Instalace certifikátu CA

Z KHnetWiki

Přejít na: navigace, hledání

Tento návod je pro operační systém windows. Ukázky jsou z Windows Vista, starší to mají ale v podstatě stejné.

POZOR!! Od 9/2014 jsme přešli na komerční certifikáty od fy Comodo (EssentialSSL CA). Toto již není potřeba.

Obsah

Instalace certifikátu KHnet.info Root CA do Windows

Tímto postupem řeknete počítači, aby důvěřoval všem digitálním certifikátům které vydá naše spolku. Nebude se tedy při každém pokusu o přístup na šifrované (https) stránky nebo při pokusu o stažení nebo odeslání pošty (pop3s, imaps a smtps) rozčilovat, že bylo narušeno zabezpečení, nebo že se někdo vydává za něco co není ...

Je nezbytně nutné použít Internet Explorer, neboť jiné prohlížeče používají své vlastní řešení a nedozvěděly by se to tedy windows samotné.

Kliknutím na certifikát vyvolejte stažení souboru. Zvolte ovšem "spustit" (nebo "otevřít" není-li taková možnost).


Zobrazí se vám okénko s informacemi o certifikátu, na záložce podrobnosti můžete zkontrolovat tzv. otisk (v pojetí windows miniaturu). Pokud souhlasí s tímto na obrázku, můžete prohlásit "ano, je to opravdu on, patří spolku khnet.info":
Certifikát Certifikát
po prostudování informací klikněte na tlačítko Nainstalovat certifikát.


Nejdříve se vám pravděpodobně vnutí informační okénko s několika radami. Pokračujte dál. V následujícím kroku po vás windows chtějí vybrat, kam ten certifikát nainstalovat. Na toto pozor, pokud necháte vše na automatice, nebudete spokojeni. Windows totiž tento certifikát nepovažují za úplně důvěryhodný a tím pádem neudělají to, co potřebujeme. Tj. mu důvěřovat naprosto. Je to z toho důvodu, že každý certifikát musí být "ověřen" jinou certifikační autoritou, to ověření opět ověřeno ... dokud se v hiearchii nedostaneme až navrchol. A seznam (resp. jejich certifikáty) těch celosvětově nejznámějších autorit jsou ve windows předinstalovány. Bohužel tam není ani jedna česká certifikační autorita ... a i kdyby byla, spolek nemá svůj certifikát ověřen - je totiž samo sobě certifikační autoritou. No a právě to snižuje jeho důvěryhodnost. Je pouze na vás uživatelích, zda mu budete věřit a tedy budete pokračovat v provádění tohoto návodu.
V předchozím odstavci popsané "problémy" nemají vliv na technickou kvalitu - šifrování je úplně stejně kvalitní (považuje se za absolutně neprolomitelné) jako kdybychom ověřeni někde byli ...

Úložiště certifikátů

Zde je tedy nutné zvolit druhou možnost - "všechny certifikáty umístit v následujícím úložišti" a pomocí tlačítka Procházet vybrat úložiště s názvem "Důvěryhodné kořenové certifikační úřady".

Okénka potvrzujte tlačítky OK, Další a Dokončit. Poslední varování vypadá asi takto
Poslední varování
Všimněte si, že zde se již otisk jmenuje správně otisk a je stejný jako miniatura na jednom z předchozích obrázků. Samozřejmě, že v toto chvilku už je vše jasné, khnetu důvěřujete a tedy tlačítkem ANO dokončíte instalaci certifikátu.

Nyní je již vše hotovo. Žádná ze šifrovaných služeb (s certifikátem vydaným KHnet.info) nebude nadávat na problémy s certifikátem, nebo důvěryhodností. Konec


Instalace certifikátu KHnet.info Root CA do prohlížeče Firefox

Tento krok je bohužel nutný pro všechny kdo nepoužívají Internet Explorer Microsoftu. Tedy brouzdají Firefoxem.

Začátek je stejný - kliknutím na certifikát vyvolejte stažení souboru. Zobrazí se poměrně jednoduché okénko Instalace FF
kde všechny tři možnosti zaškrtněte. Pomocí tlačítka Zobrazit lze prozkoumat a zkontrolovat certifikát obdobně jako ve windows s IE Certifikát
Všimněte si, že otisk opět souhlasí ...

Všechna okénka potvrďte a je to hotovo.


Instalace certifikátu KHnet.info Root CA do e-mailového klienta Thunderbird

Ze záhadných důvodů nepoužívá thunderbird stejné úložiště certifikátů jako firefox, takže je to nutné zopakovat ještě jednou v bledě modrém.

Začátek trochu rozdílný - kliknutím pravým tlačítkem myši na certifikát zobrazíte malé menu a zvolte "Uložit odkaz jako". Soubor uložte někam na disk, kde ho za chvilku budete schopni najít ...

V menu Thunderbirdu zvolte Nástroje/Možnosti. Klikněte na ikonku Rozšířené a pak na záložku Certifikáty. Následně tlačítkem Certifikáty zobrazte seznam všech certifikátů. Na záložce Certifikační autority najdete čudlík Import. Zmáčkněte ho a otevřete soubor uložený způsobem z předchozího odstavce. Import certifikátu

Po otevření souboru již jsou další kroky (obrázky) shodné s popisem u Firefoxu, které byste již měli znát. Takže si zkontrolujte, zda jste natáhli správný soubor (tlačítko Zobrazit), pak zaškrtněte všechny tři možnosti a potvrďte tlačítkem OK. Úspěch není ničím potvrzen, podívejte se do seznamu certifikátů, zda se tam vyskytuje jméno "KHnet.info, z. s.". Pokud ano, je vše hotovo. Okénka, co zůstala otevřená pozavirejte tlačítky OK.


Ostatní prohlížeče a email klienti

Vzhledem k tomu, že není v mých silách napsat návod pro úplně všechny programy, co se kde můžou vyskytovat, tak se na to také vykašlu. V lepším případě budou využívat centrální úložiště windows - a tedy máte hotovo, nebo je postup vždy velice podobný. Stáhnout certifikát a naimportovat do programu mezi důvěryhodné certifikační autority.


Elektronický podpis

Certifikáty vydávané (ověřované) certifikačními autoritami (tedy i KHnet.info Root CA) lze využít i pro tzv. elektronický podpis. Pouze pomocí něho jste schopni ověřovat emaily - zda se mezi napsáním autorem (tím, kdo to podepsal) nezměnila, nebo zda opravdu pochází od toho, od koho si myslíte (zfalšovat adresu odesílatele není vůbec žádný problém). Z toho důvodu musíte "důvěřovat" certifikační autoritě, která ověřila certifikát uživatele (který tím tedy může podepisovat svoji poštu).
Z principu použité šifry (asymetrická) je možný i další způsob využití - skutečné zašifrování vaší zprávy tak, aby ho zaručeně nepřečetl nikdo jiný, než příjemce. K tomu ovšem potřebujete tzv. veřejný klíč příjemce (ten lze získat např. tak, že vám pošle podepsaný email). Vysvětlení této problematiky je ovšem nad rámec tohoto návodu.

Pro toto využití je podstatně lepší nápad zažádat si (a zaplatit) o certifikát některou organizaci, která se tím zabývá profesionálně. Na výběr jsou jich celosvětově asi tisíce ... v ČR jich moc není. Doporučuji verzi "kvalifikovaný certifikát", který umožňuje i komunikaci se státními úřady. Instalaci certifikátu té organizace se samozřejmě nevyhnete ...

Elektronický podpis je totiž ze zákona ekvivalentní ručnímu podškrábnutí papíru! Bohužel ho příjemce musí mít možnost akceptovat ...


Odkazy

Pro klid duše doporučuji nainstalovat PostSignum, ICA, eIdentity, Czechia, AEC a InWay certifikáty. Rada KHnetu používá (resp. bude) většinou Postsignum.

Většina společností poskytuje tzv. Root certifikát - ten je potřeba nainstalovat do "důvěryhodného úložiště" (viz. výše) a pak podřízené (aneb Zprostředkující), u těch již stačí zvolit automatický výběr úložiště (neboť kořenový již systém zná). Pokud nabízí pouze jeden certifikát, instalujte ho vždy jako "důvěryhodný".

Dále je na stránkách těchto společností zveřejněn i seznam odvolaných certifikátů (jsou to soubory .crl) - to vám zabezpečí informovanost o již neexistujících certifikátech. Jak přesně vám dá systém na vědomí, že je daný certifikát odvolaný, to nevím ... Nepřišel jsem také na to, jak tyto seznamy instalovat automaticky. Je nutné soubor stáhnout a poté pomocí pravého tl. myši zvolit "Nainstalovat seznam CRL". Tajně doufám, že poté to funguje již automaticky, neboť součástí certifikátu autority je i adresa s těmito seznamy.


Poznámka: nutnost výběru úložiště by nebyla nutná, kdyby tyto společnosti využívaly možnost křížových ověření - prostě nechali se podepsat jinou autoritou, nejlépe celosvětově známou a spolehlivou, např. Thawte, VeriSign, GeoTrust. Certifikáty těchto autorit jsou totiž obsaženy pravděpodobně ve všech operačních systémech takříkajíc samy od sebe a také pravidelně aktualizovány (alespoň v případě windows). Jsou uloženy i ve Firefoxu a Thunderbirdu, takže je možno říct, že jsou nejspíš všude dostupné a důvěryhodné.

Osobní nástroje