česky | english
Jak vytvořit serverový certifikát CAcert
Autor: alkas
Serverový certifikát si může vytvořit uživatel, který prokáže, že má registrovánu alespoň jednu doménu. Má-li navíc alespoň 50 bodů zaručení, bude mu serverový certifikát vystaven na dobu 24 měsíců.
Přehled
Použijeme systémové prostředky a systémové úložiště Windows 10.Vytvoříme žádost o certifikát pomocí MMC modulu Certifikáty a necháme ji podepsat autoritou CAcert – vznikne certifikát pro webový server. Nebudeme-li ho vytvářet přímo na webovém serveru, pro nějž je určen, vyexportujeme ho i s privátním klíčem do souboru PFX a ten pak na serveru importujeme.
- Připravíme si certifikátový modul MMC pro další práci s certifikáty.
- Importujeme kořenový a zprostředkující certifikát CAcert.
- Vytvoříme žádost o certifikát (Certificate Signing Request, CSR) podle šablony „Web server“.
- Předložíme žádost CAcert CA a získáme certifikát, který uložíme do souboru..
- Importujeme certifikát do „Osobních“ certifikátů počítače / web serveru. Přitom se propojí s privátním klíčem. Lze jej použít v místním web serveru IIS 8.
- Pokud je webový server na jiném stroji, exportujeme certifikát s privátním klíčem do souboru tvaru P12 s příponou PFX. Ten pak importujeme na cílovém webovém serveru do systému v modulu certifikátů MMC nebo přímo v IIS 8.
Příprava
Jestliže jste ještě nepracovali s modulem certifikátů MMC, bude vhodné si ho napřed vytvořit a uložit pro pozdější snadné spuštění. Je lépe spravovat z modulu jak certifikáty osobní (Vaše), tak certifikáty počítače – i když zde se budeme zabývat jen těmi druhými.
Spusťte konzolu správy MMC. Z menu „Soubor“ zvolte „Přidat nebo odebrat modul snap-in“. Z modulů snap-in vyberte „Certifikáty“. V dialogu upřesněte „Můj uživatelský účet“. I když tuto část v dalším postupu nepoužijeme, osvědčilo se zařadit ji pro možnou pozdější práci s klientskými certifikáty.
Dále se již budeme zabývat certifikáty počítače.
Znovu zvolte „Certifikáty“ a „Přidat“ Nyní v dialogu upřesněte „Účet počítače“.
Dále zvolte místní počítač a dokončete nastavení.
Seznam modulů bude vypadat takto. Stiskněte OK.
Připravený modul si uložte (Soubor - Uložit jako...) pod vhodným jménem. Příště můžete modul spustit (bohdá) přímo z Nástrojů pro správu.
Import certifikátů CAcert je přímočará operace. Nejprve si zobrazte Certifikáty pod uzlem „Důvěryhodné kořenové certifikační autority“. Pravým klikem na uzel „Certifikáty“ ve stromu v levém panelu otevřete menu, kde vyberte „Všechny úkoly...“ - „Importovat...“ Vyberte stažený soubor „root.cer“ (stažený ve formátu PEM z http://www.cacert.org/index.php?id=3.) a importujte.
Podobně do Certifikátů pod uzlem „Zprostředkující certifikační autority“ importujte certifikát třídy 3 ze souboru „class3.cer“. (Stažený ve formátu PEM z http://www.cacert.org/index.php?id=3.)
Výše uvedené dva obrázky ukazují stav po importu.
Vytvoření žádosti o serverový certifikát
Zvolte „Certifikáty“ pod uzlem „Osobní“. Připomínám, že tyto certifikáty jsou „osobní“ pro POČÍTAČ a nejde o Vaše osobní certifikáty [pracujete stále pod stromem „Certifikáty (místní)!].
Pravým klikem otevřete menu, kde postupujte podle obrázku. Je nutno zvolit „Vlastní požadavek“, aby bylo možno vybrat šablonu. Zobrazí se průvodce. Jeho první informativní stránku přeskočte (Další).
Na následující stránce průvodce se dají nastavit zásady. Tuto stránku také přeskočte.
Na další stránce průvodce zvolte šablonu webového serveru. Stiskněte „Další“.
Na další stránce průvodce si otevřete „Webový server“ a stiskněte „Vlastnosti“.
Máte-li 50 a více bodů zaručení, pak Vám mohou být vydány serverové certifikáty s platností 2 roky. Server CA CAcert nejen podepíše Vaši žádost, ale také z ní odstraní všechny údaje kromě těchto, které musíte v žádosti dodat:
- veřejný klíč – spolu s privátním vygeneruje Váš počítač,
- běžný název webového serveru, tedy jeho FQDN, tj. DNS-název, pod nímž je známý v Internetu, zde je to CN= (Common Name, obecný název),
- případně alternativní DNS názvy (SAN); v současnosti by zde měl být aspoň jeden další, rovnající se doméně (viz obrázky); CAcert zkontroluje platnost domén ve Vašem účtu,
- algoritmus výpočtu klíčů (zvolte RSA),
- délka klíčů (minimum 1024 bitů, zvolte doporučených 4096 bitů.
Po stisknutí tlačítka „Vlastnosti“ se otevře dialog, kde nastavíte čtyři předchozí parametry.
Na kartě Subjekt (předmět) nastavíte běžný název a případné alternativní názvy DNS. V prvním z nich, jsou-li zadány, se musí opakovat běžný název. Přidáváte je jeden po druhém do pravého seznamu.
Nyní jste se svým zadáváním na této kartě hotovi. Běžný název tohoto webového serveru je www.alkas.org a jeho alternativní název se rovná doméně alkas.org. Zároveň to pro praxi znamená, že adresa <cokoli>.alkas.org, neexistuje-li DNS pro <cokoli>, padá standardně na webový server dané domény, tj. v našem případě https://www.alkas.org nebo https://alkas.org.
Pokračujte na kartě Obecné.
Zde je nutno opět vyplnit „Popisný název“ FQDN názvem webového serveru.
Karta „Rozšíření“ je předvyplněna ze šablony webového serveru a proto ji můžete přeskočit.
Na kartě „Privátní klíč“ vyberete po otevření „Zprostředkovatel kryptografických služeb“ zprostředkovatele RSA.
Dále otevřete „Možnosti klíče“ a určete délku klíče (minimálně 1024 bitů, CAcert doporučuje 4096 bitů) a možnosti exportování a archivace privátního klíče.
Dialog uzavřete stisknutím OK.
Pokračujete v průvodci vytvořením žádosti o certifikát.
Stanovte cestu a název souboru, kam se žádost uloží. Certifikátový modul MMC nabízí příponu .req (request, žádost); pro větší názornost můžete příponu změnit na .csr (Certificate Signing Request).
Zvolte formát souboru. Zakódování Base64 znamená převod binárních dat na znaky a proto ho doporučujeme – budete ho potřebovat vybrat a vložit do textového pole na web CAcertu.
Po stisknutí tlačítka „Dokončit“ se žádost o certifikát (CSR) uloží do souboru.
Podání žádosti a získání certifikátu
Otevřete soubor se žádostí v editoru Notepad. Označte celý obsah a zkopírujte ho do schránky (Ctrl-C).
Přihlaste se ke svém účtu u CAcert a zvolte z menu: Certifikáty serveru – Nový:
Zkopírovaný obsah vložte (Ctrl-V) do největšího pole na stránce. Do pole nad ním napište orientační název certifikátu, kterým bude označen pouze v přehledu na Vašem účtu.
Nezapomeňte vyjádřit souhlas s Dohodou komunity CAcert (CCA). Pak stiskněte tlačítko Odeslat.
Na další stránce webu Vám CAcert potvrdí názvy uložené ve Vašem certifikátu (oranžový rámeček). Stiskněte tlačítko „Odeslat“.
Certifikát pro Váš server je vystaven. Je také kódován v Base64.
Označte a zkopírujte jeho data (Ctrl-C). Pak vytvořte editorem Notepad (Poznámkový blok) nový textový soubor a vložte (Ctrl-V) data do něj. Uložte soubor a přejmenujte jeho příponu na CER nebo CRT.
Soubor lze také založit již s certifikátovou příponou.
Import certifikátu do operačního systému
Vraťte se do modulu certifikátů MMC a do Certifikátů pod uzel Osobní (ale „osobní“ místního počítače) importujte získaný certifikát ze souboru CER / CRT.
Z menu otevřeného po pravém kliknutí na „Certifikáty“ pod „Osobní“ zvolte „Všechny úkoly - Importovat...“
Spustí se průvodce, kde opět přeskočíte úvodní stránku, zvolíte soubor s vystaveným certifikátem a importujete ho do systému po stisknutí tlačítka Další.
Systém oznámí úspěšný import a po potvrzení OK již vidíte importovaný certifikát. Povšimněte si, že ikona certifikátu má vlevo nahoře klíček. To znamená, že k tomuto certifikátu máte privátní klíč (a sám certifikát obsahuje odpovídající veřejný klíč).
Export / záloha certifikátu serveru
Certifikát s privátním klíčem exportujte do souboru formátu P12 s příponou PFX. Jednak získáte zálohu, ale také můžete přenést celý certifikát i s privátním klíčem na webový server (hardware nebo virtuál, kde poběží program IIS, Apache apod.), aby tam mohl sloužit k zabezpečení HTTPS.
Pravým kliknutím na certifikát zobrazte menu a zvolte „Všechny úkoly“ - „Exportovat“.
Otevře se průvodce exportem. Důležité nastavení proveďte na druhé stránce. Zvolením exportu privátního klíče zvolíte i výstupní formát P12 a celý průběh exportu.
Stiskněte tlačítko Další.
Formát PKCS 12 (P12) s příponou PFX je již předvolen. Můžete přidat další užitečné volby, jak naznačeno. Export celé cesty umožní získat ze souboru i certifikát(y) CA (v našem případě CAcert). Export všech rozšířených vlastností je spíše pro jistotu. Odstranit privátní klíč po exportu si zde určitě nepřejete, chcete si jej zachovat, pokud je počítač, kde jste ho (spolu s žádostí o certifikát) vytvořili, jiný, než webový server, kde se certifikát bude používat.
Na další stránce zvolte a zadejte heslo. (Skupiny a jména jsou spojena s koncepcí aktivního adresáře [AD] Microsoftu.) Pokračujte tlačítkem Další.
Konečně zadejte cestu a název souboru PFX, kam se exportovaný certifikát s privátním klíčem uloží. Po stisku tlačítka Další uvidíte ještě rekapitulaci a dále potvrzení úspěšného exportu.
Úspěšnost tohoto postupu byla potvrzena nasazením takto vytvořených serverových certifikátů na IIS6 na serveru WS2003 a na IIS8 na serveru WS2012.