## page was renamed from Howto/ServerCertCreate/CZ #language cs ## 20180118 AK ---- '''česky''' | [[HowTo/ServerCertCreate|english]] ---- = Jak vytvořit serverový certifikát CAcert = Autor: alkas Serverový certifikát si může vytvořit uživatel, který prokáže, že má registrovánu alespoň jednu doménu. Má-li navíc alespoň 50 bodů zaručení, bude mu serverový certifikát vystaven na dobu 24 měsíců. == Přehled == Použijeme systémové prostředky a systémové úložiště Windows 10.Vytvoříme žádost o certifikát pomocí MMC modulu Certifikáty a necháme ji podepsat autoritou CAcert – vznikne certifikát pro webový server. Nebudeme-li ho vytvářet přímo na webovém serveru, pro nějž je určen, vyexportujeme ho i s privátním klíčem do souboru PFX a ten pak na serveru importujeme. 1. Připravíme si certifikátový modul MMC pro další práci s certifikáty. 1. Importujeme kořenový a zprostředkující certifikát CAcert. 1. Vytvoříme žádost o certifikát (Certificate Signing Request, CSR) podle šablony „Web server“. 1. Předložíme žádost CAcert CA a získáme certifikát, který uložíme do souboru.. 1. Importujeme certifikát do „Osobních“ certifikátů počítače / web serveru. Přitom se propojí s privátním klíčem. Lze jej použít v místním web serveru IIS 8. 1. Pokud je webový server na jiném stroji, exportujeme certifikát s privátním klíčem do souboru tvaru P12 s příponou PFX. Ten pak importujeme na cílovém webovém serveru do systému v modulu certifikátů MMC nebo přímo v IIS 8. == Příprava == Jestliže jste ještě nepracovali s modulem certifikátů MMC, bude vhodné si ho napřed vytvořit a uložit pro pozdější snadné spuštění. Je lépe spravovat z modulu jak certifikáty osobní (Vaše), tak certifikáty počítače – i když zde se budeme zabývat jen těmi druhými. Spusťte konzolu správy MMC. Z menu „Soubor“ zvolte „Přidat nebo odebrat modul snap-in“. Z modulů snap-in vyberte „Certifikáty“. V dialogu upřesněte „Můj uživatelský účet“. I když tuto část v dalším postupu nepoužijeme, osvědčilo se zařadit ji pro možnou pozdější práci s klientskými certifikáty. Dále se již budeme zabývat certifikáty počítače. {{attachment:SrvCert-00.gif|Nastavení modulu Certifikáty}} Znovu zvolte „Certifikáty“ a „Přidat“ Nyní v dialogu upřesněte „Účet počítače“. {{attachment:SrvCert-01.gif|Modul Certifikáty pro počítač}} Dále zvolte místní počítač a dokončete nastavení. {{attachment:SrvCert-02.gif|Certifikáty osoby a počítače}} Seznam modulů bude vypadat takto. Stiskněte OK. {{attachment:SrvCert-03.gif|Uložení modulu}} Připravený modul si uložte (Soubor - Uložit jako...) pod vhodným jménem. Příště můžete modul spustit (bohdá) přímo z Nástrojů pro správu. Import certifikátů CAcert je přímočará operace. Nejprve si zobrazte Certifikáty pod uzlem „Důvěryhodné kořenové certifikační autority“. Pravým klikem na uzel „Certifikáty“ ve stromu v levém panelu otevřete menu, kde vyberte „Všechny úkoly...“ - „Importovat...“ Vyberte stažený soubor „root.cer“ (stažený ve formátu PEM z http://www.cacert.org/index.php?id=3.) a importujte. {{attachment:SrvCert-04.gif|Kořenový certifikát CAcert třídy 1}} Podobně do Certifikátů pod uzlem „Zprostředkující certifikační autority“ importujte certifikát třídy 3 ze souboru „class3.cer“. (Stažený ve formátu PEM z http://www.cacert.org/index.php?id=3.) {{attachment:SrvCert-05.gif|Zprostředkující certifikát CAcert třídy 3}} Výše uvedené dva obrázky ukazují stav po importu. == Vytvoření žádosti o serverový certifikát == {{attachment:SrvCert-06.gif|Spuštění průvodce}} Zvolte „Certifikáty“ pod uzlem „Osobní“. Připomínám, že tyto certifikáty jsou „osobní“ pro POČÍTAČ a nejde o Vaše osobní certifikáty [pracujete stále pod stromem „Certifikáty (místní)!]. Pravým klikem otevřete menu, kde postupujte podle obrázku. Je nutno zvolit „Vlastní požadavek“, aby bylo možno vybrat šablonu. Zobrazí se průvodce. Jeho první informativní stránku přeskočte (Další). Na následující stránce průvodce se dají nastavit zásady. Tuto stránku také přeskočte. {{attachment:SrvCert-07.gif|Volba šablony žádosti}} Na další stránce průvodce zvolte šablonu webového serveru. Stiskněte „Další“. {{attachment:SrvCert-08.gif|Vlastnosti žádosti certifikátu webového serveru}} Na další stránce průvodce si otevřete „Webový server“ a stiskněte „Vlastnosti“. Máte-li 50 a více bodů zaručení, pak Vám mohou být vydány serverové certifikáty s platností 2 roky. Server CA CAcert nejen podepíše Vaši žádost, ale také z ní odstraní všechny údaje kromě těchto, které musíte v žádosti dodat: * veřejný klíč – spolu s privátním vygeneruje Váš počítač, * běžný název webového serveru, tedy jeho FQDN, tj. DNS-název, pod nímž je známý v Internetu, zde je to CN= (Common Name, obecný název), * případně alternativní DNS názvy (SAN); v současnosti by zde měl být aspoň jeden další, rovnající se doméně (viz obrázky); CAcert zkontroluje platnost domén ve Vašem účtu, * algoritmus výpočtu klíčů (zvolte RSA), * délka klíčů (minimum 1024 bitů, zvolte doporučených 4096 bitů. Po stisknutí tlačítka „Vlastnosti“ se otevře dialog, kde nastavíte čtyři předchozí parametry. {{attachment:SrvCert-09.gif|Dialog vlastností - Subjekt}} Na kartě Subjekt (předmět) nastavíte běžný název a případné alternativní názvy DNS. V prvním z nich, jsou-li zadány, se musí opakovat běžný název. Přidáváte je jeden po druhém do pravého seznamu. {{attachment:SrvCert-10.gif|Dialog vlastností - Subjekt, vyplněno}} Nyní jste se svým zadáváním na této kartě hotovi. Běžný název '''''tohoto''''' webového serveru je '''www.alkas.org''' a jeho alternativní název se rovná doméně '''alkas.org'''. Zároveň to pro praxi znamená, že adresa .alkas.org, neexistuje-li DNS pro , padá standardně na webový server dané domény, tj. v našem případě '''https://www.alkas.org''' nebo '''https://alkas.org'''. Pokračujte na kartě Obecné. {{attachment:SrvCert-11.gif|Dialog vlastností - Obecné}} Zde je nutno opět vyplnit „Popisný název“ FQDN názvem webového serveru. Karta „Rozšíření“ je předvyplněna ze šablony webového serveru a proto ji můžete přeskočit. {{attachment:SrvCert-12.gif|Dialog vlastností - Privátní klíč, zprostředkovatel (algoritmus)}} Na kartě „Privátní klíč“ vyberete po otevření „Zprostředkovatel kryptografických služeb“ zprostředkovatele RSA. {{attachment:SrvCert-13.gif|Dialog vlastností - Privátní klíč, vlastnosti klíče}} Dále otevřete „Možnosti klíče“ a určete délku klíče (minimálně 1024 bitů, CAcert doporučuje 4096 bitů) a možnosti exportování a archivace privátního klíče. Dialog uzavřete stisknutím OK. {{attachment:SrvCert-14.gif|Uložení žádosti o certifikát}} Pokračujete v průvodci vytvořením žádosti o certifikát. Stanovte cestu a název souboru, kam se žádost uloží. Certifikátový modul MMC nabízí příponu .req (request, žádost); pro větší názornost můžete příponu změnit na .csr (Certificate Signing Request). Zvolte formát souboru. Zakódování Base64 znamená převod binárních dat na znaky a proto ho doporučujeme – budete ho potřebovat vybrat a vložit do textového pole na web CAcertu. Po stisknutí tlačítka „Dokončit“ se žádost o certifikát (CSR) uloží do souboru. == Podání žádosti a získání certifikátu == Otevřete soubor se žádostí v editoru Notepad. Označte celý obsah a zkopírujte ho do schránky (Ctrl-C). {{attachment:SrvCert-16.gif|Obsah souboru žádosti}} Přihlaste se ke svém účtu u CAcert a zvolte z menu: Certifikáty serveru – Nový: {{attachment:SrvCert-17.gif|Zadání pro CAcert}} Zkopírovaný obsah vložte (Ctrl-V) do největšího pole na stránce. Do pole nad ním napište orientační název certifikátu, kterým bude označen pouze v přehledu na Vašem účtu. Nezapomeňte vyjádřit souhlas s Dohodou komunity CAcert (CCA). Pak stiskněte tlačítko Odeslat. {{attachment:SrvCert-18.gif|Kontrola provedená serverem CAcert}} Na další stránce webu Vám CAcert potvrdí názvy uložené ve Vašem certifikátu (oranžový rámeček). Stiskněte tlačítko „Odeslat“. {{attachment:SrvCert-19.gif|Vystavený serverový certifikát}} Certifikát pro Váš server je vystaven. Je také kódován v Base64. Označte a zkopírujte jeho data (Ctrl-C). Pak vytvořte editorem Notepad (Poznámkový blok) nový textový soubor a vložte (Ctrl-V) data do něj. Uložte soubor a přejmenujte jeho příponu na CER nebo CRT. {{attachment:SrvCert-20.gif|Soubor certifikátu}} Soubor lze také založit již s certifikátovou příponou. == Import certifikátu do operačního systému == Vraťte se do modulu certifikátů MMC a do Certifikátů pod uzel Osobní (ale „osobní“ místního počítače) importujte získaný certifikát ze souboru CER / CRT. {{attachment:SrvCert-21.gif|Import - menu}} Z menu otevřeného po pravém kliknutí na „Certifikáty“ pod „Osobní“ zvolte „Všechny úkoly - Importovat...“ {{attachment:SrvCert-22.gif|Zadání souboru certifikátu}} Spustí se průvodce, kde opět přeskočíte úvodní stránku, zvolíte soubor s vystaveným certifikátem a importujete ho do systému po stisknutí tlačítka Další. {{attachment:SrvCert-23.gif|Importovaný certifikát}} Systém oznámí úspěšný import a po potvrzení OK již vidíte importovaný certifikát. Povšimněte si, že ikona certifikátu má vlevo nahoře klíček. To znamená, že k tomuto certifikátu máte privátní klíč (a sám certifikát obsahuje odpovídající veřejný klíč). == Export / záloha certifikátu serveru == Certifikát s privátním klíčem exportujte do souboru formátu P12 s příponou PFX. Jednak získáte zálohu, ale také můžete přenést celý certifikát i s privátním klíčem na webový server (hardware nebo virtuál, kde poběží program IIS, Apache apod.), aby tam mohl sloužit k zabezpečení HTTPS. {{attachment:SrvCert-24.gif|Export certifikátu - menu}} Pravým kliknutím na certifikát zobrazte menu a zvolte „Všechny úkoly“ - „Exportovat“. {{attachment:SrvCert-25.gif|Exportovat i s privátním klíčem}} Otevře se průvodce exportem. Důležité nastavení proveďte na druhé stránce. Zvolením exportu privátního klíče zvolíte i výstupní formát P12 a celý průběh exportu. Stiskněte tlačítko Další. {{attachment:SrvCert-26.gif|Možnosti exportu}} Formát PKCS 12 (P12) s příponou PFX je již předvolen. Můžete přidat další užitečné volby, jak naznačeno. Export celé cesty umožní získat ze souboru i certifikát(y) CA (v našem případě CAcert). Export všech rozšířených vlastností je spíše pro jistotu. Odstranit privátní klíč po exportu si zde určitě nepřejete, chcete si jej zachovat, pokud je počítač, kde jste ho (spolu s žádostí o certifikát) vytvořili, jiný, než webový server, kde se certifikát bude používat. {{attachment:SrvCert-27.gif|Zadání hesla}} Na další stránce zvolte a zadejte heslo. (Skupiny a jména jsou spojena s koncepcí aktivního adresáře [AD] Microsoftu.) Pokračujte tlačítkem Další. {{attachment:SrvCert-28.gif|Zadání souboru pro uložení certifikátu a privátního klíče}} Konečně zadejte cestu a název souboru PFX, kam se exportovaný certifikát s privátním klíčem uloží. Po stisku tlačítka Další uvidíte ještě rekapitulaci a dále potvrzení úspěšného exportu. Úspěšnost tohoto postupu byla potvrzena nasazením takto vytvořených serverových certifikátů na IIS6 na serveru WS2003 a na IIS8 na serveru WS2012. ---- . CategoryTutorials . CategoryStepByStep