česky | english


E-mailové certifikáty

Časté dotazy

Pro více podrobností a dotazů o klientských certifikátech viz stránku Klientské certifikáty.

Něco základních znalostí

Chce-li Alice poslat Bobovi zašifrovaný e-mail, potřebuje mít Bobův veřejný klíč.

Protokol S/MIME, který používá většina e-mailových klientů jako standardní protokol, používá podepsané e-maily k šíření veřejných klíčů. Každá signatura (digitální podpis) S/MIME obsahuje úplný certifikát včetně veřejného klíče odesilatele.

Takže pro zřízení šifrované komunikace musí Alice napřed dostat e-mailový certifikát pro sebe a pošle Bobovi podepsanou zprávu. Bobův e-mailový klient obvykle automaticky extrahuje certifikát ze signatury a uloží ho do své certifikátové databáze. Nyní má Bob možnost poslat Alici zašifrovaný e-mail, i když třeba nemá žádný svůj certifikát pro svůj e-mailový klient!

Avšak obvykle by Bob měl také získat svůj vlastní certifikát, jinak může šifrování použít pouze jednosměrně.

Získání osobního certifikátu pro e-mailový klient

Jednoduché: Použijte prohlížeč

Touto metodou vygeneruje Váš prohlížeč automaticky váš privátní a veřejný klíč; veřejný klíč bude odeslán do CAcert k podpisu. Váš soukromý klíč se nikdy neposílá po síti (zůstává v zabezpečené paměti Vašeho prohlížeče, ale později z ní může být exportován).

Mozilla a spol.

Internet Explorer

Chcete-li exportovat existující certifikát do souboru typu PKCS12 k použití v e-mailovém klientu Thunderbird, zde je postup:

N.B.: Konzolu Certifikáty můžete také použít k importu souboru typu PKCS12, vytvořeného jinde, pro použití v IE nebo Outlooku. Zkuste to, je to snadné! :-)

Manuální způsob: Pomocí SSL vytvořte klíč lokálně a získejte certifikát z CSR

Zde jsou potřebné kroky ve správném pořadí:

  1. Vygenerujte klíče (může být součástí následujícího kroku)
  2. Vytvořte CSR, žádost o certifikát k předložení CAcert

  3. Vložte CSR do formuláře Vygenerovat certifikát na CAcert.org
    Zvolte možnosti (nevím jistě, zda "Umožnit přihlášení tímto certifikátem" je serverem respektována, nebo se musí udělat ještě něco jiného, aby certifikát umožnil přihlášení). Klikněte na Vygenerovat certifikát.

  4. Uložte certifikát do souboru, nebo ho instalujte do svého prohlížeče (ale pro skutečné použití klíče resp. certifikátu je třeba ještě něco udělat, protože odpověď serveru neobsahuje privátní klíč!)
  5. Sestavte certifikát ve formátu PKCS12 (přípona souboru je .p12), který obsahuje privátní klíč a může být importován do webových prohlížečů jako Firefox a do e-mailových aplikací.

Jeden možný způsob, jak toho dosáhnout:

openssl req -nodes -newkey rsa:4096 -keyout my.key -out my.csr

Vyplňte dvě pole: Common Name a Email Address (ačkoli to nemusí být třeba?) a všechno ostatní ponechte prázdné. Pak bude privátní klíč v souboru private.key (pozor: není chráněn heslem - to lze udělat pouze použitím OpenSSL příkazu rsa), a CSR obsahující veřejný klíč v souboru server.csr .

openssl pkcs12 -export -in my.crt -inkey my.key -in root.pem -out my.p12

openssl pkcs12 -export -in my.crt -inkey my.key -out my.p12

kde:

Nyní máte certifikát PKCS12, s nímž můžete pracovat (který můžete uložit na bezpečném místě jako svoji záložní kopii); může být vytvořen jako soubor my.p12 (nebo si zvolte jiný název) tímto příkazem:

XXX

Importujte výsledný soubor do aplikací Mozilla, Thunderbird, Outlook atd. Je to zároveň Vaše záložní kopie (uchovávejte ji na bezpečném místě).

Mozilla Thunderbird

Instalace certifikátu

Pro detailnější popis JAK-NA-TO viz Thunderbird

Použití certifikátu k podpisu/dešifrování e-mailových zpráv

Mutt

Instalace certifikátů Vašich partnerů

openssl smime -verify -in SMIME-SIGNED-E-MAIL -noverify -pk7out > SMIME-SIGNED-E-MAIL.pk7
openssl pkcs7 -print_certs -in SMIME-SIGNED-E-MAIL.pk7 > SMIME-SIGNED-E-MAIL.pem
openssl x509 -in SMIME-SIGNED-E-MAIL.pem -noout -hash
cp SMIME-SIGNED-E-MAIL.pem ~/.smime/certificates/$(openssl x509 -in SMIME-SIGNED-E-MAIL.pem -noout -hash)".0"
echo $(openssl x509 -in SMIME-SIGNED-E-MAIL.pem -noout -email) $(openssl x509 -in SMIME-SIGNED-E-MAIL.pem -noout -hash)".0" ALIAS >> ~/.smime/certificates/.index

Použití certifikátu k podpisu/dešifrování e-mailových zpráv

MS Outlook

V MS Outlooku můžete použít své certifikáty k podpisu e-mailových zpráv, které odesíláte, a k dešifrování e-mailových zpráv Vám došlých. Sledujte návod v předchozí kapitole Jak získat osobní e-mailový certifikát. Dvojklikem souboru typu PKCS12 s příponou .p12, který jste si uložil(a) na disk, instalujete svůj certifikát do úložiště certifikátů MS Windows. Váš certifikát je nyní dostupný všem MS produktům, které podporují S/MIME.

Můžete také použít Outlook k zašifrování zprávy, kterou někomu posíláte, certifikátem CAcert. Napřed musíte instalovat certifikát (s veřejným klíčem) té druhé osoby do svého e-mailového klienta. Prostě přimějte tu osobu, aby Vám poslala podepsanou zprávu (tj. zprávu s certifikátem s veřejným klíčem) a ověřte, že její certifikát je v pořádku (například kontrolou "otisku prstu" telefonicky nebo jiným přímým kontaktem s ní). Jakmile jste přijal podepsanou zprávu a ověřil certifikát, bude automaticky uložen v úložišti certifikátů MS Windows (v MMC modulu "Certifikáty" v Certifikáty - aktuální uživatel -> Ostatní uživatelé -> Certifikáty). Kdybyste zjistil(a) neshodu "otisku prstu" dodatečně, použijte MMC modul "certifikáty" a nesprávný certifikát smažte.

Instalace Outlooku 2007

Menu Nástroje -> Centrum zabezpečení

Centrum zabezpečení Outlook














Specifický návod pro Outlook, jak podepsat/dešifrovat/zašifrovat zprávu

Když dostanete podepsanou zprávu, pravým klikem myší na adresu odesilatele (ne na samotný e-mail) zobrazíte menu. Vyberte "Přidat do kontaktů". Tím si instalujete veřejný certifikát pro posílání šifrovaných zpráv dotyčné osobě. Certifikát uvidíte v okně kontaktu, záložce Certifikáty nahoře. [OL10-13: Při přidání do kontaktů se zapíše certifikát do úložiště Windows, MMC -> Certifikáty -> Certifikáty - aktuální uživatel -> Ostatní uživatelé -> Certifikáty; odtamtud ho můžete exportovat do souboru, je-li to potřebné.]

Je-li tato osoba již ve Vašem seznamu kontaktů, postupujte takto:

Klikněte pravým tlačítkem myší na adresu odesilatele (ne na samotný e-mail). Zvolte "Přidat do kontaktů. Zvolte záložku certifikátů, označte certifikát a zvolte Exportovat. Změňte případně název a vyberte umístění, které si zapamatujete, zadejte heslo a uložte soubor. Zavřete nový kontakt a neukládejte změny (tím odstraníte duplicitní kontakt). Kliknutím pravým tlačítkem myši na adresu odesilatele (jistě už poznáváte postup) otevřete kontakt. Vyberte záložku certifikátů a importujte certifikát s použitím cesty, názvu a hesla souboru, který jste prve vytvořil(a). Teď budete schopni poslat tomuto adresátovi šifrované zprávy. (On si je dešifruje svým privátním klíčem.)

[OL10-13: Když otevřete kontakt osoby z "Adresáře" a na kartě "Kontakt" stisknete "Certifikáty" (v závislosti na druhu kontaktu také "Zobrazit -> Certifikáty), uvidíte v seznamu, zda se certifikát ze zprávy přidal. Kromě správnosti certifikátu samotného, důvěryhodnosti vydavatele atd. musí být také dostupný seznam odvolaných certifikátů - CRL. Outlook v něm potřebuje zjistit, zda nebyl certifikát odvolán. Když je vše v pořádku, uloží se certifikát do kontaktu automaticky.]

Jakmile je Váš klientský certifikát zaveden, vytvoří Outlook profily pro Váš odesílající účet. Při vytváření e-mailové zprávy uvidíte v odesílacím menu dvě tlačítka: (Podepsat = obálka se stužkou [OL10-13: stužka], Šifrovat = obálka se zámkem [OL10-13: zámek]). Pro podpis e-mailu použijte tlačítko "Podepsat". To odešle e-mail v prostém textu, ale připojí k němu Váš veřejný certifikát. Pro zašifrování e-mailu použijte tlačítko "Šifrovat". To zašifruje e-mail veřejným klíčem adresáta z jeho certifikátu uloženého ve Vašem souboru kontaktů pod záložkou certifikátů. Takový e-mail dešifruje a přečte jen osoba s příslušným privátním klíčem, tedy by to měl být pouze Váš adresát.

Specifický návod pro Outlook, jak změnit Váš certifikát

Zavedení certifikátu

Máte-li starší certifikát CACertu, který nelze obnovit, potřebujete si vytvořit nový certifikát. Jakmile přidáte tento certifikát do úložiště certifikátů Microsoftu, budete muset Outlooku oznámit, který z obou certifikátů má použít pro podepisování a odesílání e-mailových zpráv. Uvědomte si, že není vhodné starý certifikát odstranit, protože pak nebudete schopni číst staré e-maily.

Pro nastavení, který certifikát bude sloužit k podpisu a k šifrování (správně byste měli použít dva certifikáty: jeden pouze k podepisování Vašich zpráv, druhý pouze pro zašifrování u někoho, kdo píše Vám, ale to je jiné téma), proveďte v Outlooku s Vaším novým certifikátem toto:

Spusťte Outlook. Z menu zvolte Nástroje -> Možnosti... - otevře se okno možností. Zvolte záložku Zabezpečení. V sekci s názvem Zabezpečení e-mailu uvidíte řadu možností a pod nimi text Výchozí nastavení. Vedle je roletka pro výběr výchozího nastavení a tlačítko "Nastavení...". Stiskněte ho a zobrazí se okno "Změnit nastavení zabezpečení". V sekci "Certifikáty a Algoritmy" uvidíte certifikáty použité pro podepisování a pro zašifrování. Můžete použít tlačítka "Vybrat..." pro nastavení správných certifikátů. Máte-li certifikátů více, vyberte ten správný podle expiračního data a a potřebujete-li nastavit více e-mailových adres, můžete vybrat správný e-mailový účet volbou v Nastavení zabezpečení v poli volby jména nahoře.

[OL10-13: Soubor -> Možnosti -> Centrum zabezpečení -> tlačítko: Nastavení centra zabezpečení. Nové okno - v levém panelu jsou možnosti, které lze vybrat. Zvolte Zabezpečení e-mailu. Na pravém panelu vidíte rozbalovací (roletové) menu nadepsané Výchozí nastavení. Vpravo vedle něj stiskněte tlačítko "Nastavení...". Objeví se okno s názvem "Změnit nastavení zabezpečení". Další postup jako výše.]

Specifický návod pro Outlook, jak zkontrolovat platnost certifikátu

Informace o certifikátu Otevřete-li podepsanou zprávu, bude mít v pravé horní části okna ikonu digitálního podpisu (stužku). Po jejím stisknutí se objeví malé okénko se základními údaji o důvěryhodnosti certifikátu (levé): Stisknete-li tlačítko "Podrobnosti", otevře se další okno (pravé). V něm můžete vidět důvěryhodnosti součástí řetězu certifikátů (zelené "fajfky"). U osobního certifikátu na konci řetězu může být znak /!\ , přestože jinak je řetěz v pořádku. Obvykle to znamená, že nebylo možno ověřit odvolání certifikátu. Může to být jen dočasný stav, než se stáhne aktuální CRL a zkontroluje odvolání, proto zkuste okno zavřít, 2 až 5 minut počkat a znovu okno podrobností zobrazit. Jinak klikněte na poslední certifikát v řetězu, stiskněte "Zobrazit podrobnosti" a v dalším okně "Zobrazit certifikát". V certifikátu jděte na záložku Podrobnosti:









Zde vidíte pořadové číslo certifikátu. Pořadové číslo certifikátu

V další rubrice je URL, kde lze najít seznam odvolaných certifikátů CRL: -> URL pro CRL


















Otisk prstů a konečně v této rubrice je "otisk prstů", zde nazývaný "Kryptografický otisk":

Seznam odvolaných certifikátů (CRL) Pomocí URL seznamu odvolaných certifikátů si prohlížečem stáhneme a zobrazíme CRL: ->

Zkontrolujeme, zda pořadové číslo certifikátu není obsaženo v (seřazeném) seznamu pořadových čísel odvolaných certifikátů v CRL. Není-li, jako v tomto příkladu, a souhlasí-li i kryptografický otisk, je s certifikátem všechno v pořádku, ledaže by vypršel (to je vidět na jeho ikoně a v záložce "Obecné").















Mac OS X Safari nebo OmniWeb

Tyto prohlížeče si správně přečtou Váš klíč a certifikát a uloží je do Mac OS X Keychain (řetězu klíčů). Každý dobře napsaný program Mac OS X pak bude schopen je odtamtud přečíst. To však bohužel neplatí o programech Firefox a Thunderbird, které používají své vlastní úložiště certifikátů, tak jako když pracují na jiných platformách. Viz výše - odstavec o software Mozilla.

Abyste získali svůj privátní klíč z Mac OS X Keychain, otevřete aplikaci Keychain Access z /Applications/Utilities.

Pod Categories klikněte na My Certificates (moje certifikáty), pak na svúj certifikát (zkontrolujte, je-li to ten správný, vydaný CA Cert Signing Authority). Nakonec klikněte na File -> Export, což otevře dialog pro výběr umístění souboru .p12, který bude obsahovat Váš certifikát a Váš privátní klíč. po stisknutí "Save" (uložit) Vás Keychain Access požádá o zadání hesla, kterým chcete zašifrovat soubor .p12. Možná, že Vás Keychain Access požádá o zadání Vašeho hesla k řetězu klíčů, abyste svůj klíč zpřístupnili. Obvykle je to stejné heslo jako pro přihlášení.

Pak pokračujte, jak už je popsáno jinde.

Chcete-li svůj řetěz klíčů (keychain) zálohovat, přečtěte si $home/Library/Keychains.

Certifikáty na platformě Mac

mac_keychain_cacert.gif
(zastaralý snímek obrazovky aplikace Keychain Access)

Mac OS X Mail.app (nativní e-mailová aplikace) pro podepisování / zašifrování

Mail.app je schopna pracovat s certifikáty X.509.

Váš privátní klíč a veřejný osobní (jinak též "klientský") certifikát je uložen ve Vašem Mac OS X Keychain, který je spravován aplikací Keychain Access z /Applications/Utilities.

Tento certifikát si instalujete způsobem popsaným výše. Použijete-li Safari, proběhne všechno automaticky.

Neimportuje-li Vaše verze Safari privátní klíč, použijte proceduru pro Firefox (viz níže).

Používáte-li Firefox: Projděte procesem generování klíčů, instalujte certifikát do Firefoxu, pak ho zazálohujte (Preferences -> Advanced -> View Certificates -> Backup) do souboru .p12 a importujte ten soubor do Mac OS X Keychain prostým dvojklikem názvu souboru.

K tomu existuje velmi dobrá a detailní dokumentace zde: http://www.macdevcenter.com/pub/a/mac/2003/01/20/mail.html?page=1. Opravdu Vám doporučuji přečíst si ji.

To však nestačí. Mail.app používá kořenové certifikáty, které jsou obecně ukládány / spravovány / poskytovány (všem uživatelům) Vaším operačním systémem (OS). Aplikace jako Safari a Mail.app o ně žádají OS.

Bohužel Váš vlastní keychain není dotazován (chyba?).

Proto nezapomeňte: když přidáváte do Mac OS X Keychain kořenové certifikáty, přidejte je do keychainu X509Anchors ! Získejte http://www.cacert.org/certs/root.crt a http://www.cacert.org/certs/class3.crt, dvakrát na ně klikněte a pak zvolte keychain "X509Anchors".

Snow Leopard's Keychain Access (a pravděpodobně i Leopard) nemá keychain X509Anchors, ani se nedotazuje, kam má importovat certifikáty.

Chybí-li keychain, vytvořte nový nazvaný X509Anchors a pak do něj uložte všechny certifikáty CACert.

Nyní, pokud chcete, zavřete Mail.app, Safari, atd. - možná také Keychain Access (pro jistotu) a pak znovu spusťte Mail.app.

Tyto kroky jsou potřebné, protože Apple se nedodává s kořenovými certifikáty CAcert.

Teď, když máte své privátní, veřejné a kořenové certifikáty CAcert importovány, všechno by mělo fungovat správně a můžeme se podívat, co říká Apple o používání certifikátů X.509 pro podepisování a šifrování: http://docs.info.apple.com/article.html?artnum=25555

To je všechno. Doufám, že jste měli štěstí.

Máte-li problémy, nechte mi vzkaz: https://secure.cacert.org/wot.php?id=9&userid=17280.

KMail

Malé "Jak na to" je zde: KMail

Evolution

Evolution pracuje s X.509 neobvyklým způsobem. Nepotřebuje žádnou zvláštní konfiguraci balíčků. Musíte pouze zavést certifikát do e-mailového klienta.

Gnus

Stránka na http://www.emacswiki.org/cgi-bin/wiki/GnusSMIME popisuje proceduru. Kořenové certifikáty CAcert musí být připojeny do adresáře smime-CA-directory (jak je tam popsáno).

Různé

<!> TODO: (co ještě)


EmailCertificates/CZ (last edited 2016-05-03 16:27:59 by AlesKastner)