Jak vytvořit klientský certifikát nástroji příkazového řádku (Windows 10 a starší)

Přehled

Windows 10 poskytuje nástroje příkazového řádku pro všechny nezbytné kroky k vytvoření veřejného / soukromého klíče, získání certifikátu od CAcert a exportu pro použití v jiných aplikacích (kde webové prohlížeče jako Firefox spravují certifikáty samostatně) nebo na jiných počítačích.

Certifikát pořídíme těmito kroky:

  1. Vytvořte veřejný / soukromý klíč a žádost o podepsání certifikátu (CSR) pomocí běžné šablony.
  2. Předložte CSR webu CA CAcert, získejte klientský certifikát a uložte jej (ve formátu PEM) do souboru CRT.
  3. Importujte certifikát do „osobních“ certifikátů aktuálního uživatele (vy). Poté se sváže se soukromým klíčem. Můžete jej použít v jednom nebo více počítačích v operačních systémech a klientských programech jako jsou webové prohlížeče (Internet Explorer, Edge, Firefox, Chrome,...) a e-mailových klientech (Outlook, Thunderbird, The Bat,...). Důležitý je zde účel klientských certifikátů - jejich použití v klientských programech. Samotným počítačem může být počítač, notebook, pracovní stanice, server, tablet nebo „chytrý“ mobilní telefon.

  4. Pokud potřebujete použít klientský certifikát na jiném počítači, budete muset exportovat certifikát s odpovídajícím soukromým klíčem do souboru typu P12 s příponou PFX. Můžete jej importovat do cílového počítače a / nebo klientského programu. U operačního systému Windows použijte modul certifikátu MMC, u tabletů nebo mobilních telefonů často postačí otevření souboru.

Příprava

Dále potřebujete:

  1. Pracovní složku pro soubory potřebné během tvorby certifikátu
  2. Zde stažený parametrický soubor, který uložíte do zmíněné složky
  3. Okno příkazového řádku (cmd) pro zadávání příkazů

Otevřete Windows Explorer: podržte klávesu "Win" a stiskněte "e" (nebo spusťte z menu).

Kontextovým menu vytvořte novou složku: klikněte pravým tlačítkem myši a zvolte "Nová složka". Dle potřeby ji pojmenujte.

Stáhněte si CSR.inf a uložte ho do nové složky.

Jste-li s certifikáty již obeznámeni, můžete soubor CSR.inf upravit a nastavit parametry klíče. Vzorový soubor zadává šifrování RSA se silnou délkou klíče - 4096 bitů. "FriendlyName" se stane názvem certifikátu v úložišti certifikátů Windows - lze zvolit libovolný název. Podpisový generátor CAcertu zcela ignoruje parametry "Subject" and "KeyUsage" - můžete je zvolit (podle výše svého zaručení) později na webovém portálu.

[NewRequest] 
Subject = "CN=dummy.createnewcsr.cacert.org"
ExportableEncrypted = true
HashAlgorithm = sha256
KeyAlgorithm = RSA
KeyLength = 4096
KeyUsage = "CERT_DIGITAL_SIGNATURE_KEY_USAGE | CERT_KEY_ENCIPHERMENT_KEY_USAGE"
RequestType = PKCS10
FriendlyName = "MyCertificateFromCAcert"

Nakonec otevřete příkazové okno pro složku, kterou jste vytvořili výše: Podržte klávesu Shift a klikněte pravým tlačítkem myši na tuto složku - v nabídce vyberte „Otevřít příkazové okno zde“.

Vytvoření veřejného + soukromého klíče a žádosti o podepsání certifikátu (CSR)

Do příkazového okna zadejte následující příkaz a poté klávesu Enter (Return):

certreq -new CSR.inf CSR_for_CAcert.req

To je vše - privátní klíč byl na pozadí přidán do vašeho osobního úložiště certifikátů a byl vytvořen soubor CSR (pro odeslání do CAcert) s názvem "CSR_for_CAcert.req".

Nastane-li chyba, zkontrolujte v chybové zprávě cesty a zda je soubor CSR.inf skutečně uložen v aktuální složce (která je zobrazena v takzvaném „prompt“ v příkazovém okně).

Předložení CSR a získání certifikátu

Otevřete soubor „CSR_for_CAcert.req“, obsahující CSR, v programu Poznámkový blok. Vyberte veškerý obsah a zkopírujte jej do schránky (Ctrl-A, poté Ctrl-C).

Přihlaste se ke svém účtu u CAcert a zvolte z menu: Klientské certifikáty – Nový:

Zaškrtněte "Zobraz rozšířené volby". Pak se objeví další obsah; využijete velké pole "Volitelná klientská žádost o podpis certifikátu (CSR)...". Zkopírovaný obsah vložte (Ctrl-V) do tohoto pole. Do pole "Volitelný komentář" případně napište orientační název certifikátu.

Dále vyberte e-mailové adresy, které má certifikát obsahovat, popřípadě své jméno k uložení do certifikátu (máte-li aspoň 50 bodů zaručení).

Nezapomeňte vyjádřit souhlas s Dohodou komunity CAcert (CCA). Pak stiskněte tlačítko Odeslat.

Váš klientský certifikát je vystaven. Můžete si ho stáhnout ve formátu PEM (přípona .crt) nebo ve formátu DER (přípona .cer) a nainstalovat. Nezapomeňte, že certifikát neobsahuje privátní klíč; ten zůstává na počítači, kde jste žádost vytvořili.

Předpokládejme, že jste si vystavený certifikát stáhli do souboru ve formátu PEM, s příponou .crt Nyní je nutno certifikát importovat do systému. K tomu použijete opět MMC, modul Certifikáty. Při importu se k certifikátu přidruží příslušný privátní klíč.

Import certifikátu do operačního systému

Vraťte se do modulu certifikátů MMC a do Certifikátů pod uzel Osobní (strom "Certifikáty - aktuální uživatel") importujte získaný certifikát ze souboru s příponou ".crt".

Z menu otevřeného po pravém kliknutí na „Certifikáty“ pod „Osobní“ zvolte „Všechny úkoly - Importovat...“

Spustí se průvodce, kde opět přeskočíte úvodní stránku, zvolíte soubor s vystaveným certifikátem a importujete ho do systému po stisknutí tlačítka Další.

Úložiště pro Vaše osobní certifikáty je již předvoleno. Stiskněte Další.

Systém oznámí úspěšný import a po potvrzení OK již vidíte importovaný certifikát. Povšimněte si, že ikona certifikátu má vlevo nahoře klíček. To znamená, že k tomuto certifikátu máte privátní klíč (a sám certifikát obsahuje odpovídající veřejný klíč).

Export či záloha klientského certifikátu

Certifikát s privátním klíčem exportujte do souboru formátu P12 s příponou PFX. Jednak tím získáte zálohu, ale také můžete přenést celý certifikát i s privátním klíčem na jiný počítač, tablet, mobilní telefon atd., případně do klientských programů majících své vlastní úložiště, což je zejména webový prohlížeč Firefox a e-mailový klient Thunderbird.

Pravým kliknutím na certifikát zobrazte menu a zvolte „Všechny úkoly“ - „Exportovat“.

Otevře se průvodce exportem. Důležité nastavení proveďte na druhé stránce. Volbou, že se bude exportovat i privátní klíč, zvolíte i výstupní formát P12, příponu .pfx a celý průběh exportu. Stiskněte tlačítko Další.

Formát PKCS 12 (P12) s příponou PFX je již předvolen. Můžete přidat další užitečné volby, jak naznačeno. Export celé cesty umožní získat ze souboru i kořenový(é) certifikát(y) CA (v našem případě CAcert). Export všech rozšířených vlastností zvolte spíše pro jistotu. Odstranit privátní klíč po exportu si zde určitě nepřejete, chcete si jej zachovat, pokud ho budete z počítače, kde jste ho (spolu s žádostí o certifikát) vytvořili, přenášet na jiné počítače.

Na další stránce zvolte a zadejte heslo. Budete je potřebovat při importu nebo obnově ze zálohy. (Skupiny a jména jsou spojena s koncepcí aktivního adresáře [AD] Microsoftu, zde je nepoužijete.) Pokračujte tlačítkem Další.

Konečně zadejte cestu a název souboru formátu P12 s příponou .pfx, kam se exportovaný certifikát s privátním klíčem uloží. Po stisku tlačítka Další uvidíte ještě rekapitulaci a dále potvrzení úspěšného exportu.

Úspěšnost postupu byla potvrzena nasazením takto vytvořených serverových certifikátů jako klientských, podepisováním a šifrováním zpráv e-mailu.