Jak obnovit certifikát

Autor: alkas

CAcert umožňuje obnovit prošlý certifikát, pokud ještě nebyl odvolán. Přitom oba klíče páru (privátní a veřejný) zůstávají zachovány.

Když se přihlásíte ke svému účtu u CAcert, můžete si zobrazit všechny vydané certifikáty, klientské i serverové.

Zvolíme příklad obnovy serverového certifikátu, což je náročnější. Budeme potřebovat:

Celkový postup:

  1. Obnovíme certifikát ve svém účtu CAcert a uložíme ho do souboru. Pozor, tento certifikát neobsahuje privátní klíč, a má také jiné pořadové číslo, než certifikát původní (propadlý).
  2. Z počítače, kde je privátní klíč, vyexportujeme prošlý certifikát i s privátním klíčem.
  3. Pro sestavení (spojení) nového certifikátu s původním privátním klíčem použijeme Firefox. (V tomto příkladu budeme pracovat na jiném počítači než na původním serveru.)
  4. Vzniklý obnovený certifikát exportujeme jako zálohu i s privátním klíčem do souboru.
  5. Soubor pak importujeme do serveru, kde má být používán (například do webového serveru).

Obnovení certifikátu CAcert a jeho uložení do souboru

Přihlaste se ke svému účtu CAcert. Z menu v pravé části stránky zvolte: Certifikáty serveru - Zobrazit. Objeví se stránka se seznamem platných certifikátů. Pod seznamem klikněte na odkaz "Zobrazit všechny certifikáty".

Přehled certifikátů včetně propadlých a odvolaných

Vyberte propadlý certifikát, k němuž budete schopni najít privátní klíč, tedy znáte počítač, kde je umístěn. Stiskněte tlačítko "Obnovit". Po určité chvíli se objeví stránka s obnoveným certifikátem. Vyberte jeho obsah:

Je vystaven obnovený serverový certifikát

Zkopírujte obsah (Ctrl-C), spusťte program Poznámkový blok a vytvořte soubor s příponou .CER.

Obnovený certifikát v souboru Obnovený certifikát v souboru

Vložte do něj certifikát (Ctrl-V) a uložte.

Vlastnosti obnoveného certifikátu Vlastnosti obnoveného certifikátu

Takto vypadá Váš obnovený certifikát, zatím bez privátního klíče. Všimněte si, že má již nové období platnosti, ale také nové pořadové (sériové) číslo.

Export prošlého certifikátu z původního serveru

Nyní vyexportujte prošlý certifikát i s privátním klíčem z počítače, kde je umístěn. Použijte modul Certifikáty nástroje MMC. Doporučuji exportovat do souboru, jehož název obsahuje jméno původního serveru a pořadové číslo původního certifikátu. Je také potřeba exportovat všechny rozšířené vlastnosti certifikátu.

Prošlý certifikát je v našem případě umístěn na serveru 2012. Použijte nástroj MMC, modul Certifikáty a najděte ho v "osobních" certifikátech místního počítače.

Prošlý certifikát

Pro kontrolu porovnejte pořadové (sériové) číslo certifikátu (zde 105006) s údajem z účtu CAcert. Musí jít o prošlý certifikát, který jste obnovovali.

Prošlý certifikát - pořadové číslo

Export certifikátu je zcela přímočarý.

Export - zahájení

V průvodci exportem je třeba zvolit formát P12 (.PFX) - export s privátním klíčem.

Export - volba PFX

Exportovaný certifikát by měl obsahovat všechny rozšířené vlastnosti.

Export - vlastnosti

Nastavte heslo a název souboru, kam se bude certifikát exportovat.

Export - heslo privátního klíče Export - název výstupního souboru

Dokončete export (rekapitulace a zpráva o úspěšnosti).

Export - rekapitulace a dokončení

Vytvoření obnoveného certifikátu s privátním klíčem

Pokračujte na počítači, kde je nainstalován Firefox, zde například Windows 10.

Firefox - možnosti Firefox - rozšířené možnosti Firefox - certifikáty Firefox - správa certifikátů

Spusťte Firefox a z jeho nastavení zvolte Možnosti, dále Rozšířené a Certifikáty. V okně Správce certifikátů zvolte Importovat.

Import prošlého certifikátu

Vyberte soubor .PFX, kam jste vyexportovali prošlý certifikát s privátním klíčem.

Import prošlého certifikátu Import prošlého certifikátu

Zadejte heslo, které jste uvedli dvakrát při exportu. Pokračujte a importujte prošlý certifikát.

Kontrola prošlého certifikátu

Podle data vidíte, že jde o prošlý certifikát. Nyní importujte obnovený certifikát.

Import obnoveného certifikátu Import obnoveného certifikátu

Je naimportován starý i nový certifikát a privátní klíč, patřící k oběma.

Kontrola importovaných certifikátů

Export obnoveného certifikátu do souboru

Pokračujte exportem nového certifikátu s privátním klíčem, tedy podle terminologie Firefoxu "zálohováním", kde vznikne soubor .P12 se strukturou PEM.

Export/zálohování Export - nastavení hesla

Opět je nutno nastavit heslo. Po OK je export dokončen.

Export - dokončeno

Instalace obnoveného certifikátu a jeho privátního klíče na cílový server

Další postup spočívá v zavedení obnoveného certifikátu s privátním klíčem na server, kde se bude používat. V našem příkladu je to Windows server 2012.

Import obnoveného certifikátu s privátním klíčem Zadání souboru .P12

Zvolte import a vyberte soubor, který jste právě vyexportovali. (Přenos mezi počítači je snazší po síti v doméně nebo domácí skupině Windows. Jinak lze použít například USB disk.)

Zadání hesla a exportovatelnosti

Zadejte heslo a opět označte klíč jako exportovatelný.

Kontrola po importu

Po importu můžete zkontrolovat:

  1. Importovala se celá cesta (zde certifikát serveru a kořenový certifikát CAcert). To není na závadu.
  2. Importovaný obnovený serverový certifikát má, jak je vidět na jeho ikoně, svůj privátní klíč a může být tedy serverem využit.


HowTo/RenewCert/CZ (last edited 2016-05-04 13:12:09 by AlesKastner)