Klientský certifikát CAcert – průvodce krok za krokem

Spusťte program XCA    

V nabídce "Soubor" položkou "New !Database" vytvořte databázi certifikátů a uložte ji do souboru. (Neztraťte heslo nové databáze!)
Nebo otevřete existující databázi ze svého souborového systému.

Zvolte záložku “Certificates”.    

Použijte "Import" kořenových certifikátů CAcert, aby XCA rozpoznal certifikáty vydané CAcert.    

Importujte veřejné kořenové certifikáty CAcert - “root” a pak “class3”.    

Dejte importovaným kořenovým certifikátům CAcert důvěru v kontextovém menu, položka “Trust”.    

Zobrazte záložku “Private Keys”.    

Vytvořte novou dvojici klíčů “New Key” (privátní a veřejný).    

Pojmenujte nový klíč, například podle zamýšleného účelu. Tento název slouží jen k Vaší orientaci.    

Použijte vypovídající název klíče s plánovaným účelem, kterým můžete identifikovat klíč pro opětovné použití k témuž účelu. Kromě toho musíte vybrat typ a sílu (velikost) klíče, který by měl být generován. V současné době je bezpečný typ RSA s 4096 bity.

Nový privátní klíč (i s příslušným veřejným klíčem) je hotov a…    

…objeví se ve Vašem seznamu privátních klíčů.    

Další krok - záložka “Certificate signing requests”    

Pomocí “New Request” vytvořte novou žádost o certifikát (Certificate Signing Request, CSR).    

Nejprve vyberte šablonu certifikátu a aplikujte ji, pak zvolte algoritmus podpisu.    

Zobrazte si záložku “Subject”.    

Vyberte privátní klíč, který jste vytvořili v předchozí části (zároveň tím vyberete i odpovídající veřejný klíč), vložte název pro rozlišení „Internal Name“ a „E-mail address“.    

Ve spodní části dialogu můžete vybrat jeden z existujících soukromých klíčů nebo vytvořit nový v případě, že jste zapomněli vytvořit jej před vytvářením CSR.

Je-li třeba, můžete přidat aliasy do pole “X509v3 Subject Alternative Name” (SAN). Pokud už aliasy uvádíte, nezapomeňte znovu zadat i hlavní název "Common name".
Žádost CSR vytvoříte stisknutím “OK”.    

Žádost CSR je připravena.    

Následujícím postupem vznikne Váš nový certifikát. Je k němu potřebný pouze veřejný klíč, který je již obsažen v CSR.

Vyberte novou CSR a stiskněte “Export”.    

Uložte CSR do souboru ve formátu PEM, ale s příponou .csr    

Otevřete CSR v textovém editoru, zvolte "Select ALL" a zkopírujte celý obsah do schránky (Ctrl-C).    

Otevřete web cacert.org a přihlaste se ke svému účtu. V menu “Klientské certifikáty” zvolte “Nový”.    

Aktivujte rozšířené volby a vložte CSR ze schránky do pole textu (Ctrl-V).    

Označte připojení svého jména a email-adres(y). Můžete také zvolit, aby Váš certifikát byl podpisový (pouze pro členy s 50 a více AP). Přednostně použijete k podpisu kořenový certifikát třídy 3. Vložte také komentář certifikátu pro budoucí identifikaci. Označte souhlas s Dohodou komunity CAcert. Stiskněte “Další”.

Jako výsledek se v prohlížeči zobrazí nový certifikát. Odkazem "Stáhněte certifikát ve formátu PEM" uložíte certifikát ve formátu PEM, s příponou .crt. Jako alternativu můžete vybrat kódovaný blok textu pod odkazy včetně čar pro začátek / konec certifikátu pro přímý import pomocí "Import (PEM)" v XCA.    

Na webu CAcert vidíte certifikát v seznamu “Klientské certifikáty” a “Zobrazit”.    

V XCA použijte “Import”, aby se vydaný certifikát připojil k privátnímu klíči.    

Import byl úspěšný.    

Certifikát je zobrazen v seznamu na webu CAcert.    

Vyberte svůj nový certifikát a stiskněte “Export”.    

Uložte svůj certifikát ve formátu PKCS#12 a...     

…definujte heslo (2x) k ochraně Vašeho privátního klíče před neautorizovaným použitím. Toto heslo se bude vyžadovat, když budete importovat tento soubor do svého prohlížeče nebo e-mailového klienta.