#language cs ## 21.01.2016 AK ---- '''česky''' | [[SubRoot|english]] ---- ''Pro další informace viz stránku [[Roots/OrganisationSubRoots/CZ|Zprostředkující (pod-kořenové) certifikáty pro organizace]].'' = Pod-kořenové (Sub-Root) certifikáty = Dotaz: ''Rád bych, aby CAcert podepsal můj kořenový certifikát, abych mohl podepisovat další certifikáty. Je to možné?'' '''Odpověď: Krátká odpověď je NE.''' Chceme dosáhnout toho, aby byl CAcert vložen do nejpoužívanějších prohlížečů. Byli jsme však informováni, že v dotazu uvedená praxe nejen komplikuje dosažení tohoto cíle, ale může nás úplně vyloučit z kandidátů na toto vložení. Důvodem je, že nemáme žádný vliv na toho, kdo certifikáty vydává, že nezmění své praktiky/zásady, na to, kdo bude mít přístup k privátnímu klíči, atd., atd. A to nechceme nyní riskovat, když už lidé vynaložili množství práce na dosažení tohoto cíle. '''Odpověď: Dlouhá odpověď je ANO.''' == Organizace == Hledáte-li snazší cestu k práci s certifikáty v zákonem uznávané organizaci, měl(a) byste se podívat na systém [[OrganisationAssurance/CZ| zaručování organizací]] resp. [[OrganisationEntities| Organizace]]. == Automatické vydávání certifikátů == Zajímá-li Vás automatické vydávání certifikátů, máme pro Vás tyto možnosti: * [[Certificator/CZ|Certificator]] je nástroj pro automatické generování certifikátů pro velké množství uživatelů, např. v LDAP * [[AEP/CZ|AEP]] je CAcert proxy server automatického zápisu (auto-enrollment) - pro automatický výdej certifikátů organizace pro Aktivní adresář * Pomocí !CertApi můžete začlenit automatické vydávání certifikátů do jakékoli jiné aplikace (což používá i [[Certificator/CZ|Certificator]]) == Zprostředkující certifikáty == Potřebujete-li skutečně zprostředkující certifikáty (abyste omezili spoléhající aplikace pouze na certifikáty vydané tímto zprostředkujícím certifikátem), pak Vám CAcert může nabídnout řešení nazvané "ManagedPki", kdy CAcert vytvoří jednoúčelový zprostředkující certifikát a pracuje s ním za Vás. K vydávání certifikátů tímto způsobem budete moci použít jak webové rozhraní, tak také CertApi. V tomto scénáři pracuje CAcert za Vás jako zprostředkující autorita a uplatňuje místo Vás i zásady podřízené certifikační autority (CA), abyste nemuseli auditovat svou vlastní podřízenou CA. CAcert Vám zajistí stabilní, automatické rozhraní pro výdej certifikátů za Vaši podřízenou CA. == Omezené podřízené certifikační autority (CA) == Chcete-li vydávat certifikáty s vysokou dostupností, nebo je z jakéhokoli jiného důvodu nutné, abyste měli svou vlastní "domácí" CA, pak pro Vás máme dvě možnosti, jak toho dosáhnout: * RFC 3280 definuje rozšíření certifikátů X.509 [[DnsNameConstraint|DNS Name Constraint]] (Omezení DNS názvů), tak aby podřízené certifikační autority (Sub-CA) byly omezeny na určitou doménu a její subdomény. CAcert to bude možná v budoucnu podporovat. * Mikro CA: Protože některé systémy dosud nepodporují RFC3280, plánujeme vytvořit implementaci [[MicroCA/CZ| Mikro CA]] pro [[SmartCards/CZ|Smart Cards]] nebo HSM (Hardware Security Module, hardwarový zabezpečovací modul), který prosadí omezení názvů v bezpečném hardwaru pro zabezpečení, že bude pracovat s každým existujícím softwarem. == Neomezené podřízené certifikační autority (CA) == Pro neomezené podřízené certifikační autority bude CAcert pravděpodobně uplatňovat požadavky podobné těmto: http://www.mozilla.org/projects/security/certs/policy/ Odhaduji, že cena tohoto programu bude několik set tisíc EUR/USD. Koneckonců bude asi snazší, když prosadíte vložení do prohlížečů Vy sami, než když získáte neomezenou podřízenou CA od CAcert. Máte-li jakékoli specifické potřeby, které nyní dostupné programy nepokrývají, prosím [[GettingSupport/CZ| kontaktujte nás]]. ----- Back to [[FAQ/TechnicalQuestions]]