česky | deutsch | english | 中文

Jak může systém důvěřovat kořenovému certifikátu CAcert?

Viz také:

Aby Váš prohlížeč nebo systém automaticky důvěřoval všem certifikátům podepsaným certifikační autoritou CAcert, musíte instruovat svoji platformu nebo prohlížeč, aby důvěřoval kořenovému certifikátu CAcert: http://www.cacert.org/index.php?id=3.

U všech systémů potřebujete nastavit důvěru jak ke kořenovému certifikátu root_X0F.crt, tak k certifikátu třídy 3 class3_x14E228.crt.

Některé z těchto údajů jsou již uvedeny v článku Jak importovat kořenové certifikáty CAcert do klientského softwaru, proto hledejte potřebné informace i tam.

Nastavení důvěry k nové certifikační autoritě je proces na různých platformách různý, a proto jsou zde jen některé způsoby, jak nastavit důvěru ke kořenovým certifikátům CAcert. Instrukce uvedené dále tvoří pouze nástin toho, jak nastavit důvěru k jednomu certifikátu. Opakujte proces pro nastavení důvěry i ke druhému certifikátu.

POZOR: Vždy důkladně zkontrolujte "otisk prstu" staženého certifikátu, než mu začnete důvěřovat. Jestliže to neuděláte, mohl(a) byste začít důvěřovat falešnému kořenovému certifikátu modifikovanému se zlým úmyslem.

Contents

  1. Jak může systém důvěřovat kořenovému certifikátu CAcert?
    1. Mac OS X
      1. Použití Keychain GUI
      2. Použití příkazového řádku
        1. 10.5 Leopard
    2. Windows
    3. Windows: prostředí cygwin
    4. Windows Mobile
      1. Windows Mobile 5
      2. PocketPC2002
      3. Poznámky
    5. Linux
      1. Debian
        1. Instalace z nestabilní (sid) package managementem
        2. Instalace z nestabilní (sid) manuálně
      2. KDE
    6. Symbian
      1. Nokia E61
    7. Java
    8. Acrobat Reader
    9. Android telefony a tablety
      1. Uživatelské důvěryhodné certifikáty CAcert
      2. Systémové důvěryhodné certifikáty CAcert (bez uzamykací obrazovky)
        1. Vytvoření
        2. Importování
        3. Ověření
      3. Odkazy
    10. Palm Pre (webOS)
  2. Jak se mohu ujistit, že jsou autentické?
    1. Nalezení správných "otisků prstů" (fingerprints)

Mac OS X

Jsou dva způsoby, jak nastavit důvěru ke kořenovému certifikátu CAcert: jeden z příkazového řádku, druhý z Keychain GUI (grafického rozhraní uživatele). Každý ze způsobů vyžaduje přihlášení k účtu s právy správce (administrátora).

Použití Keychain GUI

  1. Žádaný certifikát si stáhněte na plochu odtud.

  2. POZOR: Ověřte si "otisk prstů" certifikátu, než budete pokračovat!

  3. Otevřete soubor certifikátu buď pomocí Command-O nebo dvojklikem souboru.

  4. Když se objeví Keychain, zvolte řetěz klíčů (keychain) X509Anchors.

  5. Systém Vás požádá o identifikaci Vaším heslem, aby mohl modifikovat celosystémový řetěz klíčů X509Anchors.

Použití příkazového řádku

# Stažení certifikátů
curl -k -o "cacert-root.crt"   "https://www.cacert.org/certs/root_X0F.crt"
curl -k -o "cacert-class3.crt" "https://www.cacert.org/certs/class3_x14E228.crt"
#
# POZOR: Ověřte si "otisk prstů" certifikátu, než budete pokračovat!
#
# Import certifikátů do žádaného řetězu klíčů (keychain)
sudo certtool i "cacert-root.crt"   k=/System/Library/Keychains/X509Anchors
sudo certtool i "cacert-class3.crt" k=/System/Library/Keychains/X509Anchors
# Uklidíme po sobě
rm "cacert-root.crt"
rm "cacert-class3.crt"

10.5 Leopard

Používáte-li 10.5 Leopard a zadáte příkaz certtool ve tvaru jako výše, může se objevit tato chybová zpráva: 

***************************************************************
                         WARNING

The keychain you are accessing, X509Anchors, is no longer
used by Mac OS X as the system root certificate store.
Please read the security man page for information on the
add-trusted-cert command. New system root certificates should
be added to the Admin Trust Settings domain and to the
System keychain in /Library/Keychains.
***************************************************************
***Error adding certificate to keychain

VAROVÁNÍ: Řetěz X509Anchors již Mac OS X nepoužívá pro ukládání kořenových certifikátů.
Prosím čtěte stránku příručky bezpečnosti s údaji o příkazu add-trusted-cert. 
Nové systémové kořenové certifikáty je třeba přidávat do domény Admin Trust Settings
a do systémového řetězu klíčů umístěného v /Library/Keychains.
***Chyba při vkládání certifikátu do keychain

Řešením je použít bezpečnostní příkaz add-trusted-cert: 

sudo /usr/bin/security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain cacert-root.crt
sudo /usr/bin/security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain cacert-class3.crt

Windows

Popis všech způsobů importu tohoto certifikátu do Windows je mimo rozsah tohoto článku a je již uveden v Jak importovat kořenové certifikáty CAcert do klientského softwaru.

Windows: prostředí cygwin

Zde není /etc/ssl; proto musíte certifikát uložit do /usr/ssl/certs, a to pod jeho speciálním názvem. 

wget "http://www.cacert.org/certs/root_X0F.crt" -O /usr/ssl/certs/5ed36f99.0

Umístění najdete příkazem "strace wget https://somesite 2>&1 |grep ssl", který sice selže, ale uvidíte pokus o přečtení certifikátu z tohoto umístění.

Windows Mobile

Windows Mobile 5

Na Windows Mobile 2005 potřebujete stáhnout certifikát zakódovaný jako DER (pocketIE ho nedokáže uložit, takže si ho uložte do ZIP souboru ke stažení). Potom musíte přejmenovat příponu na .cer . Až pak ho budete moci instalovat dvojklikem.

/!\ ZASTARALÉ - neplatí pro nové kořenové certifikáty podepsané algoritmem SHA256 /!\ Můžete také importovat nové certifikáty do Windows Mobile v souboru typu CAB. Povšechný návod, jak CAB vytvořit, najdete na blogu Windows Mobile. Hotový soubor CAB s certifikáty Class 1 (kořenovým) a Class 3 (zprostředkujícím) najdete na http://jacob.steenhagen.us/CAcert.cab. Tento CAB, podepsaný "Jacob Steenhagen's CAcert certificate", lze snadno stáhnout do Vašeho zařízení a instalovat. Můžete jeho pravost ověřit otevřením souboru CAB a prohlídkou souboru _setup.xml zjistit, že řádek před <param/> (který obsahuje skutečný certifikát) je: 

   <characteristic type="135cec36f49cb8e93b1ab270cd80884676ce8f33">

pro class 1 a: 

   <characteristic type="db4c4269073fe9c2a37d890a5c1b18c4184e2a2d">

pro class 3. (Poznámka: Ověřte uvedené "otisky prstů" s "otiskem palce" Internet Exploreru na: http://www.cacert.org/index.php?id=3), kde jsou zobrazeny.) Zde uvedené otisky se budou od skutečných lišit!

/!\ ZASTARALÉ - konec úseku /!\

PocketPC2002

Pro ověření, že byl nový certifikát úspěšně zaveden do zařízení:

Poznámky

Pro wap1.x-gateways není způsob, jak hostovat šifrované wap-stránky, jestliže Váš poskytovatel wap-gateway nemá certifikát, protože stránka je dešifrována v bráně (gateway) a ne v zařízení.

Linux

Jak bude třeba modifikovat Vaši variantu Linuxu, aby důvěřovala kořenovému certifikátu CAcert, to se bude lišit podle varianty (klonu) i verze distribuce. O některých variantách máme určité informace, uvedené dále.

Instrukce pro klony Red Hat 5+, Red Hat 4 a Fedora jsou předmětem článku Chyba 1344: Nesprávná instalační instrukce. Čtěte pro získání více informací.

Text z Bug1344 dále vysvětluje:

Krom toho můžete získat certifikáty obvyklou cestou z webu: zde. 

Na ubuntu : zkuste
sudo apt-get install ca-certificates
když je balíček nainstalován, můžete provést:
dpkg-query -L ca-certificates
a tím získat seznam kořenových certifikátů

Debian

Jak vidno z dokumentu z března 2014, Debian již nadále nedistribuuje kořenové certifikáty CACert jako součást svých instalačních balíčků.

Můžete však i nadále importovat kořenové certifikáty CAcert takto: 

$ wget http://www.cacert.org/certs/root_X0F.crt http://www.cacert.org/certs/class3_x14E228.crt
$ sudo cp root_X0F.crt /usr/local/share/ca-certificates/cacert-root.crt
$ sudo cp class3_x14E228.crt /usr/local/share/ca-certificates/cacert-class3.crt
$ sudo update-ca-certificates

Výstup by měl vypadat asi takto: 

$ sudo update-ca-certificates
Updating certificates in /etc/ssl/certs... 2 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:cacert-class3.pem
Adding debian:cacert-root.pem
done.
done.

To je všechno. Pro další informace viz man update-ca-certificates a /usr/share/doc/ca-certificates/README.Debian z balíčku ca-certificates.

Instalace z nestabilní (sid) package managementem

Jako zdroj balíčku musíte přidat nestabilní (sid), aby všechny balíčky s výjimkou ca-cacert nebyly považovány za řešení verzí.

  1. Editujte jako root (tedy s předponou sudo před příkazem editoru) soubor /etc/apt/preferences tak, aby obsahoval: 

    • # Pasivovat nestabilní (sid)
Package: *
Pin: release o=Debian,a=unstable
Pin-Priority: -10

# Povolit ca-cacert z nestabil (sid), ale preferovat cilovy release 
Package: ca-cacert
Pin: release o=Debian,a=unstable
Pin-Priority: 100
  2. Editujte jako root soubor /etc/apt/sources.list tak, aby obsahoval (změňte odsazení podle předchozích položek) 
    • deb http://ftp.de.debian.org/debian/ sid main # provides package ca-cacert
Update package information and install package by running commands
sudo apt update
sudo apt-get install ca-cacert
Add trust to fresh certificates interactively running command
sudo dpkg-reconfigure ca-certificates
  3. Upravte informaci o balíčku a instalujte balíček příkazy 
    • sudo apt update
sudo apt-get install ca-cacert
  4. Dejte novým certifikátům důvěryhodnost interaktivně spuštěným příkazem:

    • sudo dpkg-reconfigure ca-certificates

Důvěryhodnost dostanou tyto certifikáty:

Instalace z nestabilní (sid) manuálně

Pozor: Tuto instalační metodu použijte, jen když jste připraveni na pracnou kontrolu podpisů. Ověřený soubor pak použijete k další instalaci.

  1. Najděte a stáhněte balíček z packages.debian.org s očekávaným názvem šablony ca-cacert_<version>_all.deb .

  2. Manuálně zkontrolujte podpis staženého souboru pomocí Release.gpg, jak je popsáno v Secure APT (Debian wiki)

  3. Instalujte balíček příkazem:

    • sudo dpkg -i <downloaded-package-file-name>

  4. Dejte novým certifikátům důvěryhodnost interaktivně spuštěným příkazem:

    • sudo dpkg-reconfigure ca-certificates

KDE

Kořenový certifikát CAcert lze přidat do úložiště certifikátů KDE, takže všechny aplikace KDE, včetně Konquerora, budou důvěřovat certifikátům podepsaným CAcert.

Symbian

Nokia E61

Java

$ keytool -keystore $/PATH/TO/CACERTS/KEYSTORE -storepass changeit -import -trustcacerts -v -alias cacertclass1 -file root_X0F.crt
$ keytool -keystore $/PATH/TO/CACERTS/KEYSTORE -storepass changeit -import -trustcacerts -v -alias cacertclass3 -file class3_x14E228.crt

Typická umístění klíčů - cacerts keystore:

Vysvětlivky:

  1. Název souboru úložiště klíčů (keystore) je "cacerts" a jeho heslo je "changeit" (napovídá, abyste je změnili).
  2. $/PATH/TO/CACERTS/KEYSTORE = zástupný text za cestu k souboru "cacerts" včetně názvu souboru.
  3. $VERSION = verze Javy, příklady:
    • Linux Ubuntu: "7-openjdk-amd64" - celá cesta včetně názvu souboru je tedy /usr/lib/jvm/java-7-openjdk-amd64/jre/lib/security/cacerts
    • Linux SuSE: "1.8.0_71" - celá cesta včetně názvu souboru je tedy /usr/java/jre1.8.0_71/lib/security/cacerts

Acrobat Reader

Viz též Adobe Reader a velmi stručně o zavedení kořenových certifikátů pro podepisování do Acrobat Reader.

Procedura pro Acrobat 8:

Android telefony a tablety

Před Androidem verze 4.0, s Androidy verzí Gingerbread a Froyo, existoval jediný soubor jen pro čtení (read-only): ( /system/etc/security/cacerts.bks ) obsahující důvěryhodné úložiště se ('systémovými') certifikáty všech CA, kterým Android standardně důvěřuje. Jak systémové aplikace, tak všechny aplikace vyvíjené pomocí SDK (Software Development Kit, sada pro vývoj softwaru) Android tento soubor používají. Použijte tyto instrukce k instalaci certifikátů CAcert na Androidu verzí Gingerbread, Froyo, ...

Počínaje verzí Android 4.0 (Android ICS/'Ice Cream Sandwich', Android 4.3 'Jelly Bean' a Android 4.4 'KitKat'), jsou systémové důvěryhodné certifikáty v systémovém (read-only) oddílu (partition) ve složce '/system/etc/security/' jako jednotlivé soubory. Uživatelé však mohou nyní snadno přidat své vlastní 'uživatelské' certifikáty, které se ukládají do '/data/misc/keychain/certs-added'.

Systémem-instalované certifikáty lze spravovat v zařízení Android v sekci Nastavení -> Zabezpečení -> certifikáty -> 'Systém' (Settings -> Security -> Certificates -> 'System'), zatímco uživatelské důvěryhodné certifikáty se spravují v sekci 'Uživatel ('User') tamtéž. Při použití uživatelských důvěryhodných certifikátů Android donutí uživatele zařízení implementovat další bezpečnostní opatření: odemknutí obrazovky PIN-kódem, gestem (pattern-lock) nebo dalším heslem; tato opatření jsou povinná, když se používají uživatelem dodané certifikáty.

Instalace certifikátů CAcert jako 'uživatelských důvěryhodných' ("user-trusted') certifikátů je velmi snadná. Instalace nových certifikátů jako 'systémových důvěryhodných' ('system trusted' certifikátů je pracnější (a vyžaduje přístup správce [root]), ale má tu výhodu, že Android nevyžaduje uzamykání obrazovky.

Uživatelské důvěryhodné certifikáty CAcert

Stáhněte soubory kořenových certifikátů ('root_X0F.crt' a 'class3_x14E228.crt') do vnitřní paměti ('/sdcard' nebo některé podsložky). Vyhledejte tu složku správcem souborů a otevřete 'root_X0F.crt'. Ačkoli zde nemusíte vidět ikonu certifikátu a soubory budou mít ikonu '?', budou soubory otevřeny správcem certifikátů, který se Vás zeptá na popisné jméno/název certifikátu. jenž má být importován. Je-li to první uživatelský certifikát, který instalujete, donutí Vás Android Security Model použít zamykací obrazovku k odemknutí Vašeho zařízení (viz "Systémové důvěryhodné certifikáty CAcert (CAcert system trusted certificates)", pokud se tomu chcete opravdu vyhnout). Opakujte totéž se souborem 'class3_x14E228.crt'. Zkontrolujte, zda oba certifikátové soubory jsou správně nainstalovány: Nastavení -> Zabezpečení -> Certifikáty -> Uživatelské (Settings -> Security -> Certificates -> 'User' - sekce by už měla ukázat právě instalované certifikáty.

Systémové důvěryhodné certifikáty CAcert (bez uzamykací obrazovky)

Existující metoda importu uživatelských certifikátů funguje dobře, ale má tu nevýhodu, že vyžaduje PIN / heslo uzamykací obrazovky, kdykoli jsou nainstalovány uživatelské certifikáty. Instalací certifikátů CAcert jako systémových certifikátů jsou tyto soubory lépe chráněny před manipulací ze strany aplikací se zlými úmysly, a není zde ani uzamykací obrazovka (pouze 'Odemkněte přetažením' ['Slide to unlock'] nebo vůbec žádná). Budete k telefonu potřebovat přístup správce (root); nebo aspoň dočasný, a systém s openssl softwarem pro vytvoření nových certifikátů.

Další kroky Vám ukáží, jak vytvořit Android-kompatibilní soubory certifikátů z originálních certifikátových souborů CAcertu, jak je instalovat/importovat na Vaše zařízení s Androidem a jak ověřit,že je instalace korektní.

V Androidu verze 4.4.2 je možno uložit certifikáty jako "uživatelské" (Android sám vytvoří jejich správné názvy odvozené z haše) a pak je programem pro Android, jako je Terminál, adb shell nebo Ghost Commander přesunout do systémového úložiště. Pokud budete postupovat takto, přeskočte na odstavec "Importování" a místo zdrojového podadresáře "/sdcard" který je tam uveden, použijte podadresář "/data/misc/keychain/cacerts-added", kam Android ukládá "uživatelské" certifikáty. Kořenové certifikáty CAcert nekopírujte, ale přesuňte!

Vytvoření

Z originálních souborů kořenových certifikátů CAcert vytvoříme certifikátové soubory kompatibilní s Androidem.

Kořenové certifikáty CAcert získáme z webu cacert.org: https://www.cacert.org/index.php?id=3 Stáhneme je ve formátu PEM: (root_X0F.crt) a PKI klíč třídy 3 také ve formátu PEM (class3_x14E228.crt) Získáme haš (hash) certifikátu root_X0F.crt: 

openssl x509 -inform PEM -subject_hash_old -in root_X0F.crt | head -1

To Vám zobrazí haš (hash), což v případě souboru CAcert PEM 'root_X0F.crt' je '5ed36f99' (musíte zadat '-subject_hash_old' místo '-subject_hash', neboť potřebujete haš kompatibilní s openssl 0.9) Použijeme tuto hodnotu, doplníme '.0' (tečku a nulu) a použijeme výsledek jako název souboru pro výsledný certifikát Androidu: 

cat root_X0F.crt > 5ed36f99.0
openssl x509 -inform PEM -text -in root_X0F.crt -noout >> 5ed36f99.0

Opakujte tyto kroky pro PEM certifikát třídy 3, soubor 'class3_x14E228.crt'. Když vše půjde dobře, získáte soubory 5ed36f99.0 a e5662767.0 (dostanete-li haš hodnoty 590d426f a 99d0fa06, nepoužili jste v openssl parametr '-subject_hash_old').

Kontrolní haše certifikátových souborů: 

md5sum 5ed36f99.0
6ecc343c22ba3ba6ef817f0d8bd744e1  5ed36f99.0

md5sum e5662767.0
e2e7c5924103de7d2b93fef735176b45  e5662767.0

sha1sum 5ed36f99.0
8d9ca4e340ecf56911296b3c48b3a4969515b268  5ed36f99.0

sha1sum e5662767.0
915346ab8ea8a2a00e158afb8c03ce43c8745f16  e5662767.0

sha256sum 5ed36f99.0
a04100c5026e41cf6d79a4653495258afc02f1819d742a3f8af848e052036196  5ed36f99.0

sha256sum e5662767.0
239e3845dde6dba0a63b5e17d7365c27f0af27b51da2bddf293c54a84fa7f181  e5662767.0

Importování

Nyní máme certifikátové soubory kompatibilní s Androidem a budeme je importovat do 'systémového' certifikátového úložiště Androidu. Podmínkou je, abyste získali práva superuživatele a mohli zapisovat do / odstraňovat ze systémových podadresářů. K tomu je nutné, aby systém Androidu obsahoval program "su" (superuser), který Vám dá práva superuživatele - správce systému. Některé telefony neobsahují v systému tento program, a pak jste odkázáni na ukládání všech přidaných certifikátů jen jako "uživatelských".

Zkopírujte soubory do složky /sdcard, buď správcem souborů nebo pmocí adb push. Jděte do prostředí adb shell (adb shell z příkazového řádku), nebo otevřete aplikaci 'terminal' na svém zařízení Android. Uvidíte příkazovou nápověď podobnou této: shell@android:/ $ Získejte práva superuživatele nebo správce (superuser/root), potřebná k provedení privilegovaných akcí: 

su

Změňte práva složky /system pro zápis (po rebootu budou zase jen pro čtení [read-only]): 

mount -o remount,rw /system

Zkopírujte nové certifikátové soubory do správné složky zařízení Android: 

cp /sdcard/5ed36f99.0 /system/etc/security/cacerts/
cp /sdcard/e5662767.0 /system/etc/security/cacerts/

Upravte práva souborů na u=rw, g=r, o=r (u = vlastník, g = skupina, o = ostatní; r = čtení-4, w = zápis-2): 

cd /system/etc/security/cacerts/
chmod 644 5ed36f99.0
chmod 644 e5662767.0

Zkontrolujte, zda jsou soubory ok: 

ls -al -Z

Vynechte '-Z', jestliže používáte verzi Androidu bez SElinux, to pouze ukáže další zabezpečení, které může být užitečné, nastanou-li potíže.

Kromě ostatních standardních certifikátových souborů Androidu uvidíte dva nové sobory: 

-rw-r--r-- root     root              u:object_r:system_file:s0 5ed36f99.0
-rw-r--r-- root     root              u:object_r:system_file:s0 e5662767.0

Certifikáty budou zavedeny při dalším bootu (studeném restartu, vypnutí/zapnutí) Vašeho zařízení, takže proveďte: 

reboot

Ověření

K ověření, že jsou certifikáty správně nainstalovány, jděte na Nastavení -> Zabezpečení -> Certifikáty (Settings -> Security -> Certificates). Tam byste měl(a) vidět jak "CAcert Inc.", tak "Root CA" kromě dalších certifikátů v sekci 'System'. Přesvědčte se, že tyto certifikáty nejsou i v sekci 'User' (uživatelem definované). Ze svého zařízení s Androidem navštivte https://www.cacert.org. Když neuvidíte výstrahu ohledně chybějících nebo nedůvěryhodných certifikátů, je vše v pořádku.

Některé prohlížeče mohou používat své vlastní úložiště certifikátů místo toho, které je v Androidu; pak asi budete muset importovat certifikátové soubory také do těchto prohlížečů.

Nejste-li schopni potlačit uzamykací obrazovku Androidu (PIN/Pattern) po instalaci systémových certifikátů, budete asi potřebovat funkci "Odstranit/smazat pověření (Clear/delete credentials)" (Nastavení -> Zabezpečení [Settings -> Security]), i když tím odstraníte všechny uživatelské certifikáty.

Nastanou-li problémy, porovnejte md5 sum certifikátových souborů s hodnotami md5 uvedenými v tomto článku, zkontrolujte také práva nově instalovaných souborů. Zajistěte, aby nebyl instalován žádný uživatelský certifikát (Nastavení -> Zabezpečení -> Smazat certifikáty [Settings -> Security -> Clear certificates]), a používejte prohlížeč, který používá certifikáty z úložiště Androidu nemá svoje vlastní úložiště.

V budoucnosti mohou být v Androidu použity novější verze openssl. Jestliže ano, musíte odstranit část "_old" z parametru openssl "-subject_hash_old".

Odkazy

Jak instalovat certifikáty CAcert na Android ICS, Jelly Bean a novější verze (Sebastiaan Giebels)

CyanogenMod fórum s tímtéž článkem Sebastiaana Giebelse

Přidání kořenových certifikátů SSL do Androidu verzí Ice Cream Sandwich a Jellybean (Patrick Van de Walle) - obsahuje specifické podrobnosti o OpenSSL.

StackOverflow - user2708846 komentář, jak vytvořit správné soubory certifikátů pro Android

Popis implementace ICS Trust Store (Nikolaj Jelenkov)

CyanogenMod wiki (old) - článek o přidání CA bez vyžadování PINu (chyba, když není použit haš certifikátu jako název souboru)

StackExchange - Instalace CA bez nutnosti aktivace zamykací obrazovky

Palm Pre (webOS)

Počínaje webOS 1.2 je postup pro přidání kořenových certifikátů do Palm Pre mimořádně jednoduchý a lze ho celý provést přímo na telefonu.

  1. V prohlížeči Pre jděte na http://www.cacert.org/index.php?id=3 nebo http://www.cacert.org a klikněte na Kořenové certifikáty (Root Certificates)

  2. Pod Třídou 1 (Class 1) kliknte na odkaz Kořenový certifikát (formát PEM)

  3. Dole na obrazovce se objeví šedá lišta postupu. Když je certifikát úplně stažen, objeví se na pravé straně lišty šipka

  4. Klikněte na lištu obsahující root_X0F.crt na zmíněnou šipku

  5. Objeví se Správce certifikátů a dá Vám možnost vidět podrobnosti detail a přijmout nebo odmítnout certifikát
    • Bohužel na této obrazovce není "otisk prstu" (fingerprint), takže ho nelze ověřit.
  6. Klikněte na tlačítko "Důvěřuj certifikátu (Trust Certificate)"

  7. Opakujte s certifikátem třídy 3: Zprostředkující certifikát (formát PEM)

Poznámka: U systémů webOS nižších verzí než 1.2 musíte kopírovat soubory .crt do paměti telefonu za použití režimu USB, vyvolat manažer certifikátů (Device Info; More Info (tlačítko naspodu); Certificate Manager (menu Preferences nahoře)), a importovat certifikáty (ikona na obrazovce vlevo dole k jejich vyhledání).

Jak se mohu ujistit, že jsou autentické?

Je mnoho způsobů, jak se ujistit, že máte autentické, nezmanipulované kopie kořenových certifikátů; u všech stačí mít důvěryhodnou stranu, kde ověříte "otisky prstů (fingerprints)". Někdy je důvěryhodnou stranou distributor Vašeho systému, ale můžete si je také ověřit sami.

Nalezení správných "otisků prstů" (fingerprints)

CAcert se snaží zajistit několik míst, kde půjde ověřit "otisky prstů" certifikátů. Dále uvádíme známé cesty k nalezení autentických kopií "otisků prstů" kořenových certifikátů CAcert.

CAcert v současnosti pracuje na poskytování "otisků prstů" těmito dalšími způsoby:

FAQ/ImportRootCert/CZ (last edited 2023-08-01 08:56:10 by AlesKastner)