#language cs
## 18.01.2016 AK

----
 '''česky''' | [[Roots/OrganisationSubRoots|english]]
----
''Obsah je převzat ze stránky SubRoot''

= Pod-kořeny organizace =

== Termíny ==

 * Na této stránce se považují zprostředkující a pod-kořenové certifikáty za tytéž. 
 * Zde se hovoří jedině o certifikátech vydávaných pro nebo v zastoupení jiné organizace, jednající jako podřízená CA.
 * Jinde hovoříme o našich pod-kořenových certifikátech (Sub-Roots) třídy 1, 3, atd.

== Úvod do pod-kořenových certifikátů organizace (Organisation Sub-Root Certificates) ==

Dotaz: ''Rád bych, aby certifikační autorita CAcert podepsala můj pod-kořenový certifikát, abych mohl podepisovat jiné certifikáty. Je to možné?''

'''Odpověď: Krátká odpověď je NE.'''

Protože chceme dosáhnout vložení našich certifikátů do předních prohlížečů, musíme zvážit varování, které jsme obdrželi: že by to záležitost nejen zkomplikovalo, ale mohlo by nás to dokonce úplně vyřadit jako kandidáty.

Důvodem jsou obtížná rozhodnutí. Například:
 * zda máme rozhodovat, komu vydá organizace 3. strany certifikáty,
 * zda zajistíme, aby organizace dodržovala praktiky a zásady,
 * kdo bude mít přístup k privátnímu klíči,
 * a další a další.

V tomto okamžiku nejsou pod-kořenové certifikáty (Sub-Roots) v plánu, ale záležitost se zkoumá pro budoucí využití. Nyní nechceme riskovat, aby tím byla zmařena tvrdá práce lidí na dosažení cíle - vložení našich kořenových certifikátů do předních prohlížečů.

'''Odpověď: Delší odpověď je ''Možná''.'''  Tato stránka probírá možné budoucí způsoby, jak toho dosáhnout.

== Zaručení organizace ==
Hledáte-li snazší cestu k práci s certifikáty ve své organizaci (právně uznávané entitě), měl(a) byste se podívat na systém [[OrganisationAssurance/CZ| zaručování organizací]] resp. [[OrganisationEntities| Organizace]] /!\ zastaralé /!\

== Automatické vydávání certifikátů ==
Zajímá-li Vás automatické vydávání certifikátů, máme pro Vás tyto možnosti:
 * [[Certificator/CZ|Certificator]] je nástroj pro automatické generování certifikátů pro velké množství uživatelů, např. v LDAP
 * [[AEP/CZ|AEP]] je CAcert proxy server automatického zápisu (auto-enrollment) - pro automatický výdej certifikátů organizace pro Aktivní adresář
 * Pomocí !CertApi můžete začlenit automatické vydávání certifikátů do jakékoli jiné aplikace (což používá i [[Certificator/CZ|Certificator]])

''Poznámka: toto potřebuje zařadit do Programu zaručování organizací (Organisation Assuring Program, OAP) a Přehledu postupů certifikace (Certification Practise Statement, CPS).''

== Práce se zprostředkujícími certifikáty ==

Takzvané řešení "Managed-PKI" (asi: řízená infrastruktura privátních klíčů, PKI) je systém, kde by CA vydala organizaci zprostředkující (intermediate) certifikát. To by organizaci umožnilo omezit aplikace, spoléhající na certifikáty, aby spoléhaly pouze na ty, které byly vydány (podepsány) tímto zprostředkujícím certifikátem. ''Jaký to má význam???''

Podle tohoto návrhu by autorita CAcert vytvořila jednoúčelový zprostředkující certifikát a pracovala s ním za organizaci. Aby šlo vydávat certifikáty pro koncové entity, byl by zprostředkující certifikát používán normálním webovým rozhraním a/nebo rozhraním CertApi. CAcert by poskytl stabilní, automatické rozhraní pro vydávání certifikátů za zprostředkující CA.

Protože CA provozuje zprostředkující CA, prosazuje také zásady. Je otevřenou otázkou, zda mají být tytéž, jako má CAcert obecně, nebo zda mohou mít varianty.

V principu by to mohlo znamenat, že by podřízená CA nebyla auditována samostatně.

== Omezené podřízené certifikační autority (CA) ==
Má-li organizace požadavek vysoké dostupnosti pro vydávání certifikátů, nebo existují jiné důvody, aby sama provozovala CA ve svém sídle, pak jsou dvě možné cesty:

 * RFC 3280 definuje rozšíření "DNS Name Constraint" (omezení názvů DNS) v certifikátech X.509, takže by taková podřízená CA byla omezena na určenou doménu a jí podřízené domény. Toto by mohla certifikační autorita CAcert v budoucnosti podporovat.
 * [[MicroCA|MicroCA]]: Protože dosud ne všechny softwarové systémy podporují RFC3280, uvažujeme, jak vytvořit implementaci [[MicroCA|MicroCA]] na kartách SmartCard nebo HSM, které by si vynutily omezení názvů v bezpečném hardwaru, takže by omezení bylo funkční v jakémkoli softwaru.

== Neomezené podřízené certifikační autority (CA) ==
Na neomezené podřízené CA bude CAcert pravděpodobně klást tytéž požadavky, kterým sama čelí, včetně vlastních zásad a [[http://www.mozilla.org/projects/security/certs/policy/|zásad Mozilly]].

Náklady na tento program by mohly dosáhnout jednotek statisíců EUR/USD a tedy by pro využívající společnost bylo ekonomicky výhodnější přímo vytvořit vlastní CA a nechat ji vložit do prohlížečů, namísto získávání neomezené podřízené CA od CAcert.

== Jsou i jiné možnosti? ==

Máte-li specifické požadavky nebo potřeby, které nelze zpracovat existujícím programem, prosím [[GettingSupport|kontaktujte nás]]. 

----

 . CategoryAudit
 . [[CategoryNRE]]
 . CategoryNewRootsTaskForce