česky | english
Jak vytvořit klientský certifikát nástroji příkazového řádku (Windows 10 a starší)
Přehled
Windows 10 poskytuje nástroje příkazového řádku pro všechny nezbytné kroky k vytvoření veřejného / soukromého klíče, získání certifikátu od CAcert a exportu pro použití v jiných aplikacích (kde webové prohlížeče jako Firefox spravují certifikáty samostatně) nebo na jiných počítačích.
Certifikát pořídíme těmito kroky:
- Vytvořte veřejný / soukromý klíč a žádost o podepsání certifikátu (CSR) pomocí běžné šablony.
- Předložte CSR webu CA CAcert, získejte klientský certifikát a uložte jej (ve formátu PEM) do souboru CRT.
Importujte certifikát do „osobních“ certifikátů aktuálního uživatele (vy). Poté se sváže se soukromým klíčem. Můžete jej použít v jednom nebo více počítačích v operačních systémech a klientských programech jako jsou webové prohlížeče (Internet Explorer, Edge, Firefox, Chrome,...) a e-mailových klientech (Outlook, Thunderbird, The Bat,...). Důležitý je zde účel klientských certifikátů - jejich použití v klientských programech. Samotným počítačem může být počítač, notebook, pracovní stanice, server, tablet nebo „chytrý“ mobilní telefon.
- Pokud potřebujete použít klientský certifikát na jiném počítači, budete muset exportovat certifikát s odpovídajícím soukromým klíčem do souboru typu P12 s příponou PFX. Můžete jej importovat do cílového počítače a / nebo klientského programu. U operačního systému Windows použijte modul certifikátu MMC, u tabletů nebo mobilních telefonů často postačí otevření souboru.
Příprava
Dále potřebujete:
- Pracovní složku pro soubory potřebné během tvorby certifikátu
- Zde stažený parametrický soubor, který uložíte do zmíněné složky
- Okno příkazového řádku (cmd) pro zadávání příkazů
Otevřete Windows Explorer: podržte klávesu "Win" a stiskněte "e" (nebo spusťte z menu).
Kontextovým menu vytvořte novou složku: klikněte pravým tlačítkem myši a zvolte "Nová složka". Dle potřeby ji pojmenujte.
Stáhněte si CSR.inf a uložte ho do nové složky.
Jste-li s certifikáty již obeznámeni, můžete soubor CSR.inf upravit a nastavit parametry klíče. Vzorový soubor zadává šifrování RSA se silnou délkou klíče - 4096 bitů. "FriendlyName" se stane názvem certifikátu v úložišti certifikátů Windows - lze zvolit libovolný název. Podpisový generátor CAcertu zcela ignoruje parametry "Subject" and "KeyUsage" - můžete je zvolit (podle výše svého zaručení) později na webovém portálu.
[NewRequest] Subject = "CN=dummy.createnewcsr.cacert.org" ExportableEncrypted = true HashAlgorithm = sha256 KeyAlgorithm = RSA KeyLength = 4096 KeyUsage = "CERT_DIGITAL_SIGNATURE_KEY_USAGE | CERT_KEY_ENCIPHERMENT_KEY_USAGE" RequestType = PKCS10 FriendlyName = "MyCertificateFromCAcert"
Nakonec otevřete příkazové okno pro složku, kterou jste vytvořili výše: Podržte klávesu Shift a klikněte pravým tlačítkem myši na tuto složku - v nabídce vyberte „Otevřít příkazové okno zde“.
Vytvoření veřejného + soukromého klíče a žádosti o podepsání certifikátu (CSR)
Do příkazového okna zadejte následující příkaz a poté klávesu Enter (Return):
certreq -new CSR.inf CSR_for_CAcert.req
To je vše - privátní klíč byl na pozadí přidán do vašeho osobního úložiště certifikátů a byl vytvořen soubor CSR (pro odeslání do CAcert) s názvem "CSR_for_CAcert.req".
Nastane-li chyba, zkontrolujte v chybové zprávě cesty a zda je soubor CSR.inf skutečně uložen v aktuální složce (která je zobrazena v takzvaném „prompt“ v příkazovém okně).
Předložení CSR a získání certifikátu
Otevřete soubor „CSR_for_CAcert.req“, obsahující CSR, v programu Poznámkový blok. Vyberte veškerý obsah a zkopírujte jej do schránky (Ctrl-A, poté Ctrl-C).
Přihlaste se ke svém účtu u CAcert a zvolte z menu: Klientské certifikáty – Nový:
Využijete velké pole "Klientská žádost o podpis certifikátu (CSR)...". Zkopírovaný obsah vložte (Ctrl-V) do tohoto pole. Do pole "Volitelný komentář" případně napište orientační název certifikátu.
Dále vyberte e-mailové adresy, které má certifikát obsahovat, popřípadě své jméno k uložení do certifikátu (máte-li aspoň 50 bodů zaručení).
Nezapomeňte vyjádřit souhlas s Dohodou komunity CAcert (CCA). Pak stiskněte tlačítko Odeslat.
Váš klientský certifikát je vystaven. Můžete si ho stáhnout ve formátu PEM (přípona .crt) nebo ve formátu DER (přípona .cer) a nainstalovat. Nezapomeňte, že certifikát neobsahuje privátní klíč; ten zůstává na počítači, kde jste žádost vytvořili.
Předpokládejme, že jste si vystavený certifikát stáhli do souboru ve formátu PEM, s příponou .crt Nyní je nutno certifikát importovat do systému. K tomu použijete opět MMC, modul Certifikáty. Při importu se k certifikátu přidruží příslušný privátní klíč.
Import certifikátu do operačního systému
Vraťte se do modulu certifikátů MMC a do Certifikátů pod uzel Osobní (strom "Certifikáty - aktuální uživatel") importujte získaný certifikát ze souboru s příponou ".crt".
Z menu otevřeného po pravém kliknutí na „Certifikáty“ pod „Osobní“ zvolte „Všechny úkoly - Importovat...“
Spustí se průvodce, kde opět přeskočíte úvodní stránku, zvolíte soubor s vystaveným certifikátem a importujete ho do systému po stisknutí tlačítka Další.
Úložiště pro Vaše osobní certifikáty je již předvoleno. Stiskněte Další.
Systém oznámí úspěšný import a po potvrzení OK již vidíte importovaný certifikát. Povšimněte si, že ikona certifikátu má vlevo nahoře klíček. To znamená, že k tomuto certifikátu máte privátní klíč (a sám certifikát obsahuje odpovídající veřejný klíč).
Export či záloha klientského certifikátu
Certifikát s privátním klíčem exportujte do souboru formátu P12 s příponou PFX. Jednak tím získáte zálohu, ale také můžete přenést celý certifikát i s privátním klíčem na jiný počítač, tablet, mobilní telefon atd., případně do klientských programů majících své vlastní úložiště, což je zejména webový prohlížeč Firefox a e-mailový klient Thunderbird.
Pravým kliknutím na certifikát zobrazte menu a zvolte „Všechny úkoly“ - „Exportovat“.
Otevře se průvodce exportem. Důležité nastavení proveďte na druhé stránce. Volbou, že se bude exportovat i privátní klíč, zvolíte i výstupní formát P12, příponu .pfx a celý průběh exportu. Stiskněte tlačítko Další.
Formát PKCS 12 (P12) s příponou PFX je již předvolen. Můžete přidat další užitečné volby, jak naznačeno. Export celé cesty umožní získat ze souboru i kořenový(é) certifikát(y) CA (v našem případě CAcert). Export všech rozšířených vlastností zvolte spíše pro jistotu. Odstranit privátní klíč po exportu si zde určitě nepřejete, chcete si jej zachovat, pokud ho budete z počítače, kde jste ho (spolu s žádostí o certifikát) vytvořili, přenášet na jiné počítače.
Na další stránce zvolte a zadejte heslo. Budete je potřebovat při importu nebo obnově ze zálohy. (Skupiny a jména jsou spojena s koncepcí aktivního adresáře [AD] Microsoftu, zde je nepoužijete.) Pokračujte tlačítkem Další.
Konečně zadejte cestu a název souboru formátu P12 s příponou .pfx, kam se exportovaný certifikát s privátním klíčem uloží. Po stisku tlačítka Další uvidíte ještě rekapitulaci a dále potvrzení úspěšného exportu.
Úspěšnost postupu byla potvrzena nasazením takto vytvořených serverových certifikátů jako klientských, podepisováním a šifrováním zpráv e-mailu.