Contents

  1. Technické často kladené otázky (FAQ)
    1. Získávání certifikátů nebo podpisů
    2. Klient, server a síť - problémy a konfigurace
    3. Pomocné
      1. Dostávám upozornění, že SSL certifikát vašeho webu nelze ověřit.
      2. Certifikáty CAcert třídy 3 (CAcert Class 3 certificates)
        1. Proč třída 3?
        2. Jaký je rozdíl mezi certifikáty kořenovými - třídy 1 a zprostředkujícími - třídy 3?
        3. Použití certifikátů třídy 3
      3. Proč je certifikát podepsaný CAcertem lepší, než certifikát podepsaný sám sebou (self-signed)?
      4. Jak mohu exportovat / zálohovat kořenový certifikát CA z Mozilly?
      5. Co potřebuji k získání certifikátu pro podpis kódu?
      6. Jak si mohu vyžádat serverový certifikát?
      7. Je zdrojový kód CAcert.org dostupný?
    4. Kořenové certifikáty
      1. Struktura kořenových certifikátů

Technické často kladené otázky (FAQ)

Získávání certifikátů nebo podpisů

Klient, server a síť - problémy a konfigurace

Pomocné

Dostávám upozornění, že SSL certifikát vašeho webu nelze ověřit.

Importoval(a) jste kořenový certifikát CAcert (CAcert Root Certificate) do svého prohlížeče?

Viz http://www.cacert.org/index.php?id=3 a Jak importovat kořenové certifikáty CAcert do prohlížečů?

Certifikáty CAcert třídy 3 (CAcert Class 3 certificates)

Proč třída 3?

Od 18. října 2005 začal CAcert nabízet certifikáty třídy 3.

Důvodem zavedení certifikátů třídy 3 (kořenových zprostředkujících) je, že některým vývojářům softwaru a správcům (administrátorům) se nelíbí myšlenka mít ověřené i neověřené certifikáty na téže půdě, a i když jsme věděli, že jiné společnosti již v nejrozšířenějších prohlížečích vydávají certifikáty za stejných nebo horších podmínek, žádá se od nás, abychom byli lepší občané sítě...!

A tak zlepšujeme důvěryhodnost certifikátů, které poskytujeme.

Jaký je rozdíl mezi certifikáty kořenovými - třídy 1 a zprostředkujícími - třídy 3?

Certifikát třídy 3 je vysoce bezpečnou podmnožinou kořenového certifikátu CAcert třídy 1.

Certifikát třídy 1 je 'normální' a starší kořenový certifikát CAcertu. Obsahuje oba certifikáty - nízké i vysoké úrovně bezpečnosti. Jelikož nemusí být možné získat certifikát třídy 1 vložený do některých prohlížečů a distribucí (viz InclusionStatus), byl zaveden certifikát třídy 3. Ten obsahuje pouze certifikáty vysoké úrovně bezpečnosti a je podmnožinou certifikátu třídy 1.

Všeobecně: Certifikát třídy 3 bude v budoucnu patrně integrován do nových prohlížečů a distribucí, zatímco certifikát třídy 1 pravděpodobně funguje s jinými, zvláště staršími prohlížeči.

Použití certifikátů třídy 3

Použití certifikátů třídy 3 ve webovém serveru Apache je shodné s použitím certifikátů třídy 1. Pouze přidružte svůj serverový certifikát vydaný CAcertem s Vaším (virtuálním) strojem použitím direktivy SSLCertificateFile. Nemusíte specifikovat certifikát CA v Apache, pokud nechcete ověřit klientské certifikáty podepsané klíčem CA.

Aby to bylo absolutně jasné: Specifikujete-li certifikát CA v Apache, pak Apache nebude posílat CA certifikát s certifikátem serveru v odpovědi na připojení klienta, protože to by vůbec nemělo smysl. Představte si, co by znamenalo, kdyby to Apache udělal: Někdo, koho neznáte, Vám dá písemný příkaz od někoho, koho také neznáte, a tvrdí: "Ano, je to pravda, on je skutečně ten, kým se prohlašuje."

Skutečně to funguje asi takto: Musíte mít certifikát CA již importovaný do svého webového prohlížeče. Tím importem prohlašujete, že věříte, že CA správně certifikuje uživatele nebo servery. Jestliže se teď připojíte k webu, web odpoví svým serverovým certifikátem. Váš prohlížeč detekuje, že ten certifikát byl podepsán důvěryhodnou CA a proto věří, že serverový certifikát je platný.

Takže znovu: potřebujete vložit SSLCACertificateFile do Apache pouze, když chcete, aby Apache ověřil klientské certifikáty s použitím certifikátu specifikované CA.

Příklad pro Apache 1.x mod_ssl: 

# Váš soubor certifikátu
SSLCertificateFile /etc/apache/ssl.crt/www.example.org.crt
# Váš soubor klíčů
SSLCertificateKeyFile /etc/apache/ssl.key/www.example.org.key
# Certifikát Cacert pro verzi 3; je potřebný pouze k ověření klientských certifikátů
SSLCACertificateFile /etc/apache/ssl.crt/cacert.org-class3.crt

Soubor cacert.org-class3.crt by měl obsahovat PEM verzi certifikátu třídy 3 (http://www.cacert.org/certs/class3.crt)

Proč je certifikát podepsaný CAcertem lepší, než certifikát podepsaný sám sebou (self-signed)?

I když jsme nebyli standardně začleněni do nejrozšířenějších prohlížečů, řada linuxových distribucí nás již vkládá do svých vydání Mozilly a jiných prohlížečů/e-mailových klientů.

Kdybyste měli 100 webů konfigurovaných se 100 certifikáty podepsanými samy sebou, museli byste je všechny importovat do svého prohlížeče, zatímco použití modelu kořenových certifikátů vydaných CA -> serverových certifikátů (ať už používáte náš web nebo máte svůj vlastní) bude od Vás vyžadovat import pouze jednoho (1) certifikátu, aby Váš prohlížeč důvěřoval všem 100 webům. To však nebere v úvahu všechny předešlé osvojitele s jejich importy našeho kořenového certifikátu do jejich počítačů a celých pracovních sítí pomocí aktivního adresáře, což je pravděpodobně pár sítí s 20,000 a více pracovními stanicemi nastavenými pro použití certifikátů CAcert, namísto aby měli vlastní vnitřní certifikační autority.

A kromě toho certifikát podepsaný sám sebou (self-signed) neposkytuje žádné třetí straně možnost ověření, takže můžete snadno vydat sebou podepsaný certifikát pro "Microsoft.com", ale pokud nemáte přístup k e-mailovým adresám dle RFC, náš systém Vám to nedovolí.

Na první pohled sice prohlížeč obtěžuje, ale v každém směru je zde skutečně určitý přínos, když existuje co nejvíce lidí rovněž importujících kořenový certifikát, protože čím více lidí ho má nainstalovaný, tím užitečnější se stává a naopak.

Jak mohu exportovat / zálohovat kořenový certifikát CA z Mozilly?

Nemůžete.

Současné zálohovací funkce Mozilly jsou určeny pro Vaše vlastní certifikáty - takové, pro které máte klíče, ve formátu PKCS#12. Nemusíte mít klíče ke kořenovým certifikátům (z definice), takže je nemůžete zálohovat do PKCS#12. Některé kořenové certifikáty mohou být uloženy ve Vašem souboru typu PKCS#12, když zálohujete některý svůj certifikát jako celý řetěz certifikátů.

K zálohování certifikátů třetích stran, například kořenových certifikátů, byste potřebovali zálohovací funkci pro PKCS#7.

(Podle: netscape.public.mozilla.crypto - Julien Pierre)

Co potřebuji k získání certifikátu pro podpis kódu?

Pro možnost podepisování kódu musíte být zaručovatelem. Pak musíte poslat e-mail na support(zavináč)cacert.org a požádat o aktivaci podepisování kódu (Code-Signing) na Vašem účtu. Prosím, čtěte Certifikáty pro podpis kódu pro další podrobnosti.

Jak si mohu vyžádat serverový certifikát?

[Otázka] Pokouším se zjistit, co přesně musím udělat, abych si vyžádal serverový certifikát. Úspěšně jsem si vytvořil účet k získání certifikátů pro osobní e-maily, ale tam se neobjeví odpovídající stránka pro serverové certifikáty. Stránka, které popisuje program serverových certifikátů (Server Certificate Programme) neříká nic o tom, jak mám podat žádost. Měl bych napsat e-mail na podporu a připojit žádost o podpis certifikátu (CSR), kterou jsem vygeneroval, jako přílohu e-mailu? Existuje nějaká jiná e-mailová adresa, kterou bych k tomu měl použít?

[Odpověď] Po přihlášení na hlavní stránku webu CAcert.org máte napravo sloupec menu. Ten obsahuje položky menu "Domény (Domains)" a také "Certifikáty serveru (Server Certificates)" (obě mají položky "Přidat" resp. "Nový (new)" a "Zobrazit (view)"). Potřebujete nejprve prokázat, že jste vlastníkem domény nebo máte oprávnění ji spravovat (to provedete zadáním domény a pak výběrem jednoho z oficiálních e-mailových kontaktů domény). Jakmile dostanete na e-mail doménového kontaktu zprávu, objeví se doména ve Vašem seznamu zobrazených domén jako "ověřená". V dalším kroku jděte do menu "Certifikáty serveru" a vyžádejte si certifikát uploadem žádosti o podpis certifikátu. Žádost CSR musí obsahovat platné Obecné_jméno (CommonName, CN) a volitelně i položky subjectAltName= (odpovídající doménám, které jste předtím ověřil/a). Všechny ostatní atributy budou odstraněny.

Je zdrojový kód CAcert.org dostupný?

Ano, je. Podívejte se na http://www.cacert.org/src-lic.php

Kořenové certifikáty

Struktura kořenových certifikátů

Struktura kořenových certifikátů typu G1 je převzata z Rozpracováno (WIP): Přehled postupu certifikace (Certification Practise Statement, CPS):

CAcert v současnosti vydává 2 kořenové certifikáty známé jako "Class 3" (třída 3, kořenový zprostředkující) a "Class 1" (třída 1, kořenový):

Kořenový zprostředkující certifikát třídy 3 je podepsán kořenovým certifikátem třídy 1 ("3" je pod-certifikát "1", tedy kořenový certifikát třídy 3 je technicky zprostředkujícím certifikátem kořenového certifikátu třídy 1).

Spoléhající strany se mohou rozhodnout důvěřovat pouze certifikátům pro zaručené Členy (výběrem certifikátu třídy 3 [pro zaručené Členy] za kotvu důvěry), nebo všech certifikátů (výběrem certifikátu třídy 1 [pro nezaručené Členy] za kotvu důvěry). Zaručení Členové mají volbu použít kořenový certifikát třídy 1, ale ten je spíše určen jako kompatibilní než jako "ostrý".

RootClass3.gif

CAcert v současnosti připravuje vytvoření nových kořenových certifikátů. Připojte se k diskusi, jak na to: Struktura a Komando pro nové kořenové certifikáty.

FAQ/TechnicalQuestions/CZ (last edited 2016-05-03 20:30:44 by AlesKastner)