certificados digitais no Windows

JavaGuru Membro desde: 22/02/2005 19:46:49 Mensagens: 205 Offline

Pra onde vai os certificados digitais instalados no Windows? Pro registro?? pq o firefox nao carrega a mesma lista de certificados do IE? Alguém sabe??

Estou desenvolvendo uma aplicação que precisa listar todos certificados "instalados na máquina", em .NET eles usam a DLL CAPICOM pra isso, é a mesma fonte q o IE usa pra carregar essa lista. Mas o Firefox nao usa, nao consigo importar estes certificados da máquina pro Firefox nem muito menos listá-los sem usar essa tal CAPICOM. Alguém pode me elucidar melhor sobre isso???

Desde já agradeço a atenção

Moderador Membro desde: 29/07/2004 16:10:13 Mensagens: 17543 Offline

Para uma conta do titio Bill, que agora está nas Ilhas Cayman, mas vai ser transferida para um outro paraíso fiscal.

Brincadeirinha - eles ficam implantados no Registry, em formato criptografado. É necessário usar a MS CryptoAPI para acessá-los.

Se você puder usar o Mustang, ele disponibiliza um novo provedor (SunMSCAPI) que pode acessar esses tais certificados via MS CryptoAPI.

Senão, você vai ter de meter a mão no bolso para pagar alguém que forneça um JCE Provider que acesse a CryptoAPI. Não sei assim de "bate-pronto" quem fornece esse tal provider.

JavaGuru Membro desde: 22/02/2005 19:46:49 Mensagens: 205 Offline

Vlw Thingoll!! Salvando minha pele denovo!! ^^

Moderador Membro desde: 29/07/2004 16:10:13 Mensagens: 17543 Offline

Os certificados instalados no Firefox estão em um outro lugar, e são acessados via NSAPI (API do Netscape para segurança).
Eles ficam em um arquivo do tipo BerkeleyDB, só que criptografados também.
Se você precisa listar os certificados do Firefox, faça uma aplicação em JavaScript do Firefox mesmo, não em Java.

JavaGuru Membro desde: 22/02/2005 19:46:49 Mensagens: 205 Offline

thingol wrote: faça uma aplicação em JavaScript do Firefox mesmo

O q vc quis dizer com JavaScript do Firefox?? Não entendi bem, eu sei q usando em JavaScript "navigator.algumaCoisa" eu pego familia, versao e etc do browser. Mas eu consigo usar a NSAPI via JavaScript tbm??

Moderador Membro desde: 29/07/2004 16:10:13 Mensagens: 17543 Offline

O JavaScript do Firefox tem um caminhão de objetos prontos, só não sei se ele tem algum que manipula certificados digitais. Se não houver isso é necessário escrever uma extensão do Firefox em C (XPI). Não cheguei a mexer com isso, por isso é que estou só dizendo as linhas gerais.

JavaGuru Membro desde: 22/02/2005 19:46:49 Mensagens: 205 Offline

Tu indica um site onde eu possa pegar a referencia desses objetos do javaScript do firefox?? tipo o da api da sun.. aki no google ta duído

Moderador Membro desde: 29/07/2004 16:10:13 Mensagens: 17543 Offline

Baixe o fonte do Firefox e procure (he he he) - brincadeirinha, deve haver alguma área do site www.mozilla.com que seja para "developers". Faz tanto tempo que não visito a parte de "developers" do site Mozilla que nem sei mais onde é que fica isso.

Repositório do windows:
1) Use o mustang (conforme indicado pelo thingol)
2) https://download.assembla.se/jceprovider/, não é fantástico (pelo menos quando eu usei, já faz um tempo) mas para listar certificados funciona.

Firefox:
1) http://www.mozilla.org/projects/security/pki/jss/, em especial org.mozilla.jss.CryptoManager
2) Use via pkcs11 - o jdk 1.5+ tem um provider para pkcs11 e para jdk's anteriores a ibm tinha um (esqueci o link) - e monte no soft-token que a NSS usa para ser o repositório de chaves e certificados.

qualquer coisa grita...

ps- a "NSAPI" é um termo altamente dilatado, normalmente associado ao processamento de request/response do http server da netscape, à la ISAPI do IIS, para catar no google essa parte de segurança do mozilla procure por "NSS" (http://www.mozilla.org/projects/security/pki/nss/)

ps2- se tiver alguma *viagem* (não duvido nada

) nesse post, manda pirão - eu sou o 1o. interessado

Moderador Membro desde: 29/07/2004 16:10:13 Mensagens: 17543 Offline

Obrigado, IndyanaJones.
a) Não lembrava mais que era NSS (NSAPI é o ISAPI do Netscape/Sun Web Server).
b) Não lembrava mais que o provider era o tal do Assembla.

eu tive a minha via crucis quando eu tive que escrever um módulo pkcs11 para a NSS e um CSP para o explorer. Ainda acordo gritando no meio da noite por causa *daquelas coisas*

Por incrível que possa parecer, neste ponto em particular, a documentação da mozilla é bem, bem melhor do que a da microsoft - tanto em termos de clareza como riqueza de detalhes....

Moderador Membro desde: 29/07/2004 16:10:13 Mensagens: 17543 Offline

Se você precisa de algo da Microsoft a respeito de CSPs, tem de contratar um especialista deles. Acho que no Brasil a Microsoft só tem um especialista sobre isso, e a Microsoft cobra caríssimo - só para contratá-lo é necessário pagar uma reunião com o superior dele. (Participei da tal reunião também).

JavaGuru Membro desde: 22/02/2005 19:46:49 Mensagens: 205 Offline

Brigado indyana e thingol.. agora to procurando e lendo aki.. qualquer coisa volto a incomodar vcs...^^

JavaGuru Membro desde: 22/02/2005 19:46:49 Mensagens: 205 Offline

E quanto a essa tal de Bouncy Castle? Ela só manipula certificados que nao estejam criptografados ou só q nao estejam no registro do windows??

Moderador Membro desde: 29/07/2004 16:10:13 Mensagens: 17543 Offline

O BouncyCastle não lida com essa parte de hardware.
É mais especializada em implementar algoritmos e formatos de dados criptográficos. Por exemplo, se você quiser mandar um email PGP ou S/MIME criptografado e assinado, é a biblioteca a ser usada.

Notícias, artigos e o maior fórum brasileiro sobre Java