星期四, 1月 24, 2013
用自然人憑證為程式簽署
憑證相關的工作搞了許久,之前曾掙扎著要不要花錢買個憑證來簽自己想公開的程式。最近靈光一閃,自然就生出這樣的主意,不過沒想到早就有先知了,請參考
http://kmmr.pixnet.net/blog/post/33086772
但還是有一點小小改進:由於我的 signtool.exe 並沒有 signwizard 這個指令,首先關於雙憑證選擇的問題,為了唯一性,必須選 /sha1 再敲一長串雜湊值,有點麻煩。後來摸索出一種做法,先到憑證存放區把加解密用的憑證刪掉,在下指令的時候選 /n 這個參數,帶上憑證主旨,再靠 /a 這個參數讓工具自行判斷最佳值即可。
再來就是像我這種大公司裏的小角色,拿到工商憑證可不容易,試了「測試憑證」也是可以的,不過一定要 2048bits,原因暫時沒有深究。
如果要把這招搬到 Silverlight,效果似乎比較不理想,因為還要補機碼、佈憑證,甚至可以包在 ActiveX 的其他程式庫都要再額外設法放到用戶的電腦上。
順手查了一下目前的作業系統佔比,沒有內建 .NET Framework 的 Windows XP 還有近四成,大概還得再過一兩年才能不為此頭痛。
http://kmmr.pixnet.net/blog/post/33086772
但還是有一點小小改進:由於我的 signtool.exe 並沒有 signwizard 這個指令,首先關於雙憑證選擇的問題,為了唯一性,必須選 /sha1 再敲一長串雜湊值,有點麻煩。後來摸索出一種做法
再來就是像我這種大公司裏的小角色,拿到工商憑證可不容易,試了「測試憑證」也是可以的,不過一定要 2048bits,原因暫時沒有深究。
如果要把這招搬到 Silverlight,效果似乎比較不理想,因為還要補機碼、佈憑證,甚至可以包在 ActiveX 的其他程式庫都要再額外設法放到用戶的電腦上。
順手查了一下目前的作業系統佔比,沒有內建 .NET Framework 的 Windows XP 還有近四成,大概還得再過一兩年才能不為此頭痛。
星期一, 1月 07, 2013
與政府憑證管理中心交手
- 2012/03/09
上網填了一張諮詢單(1010302350),指出 HiCOS PKCS#11 2.1.6 + 1024 bits 測試卡簽章會有多了後半段垃圾的問題。 - 2012/03/15
獲得回應,將在 2.1.7 版改善,但請自行留意網站上釋出的新版。 - 2012/04/23
一直沒看到網站上有新版釋出,再去函詢問,得到另一個諮詢單號(1010404529)。 - 2012/05/07
又得到另一個諮詢單號(1010502127),至於什麼事都忘了。 - 2012/05/09
2.1.7 版釋出,也有郵件通知。 - 2012/05/28
上網填了一張諮詢單(1010510768),指出 HiCOS PKCS#11 2.1.7 + 1024 bits 測試卡解密失敗。當天下午就接到電話告知,轉由某單位處理,網站上此單號直接結案。當天下班前,被轉單位來信要求,用 HiCOS 卡片環境檢測工具確認卡片是否正常?十二分鐘後,回覆檢測一切正常的電子郵件。 - 2012/05/31
對方表示查不出問題,要求提供測試程式。 - 2012/06/01
提供測試程式與紀錄,對方終於認同這個問題,並表示將釋出新版解決。 - 2012/09/27
已過了近四個月還沒見到新版,又發現一個問題,是關於兩張卡一起使用的,只好再去函詢問。當天接獲回覆,新版預計於十月底釋出,並要求新的測試程式。當晚,寄出測試程式。 - 2012/10/25
收到「預計釋出的新版」,希望我測試確認無誤。當天回信確認之前提報的問題不再。 - 2013/01/07
又過了兩個多月還沒見到新版釋出,再提報未上市的 HiCOS PKCS#11 2.1.8 解密後會有多了一大段填補零的問題,並直接提供測試程式。 - 2013/01/11
提報一個問題:在一部電腦上同時接兩個讀卡機,插入 1024 bits 與 2048 bits 的測試卡各一,每次都輸入正確的 Pincode,但可能因憑證卡的位置對調讓登入成功或失敗,並直接提供測試程式。 - 2013/01/11
確認一個問題:若 1024 bits 測試憑證上的公、私鑰標籤都不是空白(預設值),雖然申請測試憑證看來沒問題,但無法簽章或解密。原因是在申請測試憑證時,憑證管理中心會尋找卡上可用的金鑰對綁定新憑證,但在上述狀況下並無法挑選到可用的金鑰對,即便如此,該網站還是顯示申請成功。這個不打算回報了,吃力不討好。 - 2013/03/04
收到「預計釋出的新版」,希望我測試確認無誤。當天回信確認之前提報的問題不再。
訂閱:
文章 (Atom)