česky | english
Jak vytvořit klientský certifikát CAcert pomocí MMC Windows 10
Aleš Kastner
Přehled
Použijeme systémové prostředky a systémové úložiště Windows 10. Vytvoříme žádost o klientský certifikát (CSR) pomocí MMC modulu Certifikáty a necháme ji podepsat autoritou CAcert – vznikne klientský certifikát. Nebudeme-li ho používat přímo na počítači, kde byl vytvořen, nebo budeme-li ho používat na více počítačích, vyexportujeme ho i s privátním klíčem do souboru PFX a ten pak na jiný počítač importujeme.
- Připravíme si certifikátový modul MMC pro další práci s certifikáty.
- Importujeme kořenový a zprostředkující certifikát CAcert (pokud jsme to ještě neudělali).
- Vytvoříme žádost o certifikát podle šablony „Uživatel“.
- Předložíme žádost CAcert CA a získáme certifikát, který uložíme do souboru.
- Importujeme certifikát do „Osobních“ certifikátů uživatele. Přitom se propojí s privátním klíčem. Lze jej použít v jednom či více počítačích v klientských programech, jako jsou typicky webové prohlížeče (Edge, Firefox, Chrome,...) a klientské programy elektronické pošty (Outlook, Thunderbird, The Bat,...). Důležitý je účel - použití v klientských programech. Počítač sám může být PC, notebook, pracovní stanice, server, tablet nebo "inteligentní" mobilní telefon.
- Pokud je třeba používat klientský certifikát také na jiném počítači, exportujeme certifikát s privátním klíčem do souboru tvaru P12 s příponou PFX. Ten pak importujeme na cílovém počítači do systému - ve Windows v modulu certifikátů MMC, na jiných systémech (tablet, mobilní telefon) přímo otevřením souboru.
Příprava
Jestliže jste ještě nepracovali s modulem certifikátů MMC, bude vhodné si ho napřed vytvořit a uložit pro pozdější snadné spuštění. Je lépe spravovat z modulu jak certifikáty osobní (Vaše), tak certifikáty počítače – i když zde se budeme zabývat jen těmi prvními.
Spusťte konzolu správy MMC. Z menu „Soubor“ zvolte „Přidat nebo odebrat modul snap-in“. Z modulů snap-in vyberte „Certifikáty“. V dialogu upřesněte „Účet počítače“ a dále zvolte "Místní počítač". I když tuto část v dalším postupu nepoužijete, osvědčilo se zařadit ji pro možnou pozdější práci se serverovými certifikáty.
Dále se již budeme zabývat klientskými certifikáty.
Znovu zvolte „Certifikáty“ a „Přidat“. Nyní v dialogu upřesněte „Můj uživatelský účet“.
Seznam modulů bude vypadat takto. Stiskněte OK.
Připravený modul si uložte (Soubor - Uložit jako...) pod vhodným jménem. Příště můžete modul spustit z MMC nebo (bohdá) přímo z Nástrojů pro správu.
Uložení certifikátů CAcert je přímočará operace. Nejprve si zobrazte Certifikáty pod uzlem „Důvěryhodné kořenové certifikační autority“. Pravým klikem na uzel „Certifikáty“ ve stromu v levém panelu otevřete menu, kde vyberte „Všechny úkoly...“ - „Importovat...“ Vyberte stažený soubor „root.cer“ (stažený ve formátu PEM z http://www.cacert.org/index.php?id=3.) a importujte.
Podobně do Certifikátů pod uzlem „Zprostředkující certifikační autority“ importujte certifikát třídy 3 ze souboru „class3.cer“. (Stažený ve formátu PEM z http://www.cacert.org/index.php?id=3.)
Dva výše uvedené obrázky ukazují stav po importu.
Vytvoření žádosti o klientský certifikát
Zvolte „Certifikáty“ pod uzlem „Osobní“. Připomínám, že tyto certifikáty jsou „osobní“ pro VÁS, jde o Vaše osobní certifikáty, nikoli o certifikáty jiného uživatele tohoto počítače ani o certifikáty počítače [pracujete pod stromem „Certifikáty - aktuální uživatel"!].
Pravým klikem otevřete menu, kde postupujte podle obrázku. Je nutno zvolit „Vlastní požadavek“, aby bylo možno vybrat šablonu. Zobrazí se průvodce. Jeho první informativní stránku přeskočte (Další).
Na následující stránce průvodce se dají nastavit zásady. Tuto stránku také přeskočte.
Na další stránce průvodce zvolte šablonu "Uživatel". Stiskněte „Další“.
Na další stránce průvodce si otevřete „Podrobnosti“ a stiskněte „Vlastnosti“. Máte-li 50 a více bodů zaručení, pak Vám mohou být vydány klientské certifikáty s platností 2 roky. Server CA CAcert nejen podepíše Vaši žádost, ale také z ní odstraní všechny údaje kromě těchto, které musíte v žádosti dodat:
- veřejný klíč – spolu s privátním vygeneruje Váš počítač,
- běžný název, tedy Vaše e-mailová adresa, pod níž jste znám(a) v Internetu, zde je to CN= (Common Name, obecný název),
- případně alternativní e-mailové adresy; CAcert zkontroluje platnost e-mailových adres ve Vašem účtu,
- algoritmus výpočtu klíčů (zvolte RSA),
- délka klíčů (minimum 1024 bitů, zvolte doporučených 2048 bitů).
Po stisknutí tlačítka „Vlastnosti“ se otevře dialog, kde nastavíte čtyři předchozí parametry.
Na kartě Subjekt (předmět) nastavíte běžný název (Vaše jméno), Vaši hlavní e-mailovou adresu (do horního seznamu vpravo) a případné alternativní e-mailové adresy, které přidáváte jednu po druhé do spodního seznamu vpravo.
Nyní jste se svým zadáváním na této kartě hotovi. Běžný název této e-mailové adresy je a jeho alternativní název je adresa . Budou však použity ověřené adresy z Vašeho účtu u CAcert.
Pokračujte na kartě Obecné.
Zde je nutno opět vyplnit „Popisný název“ e-mailovou adresou (máte-li jich v účtu více, pak hlavní adresou). Karta „Rozšíření“ je předvyplněna ze šablony webového serveru a proto ji můžeme přeskočit.
Na kartě „Privátní klíč“ po otevření „Zprostředkovatel kryptografických služeb“ ponechte jen zaškrtnutí zprostředkovatele "Microsoft Enhanced Cryptographic Provider v1.0". To umožní výběr délky klíče, viz dále.
Dále otevřete „Možnosti klíče“, zvolte délku klíče (doporučuji 2048 bitů) a označte možnosti exportování a archivace privátního klíče.
Dialog uzavřete stisknutím OK.
Pokračujete v průvodci vytvořením žádosti o certifikát.
Stanovte cestu a název souboru, kam se žádost uloží. Zvolte formát souboru. Zakódování Base64 znamená převod binárních dat na znaky a proto ho doporučuji – budete ho potřebovat vybrat a vložit do textového pole na webu CAcertu.
Po stisknutí tlačítka „Dokončit“ se žádost o certifikát uloží do souboru. Takto vytvořená žádost (CSR) je pouze šablona, kterou dokončí CAcert doplněním údajů z Vašeho účtu.
Podání žádosti a získání certifikátu
Otevřete soubor se žádostí v editoru Notepad. Označte celý obsah a zkopírujte ho do schránky (Ctrl-C).
Přihlaste se ke svém účtu u CAcert a zvolte z menu: Klientské certifikáty – Nový:
Využijte velké pole "Volitelná klientská žádost o podpis certifikátu (CSR)...". Zkopírovaný obsah vložte (Ctrl-V) do tohoto pole. Do pole "Volitelný komentář" případně napište orientační název certifikátu.
Dále vyberte své e-mailové adresy, které má certifikát obsahovat, a zvolte, zda bude v certifikátu Vaše občanské jméno (máte-li aspoň 50 bodů zaručení).
Nezapomeňte vyjádřit souhlas s Dohodou komunity CAcert (CCA). Pak stiskněte tlačítko Odeslat.
Váš klientský certifikát je vystaven. Můžete si ho stáhnout ve formátu PEM (přípona .crt) nebo ve formátu DER (přípona .cer) a nainstalovat. Nezapomeňte, že certifikát neobsahuje privátní klíč; ten zůstává na počítači, kde jste žádost vytvořili.
Předpokládejme, že jste si vystavený certifikát stáhli do souboru ve formátu PEM, s příponou .crt Nyní je nutno certifikát importovat do systému. K tomu použijete opět MMC, modul Certifikáty. Při importu se k certifikátu přidruží příslušný privátní klíč.
Import certifikátu do operačního systému
Vraťte se do modulu certifikátů MMC a do Certifikátů pod uzel Osobní (strom "Certifikáty - aktuální uživatel") importujte získaný certifikát ze souboru s příponou ".crt".
Z menu otevřeného po pravém kliknutí na „Certifikáty“ pod „Osobní“ zvolte „Všechny úkoly - Importovat...“
Spustí se průvodce, kde opět přeskočíte úvodní stránku, zvolíte soubor s vystaveným certifikátem a importujete ho do systému po stisknutí tlačítka Další.
Úložiště pro Vaše osobní certifikáty je již předvoleno. Stiskněte Další.
Systém oznámí úspěšný import a po potvrzení OK již vidíte importovaný certifikát. Povšimněte si, že ikona certifikátu má vlevo nahoře klíček. To znamená, že k tomuto certifikátu máte privátní klíč (a sám certifikát obsahuje odpovídající veřejný klíč).
Export či záloha klientského certifikátu
Certifikát s privátním klíčem exportujte do souboru formátu P12 s příponou PFX. Jednak tím získáte zálohu, ale také můžete přenést celý certifikát i s privátním klíčem na jiný počítač, tablet, mobilní telefon atd., případně do klientských programů majících své vlastní úložiště, což je zejména webový prohlížeč Firefox a e-mailový klient Thunderbird.
Pravým kliknutím na certifikát zobrazte menu a zvolte „Všechny úkoly“ - „Exportovat“.
Otevře se průvodce exportem. Důležité nastavení proveďte na druhé stránce. Volbou, že se bude exportovat i privátní klíč, zvolíte i výstupní formát P12, příponu .pfx a celý průběh exportu. Stiskněte tlačítko Další.
Formát PKCS 12 (P12) s příponou PFX je již předvolen. Můžete přidat další užitečné volby, jak naznačeno. Export celé cesty umožní získat ze souboru i kořenový(é) certifikát(y) CA (v našem případě CAcert). Export všech rozšířených vlastností zvolte spíše pro jistotu. Odstranit privátní klíč po exportu si zde určitě nepřejete, chcete si jej zachovat, pokud ho budete z počítače, kde jste ho (spolu s žádostí o certifikát) vytvořili, přenášet na jiné počítače.
Na další stránce zvolte a zadejte heslo. Budete je potřebovat při importu nebo obnově ze zálohy. (Skupiny a jména jsou spojena s koncepcí aktivního adresáře [AD] Microsoftu, zde je nepoužijete.) Pokračujte tlačítkem Další.
Konečně zadejte cestu a název souboru formátu P12 s příponou .pfx, kam se exportovaný certifikát s privátním klíčem uloží. Po stisku tlačítka Další uvidíte ještě rekapitulaci a dále potvrzení úspěšného exportu.
Úspěšnost postupu byla potvrzena nasazením takto vytvořených serverových certifikátů jako klientských, podepisováním a šifrováním zpráv e-mailu.