Поэтому буду рад, если приведенная информация для кого-то окажется полезной.
Итак, ...
Что нужно
А нужно немного — получить цифровой сертификат на частное лицо, и чтобы этим сертификатом
можно было подписывать не только exe и dll, но и драйверы на 64-битных Vista и выше.
Именно частное лицо. Не на контору, ни даже на ИП, а на самого обычного "Васю Пупкина".
Предыстория
До недавнего времени я уже был наслышан про то, что сертификаты продают далеко не каждому,
только на компанию, нужен DUNS-номер, офис, представительство в США и т.п., а простому
смертному, тем более из такой страны как Беларусь, вообще рассчитывать не на что.
Разведка
Разведку я начал со страницы, где Microsoft публикует кросс-сертификаты для подписи драйверов.
Как известно, каждому сертификату от вендора соответствует строго определенный кросс-сертификат
от Microsoft и они оба должны быть включены в подпись, чтобы драйвер мог запуститься на
нужных системах (имеется в виду, понятное дело, системы от 64-битной Vista и выше).
Вот эта страница: http://msdn.microsoft.com/en-us/library/windows/hardware/gg487315.aspx
Далее я провел небольшое онлайн-турне по сайтам компаний, приведенных на этой странице, кое-где
обращался в саппорт, задавал вопросы и т.д. В общем, у меня сформировалось ощущение, что "живы"
из них только VeriSign и GlobalSign, остальные то ли уже не занимаются выпуском Authenticode-
сертификатов, то ли действуют только в ограниченном географически регионе, то ли еще что-то.
Вариант с VeriSign сразу отпадает, так как их сертификаты для индивидуалов не позволяют подписывать
драйверы, а другие выдают лишь на контору. Остается GlobalSign. И хотя я не раз слышал про их
невнятный саппорт, и про всякие проблемы, и про отношение к странам третьего мира, решил рискнуть.
Как известно, GlobalSign продает Authenticode-сертификаты двух типов — на контору (Software Vendors &
Organizations, $229 в год) и на индивидуальных разработчиков (Individual Developers, $129 в год).
То, что сертификатами первого типа можно подписывать драйверы, мне было известно, но на счет второго
оставались сильные сомнения, тем более, что ни в FAQ, ни на форумах я подробного разъяснения не нашел.
Задал вопрос в техподдержку — сказали да, сертификаты для индивидуалов позволяют подписывать драйверы
на Vista-64. Но мне этого показалось мало. Я был в курсе, что GlobalSign есть главный корневой
сертификат, называется он GlobalSign Root CA (1998-2028), и для него Microsoft выпустила нужный
кросс, позволяющий использовать сертификаты, выданные GlobalSign Root CA для подписи драйверов.
Я задал еще один вопрос в техподдержку — можно ли при заказе сертификата для индивидуального
разработчика выбрать этот сертификат в качестве корневого. Мне ответили — да, с этим нет проблем.
На этом разведку можно было считать завершенной.
Подготовка
Для оформления заказа на GlobalSign понадобится:
1. Пластиковая карта типа Visa или Mastercard со счетом в долларах или евро. Я сделал себе самую
обычную дебетовую карту Visa Classic в самом обычном банке. Разумеется, не все пластиковые карты
позволяют рассчитываться в интернете. Например, Visa Electron в общем случае для этого не предназначена.
2. Скан паспорта (последняя страница) в электронном виде.
3. Скан последнего счета за телефон, тоже в электронном виде. В моем случае оказалось достаточным
просто сбегать в банк, положить несколько тысяч на свой мобильник и сделать скан полученного чека.
4. Заявление на получение сертификата, скан. Шаблон качать здесь: https://www.globalsign.com/resources/code-signing-for-individuals-registration-form.pdf
Обращаю внимание — имя, фамилию и прочие данные нужно указывать точь-в-точь как на странице заказа
(будет описано ниже) и в паспортных данных. Например, мое имя по-английски правильно было бы писать
как Oleg, однако по паспорту я Aleh — так везде и указывал. Вся информация указывается латиницей,
телефон можно указать в международном формате. Поле "Certificate OrderID" (номер заказа) заполняется
только после процедуры онлайн-покупки — тогда этот самый OrderID и будет присвоен. "Applicant's
Signature" — это поле для подписи от руки. То есть, заполняем форму, распечатываем, берем ручку,
ставим подпись и делаем скан. Все введенные поля лучше хорошенько перепроверить.
Покупка
Идем на www.globalsign.com. Лучше все операции выполнять из-под браузера FireFox, в других были
замечены глюки разной степени странности. Этой же рекомендации советуют следовать и на GlobalSign.
Идем в Products/Code Signing, жмем "Buy Now" напротив "Individual Developers". Сохраняем "campaign code",
показанный на первой странице — это нужно для правильного формирования цены, без использования
данного кода вам будет выставлен счет на неправильную сумму. Вот как комментирует этот момент
один из работников техподдержки GlobalSign:
"We are running a promotion in code signing for individuals to make the price $129
Please go to http://www.globalsign.eu/code-signing/code-signing-for-individual-developers.html
And use this discount code
USD – CAD1TH4EL3PKMHDF
GBP – CAPKG9H8X7A5ZBC1
EUR – CALSFB0E1WRWTPD4".
На странице "Account Setup" внимательно и аккуратно заполняем все нужные поля формы. В "Organization Name"
вписываем свое полное имя, как в паспорте. Например, Ivanov Ivan. Указываем свой E-mail, а также логин и
пароль для доступа к будущему аккаунту на сайте GlobalSign.
На странице "Product Details" вписываем "campaign code" в соответствующее поле и жмем "Redeem Code" —
будет выставлена правильная цена.
На странице "Certificate Identity Details" ставим галочку в "Individuals" и задаем так называемый
пикап-пароль (pickup password). Этот пароль вам понадобится позже, когда вы будете забирать сертификат.
Дальше следует "Payment Details" — то есть, собственно, оплата. Указываем все реквизиты, точь-в-точь
как на пластиковой карте, в том числе и поля "Statement" — вся нужная информация находится на самой
карте, если кто не в курсе.
Если все пройдет успешно, а иначе и быть не может, данному заказу будет присвоен определенный OrderID.
Соответствующее электронное письмо придет на почту. Этот OrderID следует вписать в заявление на
получение сертификата (см. выше) и все это, вместе со сканами паспорта и счета за телефон, отправить на
электронный адрес vetting-us@globalsign.com. Если верить инструкциям, наличие данных документов
существенно ускоряет процесс.
Кроме OrderID, для вас в системе GlobalSign будет создан аккаунт с именем вида PARxxxxxx_yyyyyyyyyy,
где xxxxxx — некое число, а yyyyyyyyyy — логин, который вы указывали при заказе сертификата.
Например, PAR123456_sashka1980. С этими данными можно будет заходить в систему и управлять своими
заказами.
Ожидание
Следует учесть, что офис GlobalSign находится в таком часовом поясе, что ответа на письмо, отправленное
утром, можно ожидать не раньше вечера. За все время, которое я занимался сертификатом, со мной, помимо
техподдержки, контактировало два человека — первый интересовался, почему я не завершил один из заказов
(я тогда забыл про campaign code и недоумевал, почему цена на странице заказа указана $229, хотя на
главной "обещали" $129), второй непосредственно обрабатывал сам заказ. Оба были предельно корректными,
охотно давали разъяснения и направляли мои действия в нужное русло. Я ожидал, что мне, возможно, позвонят
по телефону для проверки и был в ужасе, потому что разговорный английский у меня просто жуткий. Но не
позвонили. В итоге уже через сутки мне пришло электронное письмо с приятным названием: "Certificate
Download Ready".
Получение сертификата
ВНИМАНИЕ!
Получение сертификата — разовая процедура, ее следует проводить осторожно, чтобы не "профукать"
сертификат каким-нибудь нечаянным действием, после чего, вероятно, предстоят определенные разбирательства с
техподдержкой. Суть в том, что public- и private-ключи генерируются однократно и только в тот момент,
когда вы желаете забрать сертификат. После этого страница уничтожается, так что никто, кроме вас, не
сможет получить ключи. И я настойчиво рекомендую использовать только FireFox.
Итак, в электронном письме вам пришлют ссылку на временную страницу, где будут сгенерированы ключи и
откуда вы сможете импортировать их в браузер. Там ничего сложного, просто нужно будет нажать на пару
больших кнопок. Здесь понадобится пикап-пароль, созданный при заказе сертификата (см. выше). Перед тем,
как забрать сертификат с этой страницы, зайдите в настройки FireFox, на вкладку "Защита", и включите
мастер-пароль. Без этого шага сертификат будет экспортироваться из браузера без приватного ключа, что в
контексте рассматриваемого вопроса бессмысленно. Вот и все. После процедуры импорта сертификата в браузер
можно зайти в настройки FireFox, на вкладку "Дополнительно", открыть список сертификатов, найти среди
них свой и выполнить его экспорт в файл. Я, к примеру, получил файл с расширением .p12.
Свойства
Данный сертификат от GlobalSign, как я и ожидал, обладает всеми необходимыми и привлекательными свойствами.
Во-первых, его "узнают" все без исключения "голые" системы от XP до Windows 8 Release Preview; не требуется
задействовать ни интернет, ни службы обновления сертификатов. Во-вторых, подпись драйвера тоже проходит на
отлично, как и проверка утилитой signtool (signtool.exe verify /kp), надо только не забыть про кросс-
сертификат. Я уже опробовал данный серт на разных 64-битных системах от Vista и выше — там с запуском
драйвера все в полном порядке. В-третьих, в корне цепочки доверия тот самый GlobalSign Root CA, валидный
до 2028 года. Именно тот, который я хотел.
Здравствуйте, okman, Вы писали:
O>Приветствую всех, кто заглянул.
O>В этой теме я бы хотел поделиться своим опытом приобретения цифрового сертификата. O>Подобные темы уже поднимались:
А не подскажете, если требуется подписывать только .exe и .dll, то какой сертификат лучше выбрать?
Re[2]: Сертификат для подписи драйвера, частное лицо.
Спасибо, очень познавательно.
O>До недавнего времени я уже был наслышан про то, что сертификаты продают далеко не каждому, O>только на компанию, нужен DUNS-номер, офис, представительство в США и т.п., а простому O>смертному, тем более из такой страны как Беларусь, вообще рассчитывать не на что.
А вот интересно, можно получит где-то сертификат на имя ООО "Рога и Копыта" и что для этого нужно
Re: Сертификат для подписи драйвера, частное лицо.
У меня другой вопрос к знатокам — я частное лицо, но хочу сертификат на свое бизнес имя.
Т.е. вместо Васи Пупкина будет название сайта SuperCDEjector.com
Такое возможно без оформления ИП, ООО и пр. ?
Re[2]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, KaktusAgava, Вы писали:
KA>А не подскажете, если требуется подписывать только .exe и .dll, то какой сертификат лучше выбрать?
VeriSign, Thawte, COMODO... Да и GlobalSign подойдет — он же относительно недорогой.
Но тут вот какая штука — нужно каким-то образом убедиться, что корневые сертификаты конторы, у
которой Вы собираетесь оформить заказ, будут "узнаваться" на всех целевых системах без всяких
интернетов и апдейтов. Потому что иначе пользователю будет выдано предупреждение о
недоверенном издателе. Как это проверить — трудно сказать. Лично я делал так — нашел
exe-шник, подписанный сертификатом от GlobalSign, а затем смотрел свойства его цифровой
подписи на своих виртуалках с разными версиями Windows. Но может быть, проще всего написать в
саппорт и пораспрашивать, что да как.
Re[2]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, edton, Вы писали:
E>А вот интересно, можно получит где-то сертификат на имя ООО "Рога и Копыта" и что для этого нужно
Вряд ли это возможно.
Нет, ну конечно, наверняка можно как-то извратиться, подделать документы, зарегистрировать
подставную компанию-пустышку и т.п. Но зачем ? И если узнают, сертификат отзовут, да
еще другие неприятности могут быть, вплоть до судебного разбирательства.
Re[2]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, altarvic, Вы писали:
A>У меня другой вопрос к знатокам — я частное лицо, но хочу сертификат на свое бизнес имя. A>Т.е. вместо Васи Пупкина будет название сайта SuperCDEjector.com A>Такое возможно без оформления ИП, ООО и пр. ?
Это нужно уточнять у компаний, которые продают сертификаты. Но вообще сомнительно.
Re: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, okman, Вы писали:
O>Здравствуйте, edton, Вы писали:
E>>А вот интересно, можно получит где-то сертификат на имя ООО "Рога и Копыта" и что для этого нужно
O>Вряд ли это возможно. O>Нет, ну конечно, наверняка можно как-то извратиться, подделать документы, зарегистрировать O>подставную компанию-пустышку и т.п. Но зачем ? И если узнают, сертификат отзовут, да O>еще другие неприятности могут быть, вплоть до судебного разбирательства.
Хм, получается что частному лицу с паспортом и счетом за телефон доверяют больше чем ООО с переведенным уставом, где прописаны например, продажа и ремонт компьютеров, написание и распространение софта и тд. Как-то по поему это противоречит задачам, которые решает сертификаты (безопасность)
Re[4]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, x64, Вы писали:
x64>Мне больше интересно, что за драйвер и в составе какого продукта ты собрался распространять? Если это не секрет, конечно.
налоговыми декларациями тоже поделиться? название, принцип работы, исходный код? свести с заказчиками и теми кто покупает?
Re[4]: Сертификат для подписи драйвера, частное лицо.
E>Хм, получается что частному лицу с паспортом и счетом за телефон доверяют больше чем ООО с переведенным уставом, где прописаны например, продажа и ремонт компьютеров, написание и распространение софта и тд. Как-то по поему это противоречит задачам, которые решает сертификаты (безопасность)
А что устав? ООО изначально придуманы для прикрытия задницы директоров, и доверять их липовым бумагам, сочиненным крючкотворами, нет никаких оснований. А вот физлицо по телефону найти и прижучить просто.
Re[5]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, veroni, Вы писали:
E>>Хм, получается что частному лицу с паспортом и счетом за телефон доверяют больше чем ООО с переведенным уставом, где прописаны например, продажа и ремонт компьютеров, написание и распространение софта и тд. Как-то по поему это противоречит задачам, которые решает сертификаты (безопасность)
V>А что устав? ООО изначально придуманы для прикрытия задницы директоров, и доверять их липовым бумагам, сочиненным крючкотворами, нет никаких оснований. А вот физлицо по телефону найти и прижучить просто.
Ну это мы с вами знаем как это у нас Но если взять забугорные ООО — Ltd, GmbH. К ним то же нет доверия?
Re[3]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, x64, Вы писали:
x64>Мне больше интересно, что за драйвер и в составе какого продукта ты собрался распространять? Если это не секрет, конечно.
Не секрет. Программа — это развитие темы родительского контроля. Основная задача — защита детей от
вредной информации в интернете, от чрезмерного увлечения играми, сидения в социальных сетях и чатах.
Главные "фишки": высокая [ почти тотальная ] степень контроля над компьютером ребенка, наличие
средств, позволяющих распознавать опасность на ранних стадиях (например, анализ переписки в чате),
различные образовательные и поощрительные акции для ребенка (конкретно сказать не могу, это в самом деле
коммерческая тайна), ну и основное — удаленное управление функциями программы через веб-панель.
В этой системе задействовано несколько драйверов, в числе которых TDI-фильтр (ну куда же я без него),
драйвер контроля за процессами, фильтрующий драйвер класса клавиатуры и кое-что еще.
Но для этого продукта контора, на которую я работаю, уже приобрела сертификат от VeriSign и
релизные версии программы будут подписываться только им.
А я приобрел сертификат для личных нужд, просто для того, чтобы иметь возможность запускать
самописные драйвера на своих рабочих машинах, не прибегая к F8/DebugMode.
У меня поднакопилось несколько "примочек", работающих в kernel mode, и руки давно чесались
подписать их нормально и расстаться с извращениями. Достало уже, честно говоря.
Хотя вот тут я был несколько иного мнения — http://rsdn.ru/forum/asm/4226004.aspx
Возможно, одна из этих примочек со временем вырастет в полноценный коммерческий проект.
Еще бывает ситуация, когда нужно быстро сделать и продемонстрировать заказчику некий прототип,
при этом не утруждая его объяснениями, что и где настроить, чтобы запустить 64-битную систему в
тестовом режиме загрузки. Да и "Verified Publisher" тоже немного согревает душу.
Re[4]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, edton, Вы писали:
E>Хм, получается что частному лицу с паспортом и счетом за телефон доверяют больше чем ООО с переведенным уставом, где прописаны например, продажа и ремонт компьютеров, написание и распространение софта и тд. Как-то по поему это противоречит задачам, которые решает сертификаты (безопасность)
Погодите. "Рога и Копыта" — это ведь речь шла про липовую контору, существующую только на бумаге ?
Если так, то я не вижу никаких противоречий.
Re[3]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, edton, Вы писали:
E>И еще: действительно все требуют DUNS-номер, офис, представительство в США и т.п?
Это одна из "страшилок", которую я слышал от человека, занимавшегося приобретением
сертификата от VeriSign пару лет назад. Вполне возможно, что сейчас ситуация поменялась.
Наличие DUNS-номера необязательно, но оно, по рассказам "очевидцев", существенно ускоряет
всю процедуру.
Re[3]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, okman, Вы писали:
O>Здравствуйте, edton, Вы писали:
E>>Хм, получается что частному лицу с паспортом и счетом за телефон доверяют больше чем ООО с переведенным уставом, где прописаны например, продажа и ремонт компьютеров, написание и распространение софта и тд. Как-то по поему это противоречит задачам, которые решает сертификаты (безопасность)
O>Погодите. "Рога и Копыта" — это ведь речь шла про липовую контору, существующую только на бумаге ? O>Если так, то я не вижу никаких противоречий.
Да нет, почему. Не липовую. Обыкновенное ООО, в уставе которого прописаны "на всякий случай" и то, что относится к IT.
Re: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, okman, Вы писали:
O>Идем в Products/Code Signing, жмем "Buy Now" напротив "Individual Developers". Сохраняем "campaign code", O>показанный на первой странице — это нужно для правильного формирования цены, без использования O>данного кода вам будет выставлен счет на неправильную сумму.
Тоже чуть не лохонулся на этом. Благо мою первую попытку регистрации проигронили, создал вторую с правильным заполнением.
В ноябре буду продлевать на 2 года.
Re[3]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, okman, Вы писали:
O>Здравствуйте, x64, Вы писали:
x64>>Мне больше интересно, что за драйвер и в составе какого продукта ты собрался распространять? Если это не секрет, конечно.
O>Не секрет. Программа — это развитие темы родительского контроля.
Ну и какое современное дите не знает про LiveCD и прочее?
Здравствуйте, BlackEric, Вы писали:
BE>Ну и какое современное дите не знает про LiveCD и прочее?
Любую защиту можно обойти. Но это не значит, что не надо защищаться.
Ребенок, который знает про LiveCD, умеет загрузиться с флэшки и какой-нибудь
правкой реестра отключить защиту, а потом самостоятельно настроить сеть и
сидеть качать порно, рубаясь в CS — это не наша целевая аудитория.
Re: Сертификат для подписи драйвера, частное лицо.
Стесняюсь спросить...
O>2. Скан паспорта (последняя страница) в электронном виде.
А это что? У меня на последней странице паспорта — "выдан взамен..."
А морда лица с ФИО мои не нужны что ли?
Re[2]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, CyberDemon, Вы писали:
CD>Стесняюсь спросить...
O>>2. Скан паспорта (последняя страница) в электронном виде. CD>А это что? У меня на последней странице паспорта — "выдан взамен..." CD>А морда лица с ФИО мои не нужны что ли?
Конечно же, имелась в виду страница с ФИО и фото.
В моем паспорте эта страница последняя, а как так еще бывает — я не в курсе.
А вот тоже интересно, всякие там справки об освобождении они принимают ?
Re[6]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, artyst1, Вы писали:
A>okman, а как на эту ЭЦП реагируют антивирусы? Например аваст файлы с винраровской ЭЦП сразу помещает в песочницу. А как с этой ЭЦП?
Однозначно трудно сказать, но насколько мне известно, цифровая подпись не является панацеей от
предупреждений антивирусов и вообще системы безопасности — это всего лишь один из факторов,
который будет принят во внимание эвристическими анализаторами в процессе определения степени
опасности файла, не больше. То есть, файл маленького размера, с какой-нибудь hook.dll в ресурсах,
собранный старым или неизвестным компоновщиком или упаковщиком, с большой вероятностью будет
расценен большинством проактивных защит как вредоносный, даже несмотря на наличие подписи.
Re: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, okman, Вы писали:
O>Идем в Products/Code Signing, жмем "Buy Now" напротив "Individual Developers". Сохраняем "campaign code", O>показанный на первой странице — это нужно для правильного формирования цены, без использования O>данного кода вам будет выставлен счет на неправильную сумму.
Сегодня пошел туда регистрироваться, ввел "Individual" — получил на выходе сумму в 175 Евро за годовой сертификат. Ввел Campaign Code — говорит "Not found". Написал в поддержку — ответили, что это VAT (76%, ага), и мне нужно ввести какой-то "your companies VAT number". Попросил объяснить, что это такое, жду ответа.
Re[2]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Сегодня пошел туда регистрироваться, ввел "Individual" — получил на выходе сумму в 175 Евро за годовой сертификат. Ввел Campaign Code — говорит "Not found". Написал в поддержку — ответили, что это VAT (76%, ага), и мне нужно ввести какой-то "your companies VAT number". Попросил объяснить, что это такое, жду ответа.
Campaign Code нужно вводить на странице "Product Details". И нажать "Redeem Code", чтобы пересчитали на
правильную цену. А еще в "Certificate Identity Details" нужно явно указать тип сертификата, поставив
галочку в "Individuals". В моем случае этого оказалось достаточно, не спрашивали никаких VAT, ИНН или УНП.
P.S. Если, конечно, за последние три-четыре месяца у них там ничего не поменялось...
Re[3]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, okman, Вы писали:
O>Campaign Code нужно вводить на странице "Product Details". И нажать "Redeem Code", чтобы пересчитали на O>правильную цену. А еще в "Certificate Identity Details" нужно явно указать тип сертификата, поставив O>галочку в "Individuals".
Я уже не помню, как называлась страница, где указывалась цена и запрашивались коды Campaign и Coupon, но кнопки Redeem там были. И нажатие на любую из них после ввода кода в это поле приводило к выводу сообщения "Not found".
Посмотрю, что ответит поддержка.
Re[3]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, okman, Вы писали:
O>Campaign Code нужно вводить на странице "Product Details".
Разобрался, с божьей помощью. Все у них, не как у людей. Campaign Code выдается сразу же после клика на "Buy Now" на заглавной странице "Code Signing". Соответственно, автоматически выдается долларовый код, который я и сохранил, а регион запрашивается позже. Сотрудник поддержки потом прислал код для евро, но это не помогло, поскольку я первоначально указал "Software Developer" вместо "Individual", а правку система почему-то не восприняла.
Позже зашел через личный аккаунт — там перед кликом на "Buy Certificate" нужно кликнуть на закладке "Code Signing", а закладки эти выглядят (возможно, только в Опере), как простой заголовок страницы. Если сразу идешь в Buy — выдает выбор только из доменных сертификатов. В общем, все задом наперед.
В итоге внес все данные, заплатил 99 евро, отправил сканы документов на vetting@globalsign.com. В письме предупредил, чтобы не пугались корявого английского, если будут звонить по телефону.
Re: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, okman, Вы писали:
O>(я тогда забыл про campaign code и недоумевал, почему цена на странице заказа указана $229, хотя на O>главной "обещали" $129)
Ты в долларах платил, или в еврах? У меня оно потребовало выбрать регион — пришлось указать Europe, а там все только в еврах.
Re[2]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Ты в долларах платил, или в еврах? У меня оно потребовало выбрать регион — пришлось указать Europe, а там все только в еврах.
В списке регионов я выбирал "Other" и потом платил в USD.
Кстати, к ним на сайт, особенно для серъезных вещей типа процедуры получения самого
сертификата, лучше заходить только через FireFox. Если пользоваться другими браузерами,
там могут возникать различные глюки.
Re[3]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, okman, Вы писали:
O>Кстати, к ним на сайт, особенно для серъезных вещей типа процедуры получения самого O>сертификата, лучше заходить только через FireFox. Если пользоваться другими браузерами, O>там могут возникать различные глюки.
Эти глюки — любимое развлечение, по-моему, всех генераторов сертификатов. По уму, они должны генерить только сам сертификат и публичный ключ для него, а секретный ключ клиента должен генериться исключительно на его компьютере. А вот должен ли публичный ключ клиента включаться в состав сертификата — не помню. Если да — скорее всего, браузер обеспечивает синхронизацию ключей в сертификате, отсюда и одноразовость процедуры. Если нет — достаточно забрать публичную часть сертификата с сайта (это делается обычным скачиванием), вручную сгенерить для него секретный ключ и вручную же объединить это дело в .pfx.
Re[4]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>По уму, они должны генерить только сам сертификат и публичный ключ для него, а секретный ключ клиента должен генериться исключительно на его компьютере.
А такое возможно разве ?
В RSA оба ключа криптографически связаны, генерируются вместе, и нельзя просто создать
одну половинку ключей в отрыве от другой.
Re[4]: Сертификат для подписи драйвера, частное лицо.
Наверное, безопаснее всего было бы так — клиент сам генерирует пару ключей для своего будущего
сертификата (например, через какой-нибудь специальный плагин для браузера), затем отправляет
public-ключ на сервер, где на основании этого ключа ему генерируется и выдается сертификат.
private-ключ не покидает пределы клиентской зоны.
Re[4]: Сертификат для подписи драйвера, частное лицо.
GoDaddy недавно стал выпускать сертификаты, пригодные для подписи драйверов.
Прикол в том, что они используют не SHA-1, а SHA-256, а проверять в ядре подписи с
таким хэшем может только Windows 8. Иными словами, 64-битный драйвер, подписанный
таким сертификатом, запустится только на Windows 8 и выше. На GoDaddy об этом
умалчивается, и я уже натыкался на сообщения разных форумов, где "need help,
driver for windows 8 is not working on vista and windows 7".
И еще. Как известно, VeriSign (Symantec) в 2010 году перевыпустил свои сертификаты.
Так вот, у меня тут была возможность (с любезного разрешения одной организации)
подписать несколько своих exe-шников VeriSign-овском сертификатом, исключительно в
тестовых целях, после чего я побежал проверять подписи на "голых" системах.
Что характерно — только на Windows 7 и выше подпись узнается, на XP и Vista, даже с
последними сервис-паками, пишется "неизвестный издатель" и "подпись не удается проверить".
Re[5]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, okman, Вы писали:
O>клиент сам генерирует пару ключей для своего будущего O>сертификата (например, через какой-нибудь специальный плагин для браузера), затем отправляет O>public-ключ на сервер, где на основании этого ключа ему генерируется и выдается сертификат. O>private-ключ не покидает пределы клиентской зоны.
Как я понимаю, именно так и делается. И если браузер при этом не может сохранить свой ключ — скачанный впоследствии сертификат становится бесполезным.
Re: Сертификат для подписи драйвера, частное лицо.
Здравствуйте!
Мы рады сообщить, что GlobalSign расширяется в России, и решил создать свой новый офис в Москве. По этому случаю мы будем присутствовать на выставке WHD.local в Москве в 15ое ноября.
WHD — одна из крупнейших выставок для хостинговых компаний и экспертов интернет-индустрии, и она выбрала столицу России для организации одной из своих местных выставок, потому что Россия является одним из основных актеров интернет-бизнеса.
Я сама буду присутствовать на выставке и хотела бы использовать эту возможность, чтобы с вами встречаться и обсуждать последние обновления цифровой безопасности, а так же представлять вас наши новейши продукты и решения.
За дополнительной информацией или за организацей встречы обращайтесь ко мне !
Здравствуйте, acDev, Вы писали:
D>А мне сегодня пришло вот такое письмо:
D>[q]Здравствуйте! D>Мы рады сообщить, что GlobalSign расширяется в России, и решил создать свой новый офис в Москве. По этому случаю мы будем присутствовать на выставке WHD.local в Москве в 15ое ноября. D>...
Интересно, у GlobalSign (или другой аналогичной конторы) есть шансы немного потеснить Symantec (VeriSign) с
ее монопольной позиции ? Ведь сейчас куда ни зайди, какую сертификационную программу не выбери — везде
принимают только сертификаты Symantec. Я имею в виду WHQL, Windows Logo, распостранение приложений через
MS Store, Windows Error Reporting и т.д. Не то, что я бы сильно против Symantec, просто когда на рынке
только один игрок, это не очень хорошо...
D>В ноябре буду продлевать на 2 года.
Ноябрь на дворе, кстати
Вы уже сделали Renew ? Буду признателен, если опишите подробнее.
Например, там нужно заново заполнять формы, слать документы и т.д. или достаточно сделать
несколько кликов и все ? И еще такой вопрос — серийный номер сертификата остается старым или
выдается новый ?
Re[3]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, okman, Вы писали:
D>>В ноябре буду продлевать на 2 года.
O>Ноябрь на дворе, кстати O>Вы уже сделали Renew ? Буду признателен, если опишите подробнее. O>Например, там нужно заново заполнять формы, слать документы и т.д. или достаточно сделать O>несколько кликов и все ?
Да. Уже обновил. Отдал за это 160 USD (продлил на год). Правда так и не понял откуда такая сумма. Уменьшить её никаким образом у меня не получилось.
Сам думал что несколько кликов и всё. Оказалось всё совсем по бюрократически.
Выслали мне PDF-форму, в которую нужно от руки вписать email, ФИО и свою подпись рукописную. Распечатал, вписал, отсканил.
Также запросили сканы паспорта и какого либо международного документа с личной подписью.
Отправил менеджеру скан форма-запроса, скан паспорта, скан водитеских прав.
Неделю ожидал ответа.
Не выдержал и написал: "Jack, I'm still waiting for an answer." и через 7 часов получил ссылку на генерацию и скачивание сертификата.
O> И еще такой вопрос — серийный номер сертификата остается старым или выдается новый ?
Серийник изменился.
А так же ещё добавили новое поле "Понятное имя", которое содержит "ID GlobalSign nv-sa от FirstName LastName"
Re[4]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, acDev, Вы писали:
D>Да. Уже обновил. Отдал за это 160 USD (продлил на год). Правда так и не понял откуда такая сумма. Уменьшить её никаким образом у меня не получилось. D>Сам думал что несколько кликов и всё. Оказалось всё совсем по бюрократически.
D>...
D>Серийник изменился.
Не понял. А в чем тогда смысл делать renew, если получается как бы совсем другой сертификат,
да еще за большую цену ? Не проще заказать еще один сертификат ? Или так нельзя ?
Re: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, okman, Вы писали:
O>В итоге уже через сутки мне пришло электронное письмо с приятным названием: "Certificate O>Download Ready".
А с моим запросом они тормозят уже почти три недели. 1 ноября прошел регистрацию и оплатил заявку, отправил сканы российского паспорта (со странцей штампа прописки), заграниченого паспорта, национального ВУ и свидетельства о регистрации на машину (опять-таки с адресом). 13 ноября они попросили скан квитанции коммунальных услуг, где был бы мой адрес — отправил. На следующий день попросили подчеркнуть в квитанции место, где указан адрес — выходит, у них там вообще никто по-русски не читает, да и с соображаловкой не очень, иначе и без этого разглядели бы нужные цифры, которые я указывал в регистрационной форме. Подчеркнул, написал в письме кириллическое название улицы, дал ссылку на мой дом в Google Maps — пока молчат.
Re[2]: Сертификат для подписи драйвера, частное лицо.
Зарегился 8 ноября, получил сертификат 26 ноября.
Для верификации отослал скан водительских прав и квитанцию за отопление. Потом была долгая переписка что телефон невозможно получить из достоверных источников. Сошлись на подтверждении через обычную почту. В итоге они прислали письмо с паролем почтой и через час был готов сертификат.
Не стесняйтесь с ними общаться как по мылу так и в чате.
ЕМ>А с моим запросом они тормозят уже почти три недели.
newbie
Re[3]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, pva, Вы писали:
pva>Не стесняйтесь с ними общаться как по мылу так и в чате.
Ну вот той мадаме, что просила дополнительные сканы, я написал еще в прошлую среду — тишина. Консультанту, с которым общался по поводу стоимости, написал в пятницу — тоже тишина. Надо, действительно, в чат сходить.
Re[3]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, pva, Вы писали:
pva>Потом была долгая переписка что телефон невозможно получить из достоверных источников. pva>Сошлись на подтверждении через обычную почту. В итоге они прислали письмо с паролем pva>почтой и через час был готов сертификат. pva>Не стесняйтесь с ними общаться как по мылу так и в чате.
Мне письмо из США шло около 50 дней. Получил это письмо, когда на руках уже был готовенький сертификат.
Написал в поддержку о том, что письмо не пришло. Менеджер сам предложил переслать сканы по E-mail.
Это было год назад (описывал этот процесс в другой ветке).
Re[4]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, acDev, Вы писали:
D>Мне письмо из США шло около 50 дней. Получил это письмо, когда на руках уже был готовенький сертификат. D>Написал в поддержку о том, что письмо не пришло. Менеджер сам предложил переслать сканы по E-mail. D>Это было год назад (описывал этот процесс в другой ветке).
Из Бельгии шло 5 дней. Никаких проблем.
Заморочка с письмами только из-за того что им нужен телефон из достоверных сторонних источников. А поскольку у нас сим-карты не персонифицированы, препейд оплачивать онлайн не проблема — счетов нет и доказать что это твой номер нереально.
Я им даже видео сессии клиент-банка присылал с демонстрацией сертификата банка и двухфакторной аутентификацией на свой номер телефона. Не прокатило — видео не принимается по регламенту как доказательство.
Что реально ускорило процесс — это онлайн чат. Очень отзывчивый и оперативный. Так что несмотря на задержку и некоторый бюрократизм — обслуживанием я остался доволен на все 5 из 5. Желаю глобалу процветать.
newbie
Re[5]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, pva, Вы писали:
pva>Что реально ускорило процесс — это онлайн чат. Очень отзывчивый и оперативный.
Я сегодня туда влез — сперва в штатовский, но тамошний сотрудник ответил, что у него нет данных по европейскому отделению, потом в британский — тот буквально пару минут выяснял, после чего сказал, что у них только один сотрудник умеет читать по-русски, и его уже поторопили, в ближайшие дни должен закончить проверку. Надеюсь, что не будут долго тормозить. Однако, уже почти месяц прошел.
Re[6]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Я сегодня туда влез — сперва в штатовский, но тамошний сотрудник ответил, что у него нет данных по европейскому отделению, потом в британский — тот буквально пару минут выяснял, после чего сказал, что у них только один сотрудник умеет читать по-русски, и его уже поторопили, в ближайшие дни должен закончить проверку. Надеюсь, что не будут долго тормозить. Однако, уже почти месяц прошел.
Если общаться по буржуйски — никаких проблем нет.
Что касается документов, то я делал проще — высылается две картинки. Одна — чистый оригинал, вторая — в паинте обведены места и дан перевод на английский. Также в тексте письма дублировал текст как на русском, так и на английском. Чтобы они загнав в любой переводчик копи-пастой могли удостовериться что буквы примерно совпадают.
newbie
Re[7]: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, pva, Вы писали:
pva>Что касается документов, то я делал проще — высылается две картинки. Одна — чистый оригинал, вторая — в паинте обведены места и дан перевод на английский.
Дык, ежли бы они хоть где-то написали, что это поможет — я бы так и сделал (делал уже для сертификата от Comodo, который так ни разу и не использовал, поскольку они за каким-то хреном вбили туда мой домашний адрес). Но там написано, что нужно просто отправить документы — они ж бывают не только на английском, вот я и подумал, что у них для распространенных языков всегда найдутся люди.
Re: Сертификат для подписи драйвера, частное лицо.
Здравствуйте, okman, Вы писали:
O>В итоге уже через сутки мне пришло электронное письмо с приятным названием: "Certificate Download Ready".
Одно из трех: либо у Вас все так быстро прошло потому, что Вы, указав "Other", а не "Europe", попали на штатовское отделение, которое работает быстрее, либо Вам фантастически повезло, либо фантастически не повезло мне. Напомню, что я им сканы документов отослал 2-го ноября, обрабатывает их европейское отделение, которое находится в Англии. 13-го они попросили скан счета за коммунальные услуги, 14-го — указать, где именно в счете находится адрес. 21-го я написал тетке, которая просила счет (Carla Neves) — тишина. 23-го написал сотруднику поддержки, который консультировал меня на этапе подачи заявки — тишина. 27-го еще раз написал на vetting@ — тишина. Где-то в последних числах ноября связался с консультантом в чате — он заверил, что пинок службе проверки дан, и в течение нескольких дней сертификат будет готов. Прошло полторы недели — тишина. Несколько дней назад создал тикет — ответили, что переслали мою жалобу в Vetting Department (то есть, тем, на кого я жаловался).
Сейчас в очередной раз ходил в чат. Сотрудник ответил, что еще в конце ноября мне отправлено (обычной почтой) письмо с паролем-подтверждением, который мне нужно будет назвать, позвонив по британскому номеру. На вопрос, почему я об этом не знаю, ответил, что факт отправки такого письма фиксируется только в их внутренних документах, а я не получаю ни уведомления по email, ни отметки в своем аккаунте.
После этой месячной пляски с бубном у меня все сильнее крепнет желание послать их на хер, и продолжить пользоваться сертификатами организации-компаньона от VeriSign за $500 в год. Пусть дорого, но такого откровенно наплевательского отношения там нет.
Re[2]: Сертификат для подписи драйвера, частное лицо.
ЕМ>После этой месячной пляски с бубном у меня все сильнее крепнет желание послать их на хер, и продолжить пользоваться сертификатами организации-компаньона от VeriSign за $500 в год. Пусть дорого, но такого откровенно наплевательского отношения там нет.
Сегодня сертификат у партнера истек, от GlobalSign по-прежнему нет ни письма, ни ответа на мои дополнительные вопросы, сообщение с которыми я им отправил 7 января. Спустился к почтовому ящику — лежит инвойс от MS на продление подписки MSDN, отправленный из Германии 6 декабря. Представители GlobalSign утверждали, что свои письма отправляли в конце ноября и первых числах декабря — хрен знает, куда они оба делись.
Финал: GlobalSign идет лесом, как минимум — до следующей осени. Хотя осенью с них определенно начинать не буду, сперва свяжусь с другими компаниями, выпускающими сертификаты Authenticode для физлиц.
Re[3]: Сертификат для подписи драйвера, частное лицо.