#language cs
## 20200211 AK
----
 '''česky''' | [[HowTo/ClientCertCreate3|english]]
----
= Jak vytvořit klientský certifikát nástroji příkazového řádku (Windows 10 a starší) =

== Přehled ==

Windows 10 poskytuje nástroje příkazového řádku pro všechny nezbytné kroky k vytvoření veřejného / soukromého klíče, získání certifikátu od CAcert a exportu pro použití v jiných aplikacích (kde webové prohlížeče jako Firefox spravují certifikáty samostatně) nebo na jiných počítačích.

Certifikát pořídíme těmito kroky:
 1. Vytvořte veřejný / soukromý klíč a žádost o podepsání certifikátu (CSR) pomocí běžné šablony.
 1. Předložte CSR webu CA CAcert, získejte klientský certifikát a uložte jej (ve formátu PEM) do souboru CRT.
 1. Importujte certifikát do „osobních“ certifikátů aktuálního uživatele (vy). Poté se sváže se soukromým klíčem. Můžete jej použít v jednom nebo více ''počítačích'' v operačních systémech a klientských programech jako jsou webové prohlížeče (Internet Explorer, Edge, Firefox, Chrome,...) a e-mailových klientech (Outlook, Thunderbird, The Bat,...). Důležitý je zde účel klientských certifikátů - jejich použití v klientských programech. Samotným ''počítačem'' může být počítač, notebook, pracovní stanice, server, tablet nebo „chytrý“ mobilní telefon. 
 1. Pokud potřebujete použít klientský certifikát na jiném počítači, budete muset exportovat certifikát s odpovídajícím soukromým klíčem do souboru typu P12 s příponou PFX. Můžete jej importovat do cílového počítače a / nebo klientského programu. U operačního systému Windows použijte modul certifikátu MMC, u tabletů nebo mobilních telefonů často postačí otevření souboru.

== Příprava ==

Dále potřebujete:
 1. Pracovní složku pro soubory potřebné během tvorby certifikátu
 1. Zde stažený parametrický soubor, který uložíte do zmíněné složky
 1. Okno příkazového řádku (cmd) pro zadávání příkazů

Otevřete Windows Explorer: podržte klávesu "Win" a stiskněte "e" (nebo spusťte z menu).

Kontextovým menu vytvořte novou složku: klikněte pravým tlačítkem myši a zvolte "Nová složka". Dle potřeby ji pojmenujte.

Stáhněte si [[attachment:CSR.inf|CSR.inf]] a uložte ho do nové složky.

Jste-li s certifikáty již obeznámeni, můžete soubor CSR.inf upravit a nastavit parametry klíče.
Vzorový soubor zadává šifrování RSA se silnou délkou klíče - 4096 bitů.
"!FriendlyName" se stane názvem certifikátu v úložišti certifikátů Windows - lze zvolit libovolný název.
Podpisový generátor CAcertu zcela ignoruje parametry "Subject" and "!KeyUsage" - můžete je zvolit (podle výše svého zaručení) později na webovém portálu.
{{{
[NewRequest] 
Subject = "CN=dummy.createnewcsr.cacert.org"
ExportableEncrypted = true
HashAlgorithm = sha256
KeyAlgorithm = RSA
KeyLength = 4096
KeyUsage = "CERT_DIGITAL_SIGNATURE_KEY_USAGE | CERT_KEY_ENCIPHERMENT_KEY_USAGE"
RequestType = PKCS10
FriendlyName = "MyCertificateFromCAcert"
}}}

Nakonec otevřete příkazové okno pro složku, kterou jste vytvořili výše:
Podržte klávesu Shift a klikněte pravým tlačítkem myši na tuto složku - v nabídce vyberte „Otevřít příkazové okno zde“.

== Vytvoření veřejného + soukromého klíče a žádosti o podepsání certifikátu (CSR) ==

Do příkazového okna zadejte následující příkaz a poté klávesu Enter (Return):
{{{
certreq -new CSR.inf CSR_for_CAcert.req
}}}

To je vše - privátní klíč byl na pozadí přidán do vašeho osobního úložiště certifikátů a byl vytvořen soubor CSR (pro odeslání do CAcert) s názvem "CSR_for_CAcert.req".

Nastane-li chyba, zkontrolujte v chybové zprávě cesty a zda je soubor CSR.inf skutečně uložen v aktuální složce (která je zobrazena v takzvaném „prompt“ v příkazovém okně).

== Předložení CSR a získání certifikátu ==

Otevřete soubor „CSR_for_CAcert.req“, obsahující CSR, v programu Poznámkový blok. Vyberte veškerý obsah a zkopírujte jej do schránky (Ctrl-A, poté Ctrl-C).

 {{attachment:CliCert-16.gif|Výběr obsahu CSR ze souboru}}

Přihlaste se ke svém účtu u CAcert a zvolte z menu: Klientské certifikáty – Nový:

 {{attachment:CliCert-17.gif|Vložení CSR na web CAcert a výběr parametrů certifikátu}}

Zaškrtněte "Zobraz rozšířené volby". Pak se objeví další obsah; využijete velké pole "Volitelná klientská žádost o podpis certifikátu (CSR)...". Zkopírovaný obsah vložte (Ctrl-V) do tohoto pole. Do pole "Volitelný komentář" případně napište orientační název certifikátu.

Dále vyberte e-mailové adresy, které má certifikát obsahovat, popřípadě své jméno k uložení do certifikátu (máte-li aspoň 50 bodů zaručení).

Nezapomeňte vyjádřit souhlas s Dohodou komunity CAcert (CCA). Pak stiskněte tlačítko Odeslat.

 {{attachment:CliCert-19.gif|Vystavený certifikát ke stažení - formát PEM}}

Váš klientský certifikát je vystaven. Můžete si ho stáhnout ve formátu PEM (přípona .crt) nebo ve formátu DER (přípona .cer) a nainstalovat. Nezapomeňte, že certifikát neobsahuje privátní klíč; ten zůstává na počítači, kde jste žádost vytvořili.

Předpokládejme, že jste si vystavený certifikát stáhli do souboru ve formátu PEM, s příponou .crt Nyní je nutno certifikát importovat do systému. K tomu použijete opět MMC, modul Certifikáty. Při importu se k certifikátu přidruží příslušný privátní klíč.

== Import certifikátu do operačního systému ==
Vraťte se do modulu certifikátů MMC a do Certifikátů pod uzel Osobní (strom "Certifikáty - aktuální uživatel") importujte získaný certifikát ze souboru s příponou ".crt".

 {{attachment:CliCert-21.gif|Menu importu}}

Z menu otevřeného po pravém kliknutí na „Certifikáty“ pod „Osobní“ zvolte „Všechny úkoly - Importovat...“

 {{attachment:CliCert-22.gif|Výběr souboru s certifikátem pro import}}

Spustí se průvodce, kde opět přeskočíte úvodní stránku, zvolíte soubor s vystaveným certifikátem a importujete ho do systému po stisknutí tlačítka Další.

 {{attachment:CliCert-23.gif|Umístění certifikátu v úložišti systému}}

Úložiště pro Vaše osobní certifikáty je již předvoleno. Stiskněte Další.

 {{attachment:CliCert-24.gif|Certifikát s privátním klíčem je nainstalován}}

Systém oznámí úspěšný import a po potvrzení OK již vidíte importovaný certifikát. Povšimněte si, že ikona certifikátu má vlevo nahoře klíček. To znamená, že k tomuto certifikátu máte privátní klíč (a sám certifikát obsahuje odpovídající veřejný klíč).

== Export či záloha klientského certifikátu ==
Certifikát s privátním klíčem exportujte do souboru formátu P12 s příponou PFX. Jednak tím získáte zálohu, ale také můžete přenést celý certifikát i s privátním klíčem na jiný počítač, tablet, mobilní telefon atd., případně do klientských programů majících své vlastní úložiště, což je zejména webový prohlížeč Firefox a e-mailový klient Thunderbird.

 {{attachment:CliCert-15.gif|Menu pro export certifikátu s privátním klíčem}}

Pravým kliknutím na certifikát zobrazte menu a zvolte „Všechny úkoly“ - „Exportovat“.

 {{attachment:CliCert-25.gif|Výběr pro export s privátním klíčem}}

Otevře se průvodce exportem. Důležité nastavení proveďte na druhé stránce. Volbou, že se bude exportovat i privátní klíč, zvolíte i výstupní formát P12, příponu .pfx a celý průběh exportu. Stiskněte tlačítko Další.

 {{attachment:CliCert-26.gif|Nastavení vlastností exportovaného certifikátu}}

Formát PKCS 12 (P12) s příponou PFX je již předvolen. Můžete přidat další užitečné volby, jak naznačeno. Export celé cesty umožní získat ze souboru i kořenový(é) certifikát(y) CA (v našem případě CAcert). Export všech rozšířených vlastností zvolte spíše pro jistotu. Odstranit privátní klíč po exportu si zde určitě nepřejete, chcete si jej zachovat, pokud ho budete z počítače, kde jste ho (spolu s žádostí o certifikát) vytvořili, přenášet na jiné počítače.

 {{attachment:CliCert-27.gif|Nastavení hesla pro budoucí importy}}

Na další stránce zvolte a zadejte heslo. Budete je potřebovat při importu nebo obnově ze zálohy. (Skupiny a jména jsou spojena s koncepcí aktivního adresáře [AD] Microsoftu, zde je nepoužijete.) Pokračujte tlačítkem Další.

 {{attachment:CliCert-28.gif|Zadání souboru pro export}}

Konečně zadejte cestu a název souboru formátu P12 s příponou .pfx, kam se exportovaný certifikát s privátním klíčem uloží. Po stisku tlačítka Další uvidíte ještě rekapitulaci a dále potvrzení úspěšného exportu.

 {{attachment:CliCert-20.gif|Rekapitulace exportu}}

Úspěšnost postupu byla potvrzena nasazením takto vytvořených serverových certifikátů jako klientských, podepisováním a šifrováním zpráv e-mailu.

----

 . CategoryTutorials
 . CategoryStepByStep