česky | english
Manuální import veřejných kořenových certifikátů CAcert ve Windows
Stefan Thode
Přeložil alkas
Důvody k importu veřejných kořenových certifikátů CAcert manuálně:
- Používáte platformu Windows 8/8.1/10 (včetně Windows serveru 2012), kde EXE instalátor nefunguje. (Vyobrazení v tomto článku pocházejí ze systému Windows 10, není-li výslovně uvedeno jinak.)
- Chcete, aby kořenové certifikáty byly dostupné pro všechny uživatele počítače.
- Chcete, aby byly dostupné pro služby Windows jako MS Exchange server nebo MS Internet Information Server.
Příprava
Stáhněte si veřejné kořenové certifikáty CAcert (třídy 1 a třídy 3) z https://www.cacert.org/index.php?id=3 ve formátu PEM. Stáhnou se soubory "root_X0F.crt" a "class3_x14E228.crt", například prohlížečem Mozilla Firefox.
Webová stránka CAcert s kořenovými certifikáty a jejich "otisky prstů" (fingerprints) pro kontrolu. Odkaz "Kořenový certifikát (formát PEM)" odpovídá root_X0F.crt atd. dle tabulky:
Odkaz |
Název odpovídajícího souboru |
PKI klíč třídy 1 |
|
Kořenový certifikát (formát PEM) |
root_X0F.crt |
Kořenový certifikát (formát DER) |
root_X0F.der |
Kořenový certifikát (textový formát) |
root_X0F.txt |
PKI klíč třídy 3 |
|
Zprostředkující (intermediate) certifikát (formát PEM) |
class3_x14E228.crt |
Zprostředkující (intermediate) certifikát (formát DER) |
class3_x14E228.der |
Zprostředkující (intermediate) certifikát (textový formát) |
class3_x14E228.txt |
Uložené stažené soubory certifikátů ve formátu PEM v systému Windows 8:
Spusťte nástroj správy "Microsoft Management Console" a připravte ho pro práci s certifikáty. Spusťte "MMC.EXE" jako správce (Administrator).
Vyhledání nástroje MMC ve Windows 10:
Vyhledání nástroje MMC ve Windows 8 a spuštění s oprávněním správce:
Hlavní okno nástroje MMC, zatím bez připojeného modulu snap-in:
Přidejte modul pro certifikáty
Z menu Soubor vyberte funkci "Přidat nebo odebrat modul snap-in"
Přidejte modul "Certifikáty" pro "Účet počítače" a v dalším dialogu zvolte "Místní počítač".
V levém panelu okna MMC se objeví kořen "Certifikáty". Expandujte jej a zobrazí se kategorie certifikátů uložených v místním počítači.
Importujte kořenový certifikát třídy 1 do "Důvěryhodných kořenových certifikačních autorit"
Spustí se Průvodce importem certifikátu. Zvolte "Místní počítač" a "Další".
Najděte stažený soubor "root_X0F.crt".
Zkontrolujte jeho cílové umístění (Důvěryhodné kořenové certifikační autority)
Dokončení importu kořenového certifikátu třídy 1
Při importu kořenového certifikátu se může objevit následující dialog. Potvrďte, že chcete importovat kořenový certifikát a že důvěřujete vydávající CA. Doporučuje se také zkontrolovat shodu kryptografického otisku s otiskem publikovaným na stránce CAcert (zobrazené výše, v prvním obrázku). (Tento obrázek pochází z Windows 8.)
Ujistěte se o správnosti účelu certifikátu. Pravým kliknutím na položku "CA cert Signing Authority" otevřete menu a zvolte Vlastnosti.
Zkontrolujte, případně zapněte tomuto certifikátu všechny účely.
Importujte kořenový certifikát třídy 3 do "Zprostředkujících certifikačních autorit"
Opět se spustí Průvodce importem.
Najděte stažený soubor "class3_x14E228.crt"
Zkontrolujte jeho cílové umístění (Zprostředkující certifikační autority)
Dokončení importu zprostředkujícího kořenového certifikátu třídy 3
Opět se přesvědčete o správnosti účelu certifikátu. Pravým kliknutím na "CAcert Class 3 Root" otevřete menu a zvolte Vlastnosti.
Zkontrolujte, případně zapněte tomuto certifikátu všechny účely.
Veřejné kořenové certifikáty CAcert jsou teď úspěšně instalovány pro produkty, které používají systémové úložiště certifikátů Windows. Jiné produkty, jako Firefox nebo Thunderbird mají svá vlastní úložiště certifikátů, takže u nich musíte instalovat kořenové certifikáty do jejich úložišť, abyste je mohli používat. Viz Klientské prohlížeče.