#language cs ## 20160503 AK ---- '''česky''' | [[FAQ/TechnicalQuestions|english]] ---- <> = Technické často kladené otázky (FAQ) = == Získávání certifikátů nebo podpisů == * [[FAQ/CSR/CZ|Co je to CSR a jak ho získám?]] * [[PgpSigning/CZ|Mohu od CAcert získat podpis svého klíče PGP/GPG?]] * [[Technology/KnowledgeBase/ClientCerts/CZ|Vše o klientských certifikátech a co s nimi]] * [[FAQ/ServerCerts/CZ|Vše o serverových certifikátech]] * [[FAQ/ImportRootCert/CZ|Jak mohu ověřit kořenový certifikát CAcert (CAcert Root Certificate)?]] == Klient, server a síť - problémy a konfigurace == * [[PortBlocking/CZ|Můj paranoidní poskytovatel Internetu blokuje port 25]] * [[FAQ/NoDomainName/CZ|Nemám pojmenovanou doménu / Chci použít doménu .local / Můj server není dosažitelný]] * [[FAQ/BrowserClients/CZ|Jak mám konfigurovat svůj webový prohlížeč pro používání kořenového certifikátu CAcert?]] * [[WebServers/CZ|Jak mám konfigurovat svůj webový server k podpoře SSL?]] == Pomocné == === Dostávám upozornění, že SSL certifikát vašeho webu nelze ověřit. === Importoval(a) jste kořenový certifikát CAcert (CAcert Root Certificate) do svého prohlížeče? Viz [[http://www.cacert.org/index.php?id=3]] a [[FAQ/BrowserClients/CZ|Jak importovat kořenové certifikáty CAcert do prohlížečů?]] === Certifikáty CAcert třídy 3 (CAcert Class 3 certificates) === ==== Proč třída 3? ==== Od 18. října 2005 začal CAcert nabízet certifikáty třídy 3. Důvodem zavedení certifikátů třídy 3 (kořenových zprostředkujících) je, že některým vývojářům softwaru a správcům (administrátorům) se nelíbí myšlenka mít ověřené i neověřené certifikáty na téže půdě, a i když jsme věděli, že jiné společnosti již v nejrozšířenějších prohlížečích vydávají certifikáty za stejných nebo horších podmínek, žádá se od nás, abychom byli lepší občané sítě...! A tak zlepšujeme důvěryhodnost certifikátů, které poskytujeme. ==== Jaký je rozdíl mezi certifikáty kořenovými - třídy 1 a zprostředkujícími - třídy 3? ==== Certifikát třídy 3 je vysoce bezpečnou podmnožinou kořenového certifikátu CAcert třídy 1. Certifikát třídy 1 je 'normální' a starší kořenový certifikát CAcertu. Obsahuje oba certifikáty - nízké i vysoké úrovně bezpečnosti. Jelikož nemusí být možné získat certifikát třídy 1 vložený do některých prohlížečů a distribucí (viz InclusionStatus), byl zaveden certifikát třídy 3. Ten obsahuje pouze certifikáty vysoké úrovně bezpečnosti a je podmnožinou certifikátu třídy 1. Všeobecně: Certifikát třídy 3 bude v budoucnu patrně integrován do nových prohlížečů a distribucí, zatímco certifikát třídy 1 pravděpodobně funguje s jinými, zvláště staršími prohlížeči. ==== Použití certifikátů třídy 3 ==== . /!\ stručná koncepce Použití certifikátů třídy 3 ve webovém serveru Apache je shodné s použitím certifikátů třídy 1. Pouze přidružte svůj serverový certifikát vydaný CAcertem s Vaším (virtuálním) strojem použitím direktivy `SSLCertificateFile`. ''Nemusíte'' specifikovat certifikát CA v Apache, ''pokud'' nechcete ověřit klientské certifikáty podepsané klíčem CA. '''Aby to bylo absolutně jasné: '''Specifikujete-li certifikát CA v Apache, pak Apache ''nebude'' posílat CA certifikát s certifikátem serveru v odpovědi na připojení klienta, protože to by '''vůbec nemělo smysl'''. Představte si, co by znamenalo, kdyby to Apache udělal: Někdo, koho neznáte, Vám dá písemný příkaz od někoho, koho také neznáte, a tvrdí: "Ano, je to pravda, on je skutečně ten, kým se prohlašuje." ''Skutečně'' to funguje asi takto: Musíte mít certifikát CA již importovaný do svého webového prohlížeče. Tím importem prohlašujete, že věříte, že CA správně certifikuje uživatele nebo servery. Jestliže se teď připojíte k webu, web odpoví svým serverovým certifikátem. Váš prohlížeč detekuje, že ten certifikát byl podepsán důvěryhodnou CA a proto věří, že serverový certifikát je platný. Takže znovu: potřebujete vložit `SSLCACertificateFile` do Apache ''pouze'', když chcete, aby Apache ověřil klientské certifikáty s použitím certifikátu specifikované CA. Příklad pro Apache 1.x mod_ssl: {{{ # Váš soubor certifikátu SSLCertificateFile /etc/apache/ssl.crt/www.example.org.crt # Váš soubor klíčů SSLCertificateKeyFile /etc/apache/ssl.key/www.example.org.key # Certifikát Cacert pro verzi 3; je potřebný pouze k ověření klientských certifikátů SSLCACertificateFile /etc/apache/ssl.crt/cacert.org-class3.crt }}} Soubor cacert.org-class3.crt by měl obsahovat PEM verzi certifikátu třídy 3 (http://www.cacert.org/certs/class3.crt) === Proč je certifikát podepsaný CAcertem lepší, než certifikát podepsaný sám sebou (self-signed)? === I když jsme nebyli standardně začleněni do nejrozšířenějších prohlížečů, řada linuxových distribucí nás již vkládá do svých vydání Mozilly a jiných prohlížečů/e-mailových klientů. Kdybyste měli 100 webů konfigurovaných se 100 certifikáty podepsanými samy sebou, museli byste je všechny importovat do svého prohlížeče, zatímco použití modelu kořenových certifikátů vydaných CA -> serverových certifikátů (ať už používáte náš web nebo máte svůj vlastní) bude od Vás vyžadovat import pouze jednoho (1) certifikátu, aby Váš prohlížeč důvěřoval všem 100 webům. To však nebere v úvahu všechny předešlé osvojitele s jejich importy našeho kořenového certifikátu do jejich počítačů a celých pracovních sítí pomocí aktivního adresáře, což je pravděpodobně pár sítí s 20,000 a více pracovními stanicemi nastavenými pro použití certifikátů CAcert, namísto aby měli vlastní vnitřní certifikační autority. A kromě toho certifikát podepsaný sám sebou (self-signed) neposkytuje žádné třetí straně možnost ověření, takže můžete snadno vydat sebou podepsaný certifikát pro "Microsoft.com", ale pokud nemáte přístup k e-mailovým adresám dle RFC, náš systém Vám to nedovolí. Na první pohled sice prohlížeč obtěžuje, ale v každém směru je zde skutečně určitý přínos, když existuje co nejvíce lidí rovněž importujících kořenový certifikát, protože čím více lidí ho má nainstalovaný, tím užitečnější se stává a naopak. === Jak mohu exportovat / zálohovat kořenový certifikát CA z Mozilly? === Nemůžete. Současné zálohovací funkce Mozilly jsou určeny pro Vaše vlastní certifikáty - takové, pro které máte klíče, ve formátu PKCS#12. Nemusíte mít klíče ke kořenovým certifikátům (z definice), takže je nemůžete zálohovat do PKCS#12. Některé kořenové certifikáty mohou být uloženy ve Vašem souboru typu PKCS#12, když zálohujete některý svůj certifikát jako celý řetěz certifikátů. K zálohování certifikátů třetích stran, například kořenových certifikátů, byste potřebovali zálohovací funkci pro PKCS#7. (Podle: netscape.public.mozilla.crypto - Julien Pierre) === Co potřebuji k získání certifikátu pro podpis kódu? === Pro možnost podepisování kódu musíte být zaručovatelem. Pak musíte poslat e-mail na support(zavináč)cacert.org a požádat o aktivaci podepisování kódu (Code-Signing) na Vašem účtu. Prosím, čtěte [[CodesigningCert/CZ| Certifikáty pro podpis kódu]] pro další podrobnosti. === Jak si mohu vyžádat serverový certifikát? === [Otázka] Pokouším se zjistit, co přesně musím udělat, abych si vyžádal serverový certifikát. Úspěšně jsem si vytvořil účet k získání certifikátů pro osobní e-maily, ale tam se neobjeví odpovídající stránka pro serverové certifikáty. Stránka, které popisuje program serverových certifikátů (Server Certificate Programme) neříká nic o tom, jak mám podat žádost. Měl bych napsat e-mail na podporu a připojit žádost o podpis certifikátu (CSR), kterou jsem vygeneroval, jako přílohu e-mailu? Existuje nějaká jiná e-mailová adresa, kterou bych k tomu měl použít? [Odpověď] Po přihlášení na hlavní stránku webu CAcert.org máte napravo sloupec menu. Ten obsahuje položky menu "Domény (Domains)" a také "Certifikáty serveru (Server Certificates)" (obě mají položky "Přidat" resp. "Nový (new)" a "Zobrazit (view)"). Potřebujete nejprve prokázat, že jste vlastníkem domény nebo máte oprávnění ji spravovat (to provedete zadáním domény a pak výběrem jednoho z oficiálních e-mailových kontaktů domény). Jakmile dostanete na e-mail doménového kontaktu zprávu, objeví se doména ve Vašem seznamu zobrazených domén jako "ověřená". V dalším kroku jděte do menu "Certifikáty serveru" a vyžádejte si certifikát uploadem [[FAQ/CSR/CZ|žádosti o podpis certifikátu]]. Žádost CSR musí obsahovat platné Obecné_jméno (!CommonName, CN) a volitelně i položky subjectAltName= (odpovídající doménám, které jste předtím ověřil/a). Všechny ostatní atributy budou odstraněny. === Je zdrojový kód CAcert.org dostupný? === Ano, je. Podívejte se na http://www.cacert.org/src-lic.php == Kořenové certifikáty == * [[SubRoot/CZ|Mohu získat vydaný zprostředkující certifikát?]] === Struktura kořenových certifikátů === Struktura kořenových certifikátů typu G1 je převzata z [[https://www.cacert.org/policy/CertificationPracticeStatement.php#p1.4|Rozpracováno (WIP): Přehled postupu certifikace (Certification Practise Statement, CPS)]]: CAcert v současnosti vydává 2 kořenové certifikáty známé jako "Class 3" (třída 3, kořenový zprostředkující) a "Class 1" (třída 1, kořenový): * Třída 3. Primárně používán pro certifikáty obsahující jména zaručených Členů. * Třída 1. Primárně používán pro certifikáty beze jmen a vydané nezaručeným Členům. Kořenový zprostředkující certifikát třídy 3 je podepsán kořenovým certifikátem třídy 1 ("3" je pod-certifikát "1", tedy kořenový certifikát třídy 3 je technicky zprostředkujícím certifikátem kořenového certifikátu třídy 1). Spoléhající strany se mohou rozhodnout důvěřovat pouze certifikátům pro zaručené Členy (výběrem certifikátu třídy 3 [pro zaručené Členy] za kotvu důvěry), nebo všech certifikátů (výběrem certifikátu třídy 1 [pro nezaručené Členy] za kotvu důvěry). Zaručení Členové mají volbu použít kořenový certifikát třídy 1, ale ten je spíše určen jako kompatibilní než jako "ostrý". {{attachment:RootClass3.gif}} CAcert v současnosti připravuje vytvoření nových kořenových certifikátů. Připojte se k diskusi, jak na to: [[Roots/Structure/CZ|Struktura]] a [[Roots/NewRootsTaskForce|Komando pro nové kořenové certifikáty]]. ---- . [[CategoryFAQ]]