#language cs ## 20240530 AK ---- '''česky''' | [[HowTo/ClientCertCreate|english]] ---- = Klientské certifikáty CAcert – krok za krokem = . Stefan Thode . [Český překlad: alkas] Tento dokument je návod, jak si vyžádat certifikát a připravit ho do tvaru souboru PKCS#12. V tomto dokumentu používám testovací systém CAcert. Použití je podobné jako u produkčního systému. == Předpoklady == Je importován a za důvěryhodný označen kořenový certifikát “CAcert Public Root Certificate” ve webovém prohlížeči. Je instalován správce certifikátů XCA: http://sourceforge.net/projects/xca/ Je aktivován účet u https://secure.cacert.org == Příprava == {{attachment:Capture1.png|Úvod}} Spusťte XCA V menu “File” použijte “New Database” (nová databáze) k vytvoření databáze certifikátů a uložte ji do souboru. Nezapomeňte heslo nové databáze! Nebo otevřete existující databázi ze svého systému souborů. {{attachment:capture16.png|Databáze}} Jděte do záložky “Certificates” (certifikáty). {{attachment:capture17.png|Import kořenů}} Použijte “Import”, aby XCA přijal certifikáty CAcert. {{attachment:capture18.png|Import kořenů ve tvaru PEM}} Importujte kořenové certifikáty CAcert ve tvaru PEM: “root” (Kořenový certifikát root_X0F.crt) a “class3” (Zprostředkující certifikát class3_x14E228.crt) v tomto pořadí. {{attachment:capture30.png|Import kořenů - důvěra}} Dejte importovaným kořenovým certifikátům CAcert důvěru v kontextovém menu pomocí “Trust”. == Privátní klíč == {{attachment:capture2.png|Privátní klíč 1}} Jděte na záložku “Private Keys” (privátní klíče). {{attachment:capture3.png|Privátní klíč 2}} Použijte “New Key” pro nový privátní klíč. {{attachment:capture4.png|Privátní klíč 3}} Zvolte název nového klíče, například vložením jeho účelu. Tento název slouží pouze k Vaší orientaci. Použijte název, který vypovídá o plánovaném účelu klíče, pak budete moci identifikovat klíč pro opětné použití k tomuto účelu. Dále vyberte typ a sílu (délku) klíče, který se má vygenerovat. V současnosti vyhovuje RSA délky 4096 bitů. {{attachment:capture5.png|Privátní klíč 4}} Nový privátní klíč je připraven a… {{attachment:capture6.png|Privátní klíč 5}} …objeví se ve Vašem seznamu privátních klíčů. == Žádost o podpis certifikátu – CSR == {{attachment:capture7.png|Žádost o podpis 1}} V dalším kroku jděte na záložku “Certificate signing requests” (žádosti o podpis certifikátů, CSR). {{attachment:capture8.png|Žádost o podpis 2}} Použijte tlačítko “New Request” (nová žádost) k vytvoření CSR. {{attachment:capture9.png|Žádost o podpis 3}} Pojmenujte CSR, definujte algoritmus a šablonu, kterou použijete. Nejdříve zvolte šablonu! {{attachment:capture10.png|Žádost o podpis 4}} Jděte na záložku “Subject” (předmět). {{attachment:capture11.png|Žádost o podpis 5}} Zvolte privátní klíč, který chcete použít. Vložte „Internal Name“ (vnitřní název) a „emailAddress (e-mailovou adresu). Na konci dialogu buď zvolte jeden z existujících privátních klíčů, nebo vytvořte nový, pokud jste ho zapomněli vytvořit před vytvořením žádosti CSR. {{attachment:capture31.png|Žádost o podpis 6}} Případně můžete použít aliasy v poli „X509v3 Subject Alternative Name“. Žádost vytvořte tlačítkem „OK“. {{attachment:capture13.png|Žádost o podpis 7}} Žádost (CSR) je připravena. == Procedura podepsání == {{attachment:capture14.png|Podepsání 1}} Vyberte novou žádost a exportujte ji: “Export”. {{attachment:capture15.png|Podepsání 2}} Uložte žádost do souboru formátu PEM, ale s příponou .csr {{attachment:capture19.png|Podepsání 3}} Otevřete žádost v editoru (Notepad), vyberte celý text pomocí ALL a zkopírujte ho. {{attachment:capture20.gif|Podepsání 4}} Otevřete web cacert.org a přihlaste se ke svému účtu. Jděte na “Klientské certifikáty” a “Nový”. {{attachment:capture21.gif|Podepsání 5}} ||<#FF8080> Na obrázku si všimněte, že je zvoleno '''Class 3 Root'''! Tímto kořenovým certifikátem bude podepsán ten Váš. || Vložte žádost (CSR) do textového pole. Vyberte e-mailovou adresu / adresy (povinné!) a případně své jméno. Členové komunity s 50 a více body zaručení si mohou zvolit kořenový certifikát, kterým chtějí nechat žádost podepsat. Použijte certifikát třídy 3. Zadejte komentář pro lepší budoucí identifikaci certifikátu. Stiskněte tlačítko “Další”. {{attachment:capture22.gif|Podepsání 6}} Prohlížeč ukáže nově vystavený certifikát. Použijte odkaz “Stáhnout certifikát ve formátu PEM” a certifikát v tomto formátu si uložte do souboru. Alternativně vyberte zakódovaný text včetně řádků BEGIN/END CERTIFICATE pro přímý import pomocí "Import (PEM)" v XCA. {{attachment:capture23.gif|Podepsání 7}} Nyní můžete nový klientský certifikát vidět v menu “Klientské certifikáty” a “Zobrazit”. {{attachment:capture24.png|Import cert 1}} Použijte “Import” v XCA a importujte nový klientský certifikát od CA. {{attachment:capture25.png|Import cert 2}} Import byl úspěšný. {{attachment:capture26.png|Zobrazení certifikátu}} Certifikát je zobrazen pod kořenovými certifikáty podepisující CA (CAcert), které jste importovali dříve. == Export souboru ve tvaru PKCS#12 == {{attachment:capture27.png|Export 1}} Vyberte svůj nový klientský certifikát a použijte tlačítko “Export”. {{attachment:capture28.png|Export 2}} Uložte vyexportovaný certifikát ve tvaru PKCS#12 a... {{attachment:capture29.png|Export 3}} …definujte heslo na ochranu privátního klíče před neoprávněným použitím. Toto heslo budete potřebovat zadat při importu tohoto souboru do webového prohlížeče nebo e-mailového klienta. Nyní máte certifikát ve tvaru PKCS#12 pro import do prohlížeče, e-mailového klienta, operačního systému… Blahopřejeme! ---- . CategoryTutorials . CategoryStepByStep