Integrácia eID certifikátov do OS (macOS + Keychain)

Zdravím, rád by som sa spýtal, či mi niekdo vie poradiť, akým spôsobom by bolo možné integrovať do systému certifikáty s podpisom vytvoreným pomocou eID (eIDAS)?

Podpisovanie PDF súborov s Adobe Acrobat Reader funguje bez problémov, ale potreboval by som túto funcionalitu zakomponovať priamo do macOS z dôvodu automatizácie a skriptovania.

Napr. aplikácia https://pdfsignet.com je ideálnym kandidátom, avšak naozaj neviem, či je integrácia certifikátov do macOS (Keychain Access) možná…

Vďaka za rady

Privatny kluc je generovany na HW prostriedku. Je to tak naschval, aby sa s nim nedalo nijakym sposobom manipulovat a nie je mozne privatny kluc nijako odtial dostat. Jedina cesta ako toto zjednodusit je remote server signing alebo znizit uroven autorizacie pre nejake podania, aby tam nebol nutny hw prvok.

Ono mi nejde o to, aby som vedel generovať kluc bez HW, skor by ma zaujimalo, ci je mozne integrovať system generacie cez Keychain Access tak, aby som vedel cez aplikacie ako je PDF Signet integrovať podpisovanie do systemu bez potreby aplikacii 3tich stran (okrem eID appky v pozadi OFC).

Nie som jablckar, ale strelim od boku. Ovladac dodany s eID ma rozhranie PKCS#11, nie nativne mac-ovske. Preto, ak tvoja appka nevie ist cez PKCS#11, tak ju zrejme nerozbehas.

Napísal som p. developerovi email s odkazom na https://pdfsignet.com/troubleshooting, uvidím, čo odpíše.

Tak ste sa trafil správne, problem je v ovládačoch od dodávateľa HW. Myslite že je to riešiteľný problem? Ma zmysel tieto veci eskalovat zodpovedným organom?

Opytat sa mozete, ale kym takych poziadaviek nebude 500, tak to asi nikto riesit nebude.

Ja by som hladal aplikaciu, ktora pouziva PKCS#11.

Jasne, len vyhodou PKCS#12 je prave to, ze je to integrovane do systemu a tym padom je mozne vela uloh pekne automatizovat a upravovat skriptami…Bolo by vcelku fajn mat moznost pouzivat to na podpisovanie emailov, resp. ako default identity autentifikator do mnohych aplikacii (ano, aj mobilnych…s/mime). V tejto forme je to hrozne malo flexibilne a archaicke :confused:

Inak. Co konkretne treba naskriptovat a automatizovat s eID? Predpokladam, ze len podpisovanie, pricom PKCS#11 softy na podpis bezne podporuju.

PKCS#11 toho moc nenaskriptujeme, kedze je tam vzdy potrebne riesit manualne zadavanie kodu na pristup do HW. Ziadna “grace period” a pod. Takze je to pase, kym pojde o riesenie tak ako je implementovane teraz.

Toto nie je problem PKCS#11. Je to nastavenie ovladaca, aby si vzdy pytal PIN cez klavesnicku na obrazovke. Len zhodou okolnosti je to v tomto pripade PKCS#11 ovladac. Autori to spravili zamerne z bezpecnostnych dovodov, nie je to otazka nativnej podpory.

Alternativa je nechat si vydat certifikat na kartu, ktora tento mechanizmus nema zapnuty. Napr. v Atos/SiemensShell pack od Disigu.