česky | english

Klientské certifikáty CAcert – krok za krokem

Stefan Thode
[Český překlad: alkas]

Tento dokument je návod, jak si vyžádat certifikát a připravit ho do tvaru souboru PKCS#12.

V tomto dokumentu používám testovací systém CAcert. Použití je podobné jako u produkčního systému.

Předpoklady

Je importován a za důvěryhodný označen kořenový certifikát “CAcert Public Root Certificate” ve webovém prohlížeči.

Je instalován správce certifikátů XCA: http://sourceforge.net/projects/xca/

Je aktivován účet u https://secure.cacert.org

Příprava

Úvod

Spusťte XCA

V menu “File” použijte “New Database” (nová databáze) k vytvoření databáze certifikátů a uložte ji do souboru. Nezapomeňte heslo nové databáze! Nebo otevřete existující databázi ze svého systému souborů.

Databáze

Jděte do záložky “Certificates” (certifikáty).

Import kořenů

Použijte “Import”, aby XCA přijal certifikáty CAcert.

Import kořenů ve tvaru PEM

Importujte kořenové certifikáty CAcert ve tvaru PEM: “root” (Kořenový certifikát root_X0F.crt) a “class3” (Zprostředkující certifikát class3_x14E228.crt) v tomto pořadí.

Import kořenů - důvěra

Dejte importovaným kořenovým certifikátům CAcert důvěru v kontextovém menu pomocí “Trust”.

Privátní klíč

Privátní klíč 1

Jděte na záložku “Private Keys” (privátní klíče).

Privátní klíč 2

Použijte “New Key” pro nový privátní klíč.

Privátní klíč 3

Zvolte název nového klíče, například vložením jeho účelu. Tento název slouží pouze k Vaší orientaci. Použijte název, který vypovídá o plánovaném účelu klíče, pak budete moci identifikovat klíč pro opětné použití k tomuto účelu. Dále vyberte typ a sílu (délku) klíče, který se má vygenerovat. V současnosti vyhovuje RSA délky 4096 bitů.

Privátní klíč 4

Nový privátní klíč je připraven a…

Privátní klíč 5

…objeví se ve Vašem seznamu privátních klíčů.

Žádost o podpis certifikátu – CSR

Žádost o podpis 1

V dalším kroku jděte na záložku “Certificate signing requests” (žádosti o podpis certifikátů, CSR).

Žádost o podpis 2

Použijte tlačítko “New Request” (nová žádost) k vytvoření CSR.

Žádost o podpis 3

Pojmenujte CSR, definujte algoritmus a šablonu, kterou použijete. Nejdříve zvolte šablonu!

Žádost o podpis 4

Jděte na záložku “Subject” (předmět).

Žádost o podpis 5

Zvolte privátní klíč, který chcete použít. Vložte „Internal Name“ (vnitřní název) a „emailAddress (e-mailovou adresu). Na konci dialogu buď zvolte jeden z existujících privátních klíčů, nebo vytvořte nový, pokud jste ho zapomněli vytvořit před vytvořením žádosti CSR.

Žádost o podpis 6

Případně můžete použít aliasy v poli „X509v3 Subject Alternative Name“. Žádost vytvořte tlačítkem „OK“.

Žádost o podpis 7

Žádost (CSR) je připravena.

Procedura podepsání

Podepsání 1

Vyberte novou žádost a exportujte ji: “Export”.

Podepsání 2

Uložte žádost do souboru formátu PEM, ale s příponou .csr

Podepsání 3

Otevřete žádost v editoru (Notepad), vyberte celý text pomocí ALL a zkopírujte ho.

Podepsání 4

Otevřete web cacert.org a přihlaste se ke svému účtu. Jděte na “Klientské certifikáty” a “Nový”.

Podepsání 5

Na obrázku si všimněte, že je zvoleno Class 3 Root! Tímto kořenovým certifikátem bude podepsán ten Váš.

Vložte žádost (CSR) do textového pole. Vyberte e-mailovou adresu / adresy (povinné!) a případně své jméno. Členové komunity s 50 a více body zaručení si mohou zvolit kořenový certifikát, kterým chtějí nechat žádost podepsat. Použijte certifikát třídy 3. Zadejte komentář pro lepší budoucí identifikaci certifikátu. Stiskněte tlačítko “Další”.

Podepsání 6

Prohlížeč ukáže nově vystavený certifikát. Použijte odkaz “Stáhnout certifikát ve formátu PEM” a certifikát v tomto formátu si uložte do souboru. Alternativně vyberte zakódovaný text včetně řádků BEGIN/END CERTIFICATE pro přímý import pomocí "Import (PEM)" v XCA.

Podepsání 7

Nyní můžete nový klientský certifikát vidět v menu “Klientské certifikáty” a “Zobrazit”.

Import cert 1

Použijte “Import” v XCA a importujte nový klientský certifikát od CA.

Import cert 2

Import byl úspěšný.

Zobrazení certifikátu

Certifikát je zobrazen pod kořenovými certifikáty podepisující CA (CAcert), které jste importovali dříve.

Export souboru ve tvaru PKCS#12

Export 1

Vyberte svůj nový klientský certifikát a použijte tlačítko “Export”.

Export 2

Uložte vyexportovaný certifikát ve tvaru PKCS#12 a...

Export 3

…definujte heslo na ochranu privátního klíče před neoprávněným použitím. Toto heslo budete potřebovat zadat při importu tohoto souboru do webového prohlížeče nebo e-mailového klienta.

Nyní máte certifikát ve tvaru PKCS#12 pro import do prohlížeče, e-mailového klienta, operačního systému…

Blahopřejeme!