#language cs ## 20241117 AK ## page was renamed from BrowserClients ---- català | '''česky''' | dansk | [[FAQ/BrowserClients/DE|deutsch]] | [[FAQ/BrowserClients|english]] | español | français | lingála | magyar | nederlands | norsk | polski | português | svenska ---- = Jak importovat kořenový certifikát CAcert do klientského softwaru = Viz také: [[FAQ/ImportRootCert/CZ|Import kořenových certifikátů]] | [[FAQ/eMailClients/CZ|E-mailové klientské programy]] Chcete-li navštívit web, který používá SSL certifikát podepsaný CAcertem, můžete od SSL dostat výstrahu. Je nám líto, ale v současnosti je to stále ještě 'normální', protože hlavní (nejrozšířenější) prohlížeče ještě standardně neobsahují kořenový certifikát CAcertu. (Zkontrolujte stránku [[InclusionStatus|Stav vložení]] pro poslední zprávy o této věci.) Tento článek říká, jak můžete manuálně vložit kořenový certifikát CAcert (CAcert Root Certificate) do svého webového prohlížeče a dalších klientských programů (jako Acrobat Reader), abyste už zmíněnou výstrahu nedostávali. Očekávaný výsledek: Navštívíte https://www.cacert.org/ a další weby používající CAcertem vydané certifikáty a nedostanete už žádné výstrahy o neznámých certifikátech. <> == Mozilla Firefox == ## === Firefox add-on (přídavný modul) === ## [[https://addons.mozilla.org/de/firefox/addon/cacert-root-certificate/|Importér kořenových certifikátů CACert]]. ## ||<#FFFF00> /!\ ||<#FFFF00> Firefox nových verzí (například Firefox verze 39.0 v Ubuntu 14.10) Vám nedovolí ruční import starého kořenového certifikátu CAcert root, protože jeho podpis algoritmem MD5 již nepovažuje za bezpečný. Zde nejlépe pomůže instalace přídavného modulu Firefox, jak je uvedena výše. Po instalaci kořenových certifikátů pomocí přídavného modulu zkontrolujte a upravte jejich důvěryhodnost (Nástroje - Možnosti - Soukromí a zabezpečení - Zobrazit certifikáty - Autority - vybrat certifikáty pod Root CA - Upravit důvěru, jak je popsáno níže, bod 3).|| ||<#00FF00> /!\ ||<#00FF00> Importujte NOVÉ kořenové certifikáty CAcert (root_X0F.crt, class3_x14E228.crt, root_X0F.der, class3_x14E228.der) do Firefoxu, Thunderbirdu, Palemoonu, Seamonkey, ... (všech, co mají vlastní úložiště certifikátů) podepsané algoritmem SHA256.|| Firefox používá svůj vlastní Správce certifikátů (Certificate Manager). Takže i když Vaše aplikace Windows (a jiné od Microsoftu) již používají kořenový certifikát CAcert, Firefox ještě nemusí. === Čtení kořenových certifikátů ze systémového úložiště Windows === Prohlížeč '''Firefox má své vlastní úložiště'''. V nových verzích (od roku cca 2017) lze však nastavit, aby si přečetl certifikáty autorit i ze systémového úložiště Windows. Nastavení najdete na stránce '''about:config''' jako '''security.enterprise_roots.enabled''' a je třeba nastavit ho na '''true'''. === Import kořenového certifikátu CAcert === 1. Jděte na web s kořenovými certifikáty CAcert: http://www.cacert.org/index.php?id=3 1. Klikněte na 'Kořenový certifikát (formát PEM)' [[#FootNote1|x1)]] 1. Uvidíte zprávu: {{{ You have been asked to trust a new Certificate Authority (CA). Do you want to trust "CA Cert Signing Authority" for the following purposes? [ ] Trust this CA to identify web sites. [ ] Trust this CA to identify email users. [ ] Trust this CA to identify software developers. Before trusting this CA for any purpose, you should examine its certificate and its policy and procedures (if available). [VIEW] Examine CA certificate (česky): Dotaz, zda důvěřujete nové certifikační autoritě (CA)? Chcete důvěřovat "CA Cert Signing Authority" (podepisující autoritě Ca Cert) pro tyto účely? [ ] Důvěřuji této CA pro identifikaci webů. [ ] Důvěřuji této CA pro identifikaci uživatelů e-mailu. [ ] Důvěřuji této CA pro identifikaci vývojářů softwaru. Před vyslovením důvěry této CA pro kterýkoli účel prozkoumejte její certifikát a jeho zásady a procedury (jsou-li dostupné). [ZOBRAZIT] Zkontrolujte certifikát CA }}} 1.#4 Měl(a) byste kliknout na VIEW (ZOBRAZIT) a zkontrolovat certifikát. Nejdůležitější je zkontrolovat "otisky prstů" (fingerprints) certifikátu [[#FootNote2|x2)]]. Měly by se shodovat (v případě kořenového certifikátu CAcert) s: {{{ SHA1 otisk prstu: dd:fc:da:54:1e:75:77:ad:dc:a8:7e:88:27:a9:8a:50:60:32:52:a5 SHA256 otisk prstu: 07ED BD82 4A49 88CF EF42 15DA 20D4 8C2B 41D7 1529 D7C9 00F5 7092 6F27 7CC2 30C5 }}} 1.#5 Zavřete prohlížeč certifikátů a označte aspoň první možnost ('Důvěřuji této CA pro identifikaci webů.'). 1. Stiskněte OK; to je vše. 1. Celý postup opakujte pro kořenový certifikát třídy 3 (CAcert class3_x14E228.crt nebo class3_x14E228.der). {{{ SHA1 otisk prstu: D8A8 3A64 117F FD21 94FE E198 3DD2 5C7B 32A8 FFC8 SHA256 otisk prstu: 1BC5 A61A 2C0C 0132 C52B 284F 3DA0 D8DA CF71 7A0F 6C1D DF81 D80B 36EE E444 2869 }}} /!\ Zde však certifikátu třídy 3 nevyslovujte důvěru /!\ Důvěra se totiž (ať pro první, druhý nebo třetí účel) týká výslovně daného certifikátu. To je správné pro kořenový certifikát třídy 1, ale tento zprostředkující certifikát třídy 3 dědí důvěryhodnost od kořenového certifikátu třídy 1 (který jej podepsal) a pokud bychom mu dali výslovnou důvěryhodnost, nesestavil by se správně řetěz certifikátů od kořenového přes zprostředkující k Vašemu klientskému. Viz [[FAQ/CertChainConstruction/CZ|Sestavení řetězu certifikátů]]. === Instalace Seznamu odvolaných certifikátů (Certificate Revocation List, CRL) === 1. Klikněte tlačítko 'Revocation Lists' (odvolací seznam) v Preference -> Upřesnit -> Šifrování (Preferences-> Advanced-> Encryption) a tím otevřete okno Manage CRL (Práce s CRL). 1. Zde klikněte tlačítko "Import", pak zadejte URL http://crl.cacert.org/revoke.crl. 1. Klikněte OK a nastavte preference automatické aktualizace podle potřeby. Poznámka: Po stisknutí OK může chvíli trvat, než se CRL importuje. Chcete-li kontrolovat, modifikovat nebo odstranit kořenový certifikát CAcertu, máte k němu kdykoli přístup takto: 1. Otevřete dialog Edit -> Preferences -> Advanced nebo Tools -> Options -> Advanced (úpravy-preference-upřesnit nebo nástroje-možnosti-upřesnit) 1. Certificates -> Manage Certificates (spravovat certifikáty) 1. Autority 1. Certifikát CAcertu se nazývá '''Root CA''' (sjeďte v seznamu k 'R'!) 1. Zvolte zde View, Edit nebo Delete. == Mozilla Thunderbird == Thunderbird používá svůj vlastní Správce certifikátů (Certificate Manager). Takže i když Vaše aplikace Windows (a jiné od Microsoftu) již používají kořenový certifikát CAcert, Thunderbird ještě nemusí. Následující procedura Vám řekne, jak importovat kořenový certifikát CAcert do Vašeho e-mailového klienta Thunderbird. 1. Jděte na web s kořenovými certifikáty CAcert: http://www.cacert.org/index.php?id=3 1. Klikněte PRAVÝM tlačítkem myši na 'Kořenový certifikát (formát PEM)' a uložte ho do vhodného umístění (root_X0F.crt). 1. Spusťte Thunderbird 1. Podle verze Thunderbirdu . - u starších verzí: Preferences-> Privacy-> Security-> View Certificates -> CA . - u verze V2.x: Tools->Options->Encryption->View Certificates->Authorities 1. Zvolte "Importovat certifikát" nebo "Import..." 1. K importu zvolte stažený a uložený certifikát z kroku 2. Uvidíte zprávu: {{{ You have been asked to trust a new Certificate Authority (CA). Do you want to trust "CA Cert Signing Authority" for the following purposes? [ ] Trust this CA to identify web sites. [ ] Trust this CA to identify email users. [ ] Trust this CA to identify software developers. Before trusting this CA for any purpose, you should examine its certificate and its policy and procedures (if available). [VIEW] Examine CA certificate (česky): Dotaz, zda důvěřujete nové certifikační autoritě (CA)? Chcete důvěřovat "CA Cert Signing Authority" (podepisující autoritě Ca Cert) pro tyto účely? [ ] Důvěřuji této CA pro identifikaci webů. [ ] Důvěřuji této CA pro identifikaci uživatelů e-mailu. [ ] Důvěřuji této CA pro identifikaci vývojářů softwaru. Před vyslovením důvěry této CA pro kterýkoli účel prozkoumejte její certifikát a jeho zásady a procedury (jsou-li dostupné). [ZOBRAZIT] Zkontrolujte certifikát CA }}} 1.#7 Měl(a) byste kliknout na VIEW (ZOBRAZIT) a zkontrolovat certifikát. Nejdůležitější je zkontrolovat "otisky prstů" (fingerprints) certifikátu [[#FootNote2|*2)]]. Měly by se shodovat (v případě kořenového certifikátu CAcert) s: {{{ SHA1 otisk prstu: dd:fc:da:54:1e:75:77:ad:dc:a8:7e:88:27:a9:8a:50:60:32:52:a5 SHA256 otisk prstu: 07ED BD82 4A49 88CF EF42 15DA 20D4 8C2B 41D7 1529 D7C9 00F5 7092 6F27 7CC2 30C5 }}} 1.#8 Zavřete prohlížeč certifikátů a označte aspoň první možnost ('Důvěřuji této CA pro identifikaci webů.'). 1. Stiskněte OK, to je vše. 1. Celý postup opakujte pro kořenový certifikát třídy 3 tvaru PEM (CAcert class3_x14E228.crt). Jakmile jste instalovali kořenový certifikát do Thunderbirdu (nebo jiné Vaší klientské aplikace), můžete smazat soubor 'root_X0F.crt', který jste si stáhl(a) v kroku 2; po instalaci zprostředkujícího certifikátu i soubor 'class3_x14E228.crt'. Pro instalaci Seznamu odvolaných certifikátů (Certificate Revocation List, CRL) stiskněte tlačítko 'Revocation Lists' v Preferences -> Advanced -> Certificates a tím otevřete okno Správa CRL (Manage CRL). Tam stiskněte tlačítko "Import", pak zadejte URL http://crl.cacert.org/revoke.crl, stiskněte OK a nastavte preference automatické aktualizace, jak je třeba. Poznámka: Po stisknutí OK může chvíli trvat, než se CRL importuje. == Apple Safari == K přidání kořenového certifikátu CAcert do Apple Safari potřebujeme použít aplikaci Keychain Access, která se dodává se systémem Mac OS X. Pro instalaci certifikátu pro celý systém proveďte tyto kroky: 1. Navštivte web s kořenovými certifikáty CAcert: http://www.cacert.org/index.php?id=3 1. Klikněte 'Kořenový certifikát (formát PEM)'. Tím ho stáhnete na plochu. 1. Dvojklikem souboru 'root_X0F.crt' spustíte aplikaci Keychain Access. 1. Pro kontrolu certifikátu klikněte na tlačítko 'View Certificates' (zobrazit certifikáty) na levé strabě dialogu. * '''Lion 10.7:''' 'Certificates' dole, ne však 'My Certificates' (Moje certifikáty). Klikněte na kořenový zobrazený v hlavním poli. 1. Objeví se dialog s informacemi o certifikátu. * '''Lion:''' sjeďte ke spodku dialogu. * ''Ujistěte se, že se shodují tyto údaje:'' {{{ "Otisky prstů" (Fingerprints) SHA1: dd:fc:da:54:1e:75:77:ad:dc:a8:7e:88:27:a9:8a:50:60:32:52:a5 SHA256: 07ED BD82 4A49 88CF EF42 15DA 20D4 8C2B 41D7 1529 D7C9 00F5 7092 6F27 7CC2 30C5 }}} 1.#5 Zvolte 'System' z rozbalovacího seznamu 'Keychain' a stiskněte OK. * '''Lion:''' Pro instalaci pro všechny uživatele přetáhněte certifikát(y) z Vašeho pole 'Certificates' doleva nahoru a pusťte nad 'System'. 1. Budete požádáni, abyste se identifikovali. Pak bude certifikát instalován pro celý systém. Aplikace Keychain Access zpřístupňuje certifikáty všem aplikacím včetně Chrome (ne však Thunderbird ani Firefox, které používají vlastní certifikátové ukládání, systém Mozilla). == Webový prohlížeč Opera == Toto se týká Linuxu 8.02, u 6.x a 7.x nejisté 1. Navštivte web s kořenovými certifikáty CAcert: http://www.cacert.org/index.php?id=3 1. Klikněte na 'Kořenový certifikát (formát PEM)' 1. Zvolte 'View' popř. 'Otevřít' 1. Zvolte 'Allow connections to sites using this certificate' (povolit připojení k webům, používajícím tento certifikát) 1. Je-li to žádoucí, zrušit 'Warn me before using this certificate' (upozornit mě před použitím tohoto certifikátu) Příležitostně může vyvstat problém s průchodem (uložením?) certifikátu do Opery 8.5 ve Windows. Problém obejdete takto: 1. Zajistěte vyčistění mezipaměti (cache). 1. Pokuste se získat certifikát pomocí změny identifikace Opery (Operu lze nastavit, aby se identifikovala jako jiné prohlížeče). 1. Pokuste se získat certifikát při identifikaci Opery jako IE 6.0 (v Opeře). 1. Pokste se ho získat znovu při identifikaci prohlížeče znovu jako Opera. Tentokrát by měl certifikát projít. Zdá se, že je zde něco v práci s mezipamětí, kdy je třeba nastavit identifikaci jak IE, tak Opery zároveň, než Opera certifikát propustí. Je to zvláštní, ale funguje to. == Microsoft Internet Explorer == Při použití Microsoft Internet Exploreru máte dvě možnosti zavedení certifikátu. Buď ho instalovat automaticky použitím ActiveX, nebo ho importovat manuálně. === ActiveX === /!\ ZASTARALÉ /!\ '''Instalace pomocí ActiveX (nefunguje ve Windows Vista)''' 1. Navštivte web CAcert Wiki [[FAQ/NewRoots/CZ]], sjeďte dolů a najděte řádek "SHA256 CAcert_Root_Certificates_2021.msi - certifikáty třídy 1 (#00000F) a třídy 3 (#00000E), oba podepsané algoritmem SHA256 - instalační balíček pro Windows - postup" 1. Stáhněte soubor CAcert_Root_Certificates_2021.msi (Windows Installer Package) 1. Postupujte podle návodu odkazovaného na konci řádku (postup). === Manuální instalace (pro jednoho uživatele) === Chcete-li instalovat kořenový certifikát CAcert do Internet Exploreru manuálně: 1. Navštivte web s kořenovými certifikáty CAcert: http://www.cacert.org/index.php?id=3 1. Stáhněte si kořenové a zprostředkující (Intermediate) certifikáty' (ve formátu DER nebo PEM - obojí je možné) 1. Otevřete úložiště klíčů Windows (Windows Key Store) přímo z prohlížeče: Zobrazit -> Nástroje -> Možnosti Internetu -> Obsah -> Osobní -> Certifikáty, v IE vyšších verzí (10, 11): "Ozubené kolečko vpravo nahoře nebo menu Nástroje (menu se objeví po stisknutí Alt) -> Možnosti Internetu -> Obsah -> Certifikáty 1. Vyberte a. pro třídu 1: záložku '''Důvěryhodné kořenové certifikační autority''' a. Pro třídu 3: záložku '''Zprostředkující certifikační autority''' 1. Importujte certifikáty, které jste stáhl(a). Poznámka: Tato procedura pouze přidá certifikáty CAcert aktuálnímu uživateli! Má-li počítač více uživatelských účtů a Vy chcete certifikáty přidat všem, čtěte další sekce: == Microsoft Windows == === Jediný uživatel === 1. Navštivte web s kořenovými certifikáty CAcert: http://www.cacert.org/index.php?id=3 1. Stáhněte si kořenové a zprostředkující (Intermediate) certifikáty' (ve formátu DER nebo PEM - obojí je možné) 1. Přihlaste se jako Administrator (správce) 1. Ve Windows Exploreru najděte stažený kořenový certifikát třídy 1 a klikněte na něj pravou klávesou myši, vyberte '''Instalovat certifikát''' (a klikněte '''Otevřít''' a '''Další''', je-li třeba). U Windows 8 se zde napřed objeví dialog Průvodce, který Vám dá vybrat úložiště: '''Aktuální uživatel''' nebo '''Místní počítač''' - vyberte to první 1. Ověřte, že je vybrána volba označená '''Umístit všechny certifikáty do tohoto úložiště''' a že textové pole obsahuje text '''Důvěryhodné kořenové certifikační autority''' 1. Klikněte '''Další''' a pak '''Dokončit'''. Měl(a) byste dostat hlášení o úspěšném importu. 1. Ve Windows Exploreru najděte stažený zprostředkující certifikát třídy 3 a klikněte na něj pravou klávesou myši, vyberte '''Instalovat certifikát''' (a klikněte '''Otevřít''' a '''Další''', je-li třeba). U Windows 8 se zde napřed objeví dialog Průvodce, který Vám dá vybrat úložiště: '''Aktuální uživatel''' nebo '''Místní počítač''' - vyberte to první 1. Ověřte, že je vybrána volba označená '''Umístit všechny certifikáty do tohoto úložiště''' a že textové pole obsahuje text '''Zprostředkující certifikační autority''' 1. Klikněte '''Další''' a pak '''Dokončit'''. Měl(a) byste dostat hlášení o úspěšném importu. Poznámka: Pod Windows 8, když v bodech 4 a 7 zvolíte v prvním kroku instalace certifikátu "Místní počítač", uloží se certifikát do ůložiště počítače pro všechny jeho uživatele. Následující postup pak není potřebný. === Více uživatelů === Máte-li na svém počítači více než jeden účet, nebudete chtít instalovat kořenové certifikáty CAcert pro každého uživatele zvlášť. Proto můžete ručně importovat kořenové certifikáty CAcert do úložiště místního počítače (Local Machine Store). Tato procedura funguje pouze pro programy Microsoftu (například Internet Explorer a Outlook), takže bude ještě třeba importovat certifikát do ne-Microsoftích prohlížečů a e-mailových klientských programů. Poznámka: Pro Windows 8 viz předchozí postup. 1. Klikněte tlačítko Windows '''Start''' a zvolte '''Spustit''' 1. Napište název programu '''mmc''', stiskněte '''Enter''' - spustí se program správy mmc.exe 1. V okně programu MMC zvolte z menu '''File''' položku '''Přidat nebo odebrat modul snap-in...''' 1. Stiskněte tlačítko '''Přidat''' (u Windows 8 vyberte v levém seznamu '''Certifikáty''', stiskněte '''Přidat>''' a přeskočte další krok 1. Zvolte položku '''Certifikáty''' ze seznamu a stiskněte tlačítko '''Přidat''' 1. Zvolte '''Účet počítače''' a stiskněte tlačítko '''Next''' 1. Zvolte '''Místní počítač''' a stiskněte '''Konec'''; u Windows 8 '''OK''' a vynechte další krok 1. Stiskněte tlačítko '''OK''' 1. Rozklikněte strom vlevo, abyste viděl(a) uzel '''Důvěryhodné kořenové certifikační autority''' 1. Pravým tlačítkem myši klikněte na '''Důvěryhodné kořenové certifikační autority''' 1. Z menu zvolte '''Všechny úkoly''', pak '''Importovat...''' z podmenu a stiskněte '''Další''' 1. Vypište název s cestou anebo vyhledejte stažený kořenový certifikát CAcert třídy 1 a stiskněte '''Další''' 1. Ověřte, že je vybrána volba označená '''Umístit všechny certifikáty do tohoto úložiště''' a že textové pole obsahuje text '''Důvěryhodné kořenové certifikační autority''' 1. Stiskněte tlačítko '''Další''' a pak '''Dokončit'''. Měl(a) byste dostat hlášení o úspěšném importu. 1. Pravým tlačítkem myši klikněte na '''Zprostředkující certifikační autority''' 1. Z menu zvolte '''Všechny úkoly''', pak '''Importovat...''' z podmenu a stiskněte '''Další''' 1. Vypište název s cestou anebo vyhledejte stažený kořenový certifikát CAcert třídy 3 a stiskněte '''Další''' 1. Ověřte, že je vybrána volba označená '''Umístit všechny certifikáty do tohoto úložiště''' a že textové pole obsahuje text '''Zprostředkující certifikační autority''' 1. Stiskněte tlačítko '''Další''' a pak '''Dokončit'''. Měl(a) byste dostat hlášení o úspěšném importu. Nyní můžete okno programu MMC zavřít. == Microsoft Outlook == Postupujte podle výše uvedeného návodu pro Internet Explorer. (Úložiště je totéž.) Používáte-li Outlook 2007, musíte importovat certifikáty třídy 1 i třídy 3 (je-li Váš certifikát podepsán certifikátem třídy 3). Dalším problémem u Outlooku 2007 je, že se nestará o alternativní názvy (v certifikátu), takže se ujistěte, že je Vaše Veřejné jméno (Common Name) ve "Vystaveno pro" zadáno správně. == Testování: Microsoft Outlook 2010 == * Outlook 2010 to Outlook 2010 podepisování a šifrování e-mailů by mělo fungovat správně. * Podepisování e-mailů mezi Win7/Outlook 2010 a Ubuntu 11.04/Thunderbird 6 funguje * Šifrování a podepisování z Ubuntu 11.04/Thunderbird 6 do Win7/Outlook 2010 funguje * /!\ Nemáme dosud způsob (založený na mých testech), jak šifrovat/podepisovat z Win7/Outlook 2010 do Ubuntu 11.04/Thunderbird 6: Thunderbird si stěžuje, že nemůže dešifrovat data. Poznámka: v Outlooku 2010 je řada nových možností pro výběr hašovacího a šifrovacího algoritmu. Pznámka: Některé předchozí testy, které provedl Jason Curl v dubnu 2011, neposkytly jasné výsledky. Nelze zjistit, který software nepracuje správně (Outlook 2010 nebo Thunderbird verze 3) == Import objektu Skupinových zásad (Group Policy Object, GPO) do aktivního adresáře (Microsoft Active Directory) == Aby mohl jakýkoli produkt Microsoftu používat certifikáty generované CACert.org, budete muset ručně importovat kořenový certifikát do úložiště certifikátů. Můžete to udělat na svém stroji z téhož rozhraní, ALE chcete-li používat certifikáty po celém podniku / společnosti, budete muset postupovat podle tohoto textu, vypůjčeného z webu podpory Microsoftu. Přidejte kořenovou CA třetí strany do důvěryhodných kořenových certifikátů v objektu zásad skupiny aktivního adresáře (Active Directory Group Policy object, AD GPO). Ke konfiguraci zásad skupiny v doméně Windows 2000, která bude distribuovat CA třetí strany do úložišť důvěryhodných kořenových certifikátů všech počítačů domény Windows: 1. Klikněte Start -> Programy -> Nástroje pro správu -> Uživatelé a počítače služby Active Directory 1. V levém panelu najděte doménu, ve které chcete upravit zásady. 1. Klikněte doménu pravým tlačítkem myši a v menu pak klikněte '''Vlastnosti'''. 1. Klikněte záložku '''Zásady skupiny''' (Group Policy). Windows server 2008 - viz POZNÁMKU 1. Vytvořte novou položku zásad kliknutím na '''Nová''' (New) a pojmenujte ji. 1. Klikněte na nový objekt a pak na '''Upravit''' (Edit). Otevře se nové okno. 1. V levém panelu rozbalte položky: Konfigurace počítače, Zásady, Nastavení Windows, Nastavení zabezpečení, Zásady veřejných klíčů ('Computer Configuration', 'Windows Settings', 'Security Settings', 'Public Key Policy') 1. Pravým tlačítkem myši klikněte na '''Důvěryhodné kořenové certifikační autority''' 1. Z menu zvolte '''Všechny úkoly''', pak '''Importovat...''' z podmenu 1. Importujte certifikát podle instrukcí průvodce. 1. Klikněte '''OK'''. 1. Zavřete okno '''Zásady skupiny'''. Upravit ''Výchozí zásady domény'', jak předtím navrhoval tento článek wiki, není správný postup. POZNÁMKA: Ve verzích Windows Server 2008 (a WS 2008 R2) již není přístup k zásadám skupiny z Vlastností domény v nástroji správy Uživatelé a počítače služby Active Directory (chybí záložka zásad. Místo toho je třeba spustit nástroj správy "Správa zásad skupiny", vyhledat doménu v jeho levém panelu, přidat tam nový objekt a nastavit, jak výše uvedeno od bodu 5. == Podpora SHA256 ve starších systémech Windows == . Máte-li problémy s použitím nových zprostředkujících certifikátů třídy 3 a s vytvářením klientských certifikátů třídy 3, pak pravděpodobně Váš starší systém Windows (Windows XP, Windows 2003) nemá instalovánu opravu '''[[http://www.microsoft.com/en-US/download/details.aspx?id=4670|Základní poskytovatel MS pro Smart Card (KB909520)]]'''. . KB909520 instaluje podporu SHA256 a jiných kryptografických poskytovatelů (poskytovatelů kryptografických služeb), jako AES128, AES192, AES256 a dalších . Další informace o kryptografických poskytovatelích ve Windows jsou v [[http://msdn.microsoft.com/en-us/library/windows/desktop/bb931357%28v=vs.85%29.aspx|článku knihovny MSDN: CryptoAPI Cryptographic Service Providers]] == Acrobat 6.0 == Pro Acrobat READER 6.0.X,jestliže certifikátové úložiště Windows obsahuje kořenový certifikát CAcert, postupujte takto: 1. Menu Edit -> Preferences (Úpravy -> Předvolby) 1. Zvolte '''Digital Signatures''' (digitální podpisy) 1. Stiskněte tlačítko '''Advanced Preferences''' (Upřesnit předvolby) 1. Zkontrolujte tyto 3 možnosti: * Povolit import identit z certifikátového úložiště Windows do seznamu důvěryhodných identit Adobe (Adobe Trusted Identities List) * Ověřování podpisů * Ověřování certifikovaných dokumentů Poznámka: Toto BY MĚLO fungovat také pro Acrobat 6 verze Academic, Standard a Professional, ale nebylo to ověřeno. == Acrobat 7.0 až 10.0 == Jak přidat kořenový certifikát CAcert do certifikačního úložiště Adobe, když nepoužívá úložiště certifikátů Windows? Dotaz: Dostávám chybové hlášení '''Certifier's Identity is Unknown''' (neznámá identita certifikátora) Řečeno jednoduše: důvodem je, že kořenový certifikát CACert.org v Adobe není, protože od Akrobatu 7 mají své kořenové certifikáty v Akrobatu pouze 2 certifikační autority (GeoTrust a Adobe). Tím se musíte ve svých klientech prokousat, chcete-li používat certifikáty jiných CA k k podpisu svých dokumentů PDF. Acrobat Reader skutečně má schopnost ověřovat své dokumenty podle úložiště certifikátů Windows, alespoň Acrobat Reader 7 ji má. Postupujte takto: 1. Otevřete Acrobat (Reader, Academic, Standard or Professional) 1. Zvolte menu '''Edit''' (Úpravy) 1. Zvolte '''Preferences''' (Předvolby) 1. Zvolte kategorii '''Security''' (Zabezpečení) 1. Stiskněte tlačítko '''Advanced Preferences''' (Upřesnit předvolby) 1. Zvolte záložku '''Windows Integration''' (Integrace s Windows) 1. Pak zaškrtněte tyto 3 možnosti: * Povolit import identit z certifikátového úložiště Windows do seznamu důvěryhodných identit Adobe (Adobe Trusted Identities List) * Ověřování podpisů * Ověřování certifikovaných dokumentů Pamatujte: toto nainstaluje kořenový certifikát CAcert pouze do Vaší kopie Akrobatu, ne do jiného softwaru (do webového prohlížeče ani do klienta e-mailu). == Google Chrome == === Linux === V [[http://code.google.com/p/chromium/wiki/LinuxCertManagement|Linuxu]] používá Google Chrome pro certifikáty[[https://wiki.mozilla.org/NSS_Shared_DB_And_LINUX|NSS jako Mozilla]], proto potřebujete nástroj `certutil` k jeho správě. V Debianu/Ubuntu `certutil` přichází v `libnss3-tools` {{{ $ sudo apt-get install libnss3-tools }}} a k importu našich kořenových certifikátů zadejte příkazy: {{{ $ wget -O cacert-root.crt "http://www.cacert.org/certs/root_X0F.crt" $ wget -O cacert-class3.crt "http://www.cacert.org/certs/class3_x14E228.crt" $ certutil -d sql:$HOME/.pki/nssdb -A -t TC -n "CAcert.org" -i cacert-root.crt $ certutil -d sql:$HOME/.pki/nssdb -A -t TC -n "CAcert.org Class 3" -i cacert-class3.crt }}} což bude fungovat ihned, bez restartování prohlížeče. Vnější odkazy s dalšími podrobnostmi: * [[http://cad.cx/blog/2009/08/11/howto-add-cacert-root-certificates-to-chromium/|Jak přidat kořenové certifikáty CAcert do Chromia (Google Chrome)]] * [[http://code.google.com/p/chromium/wiki/LinuxCertManagement|Správa certifikátů v Linuxu]] === Mac OS X === Chrome používá pro správu klíčů systémový řetěz klíčů (keychain), viz instrukce pro nastavení uvedené v sekcích výše [[#Apple Safari|Apple Safari]]. = Externí dokumentace = * [[http://dimacs.rutgers.edu/Workshops/ComputerSecurity/slides/d4_tls_ssl.pdf|Rutgers University přednáška]] * další odkazy jsou bohužel již asi nefunkční: * [[https://rulink.rutgers.edu/loadca.html|Rutgers University FAQ pro přidání CA cert do různých webových prohlížečů]] * {pt} [[http://spaces.msn.com/members/senorcarlao/Blog/cns!1pJrOOijO2CXQgbQCAQ6t4iw!136.entry|Instalace kořenového certifikátu v Internet Exploreru (Carlos Pereira)]] * https://help.riseup.net/security/certificates/import/Návody od riseup.net pro instalaci kořenových certifikátů CACert v prohlížečích a e-mailových klientech Firefox, Mozilla, Safari, IE Mac, IE Windows, Thunderbird, Mozilla Mail, Apple Mail, Outlook Windows, Outlook Mac. * [[http://www.chosensecurity.com/stuff/contentmgr/files/0/6d2fc0a807106169f266443672dc9ef2/document/web_browsers_with_certificates___chosensecurity.pdf|Import a export digitálních certifikátů v populárních webových prohlížečích]] z dokumentace PGP Trustcentra (Internet Explorer, FireFox, Chrome, Safari, Opera - s mnoha screenshoty) = Zbytky z původní stránky = '''Poznámka:''' Protože můžete použít své osobní certifikáty (e-mailové) k podepisování dokumentů, začneme zásadní otázkou: "Jak generujete své klíče?" Když žádáte od CA, například od CACert.org, certifikát, Váš počítač vygeneruje soukromý klíč a žádost, kterou pak použijete k získání části s veřejným klíčem, podepsané CA. Používáte-li ke generování IE, uloží IE obě části Vašeho klíče do úložiště klíčů Windows. Používáte-li Firefox, budete mít trochu více potíží, protože budete muset exportovat klíč z úložiště klíčů Firefoxu a importovat ho do úložiště klíčů Windows, než ho budete moci použít ve Wordu nebo jiném produktu Office.''' ''' '''Manuální import/export osobních e-mailových certifikátů CAcert do Internet Exploreru''' Proveďte tytéž instrukce jako výše. V tomto stádiu můžete importovat celý svůj certifikát nebo ho zazálohovat, jedna z možností zálohy obsahuje uložení privátního klíče. Pro jednoduchost předpokládejme, že jste pro generování certifikátu použil(a) IE, je tedy certifikát v úložišti Windosw; pokud ne, vraťte se a udělejte to správně, ušetří Vám to bolení hlavy. Poznámka: Nebo použijte místo IE MMC modul "Certifikáty". = Často kladené otázky (FAQ) = * '''Dotaz:''' Můj nový prohlížeč FF12 hlásí chybu "ssl_error_renegotiation_not_allowed" (chyba SSL: opakované vyjednání není dovoleno) při návštěvě stránky https://community.cacert.org/board/motions.php?motion= * '''Odpověď:''' To se dá obejít konfigurací nastavení FF12 - povolit opakované vyjednání SSL . zadejte about:config na řádek URL . ''Varianta A:'' . vyhledejte "security.ssl.allow_unrestricted_renego_everywhere_ _temporarily_available_pref" a nastavte True . (podle: [[http://my.opera.com/duyda/blog/2011/03/30/ssl-error-renegotiation-not-allowed]]) . ''Varianta B:'' . vyhledejte "security.ssl.renego_unrestricted_hosts", přidejte "community.cacert.org,blog.cacert.org" do pole řetězců == Poznámky pod čarou == <> . x^1^) Napíše-li Vám Firefox 'This certificate is already installed as a certificate authority.' (tento certifikát je již instalován jako certifikační autorita), pak už někdo (například správce sítě) importoval kořenový certifikát za Vás. <> . x^2^) Na stránce kořenových certifikátů CAcert můžete také najít "otisky prstů" (fingerprints) podepsané klíčem GPG. ---- . CategoryCommunity . CategoryConfiguration . CategoryGuide . CategorySoftware . CategorySupport