e-ID Geregee-ID Gerege
Итгэлцэл хуудас руу буцах

e-ID Gerege CA-д итгэлцэл нэмэх

e-ID Gerege-аар зурсан PDF-ийг Adobe Reader, Chrome, Safari зэрэгт нээхэд "Signer's identity is unknown" эсвэл "This certificate is not trusted" гэсэн анхааруулга гарвал — CA-ийн сертификатыг хэрэглэж буй програм/системд итгэмжтэй гэж нэмэх шаардлагатай. Доор Adobe Reader (зөвхөн Adobe-д), macOS Keychain (Chrome + Safari + Mail-д бүхэлд нь), Windows Certificate Store (Chrome + Edge + Outlook-д бүхэлд нь) гэсэн гурван замыг тус тус заасан. Аль нь ч нэг удаа суулгахад болно.

e-ID Gerege Issuing CA сертификат

Энэ нь иргэдэд гэрчилгээ олгож буй CA. DER формат, ~1 KB.

https://api.eidgerege.mn/issuing-ca.cer

CA сертификат татах (.cer)

Adobe Acrobat Reader

Зөвхөн Adobe Reader/Pro дээр нөлөөлнө. Бусад програм (Chrome, Preview, Mail) хэвээр untrusted харагдана — тэдгээрийн хувьд доорх macOS Keychain эсвэл Windows section-ыг ашигла.

  1. 1

    Дээрх товчоор сертификатыг татаж аваад тохиромжтой газарт хадгална.

  2. 2

    Adobe Acrobat Reader-аа нээж Edit → Preferences (macOS дээр Acrobat → Preferences) сонгоно.

  3. 3

    Зүүн талын жагсаалтаас Signatures дээр товшоод Identities & Trusted Certificates хэсгийн More... товчийг дарна.

  4. 4

    Шинэ цонхны зүүн талд Trusted Certificates руу очиж, дээд талын Import товч дээр дарна.

  5. 5

    Browse дарж, татаж авсан eidgerege-issuing-ca.cer файлыг сонгоно. Жагсаалтад нэмэгдсэн сертификатыг сонгож OK дарна.

  6. 6

    Trust tab дээр шилжээд Use this certificate as a trusted root checkbox-ыг идэвхжүүлнэ. Доор гарсан Sign documents эсэх Certify documents сонголтуудыг ч идэвхжүүлж OK дарна.

  7. 7

    Бүх цонхыг хааж e-ID Gerege-аар зурсан PDF-ийг дахин нээнэ. Гарын үсэг ногоон тэмдэгтэй "valid" болж харагдана.

macOS Keychain (Chrome / Safari / Mail-д бүхэлд нь)

macOS-ын System Keychain-д суулгасан root CA-уудыг Chrome, Safari, Mail, бусад макOS application бүгд итгэмжтэй гэж үздэг. Нэг удаагийн install — машинд нөлөөлнө.

  1. 1

    Дээрх товчоор сертификатыг татаж аваад Downloads хавтсанд хадгална.

  2. 2

    Finder-аас eidgerege-issuing-ca.cer дээр давхар-товшино — Keychain Access автоматаар нээгдэнэ. Хэрэв нээгдэхгүй бол Spotlight-аас Keychain Access-ыг нээж File → Import Items-аар импортло.

  3. 3

    Keychain сонголт асуувал "login" гэж сонгоод Add дарна. Хэрэв "System" гэж сонговол admin password асууна — машины бүх хэрэглэгчид нөлөөлнө.

  4. 4

    Keychain Access дотор зүүн талаас Certificates категори руу очиж e-ID Gerege Issuing CA сертификатыг олно.

  5. 5

    Сертификат дээр давхар-товшино, шинэ цонхны Trust хэсгийг expand хийнэ.

  6. 6

    When using this certificate dropdown-аас Always Trust сонгоно. Цонх хаахад password оруулахыг асууна — Touch ID эсвэл нууц үгээ оруулж баталгаажуулна.

  7. 7

    Chrome-аа бүрэн хааж дахин нээнэ (бусад tab бүгдийг). PDF-аа дахин нээгээд signature панелд итгэлцэл шинэчлэгдсэн эсэхийг шалгана.

CLI хэрэглэгчдэд (нэг мөр терминал)
sudo security add-trusted-cert -d -r trustRoot \
  -k /Library/Keychains/System.keychain \
  ~/Downloads/eidgerege-issuing-ca.cer

Энэ команд нь сертификатыг System Keychain-д суулгаад "Always Trust" статуст оруулна. sudo password шаардана. GUI алхмуудтай ижил үр дүн.

Windows Certificate Store (Chrome / Edge / Outlook-д бүхэлд нь)

Windows-ын Trusted Root Certification Authorities store-д суулгасан CA нь Chrome, Edge, Outlook, Office, бусад Windows application бүгдэд автомат итгэмжтэй гэж үзэгдэнэ.

  1. 1

    Дээрх товчоор сертификатыг татаж аваад Downloads хавтсанд хадгална.

  2. 2

    File Explorer-аас eidgerege-issuing-ca.cer дээр баруун-товшоод Install Certificate сонгоно.

  3. 3

    Store Location-ыг Local Machine (бүх хэрэглэгчид) эсвэл Current User (зөвхөн өөрт) сонгоод Next.

  4. 4

    Place all certificates in the following store сонгоод Browse дарна. Trusted Root Certification Authorities сонгоод OK, Next.

  5. 5

    Финалд Finish дарж, Windows-ын security warning гарвал Yes дарж зөвшөөрнө.

  6. 6

    Chrome / Edge-ээ бүрэн хааж дахин нээгээд PDF-аа шалгана. Outlook эсвэл Office-д сертификатын итгэлцэл бас шинэчлэгдэнэ.

Яагаад заавал гар аргаар суулгах вэ?

Adobe Reader нь зөвхөн Adobe Approved Trust List (AATL) ба EUTL-д орсон CA-уудыг автоматаар итгэдэг. e-ID Gerege AATL-д бүртгүүлэх процесс нь WebTrust for CAs аудит, төлбөр, олон сарын хяналт шаардаж байна — ажил үргэлжилсэн.

Технологийн хувьд гарын үсгийн криптограф үнэн зөв (SHA-256 + RFC 3161 timestamp + RFC 6960 OCSP), зөвхөн зүгээр Adobe-ын worldwide trust store-д CA-н нэр хэвээр алга байгаа. CA-г trusted root болгон нэмсний дараа цаашид зурсан бүх PDF гарын үсэг автомат valid гарах болно.

Chrome-ын built-in PDF viewer: Chrome / Edge-ын дотоод PDF харагч (Chromium-ын PDFium engine) нь PDF гарын үсгийн итгэлцлийг автоматаар үл шалгана — system Keychain-д хичнээн root суулгасан ч Chrome дээр "untrusted" гэж харагдсан хэвээр байна. Энэ нь Chromium-ын мэдэгдэж буй хязгаарлалт, чиний тохиргооны асуудал биш. Шалгахын тулд: /verify хуудсаар сервер тал дээр шалгах.
Verify хийгч талд: Хэрэв та RP (relying party) бөгөөд олон тооны PDF гарын үсэг шалгах бол вэб дээрх /verify endpoint-ыг ашиглах нь илүү найдвартай — backend талд CRL + OCSP шалгалт хийдэг учир хэрэглэгчийн PDF reader-ийн trust store-аас үл хамаарна. PDF бүр дээр QR код embed-тэй — утсаар scan хийгээд /verify/<id> хуудас руу шууд орно.