Potíže s Javou při použití certifikátu pro vstup na web

Jan Kulhánek

Zdravím všechny,
po nějaké době se potřebuju přihlásit do portálu zdravotní pojišťovny přes kvalifikovaný certifikát. Jejich systém používá Java applet JSigner, nevyužívá úložiště browseru pro certifikáty, ale úložiště Javy.
Nainstaloval jsem si Java 9 a v Java Web Start jsem uložil certifikát.
Při vstupu na portál ZP se začne applet JSigner stahovat, ale nakonec to vyhodí hlášku, že nelze aktualizovat podepisovací applet, chyba může být v nedostatečných právech pro zápis na disk. Pokud spustím Firefox jako root, systém nefunguje vůbec.
Máte prosím někdo řešení?


Lol Phirae

Re:Potíže s Javou při použití certifikátu pro vstup na web
« Odpověď #1 kdy: 25. 03. 2016, 12:56:04 »
A zkusil ses podívat do toho logu, jak ti píšou?

Re:Potíže s Javou při použití certifikátu pro vstup na web
« Odpověď #2 kdy: 25. 03. 2016, 13:04:23 »
Určitě bych začal tím, že si nainstalujete aktuální produkční verzi Javy, tedy Javu 8 (konkrétně od Oracle Java SE 8u77). Java 9 je teprve ve vývoji, takže bych se vůbec nedivil, pokud s ní nějaká aplikace nebude fungovat.

Jan Kulhánek

Re:Potíže s Javou při použití certifikátu pro vstup na web
« Odpověď #3 kdy: 26. 03. 2016, 00:14:54 »
Do logu jsem se díval a přiznám se, že tomu nerozumím. Nainstaloval jsem Java 8 a výsledek je stejný - podepisovací plugin se stahuje a pak vyskočí stejná hláška.

Lol Phirae

Re:Potíže s Javou při použití certifikátu pro vstup na web
« Odpověď #4 kdy: 26. 03. 2016, 00:58:40 »
Do logu jsem se díval a přiznám se, že tomu nerozumím.

Dneska jsou nějaký skvrny na slunci, asi. Nejdřív jeden s husím krkem a teď tohle.

Co sem třeba obsah toho logu hodit, když tomu sám nerozumíš?Jan Kulhánek

Re:Potíže s Javou při použití certifikátu pro vstup na web
« Odpověď #5 kdy: 26. 03. 2016, 09:54:44 »
Obsah logu PKI/update2.log:

Kód: [Vybrat]
update log created: 26.03.2016 09:50:22

global result: 0

----------------------------------------------------------------
record no. [1/6]
----------------------------------------------------------------
file update result: 5 (rename file)
detail: source=/home/jank2/PKI/tmp/dutils.jar, target=/usr/lib/jvm/java-8-oracle/jre/lib/ext/dutils.jar
detail: java.io.FileNotFoundException: /usr/lib/jvm/java-8-oracle/jre/lib/ext/dutils.jar (Operace zamítnuta)

target alias: t01

info: Utilities Library
dest file: /usr/lib/jvm/java-8-oracle/jre/lib/ext/dutils.jar
target file successfully updated: false
update mode: required

found client source alias: empty


found server source alias: f21
info: 2.0
version: required
file: dutils.jar
archive: dutils.zip
source path: obj
downloaded data size [b]: 86126
download URL: https://portal.vozp.cz/obj/dutils.zip
used temp file: /home/jank2/PKI/tmp/3c5fb980.temp

----------------------------------------------------------------
record no. [2/6]
----------------------------------------------------------------
file update result: 5 (rename file)
detail: source=/home/jank2/PKI/tmp/iaik_jce_full_signed.jar, target=/usr/lib/jvm/java-8-oracle/jre/lib/ext/iaik_jce_full_signed.jar
detail: java.io.FileNotFoundException: /usr/lib/jvm/java-8-oracle/jre/lib/ext/iaik_jce_full_signed.jar (Operace zamítnuta)

target alias: t02

info: Crypto Extensions
dest file: /usr/lib/jvm/java-8-oracle/jre/lib/ext/iaik_jce_full_signed.jar
target file successfully updated: false
update mode: required

found client source alias: empty


found server source alias: f22
info: 2.0
version: required
file: iaik_jce_full_signed.jar
archive: jce.zip
source path: obj
downloaded data size [b]: 636045
download URL: https://portal.vozp.cz/obj/jce.zip
used temp file: /home/jank2/PKI/tmp/47786d57.temp

----------------------------------------------------------------
record no. [3/6]
----------------------------------------------------------------
file update result: 5 (rename file)
detail: source=/home/jank2/PKI/tmp/iaikPkcs11Provider_signed.jar, target=/usr/lib/jvm/java-8-oracle/jre/lib/ext/iaikPkcs11Provider_signed.jar
detail: java.io.FileNotFoundException: /usr/lib/jvm/java-8-oracle/jre/lib/ext/iaikPkcs11Provider_signed.jar (Operace zamítnuta)

target alias: t03

info: PKCS#11 Interface
dest file: /usr/lib/jvm/java-8-oracle/jre/lib/ext/iaikPkcs11Provider_signed.jar
target file successfully updated: false
update mode: required

found client source alias: empty


found server source alias: f23
info: 2.0
version: required
file: iaikPkcs11Provider_signed.jar
archive: provider.zip
source path: obj
downloaded data size [b]: 276134
download URL: https://portal.vozp.cz/obj/provider.zip
used temp file: /home/jank2/PKI/tmp/239c4226.temp

----------------------------------------------------------------
record no. [4/6]
----------------------------------------------------------------
file update result: 5 (rename file)
detail: source=/home/jank2/PKI/tmp/iaikPkcs11Wrapper.jar, target=/usr/lib/jvm/java-8-oracle/jre/lib/ext/iaikPkcs11Wrapper.jar
detail: java.io.FileNotFoundException: /usr/lib/jvm/java-8-oracle/jre/lib/ext/iaikPkcs11Wrapper.jar (Operace zamítnuta)

target alias: t04

info: Cryptoki Wrapper
dest file: /usr/lib/jvm/java-8-oracle/jre/lib/ext/iaikPkcs11Wrapper.jar
target file successfully updated: false
update mode: required

found client source alias: empty


found server source alias: f24
info: 2.0
version: required
file: iaikPkcs11Wrapper.jar
archive: wrapper.zip
source path: obj
downloaded data size [b]: 229187
download URL: https://portal.vozp.cz/obj/wrapper.zip
used temp file: /home/jank2/PKI/tmp/3fcadd60.temp

----------------------------------------------------------------
record no. [5/6]
----------------------------------------------------------------
file update result: 5 (rename file)
detail: source=/home/jank2/PKI/tmp/local_policy.jar, target=/usr/lib/jvm/java-8-oracle/jre/lib/security/local_policy.jar
detail: java.io.FileNotFoundException: /usr/lib/jvm/java-8-oracle/jre/lib/security/local_policy.jar (Operace zamítnuta)

target alias: t06

info: Java Local Policy
dest file: /usr/lib/jvm/java-8-oracle/jre/lib/security/local_policy.jar
target file successfully updated: false
update mode: required

found client source alias: empty


found server source alias: f26
info: 2.0
version: required
file: local_policy.jar
archive: policy.zip
source path: obj
downloaded data size [b]: 4521
download URL: https://portal.vozp.cz/obj/policy.zip
used temp file: /home/jank2/PKI/tmp/6d72b6a1.temp

----------------------------------------------------------------
record no. [6/6]
----------------------------------------------------------------
file update result: 5 (rename file)
detail: source=/home/jank2/PKI/tmp/US_export_policy.jar, target=/usr/lib/jvm/java-8-oracle/jre/lib/security/US_export_policy.jar
detail: java.io.FileNotFoundException: /usr/lib/jvm/java-8-oracle/jre/lib/security/US_export_policy.jar (Operace zamítnuta)

target alias: t07

info: Java Export Policy
dest file: /usr/lib/jvm/java-8-oracle/jre/lib/security/US_export_policy.jar
target file successfully updated: false
update mode: required

found client source alias: empty


found server source alias: f27
info: 2.0
version: required
file: US_export_policy.jar
archive: policy.zip
source path: obj
downloaded data size [b]: 4521
download URL: https://portal.vozp.cz/obj/policy.zip
used temp file: /home/jank2/PKI/tmp/6d72b6a1.temp


----------------------------------------------------------------
update plan download URL:
https://portal.vozp.cz/obj/pkiupdate.prop
----------------------------------------------------------------


----------------------------------------------------------------
update plan begin
----------------------------------------------------------------
#   prepsano pro puvodni verzi property souboru
#   version 13.00 - X.2008

###########################################################
#   variables
#
#   glob�ln� definice
###########################################################
var.sourcePath=obj
var.destPath=[java.home]/lib/ext
var.systemPath={system}


###########################################################
#   aliases
#
#   seznamy rozezn�van�ch verz� a c�lov�ch soubor�
#   aktu�ln� pou�it� aliasy:
# - f - ostatn� komponenty (v�em mimo cesp soubor� viz. seznam komponent autoinstall.txt)
# - CCI - csep11.dll - Chip-Card Interface
# - CCD - csep11p.dll - Chip-Card Driver
# - CCLS - csep11p.sig - Chip-Card Library Signature
# - ULJAR - dutils.jar - Utilities Library
#   aktu�ln� pou�it� targety:
# - TCCI - csep11.dll - Chip-Card Interface
# - TCCD - csep11p.dll - Chip-Card Driver
# - TCCLS - csep11p.sig - Chip-Card Library Signature

###########################################################
alias.source=f00;f11;f21;f31;f12;f22;f13;f23;f14;f24;f15;f25;f16;f26;f17;f27;f18;
alias.source=CCI1;CCI2;CCI3;CCI4;
alias.source=CCD1;CCD2;CCD4;
#alias.source=CCLS1;CCLS2;CCLS4;
alias.target=t00;t01;t02;t03;t04;t06;t07;
#alias.target=t05

#alias.target=TCCI;TCCD;TCCLS;


###########################################################
#   sources
#
#   archive - definuje se jen, pokud je soubor obsa�en v archivu (stahuje se pro v�echny obsa�en� soubory jen jednou)
#   crc - kontroln� sou�et verze pro detekci jej� p��tomnosti na u�ivatelov� PC
#   desc - dopl�kov� popis, jako vysv�tlivka do logu o pr�b�hu aktualizace
#   file - n�zev souboru po nahr�n� a vybalen� z archivu, jeho verze je definov�na
#   info - popis verze souboru, spole�n� pro v�echny jazykov� verze, je vkl�d�n do obrazovky pro manu�ln� aktualizaci (!)
#   parent - pokyn k napln�n� prom�nn�ch z jin� definice source, napln�n� definice lze nahradit pozd�j��m v�skytem definice stejn� prom�nn�
#   path - URL odkud se soubor nahraje (p��padn� archiv, je-li definov�n)
#   
#   mus� obsahovat definice v�ech vyjmenovan�ch alias�
###########################################################

##### f00 - abstract base #################################
#   spole�n� definice pro rozezn�van� verze
#
f00.path=$sourcePath


##### f11 #####
f11.info=1.0
f11.parent=f00
f11.file=dutils.jar
f11.archive=dutils.zip
f11.crc=39B6DB5E

##### f21 #####
f21.info=2.0
f21.parent=f00
f21.file=dutils.jar
f21.archive=dutils.zip
f21.crc=4ADB308C

##### f31 #####
f31.info=1.0
f31.parent=f00
f31.file=dutils.jar
f31.archive=dutils.zip
f31.crc=B31E5BD0

##### f12 #####
f12.info=1.0
f12.parent=f00
f12.file=iaik_jce_full_signed.jar
f12.archive=jce.zip
f12.crc=F1B4C4E1

##### f22 #####
f22.info=2.0
f22.parent=f00
f22.file=iaik_jce_full_signed.jar
f22.archive=jce.zip
f22.crc=8002B5D8


##### f13 #####
f13.info=1.0
f13.parent=f00
f13.file=iaikPkcs11Provider_signed.jar
f13.archive=provider.zip
f13.crc=3207E426

##### f23 #####
f23.info=2.0
f23.parent=f00
f23.file=iaikPkcs11Provider_signed.jar
f23.archive=provider.zip
f23.crc=D9E36C1

##### f14 #####
f14.info=1.0
f14.parent=f00
f14.file=iaikPkcs11Wrapper.jar
f14.archive=wrapper.zip
f14.crc=AEEA57C5

##### f24 #####
f24.info=2.0
f24.parent=f00
f24.file=iaikPkcs11Wrapper.jar
f24.archive=wrapper.zip
f24.crc=7895E11C

##### f15 #####
f15.info=1.0
f15.parent=f00
f15.file=pkcs11wrapper.dll
f15.archive=system.zip
f15.crc=5C4C1316

##### f25 #####
f25.info=2.0
f25.parent=f00
f25.file=pkcs11wrapper.dll
f25.archive=system.zip
f25.crc=FC52AEB1

##### f16 #####
f16.info=1.0
f16.parent=f00
f16.file=local_policy.jar
f16.archive=policy.zip
f16.crc=5FB3657A

##### f26 #####
f26.info=2.0
f26.parent=f00
f26.file=local_policy.jar
f26.archive=policy.zip
f26.crc=D262CC3F;80D4D63D


##### f17 #####
f17.info=1.0
f17.parent=f00
f17.file=US_export_policy.jar
f17.archive=policy.zip
f17.crc=EABD0121

##### f27 #####
f27.info=2.0
f27.parent=f00
f27.file=US_export_policy.jar
f27.archive=policy.zip
f27.crc=A5559C35;518D5EF8


##### f18 #####
f18.info=1.0
f18.parent=f00
f18.file=iaik_javax_crypto.jar
f18.archive=crypto.zip
f18.crc=32338BBF


##### CCI1 ##### nejstar�� produk�n� verze
CCI1.info=2.0.76.712
CCI1.parent=f00
CCI1.file=csep11.dll
CCI1.archive=csep11.zip
CCI1.crc=E7C09638

##### CCI2 ##### aktu�ln� produk�n� verze
CCI2.info=2.0.91.828
CCI2.parent=f00
CCI2.file=csep11.dll
CCI2.archive=csep11.zip
CCI2.crc=6CAAEC2B

##### CCI3 ##### ladic� verze - jen na testech
CCI3.info=2.0.92.833L
CCI3.parent=f00
CCI3.file=csep11.dll
CCI3.archive=csep11.zip
CCI3.crc=650143B7

##### CCI4 ##### Nov� dodan� verze
CCI4.info=2.0.92.833
CCI4.parent=f00
CCI4.file=csep11.dll
CCI4.archive=csep11.zip
CCI4.crc=14E7D7BB

##### CCD1 ##### nejstar�� produk�n� verze
CCD1.info=1.5.119.7195
CCD1.parent=f00
CCD1.file=csep11p.dll
CCD1.archive=csep11.zip
CCD1.crc=6B324DFD

##### CCD2 ##### aktu�ln� produk�n� verze
CCD2.info=1.5.140.8285
CCD2.parent=f00
CCD2.file=csep11p.dll
CCD2.archive=csep11.zip
CCD2.crc=EDD385E1


##### CCD4 ##### nov� dodan� verze
CCD4.info=1.5.143.8363
CCD4.parent=f00
CCD4.file=csep11p.dll
CCD4.archive=csep11.zip
CCD4.crc=B4B6EFF8

##### CCLS1 ##### nejstar�� produk�n� verze
CCLS1.info=2.0.76.712
CCLS1.parent=f00
CCLS1.file=csep11p.sig
CCLS1.archive=csep11.zip
CCLS1.crc=EBC2CB9E

##### CCLS2 ##### aktu�ln� produk�n� verze
CCLS2.info=2.0.91.828
CCLS2.parent=f00
CCLS2.file=csep11p.sig
CCLS2.archive=csep11.zip
CCLS2.crc=32E668CE

##### CCLS4 ##### nov� dodan� verze
CCLS4.info=2.0.92.833
CCLS4.parent=f00
CCLS4.file=csep11p.sig
CCLS4.archive=csep11.zip
CCLS4.crc=8634BAAE


###########################################################
#   targets
#
#   abstract - ozna�en� definice, kter� nem� b�t zpracov�na p�i detekci aktualizac�
#   desc - dopl�kov� popis, jako vysv�tlivka do logu o pr�b�hu aktualizace
#   file - n�zev souboru po jeho p�esunu na c�lov� m�sto, mus� souhlasit s n�zvem po instalaci
#   info - obchodn� popis souboru, spole�n� pro v�echny jazykov� verze, je vkl�d�n do obrazovky pro manu�ln� aktualizaci (!)
#   parent - pokyn k napln�n� prom�nn�ch z jin� definice source, napln�n� definice lze nahradit pozd�j��m v�skytem definice stejn� prom�nn�
#   path - c�lov� cesta na lok�ln�m PC, kam m� b�t soubor um�st�n
#   version - odkazy na source definice detekovan�ch verz� rozd�len� podle toho, jak ovliv�uj� proces aktualizace
#      version.required - verze, jejich� p��tomnost znamen�, �e nen� nutn� automatick� aktualizace, m��e v�ak doj�t k aktualizaci voliteln� nebo manu�ln�
#      version.optional - verze, jejich� p��tomnost znamen�, �e nen� nutn� automatick� ani voliteln� aktualizace, m��e doj�t k aktualizaci manu�ln�
#      version.manual - verze, jejich� p��tomnost znamen�, �e nen� nutn� automatick� ani voliteln� aktualizace, m��e doj�t k aktualizaci manu�ln�
#
#   v�dy se aktualizuje na nejvhodn�j�� verzi takto:
#   -  p�i automatick� aktualizaci se pou�ije source definice posledn� vyjmenovan� verze optional,
#      pokud nen� definov�na verze optional, pak se pou�ije source definice posledn� vyjmenovan� verze required;
#   -  p�i voliteln� aktualizaci se pou�ije source definice posledn� vyjmenovan� verze optional;
#   -  p�i manu�ln� aktualizaci se pou�ije source definice posledn� vyjmenovan� verze manual
#
#
#   mus� obsahovat definice v�ech vyjmenovan�ch alias�
###########################################################

##### t00 - abstract base #################################
#   spole�n� definice pro c�lov� soubory
#
t00.abstract=1
t00.path=$destPath

##### t01 #####
t01.parent=t00
t01.info=Utilities Library
#t01.desc=dutils.jar
t01.file=dutils.jar
t01.version.required=f31;f11;f21


##### t02 #####
t02.parent=t00
t02.info=Crypto Extensions
#t02.desc=iaik_jce_full_signed.jar
t02.file=iaik_jce_full_signed.jar
t02.version.required=f12;f22

##### t03 #####
t03.parent=t00
t03.info=PKCS#11 Interface
#t03.desc=iaikPkcs11Provider_signed.jar
t03.file=iaikPkcs11Provider_signed.jar
t03.version.required=f13;f23

##### t04 #####
t04.parent=t00
t04.info=Cryptoki Wrapper
#t04.desc=iaikPkcs11Wrapper.jar
t04.file=iaikPkcs11Wrapper.jar
t04.version.required=f14;f24

##### t05 #####
t05.path=$systemPath
t05.info=PKCS#11 Wrapper
#t05.desc=pkcs11wrapper.dll
t05.file=pkcs11wrapper.dll
t05.version.required=f15;f25

##### t06 #####
t06.path=[java.home]/lib/security
t06.info=Java Local Policy
#t06.desc=local_policy.jar
t06.file=local_policy.jar
t06.version.required=f16;f26

##### t07 #####
t07.path=[java.home]/lib/security
t07.info=Java Export Policy
#t07.desc=US_export_policy.jar
t07.file=US_export_policy.jar
t07.version.required=f17;f27

##### t08 #####
#t08.parent=t00
#t08.info=IAIK Crypto Library
#t08.desc=iaik_javax_crypto.jar
#t08.file=iaik_javax_crypto.jar
#t08.version.required=f18


##### TCCI  #####
TCCI.path=$systemPath
TCCI.info=Chip-Card Interface
#TCCI.desc=csep11.dll
TCCI.file=csep11.dll
TCCI.version.required=CCI2;CCI3;CCI1;CCI4

##### TCCD #####
TCCD.path=$systemPath
TCCD.info=Chip-Card Driver
#TCCD.desc=csep11p.dll
TCCD.file=csep11p.dll
TCCD.version.required=CCD2;CCD1;CCD4

##### TCCLS - R+M #####
TCCLS.path=$systemPath
TCCLS.info=Chip-Card Library Signature
#TCCLS.desc=csep11p.sig
TCCLS.file=csep11p.sig
TCCLS.version.required=CCLS2;CCLS1;CCLS4

----------------------------------------------------------------
update plan end
----------------------------------------------------------------

Re:Potíže s Javou při použití certifikátu pro vstup na web
« Odpověď #6 kdy: 26. 03. 2016, 11:11:50 »
To se vám ta aplikace pokouší modifikovat systémovou Javu. To je teda megaprasárna a je správně, že na to při přihlášení jako běžný uživatel nemáte oprávnění. Jak tam píšou, kontaktujte linku podpory, pošlete jim ten log, a řekněte jim, že administrátorskými právy se přihlašovat nebudete, protože k tomu není žádný důvod (a ani ta administrátorská práva nemusíte mít).

Pavel Tisnovsky

Re:Potíže s Javou při použití certifikátu pro vstup na web
« Odpověď #7 kdy: 26. 03. 2016, 11:51:14 »
Jak píše Filip, tak toto je skutečně humus. Možná si můžete lokálně nainstalovat ten US_export_policy.jar (je na to X návodů podle systému, samozřejmě myslím původní JARko, ne to dodáváno k té aplikaci), ale to je tak vše, co bych byl ochoten v systému s JVM udělat. A pouštět si zrovna prohlížeč pod rootem není na Linuxu úplně nejlepší nápad (navíc tady to může zastavit například selinux nebo podobné utilitky, nemusí to být čistě právy uživatele).

Lol Phirae

Re:Potíže s Javou při použití certifikátu pro vstup na web
« Odpověď #8 kdy: 26. 03. 2016, 12:18:35 »
Obsah logu PKI/update2.log:

Kristova noho!!! To asi psal nějaký zelený mozek. :o :o :o

Jan Kulhánek

Re:Potíže s Javou při použití certifikátu pro vstup na web
« Odpověď #9 kdy: 26. 03. 2016, 19:07:10 »
Na podporu portalzp.cz se obrátit můžu, můžu jim i poslat info o tom, "že administrátorskými právy se přihlašovat nebudete, protože k tomu není žádný důvod", ale vykašlou se na mě, pro přihlášení mají tři varianty - activex, javu a ověření přes sms, odkážou mě na to, že pokud trvám na linuxu a nemůžu to zprovoznit, mám přejít na sms ověření. To jsem do teď dělal, ale certifikát je pohodlnější a narostl mi objem práce, takže je to znát.
Jen se mi nechce to vzdát...

Jan Kulhánek

Re:Potíže s Javou při použití certifikátu pro vstup na web
« Odpověď #10 kdy: 26. 03. 2016, 19:12:38 »
A ještě doplnění: jde o portál, který sdružuje asi šest zdravotních pojišťoven, vyřešení tohoto problému znamená možnost mít jako pracovní os linux pro řadu ambulancí - vykazovací software pod linuxem chodí, administrativa samozřejmě není problém, ale přístup na portál přes certifikát je velká komplikace, alternativní variantu pomocí ověřovací sms nemá každý zřízenou.
Ve zdravotnictví se leckdy plýtvá penězi, instalace Windows bývají zastaralé a špatně udržované a open source by mohl pomoci.

Re:Potíže s Javou při použití certifikátu pro vstup na web
« Odpověď #11 kdy: 26. 03. 2016, 19:20:40 »
Tohle nesouvisí s Linuxem. Úplně stejně dopadnete ve Windows, pokud budete přihlášen jako běžný uživatel. To, že bude aplikace z webu zapisovat do systémových adresářů opravdu není dobrý nápad. Navíc je to úplně zbytečné, ta aplikace vůbec nepotřebuje mít ty knihovny v systémovém adresáři Javy, může je mít jako aplikační knihovny jako každá jiná aplikace. Opravdu by mne zajímalo, jak může takovouhle aplikaci vytvořit někdo, kdo vůbec neví, jak se Java aplikace distribuují.

Navíc by mne zajímalo, k čemu tu aplikaci tedy vlastně potřebují, protože přihlášení privátním klíčem je normální součástí HTTPS a umí to každý webový prohlížeč.

Ale jestli máte odvahu spouštět pod rootem webový prohlížeč a v něm aplikaci, která může dělat v systému cokoli, klidně to udělejte – mně je to jedno, můj počítač to není.

vyřešení tohoto problému znamená možnost mít jako pracovní os linux pro řadu ambulancí
Tento problém ale nemůže vyřešit nikdo jiný, než autor té aplikace. Stačí, aby se naučil, jak se distribuují javovské aplikace, a aplikaci znovu zabalil. Navíc jak už jsem psal, s Linuxem to nijak nesouvisí.

Jan Kulhánek

Re:Potíže s Javou při použití certifikátu pro vstup na web
« Odpověď #12 kdy: 27. 03. 2016, 00:02:38 »
Ty informace podpoře portalzp.cz předám, ale je to jako byste chtěl takové změny po bance nebo státní správě. Nechci to zprovoznit za každou cenu (tedy s rizikem ohrožení svých dat). Pod rootem jsem pouštěl pouze tuto stránku.
Proč k podpisu certifikátem potřebují Javu nevím, podle mě jde možná o anachronismus z pradávných let, na portálu VZP vše běží přes prohlížeč a bez problémů.
Možnost, že ovlivním portál ZP  k nějaké změně je asi nulová, budu se s tím muset smířit a kolegové s Windows budou dál používat ActiveX řešení.
Jen pro zajímavost, jde např. o tuto adresu:
https://portal.vozp.cz/clogc00prv.phtml

Pavel Tisnovsky

Re:Potíže s Javou při použití certifikátu pro vstup na web
« Odpověď #13 kdy: 27. 03. 2016, 00:34:38 »
Ano, toto řešení je už dneska anachronismus, ale pravděpodobně nejste v pozici to nějak moc ovlivnit (kdyby to takto měl nastavené nějaký e-shop, asi by počet zákazníků byl skoro nulový :-) Samozřejmě v případě e-shopu nebo banky je situace jednoduše řešitelná, tady ne.

Teoreticky by bylo možné všechny ty stahované soubory (*.jar) uložit na CLASSPATH do uživatelského adresáře s applety. Ten adresář se dá zjistit asi přes Java Control Panel (zrovna v tomto ohledu se Oracle JDK liší od OpenJDK + IcedTea Web). Otázka je, jestli se to dá takto na dálku vysvětlit a otestovat.

technomaniak

Re:Potíže s Javou při použití certifikátu pro vstup na web
« Odpověď #14 kdy: 27. 03. 2016, 07:54:38 »
Ano, toto řešení je už dneska anachronismus, ale pravděpodobně nejste v pozici to nějak moc ovlivnit (kdyby to takto měl nastavené nějaký e-shop, asi by počet zákazníků byl skoro nulový :-) Samozřejmě v případě e-shopu nebo banky je situace jednoduše řešitelná, tady ne.

Teoreticky by bylo možné všechny ty stahované soubory (*.jar) uložit na CLASSPATH do uživatelského adresáře s applety. Ten adresář se dá zjistit asi přes Java Control Panel (zrovna v tomto ohledu se Oracle JDK liší od OpenJDK + IcedTea Web). Otázka je, jestli se to dá takto na dálku vysvětlit a otestovat.

Přesně, tak bych to taky nejdříve řešil.

1) Zkontroluj jestli máš dané soubory v daných adresářích, případně nastav právo přístupu "userovi" k těmto souborům
/usr/lib/jvm/java-8-oracle/jre/lib/ext/dutils.jar
/usr/lib/jvm/java-8-oracle/jre/lib/ext/iaik_jce_full_signed.jar
/usr/lib/jvm/java-8-oracle/jre/lib/ext/iaikPkcs11Provider_signed.jar
/usr/lib/jvm/java-8-oracle/jre/lib/ext/iaikPkcs11Wrapper.jar
/usr/lib/jvm/java-8-oracle/jre/lib/security/local_policy.jar
/usr/lib/jvm/java-8-oracle/jre/lib/security/US_export_policy.jar

2)A pokud nejsou, pak prostě je manuálně stáhni a rozbal tyto soubory a nakopíruj do cílových adresářů:
https://portal.vozp.cz/obj/dutils.zip
(/usr/lib/jvm/java-8-oracle/jre/lib/ext/dutils.jar)
https://portal.vozp.cz/obj/jce.zip
(/usr/lib/jvm/java-8-oracle/jre/lib/ext/iaik_jce_full_signed.jar)
https://portal.vozp.cz/obj/provider.zip
(/usr/lib/jvm/java-8-oracle/jre/lib/ext/iaikPkcs11Provider_signed.jar)
https://portal.vozp.cz/obj/wrapper.zip
(/usr/lib/jvm/java-8-oracle/jre/lib/ext/iaikPkcs11Wrapper.jar)
https://portal.vozp.cz/obj/policy.zip
(/usr/lib/jvm/java-8-oracle/jre/lib/security/local_policy.jar)
https://portal.vozp.cz/obj/policy.zip
(/usr/lib/jvm/java-8-oracle/jre/lib/security/US_export_policy.jar)

nastav práva přístupu uživatele a mohlo by to fungovat.