Hlavní navigace

Názor k článku Yubikey Neo po dvou letech od Ondrej Mikle - Jenže certifikát nevyrobíte bez soukromého klíče. Ale vy nepotřebujete...

  • Článek je starý, nové názory již nelze přidávat.
  • 20. 11. 2015 11:37

    Ondrej Mikle (neregistrovaný) 2001:1488:fffe:----:----:----:----:----

    Jenže certifikát nevyrobíte bez soukromého klíče.

    Ale vy nepotřebujete privátní klíč té karty pro vygenerování certifikátu. Jenom její veřejný klíč. Který bude součástí CSR (certificate signing request).

    Taky ve větším měřítku se nepoužívají vlastní autority, ale akreditované veřejné autority.

    Tak to teda absolutně ne. Toto je shodou okolností případ, pro který bylo celé X.509 puvodně vlastně navržené - každá firma má vlastní hierarchii. A vlastní CA.

    Jinak u PKCS#11 můžete mít klíčů, kolik chcete.

    PKCS#11 je standard pro C interface, takže samozřejmě závisí jen od velikosti karty.

    O PKCS#15 jsem mimojiné psal v souvislosti s tokenem Feitian ePass 2003 tady na root článek, který PKCS#15 podporuje.