• FAQ
• TechnicalQuestions
• CZ

• česky | english

Technické často kladené otázky (FAQ)

Získávání certifikátů nebo podpisů

• Co je to CSR a jak ho získám?

• Mohu od CAcert získat podpis svého klíče PGP/GPG?

• Vše o klientských certifikátech a co s nimi

• Vše o serverových certifikátech

• Jak mohu ověřit kořenový certifikát CAcert (CAcert Root Certificate)?

Klient, server a síť - problémy a konfigurace

• Můj paranoidní poskytovatel Internetu blokuje port 25

• Nemám pojmenovanou doménu / Chci použít doménu .local / Můj server není dosažitelný

• Jak mám konfigurovat svůj webový prohlížeč pro používání kořenového certifikátu CAcert?

• Jak mám konfigurovat svůj webový server k podpoře SSL?

Pomocné

Dostávám upozornění, že SSL certifikát vašeho webu nelze ověřit.

Importoval(a) jste kořenový certifikát CAcert (CAcert Root Certificate) do svého prohlížeče?

Viz http://www.cacert.org/index.php?id=3 a Jak importovat kořenové certifikáty CAcert do prohlížečů?

Certifikáty CAcert třídy 3 (CAcert Class 3 certificates)

Proč třída 3?

Od 18. října 2005 začal CAcert nabízet certifikáty třídy 3.

Důvodem zavedení certifikátů třídy 3 (kořenových zprostředkujících) je, že některým vývojářům softwaru a správcům (administrátorům) se nelíbí myšlenka mít ověřené i neověřené certifikáty na téže půdě, a i když jsme věděli, že jiné společnosti již v nejrozšířenějších prohlížečích vydávají certifikáty za stejných nebo horších podmínek, žádá se od nás, abychom byli lepší občané sítě...!

A tak zlepšujeme důvěryhodnost certifikátů, které poskytujeme.

Jaký je rozdíl mezi certifikáty kořenovými - třídy 1 a zprostředkujícími - třídy 3?

Certifikát třídy 3 je vysoce bezpečnou podmnožinou kořenového certifikátu CAcert třídy 1.

Certifikát třídy 1 je 'normální' a starší kořenový certifikát CAcertu. Obsahuje oba certifikáty - nízké i vysoké úrovně bezpečnosti. Jelikož nemusí být možné získat certifikát třídy 1 vložený do některých prohlížečů a distribucí (viz InclusionStatus), byl zaveden certifikát třídy 3. Ten obsahuje pouze certifikáty vysoké úrovně bezpečnosti a je podmnožinou certifikátu třídy 1.

Všeobecně: Certifikát třídy 3 bude v budoucnu patrně integrován do nových prohlížečů a distribucí, zatímco certifikát třídy 1 pravděpodobně funguje s jinými, zvláště staršími prohlížeči.

Použití certifikátů třídy 3

• stručná koncepce

Použití certifikátů třídy 3 ve webovém serveru Apache je shodné s použitím certifikátů třídy 1. Pouze přidružte svůj serverový certifikát vydaný CAcertem s Vaším (virtuálním) strojem použitím direktivy SSLCertificateFile. Nemusíte specifikovat certifikát CA v Apache, pokud nechcete ověřit klientské certifikáty podepsané klíčem CA.

Aby to bylo absolutně jasné: Specifikujete-li certifikát CA v Apache, pak Apache nebude posílat CA certifikát s certifikátem serveru v odpovědi na připojení klienta, protože to by vůbec nemělo smysl. Představte si, co by znamenalo, kdyby to Apache udělal: Někdo, koho neznáte, Vám dá písemný příkaz od někoho, koho také neznáte, a tvrdí: "Ano, je to pravda, on je skutečně ten, kým se prohlašuje."

Skutečně to funguje asi takto: Musíte mít certifikát CA již importovaný do svého webového prohlížeče. Tím importem prohlašujete, že věříte, že CA správně certifikuje uživatele nebo servery. Jestliže se teď připojíte k webu, web odpoví svým serverovým certifikátem. Váš prohlížeč detekuje, že ten certifikát byl podepsán důvěryhodnou CA a proto věří, že serverový certifikát je platný.

Takže znovu: potřebujete vložit SSLCACertificateFile do Apache pouze, když chcete, aby Apache ověřil klientské certifikáty s použitím certifikátu specifikované CA.

Příklad pro Apache 1.x mod_ssl:

# Váš soubor certifikátu
SSLCertificateFile /etc/apache/ssl.crt/www.example.org.crt
# Váš soubor klíčů
SSLCertificateKeyFile /etc/apache/ssl.key/www.example.org.key
# Certifikát Cacert pro verzi 3; je potřebný pouze k ověření klientských certifikátů
SSLCACertificateFile /etc/apache/ssl.crt/cacert.org-class3.crt

Soubor cacert.org-class3.crt by měl obsahovat PEM verzi certifikátu třídy 3 (http://www.cacert.org/certs/class3.crt)

Proč je certifikát podepsaný CAcertem lepší, než certifikát podepsaný sám sebou (self-signed)?

I když jsme nebyli standardně začleněni do nejrozšířenějších prohlížečů, řada linuxových distribucí nás již vkládá do svých vydání Mozilly a jiných prohlížečů/e-mailových klientů.

Kdybyste měli 100 webů konfigurovaných se 100 certifikáty podepsanými samy sebou, museli byste je všechny importovat do svého prohlížeče, zatímco použití modelu kořenových certifikátů vydaných CA -> serverových certifikátů (ať už používáte náš web nebo máte svůj vlastní) bude od Vás vyžadovat import pouze jednoho (1) certifikátu, aby Váš prohlížeč důvěřoval všem 100 webům. To však nebere v úvahu všechny předešlé osvojitele s jejich importy našeho kořenového certifikátu do jejich počítačů a celých pracovních sítí pomocí aktivního adresáře, což je pravděpodobně pár sítí s 20,000 a více pracovními stanicemi nastavenými pro použití certifikátů CAcert, namísto aby měli vlastní vnitřní certifikační autority.

A kromě toho certifikát podepsaný sám sebou (self-signed) neposkytuje žádné třetí straně možnost ověření, takže můžete snadno vydat sebou podepsaný certifikát pro "Microsoft.com", ale pokud nemáte přístup k e-mailovým adresám dle RFC, náš systém Vám to nedovolí.

Na první pohled sice prohlížeč obtěžuje, ale v každém směru je zde skutečně určitý přínos, když existuje co nejvíce lidí rovněž importujících kořenový certifikát, protože čím více lidí ho má nainstalovaný, tím užitečnější se stává a naopak.

Jak mohu exportovat / zálohovat kořenový certifikát CA z Mozilly?

Nemůžete.

Současné zálohovací funkce Mozilly jsou určeny pro Vaše vlastní certifikáty - takové, pro které máte klíče, ve formátu PKCS#12. Nemusíte mít klíče ke kořenovým certifikátům (z definice), takže je nemůžete zálohovat do PKCS#12. Některé kořenové certifikáty mohou být uloženy ve Vašem souboru typu PKCS#12, když zálohujete některý svůj certifikát jako celý řetěz certifikátů.

K zálohování certifikátů třetích stran, například kořenových certifikátů, byste potřebovali zálohovací funkci pro PKCS#7.

(Podle: netscape.public.mozilla.crypto - Julien Pierre)

Co potřebuji k získání certifikátu pro podpis kódu?

Pro možnost podepisování kódu musíte být zaručovatelem. Pak musíte poslat e-mail na support(zavináč)cacert.org a požádat o aktivaci podepisování kódu (Code-Signing) na Vašem účtu. Prosím, čtěte Certifikáty pro podpis kódu pro další podrobnosti.

Jak si mohu vyžádat serverový certifikát?

[Otázka] Pokouším se zjistit, co přesně musím udělat, abych si vyžádal serverový certifikát. Úspěšně jsem si vytvořil účet k získání certifikátů pro osobní e-maily, ale tam se neobjeví odpovídající stránka pro serverové certifikáty. Stránka, které popisuje program serverových certifikátů (Server Certificate Programme) neříká nic o tom, jak mám podat žádost. Měl bych napsat e-mail na podporu a připojit žádost o podpis certifikátu (CSR), kterou jsem vygeneroval, jako přílohu e-mailu? Existuje nějaká jiná e-mailová adresa, kterou bych k tomu měl použít?

[Odpověď] Po přihlášení na hlavní stránku webu CAcert.org máte napravo sloupec menu. Ten obsahuje položky menu "Domény (Domains)" a také "Certifikáty serveru (Server Certificates)" (obě mají položky "Přidat" resp. "Nový (new)" a "Zobrazit (view)"). Potřebujete nejprve prokázat, že jste vlastníkem domény nebo máte oprávnění ji spravovat (to provedete zadáním domény a pak výběrem jednoho z oficiálních e-mailových kontaktů domény). Jakmile dostanete na e-mail doménového kontaktu zprávu, objeví se doména ve Vašem seznamu zobrazených domén jako "ověřená". V dalším kroku jděte do menu "Certifikáty serveru" a vyžádejte si certifikát uploadem žádosti o podpis certifikátu. Žádost CSR musí obsahovat platné Obecné_jméno (CommonName, CN) a volitelně i položky subjectAltName= (odpovídající doménám, které jste předtím ověřil/a). Všechny ostatní atributy budou odstraněny.

Je zdrojový kód CAcert.org dostupný?

Ano, je. Podívejte se na http://www.cacert.org/src-lic.php

Kořenové certifikáty

• Mohu získat vydaný zprostředkující certifikát?

Struktura kořenových certifikátů

Struktura kořenových certifikátů typu G1 je převzata z Rozpracováno (WIP): Přehled postupu certifikace (Certification Practise Statement, CPS):

CAcert v současnosti vydává 2 kořenové certifikáty známé jako "Class 3" (třída 3, kořenový zprostředkující) a "Class 1" (třída 1, kořenový):

• Třída 3. Primárně používán pro certifikáty obsahující jména zaručených Členů.
• Třída 1. Primárně používán pro certifikáty beze jmen a vydané nezaručeným Členům.

Kořenový zprostředkující certifikát třídy 3 je podepsán kořenovým certifikátem třídy 1 ("3" je pod-certifikát "1", tedy kořenový certifikát třídy 3 je technicky zprostředkujícím certifikátem kořenového certifikátu třídy 1).

Spoléhající strany se mohou rozhodnout důvěřovat pouze certifikátům pro zaručené Členy (výběrem certifikátu třídy 3 [pro zaručené Členy] za kotvu důvěry), nebo všech certifikátů (výběrem certifikátu třídy 1 [pro nezaručené Členy] za kotvu důvěry). Zaručení Členové mají volbu použít kořenový certifikát třídy 1, ale ten je spíše určen jako kompatibilní než jako "ostrý".

CAcert v současnosti připravuje vytvoření nových kořenových certifikátů. Připojte se k diskusi, jak na to: Struktura a Komando pro nové kořenové certifikáty.

• CategoryFAQ