česky | english



Technologická báze znalostí - Klientské Certifikáty - časté dotazy

Přehled

Šifrování

Identifikace (Authentication)


CAcert

Systémy s klientskými certifikáty


Jak od CAcert získáte svůj klientský certifikát

Než Vám budou uvedené weby fungovat, musíte si vytvořit klientský certifikát a importovat ho do svého webového prohlížeče.

  1. Přihlaste se k webu CAcert na Přihlášení heslem (nebo Přihlášení certifikátem, když už klientský certifikát máte) a zvolte "Klientské certifikáty -> Nový".

  2. Vyberte svoji výchozí (hlavní) e-mailovou adresu a stiskněte "Další". Může to být Vaše jediná adresa, přesto je nutno ji zaškrtnout. Nevyberete-li žádnou e-mailovou adresu, obdržíte po stisku tkačítka "Další" tuto zprávu: "We did not get any valid certificate request" (Nedostali jsme platnou žádost o certifikát).
  3. "Úroveň bezpečnosti: vysoká" (2048 bitů) nevadí, jen stiskněte "Vytvořit certifikát".
  4. Chvíli počkejte a klikněte na odkaz pro import certifikátu (prohlížeče ho zpracovávají různě, možná bude nutno trochu klikat).
  5. Vyzkoušejte ho přechodem na výše uvedené servery.
  6. Nezapomeňte si vytvořit bezpečnou zálohu svého nového certifikátu (včetně privátního klíče).

Podrobný návod na získání klientského certifikátu CAcert pomocí programu správy certifikátů XCA napsal Stefan Thode pod hlavičkou Podpory [support(zavináč)cacert.org]. Český překlad tohoto dokumentu je zde.

Co klientský certifikát obsahuje, je podrobně popsáno dokumentem Přehled postupů certifikace (Certification Practise Statement, CPS), jehož český překlad je zde.

Jak získat více e-mailových adres pro svůj klientský certifikát CAcert

  1. Přihlaste se k webu CAcert (viz předchozí sekce - přihlášení heslem nebo certifikátem)
  2. Zvolte E-mailové účty - Zobrazit
  3. Jsou zde definovány všechny e-mailové adresy, které chcete přidat ke svému klientskému certifikátu?
  4. Pokud ne, přidejte ke svému účtu CAcert pomocí "E-mailové účty - Přidat" tolik e-mailových adres, kolik chcete později přidat ke svému klientskému certifikátu CAcert.
  5. Ověřte přidané e-mailové adresy. Ke klientskému certifikátu mohou být přidány jen ověřené e-mailové adresy.

Jak získat klientský certifikát CAcert někoho jiného

Aplikace


E-mailové klienty


Webový prohlížeč


Zrady


Okamžité zprávy (Instant Messaging, IM)


OpenSSH


Šifrovací aplikace


Podepisování dokumentů



SVN


OpenSSL

Modifikace softwaru pro použití klientských certifikátů


OpenID


Apache


Diskusní fórum phpBB (verze 3)


Microsoft Internet Information Server 8 na systému Windows Server 2012

Předpokladem je Windows server 2012 s nainstalovaným IIS (Microsoft Internet Information Server) verze 8.

Prvním krokem je získat a instalovat serverový certifikát CAcert a samozřejmě kořenové certifikáty na server. Serverové certifikáty se ovládají z položky webového serveru v levém panelu nástroje správy IIS8, v horní části. Po výběru této položky se v prostředním panelu objeví ikony funkcí. Poklepejte "Certifikáty serveru". Pak lze v pravém panelu nebo v menu akcí vytvořit žádost o certifikát, (mimo tento nástroj) ji předložit CAcert k podpisu a (opět v nástroji správy) dokončit instalaci získaného certifikátu jeho propojením s privátním klíčem.

Standardní port pro SSL spojení je 443. Web provozovaný na serveru IIS-8 potřebuje mít definovanou vazbu: HTTPS - serverový certifikát - port (443). To zařídíte ve vlastnostech kořene webu, který chcete provozovat, v položce "Vazby...". Jestliže chcete mít web přístupný pouze protokolem HTTPS, definujte pouze vazbu https (na standardní port 443) a ne http (na standardní port 80). Přiřaďte sem serverový certifikát získaný od CAcert.

Jestliže chcete povolit přístup na svůj web/virtuální adresář pouze držitelům certifikátů (v tomto případě) CAcert, kteří nemají v systému účet a jsou tedy jinak anonymní, musíte u webů/virtuálních adresářů jim určených povolit anonymní přístup v položce (pod ikonou) "Ověřování". Těmto uživatelům postačí k přihlášení jejich klientský certifikát.

Jestliže chcete dát přístup těm uživatelům, kteří

pak již nejde o anonymní přístup a je vhodné ho zakázat jak pro celý web, tak pro jeho funkční adresáře (ty, k nimž budou uživatelé přistupovat). Proto u webů/virtuálních adresářů jim určených zakažte v položce (pod ikonou) "Ověřování" anonymní přístup a povolte pouze "Ověřování systému Windows". Po prokázání klientským certifikátem se budou muset ještě přihlásit svým uživatelským jménem a heslem.

Jako poslední krok otevřete v položce webu a jeho adresářů (pod ikonou) "Nastavení SSL". Zde:

  1. zaškrtněte možnost "Požadovat protokol SSL" a
  2. zvolte "Vyžadovat" klientské certifikáty.

    Nastavení SSL - ikona Nastavení SSL - okno

Tím je webový server připraven. Jestliže se na něj obrátíte jako uživatel klientským webovým prohlížečem, který:

  1. použije protokol https,
  2. má instalovány kořenové certifikáty CAcert,
  3. Váš klientský certifikát od CAcert je platný (můžete jich mít více),

vyžádá si server platný/platné certifikát(y), kterým(i) se klient může prokázat (tj. vydané tou CA - v tomto případě CAcert -, která vydala i používaný serverový certifikát). Uživateli, tedy Vám, se objeví dialogové okno prohlížeče, kde vyberete a/nebo potvrdíte svůj příslušný klientský certifikát. Vyberete-li certifikát vydaný stejnou CA, jako certifikát serveru, je-li tento Váš klientský certifikát platný a je-li mezi jeho účely i přihlášení certifikátem (prokázání Vaší identity vzdálenému počítači), pak se k tomuto webovému serveru přihlásíte.

Ve všech ostatních případech obdržíte chybové hlášení, že přístup k serveru byl zamítnut.

Při pokusu o přístup protokolem HTTP (bez použití SSL) se ohlásí, že stránku nelze zobrazit. Je to tím, že jsme nevytvořili vazbu http - port 80.

Povolení klientských certifikátů pro .project


Časté otázky a Různé - klientské certifikáty - řešení problémů


Můj prohlížeč Internet Explorer hlásí chybu číslo "-2146885628" (nebo podobné)


Kde je můj privátní klíč? Jak ho mohu použít na jiném počítači?


Obnova klientských certifikátů pomocí FireFoxu

Kde je soubor PKCS12? - Mám pouze soubor PEM, který tvrdí, že je pouze pro "smartcard"


"Windows nemá dostatek informací k ověření tohoto certifikátu"

Nedaří se mi odeslat šifrovanou zprávu z Outlooku


Můj certifikát je v prohlížeči, ale není v mém e-mailovém klientu - co teď?


Jak ve Vašich webových aplikacích umožnit identifikaci klientským certifikátem


Chci použít zprostředkující certifikát třídy 3 ve starší verzi Windows

iOS mě nechce nechat vybrat klientské certifikáty CAcert pro digitální podpis/zašifrování e-mailů

Prázdné údaje o způsobech použití klientského certifikátu

Jak mohu použít klientské certifikáty jako SSH?


Další odkazy


Příspěvky a úvahy



Technology/KnowledgeBase/ClientCerts/CZ (last edited 2016-03-21 09:23:07 by AlesKastner)