Jak instalovat e-mailový certifikát do aplikace Thunderbird?

[V tomto článku předpokládejme, že jde o nelokalizovanou aplikaci ThunderBird.]

Krok za krokem:

Naposledy aktualizováno pro Thunderbird verze 2.0.0.6. Nyní je přidán návod pro Thunderbird verze 2.0.0.14 a 2.0.0.18. Přidán návod pro použití Thunderbirdu s Firefoxem.

Krok 1: Stažení kořenových certifikátů CAcert

Ve svém prohlížeči otevřete http://www.cacert.org/index.php?id=3.

Klikněte pravou klávesou myši na "Root Certificate (PEM Format)" (Kořenový certifikát formátu PEM) a pak funkcí "Save as" (uložit jako) ho uložte do místního souboru.

(Proveďte pro kořenový certifikát třídy 1 i pro zprostředkující certifikát třídy 3.)

Krok 2: Importujte kořenové certifikáty do aplikace Thunderbird

Otevřete "Certificate Manager" (správce certifikátů); lze to provést několika způsoby:

V záložce Authorities (Autority) Správce certifikátů lze importovat kořenové certifikáty do aplikace Thunderbird.

Protože umístění konfigurace správy certifikátů se v různých verzích aplikace Thunderbird značně liší, platí návod pro Thunderbird verze 2.0.0.6, 2.0.0.14 a 2.0.0.18. Příklady na obrázcích jsou z verze 2.0.0.18.

tb20018_import_authorities.png

Thunderbird 2.0.0.6: Tools (Nástroje), Account Settings (Nastavení účtu), Security (Zabezpečení), Manage Certificates (Správa certifikátů), Authorities (Autority). Pak zvolte Import a vyberte dříve uložené soubory kořenových certifikátů. Používáte-li Thunderbird verze 2.0.0.6, vyberte Tools > Account Settings, pak v menu nalevo zvolte 'security', dále vyberte záložku 'Authorities' v okně Certificate Manager a nakonec Import.

Thunderbird verze 2.0.0.14: Tools (Nástroje), Options (Možnosti, Advanced (Upřesnit), Certificates (Certifikáty), View Certificates (Zobrazit certifikáty), Certificate Manager (Správce certifikátů), Authorities (Autority), Import. Najděte dříve uložené soubory kořenových certifikátů CAcert

Thunderbird verze 2.0.0.18: Edit,Preferences... (Nastavení),Advanced (Upřesnit),View Certificates (Zobrazit certifikáty),Authorities (Autority),Import. Vyberte právě stažené certifikáty a importujte je. Opakujte pro oba kořenové certifikáty.

Pro každý kořenový certifikát, který importujete, se zobrazí dotaz, zda mu chcete důvěřovat. U obou kořenových certifikátů CAcert zvolte "Trust this CA to identify websites" (Důvěřovat této certifikační autoritě pro identifikaci webů) a "Trust this CA to identify email users" (Důvěřovat této CA pro identifikaci uživatelů e-mailu).

3_trust_the_cacert_root.png

Jestliže jste již dříve importovali kořenové certifikáty CAcert do Firefoxu, Thunderbird ohlásí, že jsou již importovány. Nejsou však ještě označeny za důvěryhodné! Proto je vyhledejte mezi "Root CA" (kořenovými CA), zvolte "Edit" (Upravit [důvěryhodnost]) a vyberte je nebo je označte "fajfkou" u možností "Trust this CA to identify email users" (Důvěřovat této CA pro identifikaci uživatelů e-mailu) a "Trust this CA to identify web sites" (Důvěřovat této certifikační autoritě pro identifikaci webů).

tb20018verify_certificate.png

Nastavení můžete ověřit výběrem "Root CA" (Kořenové CA), "CA Cert Signing Authority" (CAcert podepisující autorita). Zkontrolujte, že certifikát byl ověřen jako "Email signer certificate" (Certifikát podpisu e-mailů), "Email Recipient certificate" (Certifikát pro příjem e-mailů) a "Status responder certificate" (Certifikát pro hlášení stavu). Tato ověření odpovídají možnosti "Trust this CA to identify mail users", kterou jste vybrali výše. Zbylé tři certifikáty typu SSL odpovídají možnosti "Trust this CA to identify web sites" (Důvěřovat této certifikační autoritě pro identifikaci webů).

Krok 3: Vraťte se do www.cacert.org a přihlaste se

Dále potřebujete vytvořit osobní certifikáty. Přihlaste se ke svému účtu u www.cacert.org a ověřte, že e-mailová adresa, kterou chcete zabezpečit certifikáty, existuje v e-mailových adresách, které máte. (+E-mailové účty, Zobrazit). Není-li e-mailová adresa v seznamu, přidejte ji. (Zadejte e-emailovou adresu, která bude patřit k tomuto účtu a odpovězte na ping e-mail od cacert.org.) Otevřete sekci Client Certificates (Klientské certifikáty) a zvolte Add (Přidat) - vytvoříte nový certifikát. Zvolte pro něj e-mailový účet (s žádanou e-mailovou adresou), zvolte, který kořenový certifikát (které třídy) ho podepíše a rozhodněte, zda bude obsahovat Vaše jméno. Nepovinně můžete určit, zda bude mít nový certifikát schopnost přihlášení k webu cacert.org a/nebo zda bude použitelný pro SSO (Single Sign-On, jednotné přihlašování). Stiskněte tlačítko Next (další). Pokud jste pro generování nového certifikátu použili Firefox, bude do něj certifikát importován automaticky. V případě jiného prohlížeče jděte na webu CAcert do sekce +Klientské certifikáty, Zobrazit a označte kliknutím příslušný certifikát. Zobrazí se stránka s odkazem umožňujícím certifikát nainstalovat. Importujte ho do Firefoxu: certifikát bude platný a použitelný i ve Firefoxu. Ještě doporučení: Generujte certifikáty podepsané kořenovým certifikátem třídy 1 a kořenovým certifikátem třídy 3.

Krok 4: Přeneste certifikát z Firefoxu do Thunderbirdu

Ve Firefoxu otevřete Správce certifikátů (Certificate Manager), zvolte Tools (Nástroje), Options (Možnosti), Advanced (Upřesnit/Pokročilé), View Certificates (Zobrazit certifikáty) a vyberte záložku Your Certificates (Vaše certifikáty). Uvidíte tam svoje vlastní certifikáty. Vyberte příslušný certifikát, zvolte Backup (Zálohovat), stanovte si vhodné heslo k zašifrování zálohy a uložte zálohu do místního souboru s příponou ".p12" (např. Backup.p12). Zazálohujte oba kořenové certifikáty, třídy 1 a třídy 3, a uložte je do různých souborů. Otevřete Thunderbird a jeho Certificate Manager (Správce certifikátů). (Viz návod na této stránce výše.) Vyberte záložku Your Certificates (Vaše certifikáty) a zvolte Import. Otevřete záložní soubor, který jste předtím vytvořili ve Firefoxu a zadejte heslo, kterým jste ho zabezpečili. Možná zde bude třeba zadat dvě sady hesel. Importujte oba certifikáty jeden po druhém.

Krok 5: Spojte certifikát se svojí identitou

use-cert-with-account.png

Teď byste měli vidět nový certifikát v okně Správce certifikátů (Certificate Manager) aplikace Thunderbird. Ještě je potřeba propojit certifikát s Vaší identitou, aby měl ThunderBird určeno, kterým klíčem má podepsat Vámi odesílané e-maily. Zvolte účet, který chcete zabezpečit: Edit (Úpravy), Account Settings (Nastavení účtu) a vyberte sekci security (zabezpečení) e-mailového účtu, na nějž chcete certifikát aplikovat. Klikněte Select (Zvolit) a zvolte certifikát CAcert. Nastavte ho jak pro digitální podpisy, tak pro šifrování. Na této stránce ho můžete také nastavit jako výchozí pro podepisování a zabezpečení. E-mailová adresa výchozí identity účtu pak musí souhlasit s e-mailovou adresou uvedenou ve Vašem certifikátu. Nebude-li souhlasit, pak Thunderbird odmítne podepsat Váš e-mail se zprávou: "You need to set up one or more personal certificates before you can use this security feature." (Než budete moci použít tuto bezpečnostní funkci, musíte nastavit osobní certifikát(y).) Stane se to, i když se pokusíte podepsat zprávu z jiné identity, jejíž e-mailová adresa se neshoduje.

Krok 6, poslední: Odesílejte bezpečné, podepsané a zašifrované e-maily

Když napíšete e-mailovou zprávu, můžete zvolit možnosti 'digitally sign this message' (digitálně podepsat tuto zprávu) a/nebo 'encrypt this message' (zašifrovat tuto zprávu) zobrazené pod tlačítkem zabezpečení. Zobrazíte-li si oblast "Headers" (Záhlaví): (View > Headers > All) (Zobrazení > Záhlaví > Všechna), uvidíte tam obálku s červenou pečetí nebo tečkou, což označuje digitálně podepsaný e-mail. Vidíte-li vedle obrázku obálky obrázek zámku, znamená to, že e-mail je také zašifrován.

Související informace

Certifikáty pro e-mail
Pokročilá konfigurace Thunderbird