---

česky | english

---

• NOTA BENE - ROZPRACOVÁNO - Vaše příspěvky & úvahy

• Pro Popis_1 - Pro Popis_2, je-li důvod

E-mailové certifikáty

• Contents

  1. E-mailové certifikáty
     1. Časté dotazy
     2. Něco základních znalostí
     3. Získání osobního certifikátu pro e-mailový klient
        1. Jednoduché: Použijte prohlížeč
        2. Manuální způsob: Pomocí SSL vytvořte klíč lokálně a získejte certifikát z CSR
     4. Mozilla Thunderbird
        1. Instalace certifikátu
        2. Použití certifikátu k podpisu/dešifrování e-mailových zpráv
     5. Mutt
        1. Instalace certifikátů Vašich partnerů
        2. Použití certifikátu k podpisu/dešifrování e-mailových zpráv
     6. MS Outlook
        1. Instalace Outlooku 2007
        2. Specifický návod pro Outlook, jak změnit Váš certifikát
        3. Specifický návod pro Outlook, jak zkontrolovat platnost certifikátu
     7. Mac OS X Safari nebo OmniWeb
     8. Certifikáty na platformě Mac
     9. Mac OS X Mail.app (nativní e-mailová aplikace) pro podepisování / zašifrování
     10. KMail
     11. Evolution
     12. Gnus
     13. Různé

Časté dotazy

Pro více podrobností a dotazů o klientských certifikátech viz stránku Klientské certifikáty.

Něco základních znalostí

Chce-li Alice poslat Bobovi zašifrovaný e-mail, potřebuje mít Bobův veřejný klíč.

Protokol S/MIME, který používá většina e-mailových klientů jako standardní protokol, používá podepsané e-maily k šíření veřejných klíčů. Každá signatura (digitální podpis) S/MIME obsahuje úplný certifikát včetně veřejného klíče odesilatele.

Takže pro zřízení šifrované komunikace musí Alice napřed dostat e-mailový certifikát pro sebe a pošle Bobovi podepsanou zprávu. Bobův e-mailový klient obvykle automaticky extrahuje certifikát ze signatury a uloží ho do své certifikátové databáze. Nyní má Bob možnost poslat Alici zašifrovaný e-mail, i když třeba nemá žádný svůj certifikát pro svůj e-mailový klient!

Avšak obvykle by Bob měl také získat svůj vlastní certifikát, jinak může šifrování použít pouze jednosměrně.

Získání osobního certifikátu pro e-mailový klient

Jednoduché: Použijte prohlížeč

• Následující text je tedy zastaralý až k titulku "Manuální způsob:..."

Touto metodou vygeneruje Váš prohlížeč automaticky váš privátní a veřejný klíč; veřejný klíč bude odeslán do CAcert k podpisu. Váš soukromý klíč se nikdy neposílá po síti (zůstává v zabezpečené paměti Vašeho prohlížeče, ale později z ní může být exportován).

Mozilla a spol.

• Chcete-li mít své certifikáty exportovatelné, doporučujeme použít webový prohlížeč Netscape/Mozilla/Firefox a vytvořit certifikát jím.

• Ujistěte se, že máte 50 nebo více bodů zaručení, takže můžete vygenerovat certifikát obsahující Vaše jméno. přihlaste se k webu CAcert.org svojí e-mailovou adresou a heslem a klikněte na menu Klientské certifikáty.

• Klikněte na Nový, abyste vygeneroval(a) nový klientský certifikát. Zkontrolujte pole e-mailové adresy (adres), které chcete použít s certifikátem a vyberte Zobrazené jméno, které Vám nejvíce vyhovuje. Pak klikněte Další. Na další stránce je formulář, kde si můžete zvolit dvě různé síly certifikátu. Klikněte na Generovat certifikát a počkejte, dokud neuvidíte stránku Instalace Vašeho certifikátu.

• Zvolte ve svém prohlížeči Edit/Preference (podle toho, zda používáte Netscape/Mozilla/Firefox na platformě Windows nebo Unix (název menu může také být Nástroje/Možnosti [Tools/Options] nebo jiný...). Jděte na správu certifikátů(Advanced/Security/Certificates/Manage certificates). Nyní je Váš certifikát viditelný v záložce Your certificates. Zazálohujte tento certifikát na disk, což znamená, že se uloží ve formátu PKCS12 (přípona souboru je .p12).

Internet Explorer

• Způsob vygenerování klíčů a certifikátu je u Internet Exploreru skoro stejný, jenom vypadá trochu jinak.

• VÝSTRAHA Používáte-li Windows a IE vyšší než Vista (Windows 7, Windows 8.x, Windows server 2008, Windows server 2008 R2; IE 9, IE 10, IE 11), pak je modul ActiveX standardně nefunkční. IE 9, IE 10, IE 11 - certifikát zde nelze vygenerovat, pouze importovat. Generujete ho programem MMC, modulem Certifikáty.

• Podívejte se na Generování žádosti o certifikát

• Jste-li žádán(a) o nastavení úrovně zabezpečení, vyhoví obvykle střední, jinak byste musel(a) zadat heslo pokaždé, když byste chtěl(a) svůj certifikát použít. To lze u e-mailových certifikátů tolerovat, ale asi se Vám to nebude líbit u certifikátů používaných pro identifikaci prohlížečem, jako při přihlášení k CAcert.
• Po ukončení procedury je certifikát a privátní klíč v certifikátovém úložišti Windows a mohou být použity některými dalšími programy, jako je Outlook.

Chcete-li exportovat existující certifikát do souboru typu PKCS12 k použití v e-mailovém klientu Thunderbird, zde je postup:

• Spusťte příkazový řádek nebo otevřete dialog "Spustit..." z hlavní nabídky.
• Napište "mmc", otevře se konzola správy.

• Klikněte Soubor->Přidat/Odebrat modul snap-in.

• Klikněte "Přidat" a zvolte "Certifikáty" a znovu "Přidat".
• Zvolte "Můj uživatelský účet" a "Dokončit".
• Zavřete všechny otevřené dialogy tlačítkem "Zavřít" nebo "OK".

• Otevřete Kořenový adresář konzoly -> Certifikáty - Aktuální uživatel -> Osobní -> Certifikáty.

• Tam by měl být seznam všech Vašich certifikátů. Ikony mají vlevo nahoře klíček, když má certifikát privátní klíč.

• Jeden vhodný vyberte kliknutím pravou klávesou myši a zvolte "Všechny úkoly -> Exportovat...".

• Označte, že chcete exportovat privátní klíč.
• Zvolte formát exportu:
  • Označte zahrnutí všech certifikátů cesty
  • NEOZNAČUJTE "Zvýšené zabezpečení..."
  • Chcete-li, zadejte odstranění privátního klíče po exportu
• Pak musíte nastavit heslo (dvakrát, jako obvykle) k ochraně souboru privátního klíče a zadat jméno souboru. Vznikne soubor typu PKCS12, vhodný pro import do každého programu, který podporuje minimální standard.

N.B.: Konzolu Certifikáty můžete také použít k importu souboru typu PKCS12, vytvořeného jinde, pro použití v IE nebo Outlooku. Zkuste to, je to snadné!

Manuální způsob: Pomocí SSL vytvořte klíč lokálně a získejte certifikát z CSR

• Kroky jsou podobné proceduře popsané výše kde Váš prohlížeč generuje pár <privátní a veřejný klíč> za Vás. Pokud ovšem Váš prohlížeč nepodporuje automatické generování klíčů (nebo svému prohlížeči nedůvěřujete), můžete ještě vytvořit klíče manuálně. Než se přihlásíte k CAcert.org, musíte vygenerovat svůj klíč a připravit žádost o podpis certifikátu (Certificate Signing Request, CSR), kterou předložíte v kroku Klientské certifikáty -> Nový.

Zde jsou potřebné kroky ve správném pořadí:

1. Vygenerujte klíče (může být součástí následujícího kroku)

2. Vytvořte CSR, žádost o certifikát k předložení CAcert

3. Vložte CSR do formuláře Vygenerovat certifikát na CAcert.org
   Zvolte možnosti (nevím jistě, zda "Umožnit přihlášení tímto certifikátem" je serverem respektována, nebo se musí udělat ještě něco jiného, aby certifikát umožnil přihlášení). Klikněte na Vygenerovat certifikát.

4. Uložte certifikát do souboru, nebo ho instalujte do svého prohlížeče (ale pro skutečné použití klíče resp. certifikátu je třeba ještě něco udělat, protože odpověď serveru neobsahuje privátní klíč!)
5. Sestavte certifikát ve formátu PKCS12 (přípona souboru je .p12), který obsahuje privátní klíč a může být importován do webových prohlížečů jako Firefox a do e-mailových aplikací.

Jeden možný způsob, jak toho dosáhnout:

• Kroky 1 a 2: Použijte 4096 jako délku Vašeho klíče (v bitech), zadejte příkaz:

openssl req -nodes -newkey rsa:4096 -keyout my.key -out my.csr

Vyplňte dvě pole: Common Name a Email Address (ačkoli to nemusí být třeba?) a všechno ostatní ponechte prázdné. Pak bude privátní klíč v souboru private.key (pozor: není chráněn heslem - to lze udělat pouze použitím OpenSSL příkazu rsa), a CSR obsahující veřejný klíč v souboru server.csr .

• Krok 3: Přihlaste se k webu CAcert.org website a použijte menu Klientské certifikáty -> Nový. Zaškrtněte možnost Zobraz rozšířené volby abyste viděl(a) pole Volitelná klientská žádost o podpis certifikátu (CSR). Vložte do něj celý obsah souboru my.csr (z Kroků 1 a 2) do pole Volitelná klientská žádost o podpis certifikátu (CSR)

• Pak zkontrolujte ostatní volby a nakonec klikněte na Další (vygeneruje certifikát).

• Krok 4: Uložte přijatou odpověď (což je nový, podepsaný certifikát) do nového souboru s názvem my.crt (použijte Kopírovat/Vložit). Tlačítko Instalujte svůj certifikát může a NEMUSÍ ve Firefoxu fungovat.

• Krok 5: K přípravě souboru PKCS12 včetně kořenového certifikátu CA použijte tento příkaz:

openssl pkcs12 -export -in my.crt -inkey my.key -in root.pem -out my.p12

• Od 19.02.2011 se současným Firefox/openssl patrně nemusíte vložit certifikát CA v posledním kroku, takže:

openssl pkcs12 -export -in my.crt -inkey my.key -out my.p12

kde:

• my.key: obsahuje privátní klíč (z kroků 1 a 2)

• my.crt: serverem vygenerovaný certifikát (z kroku 3)

• root.pem: kořenový certifikát CAcert (získáte ho na webu CAcert.org z menu Kořenový certifikát, nebo už ho pravděpodobně máte na svém PC nainstalován: pak ho můžete exportovat z lokálního úložiště klíčů (závisí na operačním systému). Stáhnete-li ho z webu CAcert.org, pak zvolte klíč PKI třídy 1 nebo třídy 3, podle Vaší podpisové volby (nebo oba, pak přidejte 2 soubory s klíči a další volbou -in). Vyhoví formáty Text nebo PEM.)

Nyní máte certifikát PKCS12, s nímž můžete pracovat (který můžete uložit na bezpečném místě jako svoji záložní kopii); může být vytvořen jako soubor my.p12 (nebo si zvolte jiný název) tímto příkazem:

XXX

Importujte výsledný soubor do aplikací Mozilla, Thunderbird, Outlook atd. Je to zároveň Vaše záložní kopie (uchovávejte ji na bezpečném místě).

• Nyní můžete bez obav smazat soubory my.csr, my.crt a my.key, protože už jsou "vřazeny" do souboru my.p12.

Mozilla Thunderbird

Instalace certifikátu

• Tools/Options/Privacy/Security (Nástroje/Možnosti/Soukromí/Zabezpečení - Thunderbird 1.5) nebo Tools/Options/Advanced/Certificates (Nástroje/Možnosti/Upřesnit/Certifikáty - Thunderbird 1.x). Ve verzi Thunderbird 2.0 použijte Edit/Preferences (Úpravy/Preference), čímž otevřete okno "Thunderbird Preferences" a pak zvolte Advanced/Certificates (Upřesnit/Certifikáty).

• View Certificates (Zobrazení certifikátů - Thunderbird 1.5 nebo 2.0) nebo Manage Certificates (Správa certifikátů - Thunderbird 1.x)

• Import

• Zvolte certifikát CAcert typu PKCS12 (soubor s příponou .p12)
• Zvolte heslo pro lokální úložiště certifikátů Thunderbird (heslo zvolte pečlivě a nezapomeňte je!)
• Zadejte heslo, kterým budete chránit certifikát .p12

• Manage Certificates (Správa certifikátů)

• Vyberte Authorities (Autority - v okně Certificate Manager [Správce certifikátů] Thunderbird 2.0)

• Najděte a Edit (upravte) Root CA / CA Cert Signing Authority (Kořenové CA / CAcert podpisová autorita)

• Zvolte nastavení - nejméně This certificate can identify mail users (Tento certifikát může identifikovat uživatele e-mailu)

• Jděte k Tools/Account Settings (Nástroje/Nastavení účtu - Thunderbird 1.5) nebo Edit/Account Settings (Úpravy/Nastavení účtu - Thunderbird 2.0) a vyberte účet, pro nějž chcete používat své certifikáty

• Zvolte Security (Zabezpečení) a klikněte Select (Vybrat) v části konfigurační obrazovky Digitally Signing (digitálně podepsat).

• Nyní můžete vybrat svůj certifikát CAcert.

• Certifikát bude také automaticky vybrán jako certifikát pro Encrypt and decrypt messages sent to you (Zašifrování a dešifrování zpráv poslaných Vám)

• Poznámka: Přidáváte-li veřejný certifikát jiné osoby a importujete ho jinam, než do záložky Other People's ([certifikáty] Jiných osob), jděte na záložku Websites (weby) a importujte ho tam. Měl by i odtud správně fungovat.

Pro detailnější popis JAK-NA-TO viz Thunderbird

Použití certifikátu k podpisu/dešifrování e-mailových zpráv

• Napište novou zprávu.

• Před odesláním zprávy klikněte na roletkové menu Security (Zabezpečení) a zvolte Digitally sign this message (digitálně podepsat tuto zprávu).

• Odešlete zprávu. Program Vás požádá o zadání hesla, které jste použili k ochraně místního úložiště certifikátů Thunderbird.

Mutt

• Přečtěte si návod z S/MIME pro Mutt

• Nebo se podívejte na poznámky k S/MIME v Mutt: mutt smime-notes.txt

• Stáhněte si kořenový certifikát CAcert (root_X0F.crt) a zadejte příkaz smime_keys add_root root_X0F.crt

• Mutt by měl být dodáván se souborem smime.rc ( /usr/share/doc/mutt/examples/smime.rc under Debian). Zkopírujte obsah do svého muttrc a změňte hodnotu v set smime_default_key na svůj vlastní ID klíče.

Instalace certifikátů Vašich partnerů

• Extrakce certifikátu ze zprávy podepsané S/MIME: Ctrl-k (bohužel v některých implementacích mutt-smime nefunguje). Takto se snad dá obejít:

  1. Uložte celý SMIME-SIGNED-E-MAIL (e-mailovou zprávu podepsanou S/MIME uložte jako soubor s uvedeným názvem)
  2. použijte svůj oblíbený shell:

openssl smime -verify -in SMIME-SIGNED-E-MAIL -noverify -pk7out > SMIME-SIGNED-E-MAIL.pk7
openssl pkcs7 -print_certs -in SMIME-SIGNED-E-MAIL.pk7 > SMIME-SIGNED-E-MAIL.pem
openssl x509 -in SMIME-SIGNED-E-MAIL.pem -noout -hash
cp SMIME-SIGNED-E-MAIL.pem ~/.smime/certificates/$(openssl x509 -in SMIME-SIGNED-E-MAIL.pem -noout -hash)".0"
echo $(openssl x509 -in SMIME-SIGNED-E-MAIL.pem -noout -email) $(openssl x509 -in SMIME-SIGNED-E-MAIL.pem -noout -hash)".0" ALIAS >> ~/.smime/certificates/.index

Použití certifikátu k podpisu/dešifrování e-mailových zpráv

• Sestavte e-mailovou zprávu

• Poté stiskněte shift-S: S/MIME (e)ncrypt, (s)ign, encrypt (w)ith, sign (a)s, * (b)oth, or (c)lear?

• Stiskněte y pro odeslání: Enter keyID for <e-mail@anywhere.com>:

• Stiskněte Enter a zvolte příslušný klíč

MS Outlook

V MS Outlooku můžete použít své certifikáty k podpisu e-mailových zpráv, které odesíláte, a k dešifrování e-mailových zpráv Vám došlých. Sledujte návod v předchozí kapitole Jak získat osobní e-mailový certifikát. Dvojklikem souboru typu PKCS12 s příponou .p12, který jste si uložil(a) na disk, instalujete svůj certifikát do úložiště certifikátů MS Windows. Váš certifikát je nyní dostupný všem MS produktům, které podporují S/MIME.

Můžete také použít Outlook k zašifrování zprávy, kterou někomu posíláte, certifikátem CAcert. Napřed musíte instalovat certifikát (s veřejným klíčem) té druhé osoby do svého e-mailového klienta. Prostě přimějte tu osobu, aby Vám poslala podepsanou zprávu (tj. zprávu s certifikátem s veřejným klíčem) a ověřte, že její certifikát je v pořádku (například kontrolou "otisku prstu" telefonicky nebo jiným přímým kontaktem s ní). Jakmile jste přijal podepsanou zprávu a ověřil certifikát, bude automaticky uložen v úložišti certifikátů MS Windows (v MMC modulu "Certifikáty" v Certifikáty - aktuální uživatel -> Ostatní uživatelé -> Certifikáty). Kdybyste zjistil(a) neshodu "otisku prstu" dodatečně, použijte MMC modul "certifikáty" a nesprávný certifikát smažte.

Instalace Outlooku 2007

• Toto je psáno jako doplněk pro uživatele Outlooku 2007 - jste-li jedním z nich, sledujte pro začátek tyto kroky. Pro Outlook verzí 2010 a 2013, které místo menu používají "karty" funkcí v horní části okna, uvedu změny pod označením [OL10-13].
• Jakmile máte svůj digitální certifikát v úložišti certifikátů Windows, otevřete Outlook 2007.

• Klikněte na Tools v horní liště menu. [OL10-13: Soubor -> Možnosti -> Centrum zabezpečení]

• Zvolte položku Centrum zabezpečení ve spodní části menu. [OL10-13: Stiskněte tlačítko "Nastavení centra zabezpečení"]

• Objeví se okno "Centrum zabezpečení". V levém panelu jsou možnosti, které lze vybrat. Zvolte Zabezpečení e-mailu.

• Na pravém panelu vidíte rozbalovací (roletové) menu nadepsané Výchozí nastavení. Vpravo vedle něj je tlačítko "Nastavení...". Stiskněte ho.
• Objeví se další okno s názvem "Změnit nastavení zabezpečení". V něm uvidíte dvě tlačítka ve spodní části "Certifikáty a signatury" vpravo, obě s nápisem "Vybrat...".

Specifický návod pro Outlook, jak podepsat/dešifrovat/zašifrovat zprávu

Když dostanete podepsanou zprávu, pravým klikem myší na adresu odesilatele (ne na samotný e-mail) zobrazíte menu. Vyberte "Přidat do kontaktů". Tím si instalujete veřejný certifikát pro posílání šifrovaných zpráv dotyčné osobě. Certifikát uvidíte v okně kontaktu, záložce Certifikáty nahoře. [OL10-13: Při přidání do kontaktů se zapíše certifikát do úložiště Windows, MMC -> Certifikáty -> Certifikáty - aktuální uživatel -> Ostatní uživatelé -> Certifikáty; odtamtud ho můžete exportovat do souboru, je-li to potřebné.]

Je-li tato osoba již ve Vašem seznamu kontaktů, postupujte takto:

Klikněte pravým tlačítkem myší na adresu odesilatele (ne na samotný e-mail). Zvolte "Přidat do kontaktů. Zvolte záložku certifikátů, označte certifikát a zvolte Exportovat. Změňte případně název a vyberte umístění, které si zapamatujete, zadejte heslo a uložte soubor. Zavřete nový kontakt a neukládejte změny (tím odstraníte duplicitní kontakt). Kliknutím pravým tlačítkem myši na adresu odesilatele (jistě už poznáváte postup) otevřete kontakt. Vyberte záložku certifikátů a importujte certifikát s použitím cesty, názvu a hesla souboru, který jste prve vytvořil(a). Teď budete schopni poslat tomuto adresátovi šifrované zprávy. (On si je dešifruje svým privátním klíčem.)

[OL10-13: Když otevřete kontakt osoby z "Adresáře" a na kartě "Kontakt" stisknete "Certifikáty" (v závislosti na druhu kontaktu také "Zobrazit -> Certifikáty), uvidíte v seznamu, zda se certifikát ze zprávy přidal. Kromě správnosti certifikátu samotného, důvěryhodnosti vydavatele atd. musí být také dostupný seznam odvolaných certifikátů - CRL. Outlook v něm potřebuje zjistit, zda nebyl certifikát odvolán. Když je vše v pořádku, uloží se certifikát do kontaktu automaticky.]

Jakmile je Váš klientský certifikát zaveden, vytvoří Outlook profily pro Váš odesílající účet. Při vytváření e-mailové zprávy uvidíte v odesílacím menu dvě tlačítka: (Podepsat = obálka se stužkou [OL10-13: stužka], Šifrovat = obálka se zámkem [OL10-13: zámek]). Pro podpis e-mailu použijte tlačítko "Podepsat". To odešle e-mail v prostém textu, ale připojí k němu Váš veřejný certifikát. Pro zašifrování e-mailu použijte tlačítko "Šifrovat". To zašifruje e-mail veřejným klíčem adresáta z jeho certifikátu uloženého ve Vašem souboru kontaktů pod záložkou certifikátů. Takový e-mail dešifruje a přečte jen osoba s příslušným privátním klíčem, tedy by to měl být pouze Váš adresát.

Specifický návod pro Outlook, jak změnit Váš certifikát

Máte-li starší certifikát CACertu, který nelze obnovit, potřebujete si vytvořit nový certifikát. Jakmile přidáte tento certifikát do úložiště certifikátů Microsoftu, budete muset Outlooku oznámit, který z obou certifikátů má použít pro podepisování a odesílání e-mailových zpráv. Uvědomte si, že není vhodné starý certifikát odstranit, protože pak nebudete schopni číst staré e-maily.

Pro nastavení, který certifikát bude sloužit k podpisu a k šifrování (správně byste měli použít dva certifikáty: jeden pouze k podepisování Vašich zpráv, druhý pouze pro zašifrování u někoho, kdo píše Vám, ale to je jiné téma), proveďte v Outlooku s Vaším novým certifikátem toto:

Spusťte Outlook. Z menu zvolte Nástroje -> Možnosti... - otevře se okno možností. Zvolte záložku Zabezpečení. V sekci s názvem Zabezpečení e-mailu uvidíte řadu možností a pod nimi text Výchozí nastavení. Vedle je roletka pro výběr výchozího nastavení a tlačítko "Nastavení...". Stiskněte ho a zobrazí se okno "Změnit nastavení zabezpečení". V sekci "Certifikáty a Algoritmy" uvidíte certifikáty použité pro podepisování a pro zašifrování. Můžete použít tlačítka "Vybrat..." pro nastavení správných certifikátů. Máte-li certifikátů více, vyberte ten správný podle expiračního data a a potřebujete-li nastavit více e-mailových adres, můžete vybrat správný e-mailový účet volbou v Nastavení zabezpečení v poli volby jména nahoře.

[OL10-13: Soubor -> Možnosti -> Centrum zabezpečení -> tlačítko: Nastavení centra zabezpečení. Nové okno - v levém panelu jsou možnosti, které lze vybrat. Zvolte Zabezpečení e-mailu. Na pravém panelu vidíte rozbalovací (roletové) menu nadepsané Výchozí nastavení. Vpravo vedle něj stiskněte tlačítko "Nastavení...". Objeví se okno s názvem "Změnit nastavení zabezpečení". Další postup jako výše.]

Specifický návod pro Outlook, jak zkontrolovat platnost certifikátu

Otevřete-li podepsanou zprávu, bude mít v pravé horní části okna ikonu digitálního podpisu (stužku). Po jejím stisknutí se objeví malé okénko se základními údaji o důvěryhodnosti certifikátu (levé): Stisknete-li tlačítko "Podrobnosti", otevře se další okno (pravé). V něm můžete vidět důvěryhodnosti součástí řetězu certifikátů (zelené "fajfky"). U osobního certifikátu na konci řetězu může být znak , přestože jinak je řetěz v pořádku. Obvykle to znamená, že nebylo možno ověřit odvolání certifikátu. Může to být jen dočasný stav, než se stáhne aktuální CRL a zkontroluje odvolání, proto zkuste okno zavřít, 2 až 5 minut počkat a znovu okno podrobností zobrazit. Jinak klikněte na poslední certifikát v řetězu, stiskněte "Zobrazit podrobnosti" a v dalším okně "Zobrazit certifikát". V certifikátu jděte na záložku Podrobnosti:









Zde vidíte pořadové číslo certifikátu.

V další rubrice je URL, kde lze najít seznam odvolaných certifikátů CRL: ->


















a konečně v této rubrice je "otisk prstů", zde nazývaný "Kryptografický otisk":

Pomocí URL seznamu odvolaných certifikátů si prohlížečem stáhneme a zobrazíme CRL: ->

Zkontrolujeme, zda pořadové číslo certifikátu není obsaženo v (seřazeném) seznamu pořadových čísel odvolaných certifikátů v CRL. Není-li, jako v tomto příkladu, a souhlasí-li i kryptografický otisk, je s certifikátem všechno v pořádku, ledaže by vypršel (to je vidět na jeho ikoně a v záložce "Obecné").

Mac OS X Safari nebo OmniWeb

Tyto prohlížeče si správně přečtou Váš klíč a certifikát a uloží je do Mac OS X Keychain (řetězu klíčů). Každý dobře napsaný program Mac OS X pak bude schopen je odtamtud přečíst. To však bohužel neplatí o programech Firefox a Thunderbird, které používají své vlastní úložiště certifikátů, tak jako když pracují na jiných platformách. Viz výše - odstavec o software Mozilla.

Abyste získali svůj privátní klíč z Mac OS X Keychain, otevřete aplikaci Keychain Access z /Applications/Utilities.

Pod Categories klikněte na My Certificates (moje certifikáty), pak na svúj certifikát (zkontrolujte, je-li to ten správný, vydaný CA Cert Signing Authority). Nakonec klikněte na File -> Export, což otevře dialog pro výběr umístění souboru .p12, který bude obsahovat Váš certifikát a Váš privátní klíč. po stisknutí "Save" (uložit) Vás Keychain Access požádá o zadání hesla, kterým chcete zašifrovat soubor .p12. Možná, že Vás Keychain Access požádá o zadání Vašeho hesla k řetězu klíčů, abyste svůj klíč zpřístupnili. Obvykle je to stejné heslo jako pro přihlášení.

Pak pokračujte, jak už je popsáno jinde.

Chcete-li svůj řetěz klíčů (keychain) zálohovat, přečtěte si $home/Library/Keychains.

Certifikáty na platformě Mac

(zastaralý snímek obrazovky aplikace Keychain Access)

Mac OS X Mail.app (nativní e-mailová aplikace) pro podepisování / zašifrování

Mail.app je schopna pracovat s certifikáty X.509.

Váš privátní klíč a veřejný osobní (jinak též "klientský") certifikát je uložen ve Vašem Mac OS X Keychain, který je spravován aplikací Keychain Access z /Applications/Utilities.

Tento certifikát si instalujete způsobem popsaným výše. Použijete-li Safari, proběhne všechno automaticky.

Neimportuje-li Vaše verze Safari privátní klíč, použijte proceduru pro Firefox (viz níže).

Používáte-li Firefox: Projděte procesem generování klíčů, instalujte certifikát do Firefoxu, pak ho zazálohujte (Preferences -> Advanced -> View Certificates -> Backup) do souboru .p12 a importujte ten soubor do Mac OS X Keychain prostým dvojklikem názvu souboru.

K tomu existuje velmi dobrá a detailní dokumentace zde: http://www.macdevcenter.com/pub/a/mac/2003/01/20/mail.html?page=1. Opravdu Vám doporučuji přečíst si ji.

To však nestačí. Mail.app používá kořenové certifikáty, které jsou obecně ukládány / spravovány / poskytovány (všem uživatelům) Vaším operačním systémem (OS). Aplikace jako Safari a Mail.app o ně žádají OS.

Bohužel Váš vlastní keychain není dotazován (chyba?).

Proto nezapomeňte: když přidáváte do Mac OS X Keychain kořenové certifikáty, přidejte je do keychainu X509Anchors ! Získejte http://www.cacert.org/certs/root_X0F.crt a http://www.cacert.org/certs/class3_x14E228.crt, dvakrát na ně klikněte a pak zvolte keychain "X509Anchors".

Snow Leopard's Keychain Access (a pravděpodobně i Leopard) nemá keychain X509Anchors, ani se nedotazuje, kam má importovat certifikáty.

Chybí-li keychain, vytvořte nový nazvaný X509Anchors a pak do něj uložte všechny certifikáty CACert.

Nyní, pokud chcete, zavřete Mail.app, Safari, atd. - možná také Keychain Access (pro jistotu) a pak znovu spusťte Mail.app.

Tyto kroky jsou potřebné, protože Apple se nedodává s kořenovými certifikáty CAcert.

Teď, když máte své privátní, veřejné a kořenové certifikáty CAcert importovány, všechno by mělo fungovat správně a můžeme se podívat, co říká Apple o používání certifikátů X.509 pro podepisování a šifrování: http://docs.info.apple.com/article.html?artnum=25555

To je všechno. Doufám, že jste měli štěstí.

Máte-li problémy, nechte mi vzkaz: https://secure.cacert.org/wot.php?id=9&userid=17280.

KMail

• http://steffenpingel.de/news/archive/2006/feb/27/using-cacert-certificates-with-kmail-on-debian/ (anglicky se snímky obrazovek)

• tyto balíčky mohou být užitečné:
  • pinentry- [ qt | gtk | gtk2 ]
  • kleopatra
  • gpgsm
  • gpg-agent

Malé "Jak na to" je zde: KMail

• Zdá se, že ve verzi KMail 1.9.5 nebo v zásuvných modulech (plug-ins) zůstalo tentokrát několik chyb. Ale X.509 fungují v KMail dobře i po instalaci a konfiguraci Evolution. Možná, že opravuje některé konfigurace.

Evolution

Evolution pracuje s X.509 neobvyklým způsobem. Nepotřebuje žádnou zvláštní konfiguraci balíčků. Musíte pouze zavést certifikát do e-mailového klienta.

• http://en.wikipedia.org/wiki/Novell_Evolution

Gnus

Stránka na http://www.emacswiki.org/cgi-bin/wiki/GnusSMIME popisuje proceduru. Kořenové certifikáty CAcert musí být připojeny do adresáře smime-CA-directory (jak je tam popsáno).

Různé

TODO: (co ještě)

• Vysvětlit tyto kroky: Co potřebuji udělat, abych někomu poslal(a) zašifrovanou e-mailovou zprávu, to potřebuji veřejný klíč nebo co?
• Přidat powerpointovou/webovou presentaci "krok za krokem" pro každý klient.

---

• CategoryCommunity

• CategorySoftware

• CategoryGuide