#language cs
## 20160725 AK
----
 '''česky''' | [[HowTo/ClientCertCreate2|english]]
----
= Jak vytvořit klientský certifikát CAcert pomocí MMC Windows 10 =
Aleš Kastner
== Přehled ==
Použijeme systémové prostředky a systémové úložiště Windows 10. Vytvoříme žádost o klientský certifikát (CSR) pomocí MMC modulu Certifikáty a necháme ji podepsat autoritou CAcert – vznikne klientský certifikát. Nebudeme-li ho používat přímo na počítači, kde byl vytvořen, nebo budeme-li ho používat na více počítačích, vyexportujeme ho i s privátním klíčem do souboru PFX a ten pak na jiný počítač importujeme.
 1. Připravíme si certifikátový modul MMC pro další práci s certifikáty.
 1. Importujeme kořenový a zprostředkující certifikát CAcert (pokud jsme to ještě neudělali).
 1. Vytvoříme žádost o certifikát podle šablony „Uživatel“.
 1. Předložíme žádost CAcert CA a získáme certifikát, který uložíme do souboru.
 1. Importujeme certifikát do „Osobních“ certifikátů uživatele. Přitom se propojí s privátním klíčem. Lze jej použít v jednom či více počítačích v klientských programech, jako jsou typicky webové prohlížeče (Edge, Firefox, Chrome,...) a klientské programy elektronické pošty (Outlook, Thunderbird, The Bat,...). Důležitý je účel - použití v klientských programech. Počítač sám může být PC, notebook, pracovní stanice, server, tablet nebo "inteligentní" mobilní telefon.
 1. Pokud je třeba používat klientský certifikát také na jiném počítači, exportujeme certifikát s privátním klíčem do souboru tvaru P12 s příponou PFX. Ten pak importujeme na cílovém počítači do systému - ve Windows v modulu certifikátů MMC, na jiných systémech (tablet, mobilní telefon) přímo otevřením souboru.

== Příprava ==
Jestliže jste ještě nepracovali s modulem certifikátů MMC, bude vhodné si ho napřed vytvořit a uložit pro pozdější snadné spuštění. Je lépe spravovat z modulu jak certifikáty osobní (Vaše), tak certifikáty počítače – i když zde se budeme zabývat jen těmi prvními.

Spusťte konzolu správy MMC. Z menu „Soubor“ zvolte „Přidat nebo odebrat modul snap-in“. Z modulů snap-in vyberte „Certifikáty“. V dialogu upřesněte „Účet počítače“ a dále zvolte "Místní počítač". I když tuto část v dalším postupu nepoužijete, osvědčilo se zařadit ji pro možnou pozdější práci se serverovými certifikáty.

Dále se již budeme zabývat klientskými certifikáty.

 {{attachment:CliCert-00.gif|Přidání modulu pro klientské certifikáty}}

Znovu zvolte „Certifikáty“ a „Přidat“. Nyní v dialogu upřesněte „Můj uživatelský účet“.

 {{attachment:CliCert-01.gif|Snap-in moduly}}

Seznam modulů bude vypadat takto. Stiskněte OK.

 {{attachment:CliCert-03.gif|Uložení nástroje certifikátů}}

Připravený modul si uložte (Soubor - Uložit jako...) pod vhodným jménem. Příště můžete modul spustit z MMC nebo (bohdá) přímo z Nástrojů pro správu.

Uložení certifikátů CAcert je přímočará operace. Nejprve si zobrazte Certifikáty pod uzlem „Důvěryhodné kořenové certifikační autority“. Pravým klikem na uzel „Certifikáty“ ve stromu v levém panelu otevřete menu, kde vyberte „Všechny úkoly...“ - „Importovat...“ Vyberte stažený soubor „root.cer“ (stažený ve formátu PEM z http://www.cacert.org/index.php?id=3.) a importujte.

 {{attachment:SrvCert-04.gif|Kořenový certifikát (tř.1)|width=80%}}

Podobně do Certifikátů pod uzlem „Zprostředkující certifikační autority“ importujte certifikát třídy 3 ze souboru „class3.cer“. (Stažený ve formátu PEM z http://www.cacert.org/index.php?id=3.)

 {{attachment:SrvCert-05.gif|Zprostředkující certifikát (tř.3)|width=80%}}

Dva výše uvedené obrázky ukazují stav po importu.

== Vytvoření žádosti o klientský certifikát ==

 {{attachment:CliCert-06.gif|Vytvořit požadavek CSR}}

Zvolte „Certifikáty“ pod uzlem „Osobní“. Připomínám, že tyto certifikáty jsou „osobní“ pro VÁS, jde o Vaše osobní certifikáty, nikoli o certifikáty jiného uživatele tohoto počítače ani o certifikáty počítače [pracujete pod stromem „Certifikáty - aktuální uživatel"!].

Pravým klikem otevřete menu, kde postupujte podle obrázku. Je nutno zvolit „Vlastní požadavek“, aby bylo možno vybrat šablonu.
Zobrazí se průvodce. Jeho první informativní stránku přeskočte (Další).

Na následující stránce průvodce se dají nastavit zásady. Tuto stránku také přeskočte.

 {{attachment:CliCert-07.gif|Výběr šablony}}

Na další stránce průvodce '''zvolte šablonu "Uživatel"'''. Stiskněte „Další“.

 {{attachment:CliCert-08.gif|Jak se dostat na Vlastnosti}}

Na další stránce průvodce si otevřete „Podrobnosti“ a stiskněte „Vlastnosti“.
Máte-li 50 a více bodů zaručení, pak Vám mohou být vydány klientské certifikáty s platností 2 roky. Server CA CAcert nejen podepíše Vaši žádost, ale také z ní odstraní všechny údaje kromě těchto, které musíte v žádosti dodat:
 * veřejný klíč – spolu s privátním vygeneruje Váš počítač,
 * běžný název, tedy Vaše e-mailová adresa, pod níž jste znám(a) v Internetu, zde je to CN= (Common Name, obecný název),
 * případně alternativní e-mailové adresy; CAcert zkontroluje platnost e-mailových adres ve Vašem účtu,
 * algoritmus výpočtu klíčů (zvolte RSA),
 * délka klíčů (minimum 1024 bitů, zvolte doporučených 2048 bitů).

Po stisknutí tlačítka „Vlastnosti“ se otevře dialog, kde nastavíte čtyři předchozí parametry.

 {{attachment:CliCert-09.gif|Předmět (subjekt) a e-mailové adresy}}

Na kartě Subjekt (předmět) nastavíte běžný název (Vaše jméno), Vaši hlavní e-mailovou adresu (do horního seznamu vpravo) a případné alternativní e-mailové adresy, které přidáváte jednu po druhé do spodního seznamu vpravo.

Nyní jste se svým zadáváním na této kartě hotovi. Běžný název '''''této''''' e-mailové adresy je {{attachment:mail1addr.gif|e-mail-1|align=bottom}} a jeho alternativní název je adresa {{attachment:mail2addr.gif|e-mail-2|align=bottom}}. Budou však použity ověřené adresy z Vašeho účtu u CAcert.

Pokračujte na kartě Obecné.

 {{attachment:CliCert-11.gif|Popisný název a popis}}

Zde je nutno opět vyplnit „Popisný název“ e-mailovou adresou (máte-li jich v účtu více, pak hlavní adresou).
Karta „Rozšíření“ je předvyplněna ze šablony webového serveru a proto ji můžeme přeskočit.

 {{attachment:CliCert-12.gif|Výběr zprostředkovatele kryptografických služeb}}

Na kartě „Privátní klíč“ po otevření „Zprostředkovatel kryptografických služeb“ ponechte jen zaškrtnutí zprostředkovatele "Microsoft Enhanced Cryptographic Provider v1.0". To umožní výběr délky klíče, viz dále.

 {{attachment:CliCert-13.gif|Délka a další vlastnosti klíče}}

Dále otevřete „Možnosti klíče“, zvolte délku klíče (doporučuji 2048 bitů) a označte možnosti exportování a archivace privátního klíče.

Dialog uzavřete stisknutím OK.

 {{attachment:CliCert-14.gif|Uložení žádosti CSR do souboru}}

Pokračujete v průvodci vytvořením žádosti o certifikát.

Stanovte cestu a název souboru, kam se žádost uloží. Zvolte formát souboru. Zakódování Base64 znamená převod binárních dat na znaky a proto ho doporučuji – budete ho potřebovat vybrat a vložit do textového pole na webu CAcertu.

Po stisknutí tlačítka „Dokončit“ se žádost o certifikát uloží do souboru. Takto vytvořená žádost (CSR) je pouze šablona, kterou dokončí CAcert doplněním údajů z Vašeho účtu.

== Podání žádosti a získání certifikátu ==
Otevřete soubor se žádostí v editoru Notepad. Označte celý obsah a zkopírujte ho do schránky (Ctrl-C).

 {{attachment:CliCert-16.gif|Výběr obsahu CSR ze souboru}}

Přihlaste se ke svém účtu u CAcert a zvolte z menu: Klientské certifikáty – Nový:

 {{attachment:CliCert-17.gif|Vložení CSR na web CAcert a výběr parametrů certifikátu}}

Zaškrtněte "Zobraz rozšířené volby". Pak se objeví další obsah; využijete velké pole "Volitelná klientská žádost o podpis certifikátu (CSR)...". Zkopírovaný obsah vložte (Ctrl-V) do tohoto pole. Do pole "Volitelný komentář" případně napište orientační název certifikátu.

Dále vyberte e-mailové adresy, které má certifikát obsahovat, popřípadě své jméno k uložení do certifikátu (máte-li aspoň 50 bodů zaručení).

Nezapomeňte vyjádřit souhlas s Dohodou komunity CAcert (CCA). Pak stiskněte tlačítko Odeslat.

 {{attachment:CliCert-19.gif|Vystavený certifikát ke stažení - formát PEM}}

Váš klientský certifikát je vystaven. Můžete si ho stáhnout ve formátu PEM (přípona .crt) nebo ve formátu DER (přípona .cer) a nainstalovat. Nezapomeňte, že certifikát neobsahuje privátní klíč; ten zůstává na počítači, kde jste žádost vytvořili.

Předpokládejme, že jste si vystavený certifikát stáhli do souboru ve formátu PEM, s příponou .crt Nyní je nutno certifikát importovat do systému. K tomu použijete opět MMC, modul Certifikáty. Při importu se k certifikátu přidruží příslušný privátní klíč.

== Import certifikátu do operačního systému ==
Vraťte se do modulu certifikátů MMC a do Certifikátů pod uzel Osobní (strom "Certifikáty - aktuální uživatel") importujte získaný certifikát ze souboru s příponou ".crt".

 {{attachment:CliCert-21.gif|Menu importu}}

Z menu otevřeného po pravém kliknutí na „Certifikáty“ pod „Osobní“ zvolte „Všechny úkoly - Importovat...“

 {{attachment:CliCert-22.gif|Výběr souboru s certifikátem pro import}}

Spustí se průvodce, kde opět přeskočíte úvodní stránku, zvolíte soubor s vystaveným certifikátem a importujete ho do systému po stisknutí tlačítka Další.

 {{attachment:CliCert-23.gif|Umístění certifikátu v úložišti systému}}

Úložiště pro Vaše osobní certifikáty je již předvoleno. Stiskněte Další.

 {{attachment:CliCert-24.gif|Certifikát s privátním klíčem je nainstalován}}

Systém oznámí úspěšný import a po potvrzení OK již vidíte importovaný certifikát. Povšimněte si, že ikona certifikátu má vlevo nahoře klíček. To znamená, že k tomuto certifikátu máte privátní klíč (a sám certifikát obsahuje odpovídající veřejný klíč).

== Export či záloha klientského certifikátu ==
Certifikát s privátním klíčem exportujte do souboru formátu P12 s příponou PFX. Jednak tím získáte zálohu, ale také můžete přenést celý certifikát i s privátním klíčem na jiný počítač, tablet, mobilní telefon atd., případně do klientských programů majících své vlastní úložiště, což je zejména webový prohlížeč Firefox a e-mailový klient Thunderbird.

 {{attachment:CliCert-15.gif|Menu pro export certifikátu s privátním klíčem}}

Pravým kliknutím na certifikát zobrazte menu a zvolte „Všechny úkoly“ - „Exportovat“.

 {{attachment:CliCert-25.gif|Výběr pro export s privátním klíčem}}

Otevře se průvodce exportem. Důležité nastavení proveďte na druhé stránce. Volbou, že se bude exportovat i privátní klíč, zvolíte i výstupní formát P12, příponu .pfx a celý průběh exportu. Stiskněte tlačítko Další.

 {{attachment:CliCert-26.gif|Nastavení vlastností exportovaného certifikátu}}

Formát PKCS 12 (P12) s příponou PFX je již předvolen. Můžete přidat další užitečné volby, jak naznačeno. Export celé cesty umožní získat ze souboru i kořenový(é) certifikát(y) CA (v našem případě CAcert). Export všech rozšířených vlastností zvolte spíše pro jistotu. Odstranit privátní klíč po exportu si zde určitě nepřejete, chcete si jej zachovat, pokud ho budete z počítače, kde jste ho (spolu s žádostí o certifikát) vytvořili, přenášet na jiné počítače.

 {{attachment:CliCert-27.gif|Nastavení hesla pro budoucí importy}}

Na další stránce zvolte a zadejte heslo. Budete je potřebovat při importu nebo obnově ze zálohy. (Skupiny a jména jsou spojena s koncepcí aktivního adresáře [AD] Microsoftu, zde je nepoužijete.) Pokračujte tlačítkem Další.

 {{attachment:CliCert-28.gif|Zadání souboru pro export}}

Konečně zadejte cestu a název souboru formátu P12 s příponou .pfx, kam se exportovaný certifikát s privátním klíčem uloží. Po stisku tlačítka Další uvidíte ještě rekapitulaci a dále potvrzení úspěšného exportu.

 {{attachment:CliCert-20.gif|Rekapitulace exportu}}

Úspěšnost postupu byla potvrzena nasazením takto vytvořených serverových certifikátů jako klientských, podepisováním a šifrováním zpráv e-mailu.

----

 . CategoryTutorials
 . CategoryStepByStep