Nemohu vytvořit certifikát

/!\ POZOR! Cca od 20230515 zjištěno, že již žádný prohlížeč nevytváří správnou žádost o podpis (CSR). Proto řešení použitím prohlížečů Basilisk, Palemoon nebo SeaMonkey již nelze použít. Použijte prosím aplikaci CAcert, případně vytvořte CSR pomocí utilit openSSL, XCA, popř. Kleopatra a předložte ho ve formátu Base64 v poli textu, které se zobrazí po zaškrtnutí možnosti "Zobraz rozšířené volby" na stránce nového klientského certifikátu. /!\

Chyba: Neobdrželi jsme platnou žádost o certifikát,...

Chcete vytvořit certifikát a objeví se chybová zpráva: "Neobdrželi jsme platnou žádost o certifikát, po stisku tlačítka zpět to zkuste znovu." (I didn't receive a valid Certificate Request, hit the back button and try again.) nebo "Neobdrželi jsme platnou žádost o certifikát, zkuste jiný prohlížeč." (.... try another browser.)

Není zaškrtnuta e-mailová adresa

Pro úspěšné vygenerování žádosti o klientský certifikát (CSR) a předložení CAcert je nutno označit Vaši e-mailovou adresu podle obrázku.

Označte svoji e-mailovou adresu

Jinak se nevytvoří "common Name" (CN) = <e-mailová adresa> a žádost nebude platná.

V prohlížeči již nefunguje tag <keygen>

/!\ POZOR! Nyní (cca od 20230515) již žádný nám známý webový prohlížeč nepodporuje tag <keygen>. /!\

Během posledního měsíce (201712 i dříve) některé prohlížeče odstranily html tag <keygen>, který se používal pro vytváření žádostí o certifikát. Použijte proto některý z prohlížečů dosud podporujících tento tag.

(Pokud na stránce CAcert s tlačítkem pro generování klíčů nevidíte vlevo od něj číselnou délku klíče, nebo je roletka pro výběr délky prázdná, je jisté, že se vygenerování certifikátu nezdaří.)

Je nám líto, že nastal tento stav. V této záležitosti se již angažují dobrovolníci naší komunity. Vaši pomoc uvítáme. Viz Pomozte CAcertu.

CAcert provozuje komunita dobrovolníků. Pomozte laskavě tak, aby CAcert mohl pokračovat ve vydávání certifikátů zdarma! Přeložte například stránky nápovědy nebo kód, případně darujte nějaký obnos. Propagujte CAcert ve své zemi. Vylepšujte překlady.

Řešení použitím starší verze Firefox

Generování certifikátů funguje i dnes s verzí 6.0.3 (64 bitů). Další verze mají již odstraněný tag <keygen> a žádost o certifikát nevytvářejí.

Pokud novější verze Firefoxu náhle přestane generovat certifikáty, vždy jsem na toto období ponechal ve funkci poslední přenosný prohlížeč Firefox, který již automaticky neaktualizuji.

Staré verze naleznete zde: https://sourceforge.net/projects/portableapps/files/Mozilla%20Firefox%2C%20Portable%20Ed./

Ale pozor: U starých verzí existuje bezpečnostní riziko.

(BE-10/19)

Řešení použitím prohlížečů Palemoon, Basilisk nebo Seamonkey

/!\ POZOR! Cca od 20230515 zjištěno, že již žádný prohlížeč (ani Basilisk od v. 2023.05.17/64-bit, SeaMonkey od v. 2.53.15/64-bit, Palemoon od v. 32.1.0/64-bit) nevytváří správnou žádost o podpis (CSR). Proto řešení popsané v této části již nelze použít. /!\

/!\ POZOR, dne 20230322 zjištěno, že Palemoon ver. 32.1.0 nevytváří správnou CSR (žádost o podpis), použijte Basilisk nebo SeaMonkey /!\

Pomohl jsem si nainstalováním prohlížeče Palemoon (je to dobře udržovaná odnož starého Firefoxu) a s ním jsem certifikáty vygeneroval. Lze také nainstalovat podobný prohlížeč Seamonkey, případně Basilisk.

Basilisk Palemoon Seamonkey

Podle mého názoru je to nejjednodušší způsob, jak to udělat bez použití OpenSSL a manuálního generování párů klíčů a CSR. (Pokud znáte, jak OpenSSL použít, můžete to udělat.)

/!\ POZOR! /!\ Prohlížeče Palemoon, Basilisk i Seamonkey jsou klony Firefoxu a mají tedy svá vlastní úložiště certifikátů, kam se ale nezkopírují certifikáty z úložiště Firefoxu automaticky! Jejich správu certifikátů otevřete takto:

Okno certifikátů se velmi podobá tomu ve Firefoxu.

Nejprve musíte importovat oba kořenové certifikáty CAcertu z jeho stránky. Nejkratší možností je jít v Palemoonu, Basilisku i Seamonkey přímo na stránku http://www.cacert.org/index.php?id=3 (NIKOLIV https!), zvolit nejprve PKI klíč třídy 1, formát PEM, dát mu důvěru pro všechny 3 oblasti, pak PKI klíč třídy 3, formát PEM, nastavit důvěru není třeba (bude zděděna) - a tím jste dali důvěru certifikační autoritě CAcert: další komunikace s weby CAcert už půjdou protokolem https.

Dále: chcete-li se přihlásit svým existujícím certifikátem, musíte ve Správci certifikátů importovat i ten, a to ze souboru typu .p12 nebo .pfx - nemáte-li ho, musíte se přihlásit svým uživatelským jménem a heslem. Po přihlášení si už můžete prohlížečem Palemoon nebo Seamonkey nechat vygenerovat a podat novou žádost o certifikát.

(ST-09/19) (AK-09/19)


FAQ/Keygen/CZ (last edited 2023-05-22 17:36:08 by AlesKastner)