Nejjednodušší způsob získání klientského certifikátu ve Windows

Řekněme, že jste u CAcert úplný nováček. Vytvořil jste si svůj CAcert účet. Ověřil jste si svoji e-mailovou adresu (tu, kterou jste zadal do účtu) tak, že jste odpověděl na CAcert PING test. Dostal jste totiž na svůj primární e-mailovou adresu zprávu od CAcert, v níž mj. stálo: "Jakmile bude Váš účet ověřen, bude možné začít vydávat certifikáty co hrdlo ráčí!". Zpráva obsahovala také odkaz, na nějž jste klikl a tím platnost adresy ve svém účtu potvrdil.

Malá odbočka:
Doručení této zprávy vyžaduje její nezabezpečený přenos ze serveru CAcert na Váš poštovní server. Stále více serverů elektronické pošty však nyní vyžaduje zabezpečený přenos, například použitím protokolů TLS. Ten potřebuje mít důvěru k serveru CAcert, aby zprávu přijal. Tuto důvěru však nemá, pokud na něm nejsou instalovány kořenové certifikáty CAcert - zpráva se nepřenese. Jde-li o server, který patří Vám, nebo po dohodě s jeho správcem, mohou být tyto kořenové certifikáty instalovány, nebo může být výjimečně požadavek na TLS šifrování na chvíli vypnut.
Problém nastane, používáte-li veřejný poštovní server (gmail.com, v ČR například seznam.cz nebo volny.cz atd.), po jehož správci nemůžete takový zásah chtít. Pak je třeba dohodnout se se správcem nějaké společnosti, Vám přátelsky nakloněněné, aby na krátký čas převzal poštu pro Vaši doménu, přidělil Vám e-mailovou adresu ve Vaší doméně a přijímal zprávy určené Vám bez zabezpečení TLS anebo s instalací certifikátů CAcert. Současně je třeba do DNS Vaší domény přidat záznam MX odkazující na e-mailový server řečené společnosti a případně upravit TXT záznam obsahující SPF. Podrobnosti najdete v článku Jak pracuje Ping test.

Od února 2019 používá CAcert pro přenosy e-mailových zpráv protokol TLS 1.2 (RFC 5246), který umožňuje zřídit šifrované spojení pro přenos zpráv protokolem SMTP. Šifrované spojení lze úspěšně vybudovat, pokud příjemcův e-mailový server umí rovněž pracovat protokolem TLS 1.2 (dnes všechny veřejné e-mailové servery). TLS 1.2 nemá tak striktní požadavky na protistranu jako předchozí verze TLS, a tak Ping e-mail projde, i když třeba příjemcův server už nepřijímá nezabezpečené spojení. Rovněž odpadá striktní kontrola "obecné známosti" CA vydavatelů certifikátů na obou stranách přenosu. Odpadá tedy hledání spřátelené organizace nebo zásahy do vlastního e-mail serveru, zbývají jen úpravy obsahu DNS Vaší domény.

Potřebujete vůbec klientský certifikát?
Určitě ano. Můžete s ním dělat spoustu věcí: podepisovat/šifrovat svoje e-mailové zprávy, přihlašovat se ke svému účtu, navštívit weby CAcert a weby zabezpečené pomocí CAcert, atd.

/!\ Používáte-li operační systém MacOS, nelze použít prohlížeč. Čtěte zde. /!\

Navštivte tedy web CAcert prohlížečem Basilisk, Palemoon nebo Seamonkey - důležité! Jiné prohlížeče (Firefox, Chrome, Opera, IE, Safari, Edge, ...) vykazují chyby nebo neumějí vytvořit potřebné klíče!

Získejte a instalujte oba kořenové certifikáty CAcert (bez přihlášení jděte na "Kořenový certifikát" v menu napravo). Jsou označeny: PKI klíč třídy 1, PKI klíč třídy 3. Vyberte formát PEM nebo DER. Prohlížeč ho ihned instaluje. Při instalaci PKI klíče třídy 1 potvrďte důvěryhodnost.

Důležité:
Abyste mohl poprvé stáhnout a instalovat kořenové certifikáty CAcert, musíte použít odkaz http://www.cacert.org/index.php?id=3 (NIKOLI https!) Je zde obdobný problém, jaký je naznačen v "Malé odbočce" výše. Navíc má nyní řada webových prohlížečů režim "HTTPS-only" v němž nedovolí jiný kontakt s jakýmkoli webem jinak, než protokolem "https", takže se v tomto režimu nemůžete obrátit na jiné weby, než ty, kořenové certifikáty jejichž certifikačních autorit (CA) jsou v prohlížeči již předinstalovány (a CAcert k takovým CA zatím nepatří).
Tím, že si instalujete kořenové certifikáty CAcert, vyjadřujete zároveň svou důvěru v tuto Vámi zvolenou CA. Když důvěřujete webu CAcert, použijte bez obav protokol http:, neboť na stránce kořenových certifikátů jsou publikovány jejich kryptografické otisky (fingerprints) ke kontrole, což je mnohem lepší metoda zabezpečení než použití protokolu https. Kryptografické otisky zkontrolujete zobrazením podrobností kořenového certifikátu - ve Windows (root_X0F):
Kryptografický otisk SHA1 - Windows
a v XCA (class3_X14E228):
Kryptografické otisky - XCA
s otiskem publikovaným na webu CAcert.
Podrobněji o instalaci kořenových certifikátů pojednává tento článek Wiki.

Potom se přihlaste svým uživatelským jménem (tj. primární e-mailovou adresou) a heslem. Z menu zvolte: "Klientské certifikáty -> Nový". Objeví se stránka "Nový klientský certifikát".

Nastavte vlastnosti pro nový klientský certifikát

Nezapomeňte "Přidat" svoji e-mailovou adresu (fajfkou ve čtverečku) a potvrdit, že "Přijímáte Dohodu komunity CAcert" (CCA, jiný čtvereček). Pak stiskněte "Další".

Zvolte délku klíče a JEDEM!

Zvolte sílu šifrování (délku klíče v počtu bitů) a stiskněte široké tlačítko "V prohlížeči generujte pár...".

Prohlížeč pak úspěšně vygeneruje žádost o certifikát (CSR) a předloží ho serveru CAcert CA, který obratem vytvoří Váš klientský certifikát.
Když je Váš klientský certifikát vydán, uvidíte jeho obsah kódovaný jako text v Base64 a informaci o něm. Nahoře na stránce jsou tři odkazy pro jeho stažení a instalaci.

Váš klientský certifikát je vydán

Nejjednodušší způsob: použijte instalační odkaz.
Můžete také uložit svůj nový klientský certifikát do souboru a pak ho instalovat do prohlížeče

Nyní můžete prohlížet CAcert Wiki zabezpečeným protokolem HTTPS a hlavně můžete podepisovat a šifrovat své e-mailové zprávy nebo se přihlašovat ke svému účtu u CAcert svým zbrusu novým klientským certifikátem.

Na závěr důležité upozornění:
Prohlížeč Palemoon i Seamonkey si ukládá všechny certifikáty do svého vlastního úložiště.
Chcete-li tedy instalovat jak kořenové certifikáty CAcert, tak své klientské certifikáty jinam (například do úložiště operačního systému, jak je tomu například u Windows), musíte tam znovu instalovat kořenové certifikáty a "zálohovat" (tj. exportovat do souboru typu .p12) své klientské certifikáty. Exportujete je zase ze Správce certifikátů v prohlížeči, viz výše. Exportovaný soubor obsahuje Váš certifikát a privátní klíč, což je citlivý údaj. Proto Vás Správce požádá o heslo (zadat 2×), kterým pak při importu soubor odemknete. Import je možný jak do operačního systému, tak do jiných webových prohlížečů, které pak můžete dále používat místo Palemoonu/Seamonkey, dáváte-li jim přednost.

Prohlížeč Palemoon i Seamonkey má sice své vlastní úložiště, lze však nastavit, aby si přečetl kořenové a zprostředkující certifikáty autorit i ze systémového úložiště Windows. Nastavení najdete na stránce about:config jako security.enterprise_roots.enabled a je třeba nastavit ho na true (nebo přepnout).


Odkazy na články o získání klientského certifikátu (obsah wiki je dostupný jak protokolem HTTP, tak HTTPS):

Procedury pro klientské certifikáty:
Windows:

Unix-Linux:


HowTo/CCforNewbies2/CZ (last edited 2022-11-25 07:28:51 by AlesKastner)