Jak vytvořit certifikát jiným prohlížečem po chybové zprávě od Firefox, Chrome a dalších

Problém

Už týden nejsem schopen vygenerovat klientský certifikát prohlížečem. Jak Firefox, tak Chrome i Internet Explorer hlásí chybu:

Je o tom něco známo?

Řešení

Naposledy jsem úspěšně vygeneroval certifikát v červenci 2019 s tehdejším aktuálním Firefoxem. V aktuální verzi, kterou pravděpodobně také máte, stejně jako v prohlížeči Chrome, generování certifikátů již nefunguje, protože nové verze prohlížečů už zřejmě nepodporují dosud používaný prvek <keygen> v HTML.

Pomohl jsem si nainstalováním prohlížeče Palemoon (je to dobře udržovaná odnož starého Firefoxu) a s ním jsem certifikáty vygeneroval.

Lze také nainstalovat podobný prohlížeč Seamonkey.

Podle mého názoru je to nejjednodušší způsob, jak to udělat bez použití OpenSSL a manuálního generování párů klíčů a CSR. (Pokud znáte, jak OpenSSL použít, můžete to udělat.)

/!\ POZOR! /!\ Prohlížeče Palemoon i Seamonkey jsou klony Firefoxu a mají tedy svá vlastní úložiště certifikátů, kam se ale nezkopírují certifikáty z úložiště Firefoxu automaticky! Jejich správu otevřete takto: okno prohlížeče Palemoon - modré pole vlevo nahoře - Preference - Preference - v dialogovém okně Preferences záložka Advanced - View Certificates. U Seamonkey: okno prohlížeče - z menu Úpravy - Preference - v okně předvoleb Soukromí a zabezpečení - Certifikáty - Spravovat certifikáty. Okno certifikátů se v obou případech velmi podobá tomu ve Firefoxu.

Nejprve musíte importovat oba kořenové certifikáty CAcertu z jeho stránky. Nejkratší možností je jít v Palemoonu přímo na stránku http://www.cacert.org/index.php?id=3 (NIKOLIV https!), zvolit nejprve PKI klíč třídy 1, formát PEM, dát mu důvěru pro všechny 3 oblasti, pak PKI klíč třídy 3, formát PEM, nastavit důvěru není třeba (bude zděděna) - a tím jste dali důvěru certifikační autoritě CAcert: další komunikace s weby CAcert už půjdou protokolem https.

Dále: chcete-li se přihlásit svým existujícím certifikátem, musíte ve Správci certifikátů importovat i ten, a to ze souboru typu .p12 nebo .pfx - nemáte-li ho, musíte se přihlásit svým uživatelským jménem a heslem. Po přihlášení si už můžete prohlížečem Palemoon nechat vygenerovat a podat novou žádost o certifikát.

Další pomoc

Alternativy s CSR jsou popsány v části Wiki v sekci „Vytvořit certifikáty, v https://wiki.cacert.org/TutorialsHowto

Pozadí problému lze podrobněji vidět v chybách CAcert: http://bugs.cacert.org/view.php?id=1417

(odpovědi ST, GT, překlad od DL, AK)


HowTo/ClientCertCreate4/CZ (last edited 2020-02-01 16:36:27 by AlesKastner)