Instalace certifikátu CA
Z KHnetWiki
Řádka 85: | Řádka 85: | ||
* [http://www.postsignum.cz/ Postsignum] | * [http://www.postsignum.cz/ Postsignum] | ||
* e-podpis [http://www.micr.cz/epodpis/default.htm] | * e-podpis [http://www.micr.cz/epodpis/default.htm] | ||
+ | |||
+ | * [http://www.caczechia.cz/ca/cacert.asp Czechia CA] | ||
+ | * [http://ca.inway.cz/ InWay] | ||
+ | * [https://www.trustport.cz/?form=&content=ca_certs&CfgFile= AEC] | ||
+ | |||
+ | Pro klid duše doporučuji nainstalovat ICA, PostSignum, Czechia, AEC a InWay certifikáty. |
Verze z 18. 9. 2007, 20:44
Tento návod je pro operační systém windows. Ukázky jsou z Windows Vista, starší to mají ale v podstatě stejné.
Obsah |
Instalace certifikátu KHnet.info Root CA do Windows
Tímto postupem řeknete počítači, aby důvěřoval všem digitálním certifikátům které vydá naše sdružení. Nebude se tedy při každém pokusu o přístup na šifrované (https) stránky nebo při pokusu o stažení nebo odeslání pošty (pop3s, imaps a smtps) rozčilovat, že bylo narušeno zabezpečení, nebo že se někdo vydává za něco co není ...
Je nezbytně nutné použít Internet Explorer, neboť jiné prohlížeče používají své vlastní řešení a nedozvěděly by se to tedy windows samotné.
Kliknutím na certifikát vyvolejte stažení souboru. Zvolte ovšem "spustit".
Zobrazí se vám okénko s informacemi o certifikátu, na záložce podrobnosti můžete zkontrolovat tzv. otisk (v pojetí windows miniaturu). Pokud souhlasí s tímto na obrázku, můžete prohlásit "ano, je to opravdu on, patří sdružení khnet.info":
po prostudování informací klikněte na tlačítko Nainstalovat certifikát.
Nejdříve se vám pravděpodobně vnutí informační okénko s několika radami. Pokračujte dál. V následujícím kroku po vás windows chtějí vybrat, kam ten certifikát nainstalovat. Na toto pozor, pokud necháte vše na automatice, nebudete spokojeni. Windows totiž tento certifikát nepovažují za úplně důvěryhodný a tím pádem neudělají to, co potřebujeme. Tj. mu důvěřovat naprosto. Je to z toho důvodu, že každý certifikát musí být "ověřen" jinou certifikační autoritou, to ověření opět ověřeno ... dokud se v hiearchii nedostaneme až navrchol. A seznam (resp. jejich certifikáty) těch celosvětově nejznámějších autorit jsou ve windows předinstalovány. Bohužel tam není ani jedna česká certifikační autorita ... a i kdyby byla, sdružení nemá svůj certifikát ověřen - je totiž samo sobě certifikační autoritou. No a právě to snižuje jeho důvěryhodnost. Je pouze na vás uživatelích, zda mu budete věřit a tedy budete pokračovat v provádění tohoto návodu.
V předchozím odstavci popsané "problémy" nemají vliv na technickou kvalitu - šifrování je úplně stejně kvalitní (považuje se za absolutně neprolomitelné) jako kdybychom ověřeni někde byli ...
Zde je tedy nutné zvolit druhou možnost - "všechny certifikáty umístit v následujícím úložišti" a pomocí tlačítka Procházet vybrat úložiště s názvem "Důvěryhodné kořenové certifikační úřady".
Okénka potvrzujte tlačítky OK, Další a Dokončit. Poslední varování vypadá asi takto
Všimněte si, že zde se již otisk jmenuje správně otisk a je stejný jako miniatura na jednom z předchozích obrázků. Samozřejmě, že v toto chvilku už je vše jasné, khnetu důvěřujete a tedy tlačítkem ANO dokončíte instalaci certifikátu.
Nyní je již vše hotovo. Žádná ze šifrovaných služeb (s certifikátem vydaným KHnet.info) nebude nadávat na problémy s certifikátem, nebo důvěryhodností.
Instalace certifikátu KHnet.info Root CA do prohlížeče Firefox
Tento krok je bohužel nutný pro všechny kdo nepoužívají Internet Explorer Microsoftu. Tedy brouzdají Firefoxem.
Začátek je stejný - kliknutím na certifikát vyvolejte stažení souboru.
Zobrazí se poměrně jednoduché okénko
kde všechny tři možnosti zaškrtněte.
Pomocí tlačítka Zobrazit lze prozkoumat a zkontrolovat certifikát obdobně jako ve windows s IE
Všimněte si, že otisk opět souhlasí ...
Všechna okénka potvrďte a je to hotovo.
Instalace certifikátu KHnet.info Root CA do e-mailového klienta Thunderbird
Ze záhadných důvodů nepoužívá thunderbird stejné úložiště certifikátů jako firefox, takže je to nutné zopakovat ještě jednou v bledě modrém.
Začátek trochu rozdílný - kliknutím pravým tlačítkem myši na certifikát zobrazíte malé menu a zvolte "Uložit odkaz jako". Soubor uložte někam na disk, kde ho za chvilku budete schopni najít ...
V menu Thunderbirdu zvolte Nástroje/Možnosti. Klikněte na ikonku Rozšířené a pak na záložku Certifikáty. Následně tlačítkem Certifikáty zobrazte seznam všech certifikátů. Na záložce Certifikační autority najdete čudlík Import. Zmáčkněte ho a otevřete soubor uložený způsobem z předchozího odstavce.
Po otevření souboru již jsou další kroky (obrázky) shodné s popisem u Firefoxu, které byste již měli znát. Takže si zkontrolujte, zda jste natáhli správný soubor (tlačítko Zobrazit), pak zaškrtněte všechny tři možnosti a potvrďte tlačítkem OK. Úspěch není ničím potvrzen, podívejte se do seznamu certifikátů, zda se tam vyskytuje jméno "KHnet.info, o.s.". Pokud ano, je vše hotovo. Okénka, co zůstala otevřená pozavirejte tlačítky OK.
Ostatní prohlížeče a email klienti
Vzhledem k tomu, že není v mých silách napsat návod pro úplně všechny programy, co se kde můžou vyskytovat, tak se na to také vykašlu. V lepším případě budou využívat centrální úložiště windows - a tedy máte hotovo, nebo je postup vždy velice podobný. Stáhnout certifikát a naimportovat do programu mezi důvěryhodné certifikační autority.
Elektronický podpis
Certifikáty vydávané (ověřované) certifikačními autoritami (tedy i KHnet.info Root CA) lze využít i pro tzv. elektronický podpis. Pouze pomocí něho jste schopni ověřovat emaily - zda se mezi napsáním autorem (tím, kdo to podepsal) nezměnila, nebo zda opravdu pochází od toho, od koho si myslíte (zfalšovat adresu odesílatele není vůbec žádný problém). Z toho důvodu musíte "důvěřovat" certifikační autoritě, která ověřila certifikát uživatele (který tím tedy může podepisovat svoji poštu).
Z principu použité šifry (asymetrická) je možný i další způsob využití - skutečné zašifrování vaší zprávy tak, aby ho zaručeně nepřečetl nikdo jiný, než příjemce. K tomu ovšem potřebujete tzv. veřejný klíč příjemce (ten lze získat např. tak, že vám pošle podepsaný email). Vysvětlení této problematiky je ovšem nad rámec tohoto návodu.
Pro toto využití je podstatně lepší nápad zažádat si (a zaplatit) o certifikát některou organizaci, která se tím zabývá profesionálně. Na výběr jsou jich celosvětově asi tisíce ... v ČR jich moc není. Doporučuji verzi "kvalifikovaný certifikát", který umožňuje i komunikaci se státními úřady. Instalaci certifikátu té organizace se samozřejmě nevyhnete ...
Elektronický podpis je totiž ze zákona ekvivalentní ručnímu podškrábnutí papíru! Bohužel ho příjemce musí mít možnost akceptovat ...
Odkazy
- Oficiální české stránky Mozilly - především software Firefox a Thunderbird
Pro klid duše doporučuji nainstalovat ICA, PostSignum, Czechia, AEC a InWay certifikáty.