Nejjednodušší způsob získání klientského certifikátu ve Windows

Řekněme, že jste u CAcert úplný nováček. Vytvořil jste si svůj CAcert účet. Ověřil jste si svoji e-mailovou adresu (tu, kterou jste zadal do účtu) tak, že jste odpověděl na CAcert PING test. Dostal jste totiž na svůj primární e-mailovou adresu zprávu od CAcert, v níž mj. stálo: "Jakmile bude Váš účet ověřen, bude možné začít vydávat certifikáty co hrdlo ráčí!". Zpráva obsahovala také odkaz, na nějž jste klikl a tím platnost adresy ve svém účtu potvrdil.

Malá odbočka:
Doručení této zprávy vyžadovalo její nezabezpečený přenos ze serveru CAcert na Váš poštovní server (nyní viz následující zelená poznámka). Stále více serverů elektronické pošty nyní vyžaduje zabezpečený přenos, například použitím protokolů TLS. Mail server potřebuje mít důvěru k serveru CAcert, aby zprávu přijal. Tuto důvěru však nemá, pokud na něm nejsou instalovány kořenové certifikáty CAcert - zpráva se nepřenese. Jde-li o server, který patří Vám, nebo po dohodě s jeho správcem, mohou být tyto kořenové certifikáty instalovány, nebo může být výjimečně požadavek na TLS šifrování na chvíli vypnut.
Problém nastane, používáte-li veřejný poštovní server (gmail.com, v ČR například seznam.cz nebo volny.cz atd.), po jehož správci nemůžete takový zásah chtít. Pak je třeba dohodnout se se správcem nějaké společnosti, Vám přátelsky nakloněněné, aby na krátký čas převzal poštu pro Vaši doménu, přidělil Vám e-mailovou adresu ve Vaší doméně a přijímal zprávy určené Vám bez zabezpečení TLS anebo s instalací certifikátů CAcert. Současně je třeba do DNS Vaší domény přidat záznam MX odkazující na e-mailový server řečené společnosti a případně upravit TXT záznam obsahující SPF. Podrobnosti najdete v článku Jak pracuje Ping test.

Od února 2019 používá CAcert pro přenosy e-mailových zpráv protokol TLS 1.2 (RFC 5246), který umožňuje zřídit šifrované spojení pro přenos zpráv protokolem SMTP. Šifrované spojení lze úspěšně vybudovat, pokud příjemcův e-mailový server umí rovněž pracovat protokolem TLS 1.2 (dnes všechny veřejné e-mailové servery). TLS 1.2 nemá tak striktní požadavky na protistranu jako předchozí verze TLS, a tak Ping e-mail projde, i když třeba příjemcův server už nepřijímá nezabezpečené spojení. Rovněž odpadá striktní kontrola "obecné známosti" CA vydavatelů certifikátů na obou stranách přenosu. Odpadá tedy hledání spřátelené organizace nebo zásahy do vlastního e-mail serveru, zbývají jen úpravy obsahu DNS Vaší domény.

Potřebujete vůbec klientský certifikát?
Určitě ano. Můžete s ním dělat spoustu věcí: podepisovat/šifrovat svoje e-mailové zprávy, přihlašovat se ke svému účtu, navštívit weby CAcert a weby zabezpečené pomocí CAcert, atd.

/!\ Používáte-li operační systém MacOS, čtěte zde. /!\

Od května 2023 už žádný prohlížeč nevygeneruje žádost o podpis certifikátu (CSR), a to z bezpečnostních důvodů. CAcert proto vyvinul webovou aplikaci Client Certificate Generator, která pracuje nejlépe na nejpoužívanějších prohlížečích (Firefox, Chrome, Opera, IE, Safari, Edge, ...) a provede Vás celým postupem. Na rozdíl od předchozího postupu na konci vznikne soubor typu PKCS#12 s příponou .p12 nebo .pfx, který obsahuje:

V jednom souboru jsou tedy všechny potřebné certifikáty pro použití služeb CAcert a dalších. Rovněž odpadá hledání privátního klíče při přesouvání certifikátů na jiný počítač. prodloužení platnosti certifikátu apod. Soubor typu PKCS#12 také slouží jako ideální záloha certifikátu.

Získání kořenových certifikátů

Navštivte tedy web CAcert, získejte a instalujte oba kořenové certifikáty CAcert (bez přihlášení jděte na "Kořenový certifikát" v menu napravo). Jsou označeny: PKI klíč třídy 1, PKI klíč třídy 3. Vyberte formát PEM nebo DER. Prohlížeč ho ihned instaluje. Při instalaci PKI klíče třídy 1 potvrďte důvěryhodnost.

Důležité:
Abyste mohl poprvé stáhnout a instalovat kořenové certifikáty CAcert, musíte použít odkaz http://www.cacert.org/index.php?id=3 (NIKOLI https!) Je zde obdobný problém, jaký je naznačen v "Malé odbočce" výše. Navíc má nyní řada webových prohlížečů režim "HTTPS-only" v němž nedovolí jiný kontakt s jakýmkoli webem jinak, než protokolem "https", takže se v tomto režimu nemůžete obrátit na jiné weby, než ty, kořenové certifikáty jejichž certifikačních autorit (CA) jsou v prohlížeči již předinstalovány (a CAcert k takovým CA zatím nepatří, ale pracuje na možnosti poprvé se spojit i protokolem HTTPS).
Tím, že si instalujete kořenové certifikáty CAcert, vyjadřujete zároveň svou důvěru v tuto Vámi zvolenou CA. Když důvěřujete webu CAcert, použijte bez obav protokol HTTP (http:), neboť na stránce kořenových certifikátů jsou publikovány jejich kryptografické otisky (fingerprints) ke kontrole, což je mnohem lepší metoda zabezpečení než použití protokolu HTTPS. Kryptografické otisky zkontrolujete zobrazením podrobností kořenového certifikátu - ve Windows (root_X0F):
Kryptografický otisk SHA1 - Windows
a v XCA (class3_X14E228):
Kryptografické otisky - XCA
s otiskem publikovaným na webu CAcert.
Podrobněji o instalaci kořenových certifikátů pojednává tento článek Wiki.

Generování klientského certifikátu použitím webové aplikace

Podrobný popis webové aplikace najdete zde. Aplikace samotná je dostupná z portálu CAcert nebo z Wiki - Často kladených otázek (FAQ/CZ), Problémy s certifikáty.

Po zadání Vašeho uživatelského jména a výběru síly klíčů vygeneruje aplikace žádost CSR a privátní klíč (který se mimo Váš počítač nikam nepřenáší). Tlačítkem zkopírujete CSR do schránky. Je důležité vědět, že nyní si na další záložce prohlížeče "odskočíte" na web CAcertu a po vygenerování certifikátu se musíte vrátit do webové aplikace, která sestaví soubor PKCS#12!

Přihlaste se k webu CAcert svým uživatelským jménem (tj. Vaší primární e-mailovou adresou) a heslem. Z menu zvolte: "Klientské certifikáty -> Nový". Objeví se stránka "Nový klientský certifikát".

Nastavte vlastnosti pro nový klientský certifikát

Nezapomeňte "Přidat" svoji e-mailovou adresu (fajfkou ve čtverečku), případně občanské jméno a potvrdit, že "Přijímáte Dohodu komunity CAcert" (CCA, čtvereček dole). Ze schránky vložte (Ctrl-V) vygenerovanou žádost CSR. Pak stiskněte "Další".

Zanedlouho se zobrazí stránka s vygenerovaným certifikátem. Vyberte jej celý, od prvního řádku -----BEGIN CERTIFICATE----- do posledního -----END CERTIFICATE----- včetně a zkopírujte do schránky (Ctrl-C).

Váš klientský certifikát je vydán

Vraťte se na záložku webové aplikace a vložte certifikát do textového pole (Ctrl-V). Aplikace teď požádá o heslo k zašifrování privátního klíče, sestaví soubor typu PKCS#12 (.p12 nebo .pfx) a nabídne Vám jeho stažení. Po pojmenování souboru a jeho uložení do počítače můžete webovou aplikaci ukončit, případně se také odhlásit od webu CAcertu.

Instalace certifikátu ze souboru typu PKCS#12

Asi nejjednodušší způsob ve Windows je "spustit" soubor .p12 dvojklikem, pak zadat heslo k privátnímu klíči a potvrdit. Unix, Linux, MacOS a jiné systémy mohou ve svých správcích certifikátů soubor rozebrat a uložit jeho části, jak je pro ně potřebné.

Alternativní metoda, když už máte klíčový pár a žádost (CSR) o certifikát vygenerovány

(Tato metoda není pro začátečníky vhodná. Avšak některé systémy/programy, jako Linux/Apache, vyžadují pro certifikát a privátní klíč oddělené soubory například s příponami .crt a .key.)

Jestliže jste privátní klíč a žádost CSR vygenerovali nějakým programem (XCA, OpenSSL, Kleopatra) a máte je uloženy v souborech, postupujte takto:

Přihlaste se svým uživatelským jménem (tj. Vaší primární e-mailovou adresou) a heslem. Z menu zvolte: "Klientské certifikáty -> Nový". Objeví se stránka "Nový klientský certifikát".

Nastavte vlastnosti pro nový klientský certifikát

Nezapomeňte přidat svoji e-mailovou adresu/adresy (fajfkou ve čtverečku), případně občanské jméno a potvrdit, že "Přijímáte Dohodu komunity CAcert" (CCA, čtvereček dole). Ze souboru s vygenerovanou žádostí CSR zkopírujte celý obsah (Ctrl-A, Ctrl-C) a vložte (Ctrl-V) do textového pole podle obrázku. Pak stiskněte "Další". Po chvíli se zobrazí stránka s vygenerovaným certifikátem. Vidíte jeho obsah kódovaný jako text v Base64 a informaci o něm. Nahoře na stránce jsou tři odkazy pro jeho stažení a instalaci.

Váš klientský certifikát je vydán

Nejjednodušší způsob: máte-li na tomto počítači vygenerovánu žádost CSR,je zde i privátní klíč; použijte instalační odkaz.
Můžete také uložit svůj nový klientský certifikát do souboru a pak ho instalovat do prohlížeče

Poslední 4 prohlížeče vedou ve Windows na systémový dialog správy osobních certifikátů. Můžete zde certifikáty prohlížet a zjišťovat, mají-li na tomto počítači uloženy příslušné privátní klíče, dále je lze importovat, exportovat, upřesnit jejich účel, případně je odstraňovat.

Nastavte vlastnosti pro nový klientský certifikát

Certifikát je vytvořen, instalován a je platný

Nyní můžete prohlížet CAcert Wiki zabezpečeným protokolem HTTPS a hlavně můžete podepisovat a šifrovat své e-mailové zprávy nebo se přihlašovat ke svému účtu u CAcert svým zbrusu novým klientským certifikátem.

Na závěr důležité upozornění:
Prohlížeč Firefox si ukládá všechny certifikáty do svého vlastního úložiště.

Chcete-li tedy instalovat jak kořenové certifikáty CAcert, tak své klientské certifikáty jinam (například do úložiště operačního systému, jak je tomu například u Windows), postačí instalovat své klientské certifikáty ze zálohy (tj. importovat vše ze souboru typu .p12/.pfx). Pak je můžete kdykoli re-exportovat zase ze Správce certifikátů v prohlížeči, viz výše (někdy je pro možnost re-exportu nutný explicitní souhlas již při importu). Exportovaný soubor opět obsahuje Váš certifikát a privátní klíč, což je citlivý údaj. Proto Vás Správce požádá o heslo (zadat 2×), kterým pak při importu soubor odemknete. Import je možný jak do operačního systému, tak do jiných webových prohlížečů, které pak můžete dále používat místo Firefoxu, dáváte-li jim přednost.

V prohlížeči Firefox pouhá instalace kořenového certifikátu nestačí, musíte ještě potvrdit, že mu důvěřujete. Vyberte kořenový certifikát pod záložkou Autority (Root CA, CA Crtz Signing Authority) a po stisknutí tl. Upravit důvěru dole otevřete dialog, kde zaškrtnete důvěru pro všechny účely.

Prohlížeč Firefox má sice své vlastní úložiště, lze však nastavit, aby si přečetl kořenové a zprostředkující certifikáty autorit i ze systémového úložiště Windows. Nastavení najdete na stránce about:config jako security.enterprise_roots.enabled a je třeba nastavit ho na true (nebo přepnout).


Odkazy na články o získání klientského certifikátu (obsah wiki je dostupný jak protokolem HTTP, tak HTTPS):

Procedury pro klientské certifikáty:
Windows:

Unix-Linux:


HowTo/CCforNewbies2/CZ (last edited 2024-05-27 14:16:08 by AlesKastner)