM correnti. > > Nell'ambito di un progetto di e-gov abbiamo inserito nel capitolato la > fornitura di certificati ssl, andremo anche noi in questa direzione. Si credo sia ragionevole, a parte realtà particolarei che sono in grado di mantenere una pki completa >> Un'altra cosa interessante è "trusted da tutti i browsers". Per quelli >> che si basano sul repository di sistema Microsoft è abbastanza >> semplice, le CA possono essere distribuite via Group Policies; per >> Firefox, (e per piattaforme non Microsoft) come avete proceduto? > > Esatto abbiamo anche group policy che installano il certificato CA ed > impongono ad explorer di aprire all'avvio la home page del sito > intranet. Stiamo per migrare il pdc a zentyal (sperando che funzioni > tutto). Per Firefox c'erano componenti aggiuntive che abilitano la > forzatura delle preferenze via group policy ma non le abbiamo mai > testate. Purtroppo abbiamo una marea di software legacy che funziona > solo con explorer e solo in modalità compatibile, quindi il problema è > rimandato a quando aggiorneremo gli applicativi. Capito; grazie mille delle informazioni. Ciao, rob |