Dobrý den,v aplikacích ACadu je možné výkresy digitálně podepsat.Při pokusu o připojení digitálního podpisu k výkresu .dwg dostávámnásledující chybové hlášení:"A Digital ID is required".V systému není dostupné žádné digitální ID.V OS však funkční certifikát je, protože ostatní aplikacejako např. Open Office, Thunderbird (poštovní klient),nebo Firefox certifikát "vidí" a Open Office-textový editortextový dokument řádně podepíše; rovněž poštovní klientzprávu opatří podpisem. Certifikát v úložišti certifikátů OS tedy musí býtv pořádku, viz. Ovládací panely-Možnosti Internetu-Obsah-Certifikáty-Osobní daný certifikát zobrazí a vypíše obsah.Může někdo poradit, kde může být problém, případně jakpostupovat pro odhalení problému?Děkuji předem, pěkný den.P.S. Certifikát je v OS ve formátu .p12, tj. formát PKCS#12Jedná se o certifikát "vydaný Českou poštou". Zkoušel jsemi certifikát generovaný a podepsaný na nezávislé (server Unix)PKI autoritě. Žádný však není v ACadu funkční, viz. výše.

Formát souboru není tak důležitý, ale podstatný je vnitřní standard podpisu. AutoCAD podporuje (stejně jako třeba Outlook nebo MSIE) digitální certifikáty standardu X.509. Další informace např. viz:http://www.cadforum.cz/cadforum/qaID.asp?tip=3168

Dobrý den, pane Michl,děkuji Vám za odpověď. Asi jsem se v dotazu nevyjádřil dost přesně.OS MSW XP certifikát "vidí", vypíše podrobnosti o něm, tj.předmět CN, vydavatele, platnost, sériové číslo, atd. Protože MSW XP tyto údaje vypíší, a certifikát šel do OS bez problémů naimportovat, musí být vpořádku. Tj. zobrazí jej i MSE. Jedná se o certifikát vydaný "Kvalifikovanou certifikační autoritou" pro ČR (PostSignum České pošty). Certifikát proto musí být z hlediska obsahu a uspořádání vpořádku. Jak jsem uváděl, do MSW XP "úložiště certifikátů" byl importován ve formátu .p12Tento certifikát, resp. jeho formát a struktura odpovídá standardu X.509. Pro jeho přenos do OS MSW XP byl použit formát .p12, protože MSW jiný typ souboru pro import do sw úložiště OS nepřipustí. Certifikát tedy má správný formát i kódování.Proč AutoCAD tyto certifikáty odmítá, nevím...........Napadlo mě, zda Autodesk nepracuje pouze s certifikáty vydanými VeriSign Inc. společností. Na jeho dotaz, zda nechcete získat certifikát AutoCAD prostřednictvím serveru Autodesk přejde na web VeriSign.......    AutoCAD se však používá v mnoha zemích světa, to nedává smysl.Pane Michl, požádal bych Vás, pokud je to možné, nemá některý z Vašich kolegů certifikát? Nemůžete se pokusit jej "načíst" do AutoCADu?Případně, nemá s chybou uvedenou výše někdo nějaké zkušenosti?Děkuji za spolupráci a pomoc.S přáním pěkného dne Sonenberk.

Konkrétně s PostSignum zkušenost nemám, ale Digital ID určitě není omezeno jen na Verisign. Před časem jsem to osobně zkoušel s certifikátem Thawte a vše fungovalo. Možná také záleží jak moc je v systému důvěryhodná i daná kořenová autorita.

Dobrý den,pane Michl,  děkuji Vám za Vaši reakci a dobrou radu.Ano, v úložišti certifikátů v OS Windows je mezi Důvěryhodnýmikořenovými certifikačními úřady i certifikát dotčené certifikačníautority (CA). Ano, zdá se, že Autodesk podporuje pouze vybrané CA, např. Verisign......Nicméně na netu je možné najít pár článků, které výše uvedenépopírají. Já mám také za to, že je divné, aby nebylo možnépoužít nějakou jinou CA mimo USA, např. z EU, nebo dokonce z ČSR!Je divné, že by programátoři z Autodesku kontrolovaliobsah certifikátů. Důležité musí být pouze to, zda odpovídajíplatným formátům, v tomto případě formátu .p12.CA v ČSR jistě dodržují mezinárodní standardy, existujezde i zákon 227/2000Sb. o elektronickém podpisu.Na netu jsem našel např.:When most people hear about certificates or digital IDs theyassume they must use someone like VeriSign to obtain them.This is not true. If your company makes their own they cansave lots of money and there is nothing wrong with it.Následuje popis, jak použít "vlastní" certifikáty a vlastní CA vefiremním PKI.Další podrobnosti můžete najít na URL: http://www.flatmtn.com/Pokusím se ještě o zaslání dotazu na nějaká jiná zahraničnídiskusní fóra.Děkuji, s přáním pěkného dne Sonenberk

Nejsem moc expert na certifikáty, ale nemyslím, že by Autodesk pracoval přímo odkazy na konkrétní vydavatele nebo dokonce na jejich národní příslušnost (ve smyslu: Verisign ano, Thawte ne, I.CA ano, atd.). Zřejmě vyžaduje nějakou konkrétní podobu certifikátu s určitou úrovní důvěryhodnosti kořenové autority tak jak je definována v systému. Na 99% používají standardní systémová volání systémových certifikačních mechanismů, neřeší je tedy "ručně". Ale konkrétní důvod, proč váš certifikát nefunguje, bohužel nevím.

Zvědavost mi nedala a ozkoušel jsem si to. Třeba se zkušenost hodí.
Mám v počítači registrované 3 certifikáty: Kvalifikovaný od ICA, komerční od ICA a uživatelský, který jsem si vytvořil vlastní CA na serveru SBS.
  Tím uživatelským jsem podepsal naprosto bez problémů, ty od ICA mi tvrdily, že výkres je pouze ke čtení nebo používaný a nepodepsalo ho to. Teprve když jsem připojil čtečku s kartou, standardně se to optalo na PIN a podepsalo. (XP + PDSP 2013)

S certifikáty na kartě je to trochu jinak. Předpokládám, že máte certifikát ICA na kartě. Tam je certifikát uložen, nikoliv na disku v systému Windows. Proto Windows hledají čtečku.P.S.Taky to tak mám - ICA na identifikační kartě.


vbehun2012-05-29 08:35:03

To já samozřejmě chápu - jenže všimněte si CO v takovém případě aplikace hlásí - ne, že má problém s certifikátem, ale že SOUBOR není přístupný. To píšu proto, že se zřejmě chybovému hlášení aplikace nedá moc věřit.
  Ale hlavně jde o zkušenost, že to jde s (asi) libovolným certifikátem - pokud je v systému správně registrován. Jen doplním, že jsem měl ještě registrované nějaké propadlé certifikáty a ty aplikace nezobrazila.Seiner2012-05-29 09:11:54

Zřejmě skutečně záleží na té které aplikaci (přístupu programátora nebo překladatele dialogů).Otázka pro původního tazatele: Přihlašujete se do systému jako jediný uživatel a nebo ten, který má příslušný podpis jako osobní (ne v záložce Ostatní uživatelé") ?

Dobrý den,děkuji Vám za Váš příspěvek. Ano certifikáty jsou v OS umístěnyv úložišti "osobní". Díky Vám a panu Seinerovi, jsem se k problémuvrátil a podařilo se mi "podepisování" výkresů rozhýbat. Dalšípoznámky viz. odpověď panu Seinerovi.Máte pravdu, dvoufaktorová autetizace a ukládání certifikátů,(resp. privárních klíčů) na médiích - karta, token je problémjiný a její fungování patří do režije OS. Aplikace jako ACadji pak využívá jako službu OS. Před tímto dalším krokem, tj. dvoufaktorováautentizace bylo však nutné projít uskalími ACadu. Pokud se mipodaří i tento krok, napíšu o tom do této diskuse příspěvek.Největší záhadou pro mě bylo, proč jiné aplikace se stejnými certifikátyv systému fungují (viz. popis v příspěvcích výše) a ACad nefunguje.ACad certifikáty lustruje a stanovil si pro OS Windows vlastní"certifikační" politiku, kterou jiné programy v tomto OS nemají.Škoda, že tato pravidla nejsou v referenčních příručkách ACadu alespoňheslovitě popsána. Ještě jednou Vám děkuji a přeji pěkný den.Sonenberk

Dobrý den, pane Seinere,mnohokrát Vám děkuji za Váš příspěvek, bez něho bych další pokusy vzdal.Díky Vám jsem se k problému vrátil a podařilo se mi "podepisování" výkresů rozhýbat.Pokud mohu svoje zkušenosti shrnout, zde jsou:a) důležitým a Vámi i mnou potvrzeným faktem je poznatek, že je možné používat i "nekvalifikované"certifikáty", vydané i neakreditovanými certifikačními autoritami, např. privátními, firemnímiCA. Já jsem nyní úspěšně vyzkoušel certifikát "vyrobený" na CA na serveru s OS Unix (distr. Linux Fedora)b) ACad certifikáty v OS Windows velmi důkladně lustruje. Neshoda s "certifikační politikou"ACadu vede k tomu, že není možné výkres podepsat, resp. uživatel se dočká (v lepším případě)chybového hlášení - "A Digital ID is required". V horším případě utilita "Připojit digitální podpisy""ukáže" na ploše přesýpací hodiny a bez jakékoliv hlášky končí. Vaše poznámka o podivných chybovýchhlášeních programu je zde zcela na místě,c) ACad by měl zásady své "certifikační politiky" někde alespoň heslovitě popsat. Ušetřil by spoustuztraceného času svým uživatelům. Protože s certifikáty, se kterými ACad bez udání důvodů odmítápracovat, v jiných aplikacích fungují, viz. moje poznámky výše. Mezi zásady "certifikační politiky" ACadupatří:- nelze použít expirovaný (prošlá platnost) certifikát- nelze použít certifikát podepsaný "sám sebou", přestože je to v souladu se standardem X.509- každý certifikát v úložišti certifikátů OS Windows (složka osobní!!) musí mít ve složce  "Zprostředkující certifikační úřady" uložen certifikát CA, která certifikát uživatele  "podepsala", vydala- certifikát by měl mít odpovídající CN- certifikát CA, viz. předchozí bod jsem uložil ještě do složky "Důvěryhodné kořenové cert. uřady"Nedodržení výše uvedených pravidel v "lepším případě" končí chybovým hlášením "A Digital ID is required".Programátoři u ACadu by mohli rozhodně svá chybová hlášení vylepšit.Mám za to, že ACad svoje uživatele trochu šikanuje. Důvodů je víc; dnes je např. běžná praxe,že certifikát má "životnost" jeden rok a v případě el. podepsání výkresu nejde tak o prokazovánínepopiratelnosti kdo je autor výkresu, jako o to, zda nebyl výkres neoprávněně modifikován.A v některých případech pak je lhůta 365 dní krátká.....Ještě doplním poznámku k "podepsaným" výkresům a k práci ACadu s nimi. Zde vše pracuje dobřea nevidím zde problémy,tj. systém.prom. SIGWARN, utility Securityoptions a Sigvalidate. ACaddává podepsanému výkresu status "read only" v OS.Pokusím se ještě vyzkoušet "dvoufaktorovou" autentizaci s uloženým certifikátem na tokenu,tj. "mimo" OS windows.Svoje zkušenosti do diskuse vložím jako příspěvek.Ještě jednou Vám moc děkuji za přispění a přeji pěkný den.Sonenberk

Díky, to jsou velmi užitečné zkušenosti, které mohou být cenné i pro další uživatele. Pro snazší vyhledání je s dovolením dáváme do veřejného tipu (případně postupně doplníme):http://www.cadforum.cz/cadforum/nelze-podepsat-dwg-vykres-chyba-a-digital-id-is-required-tip8671