català | česky | dansk | deutsch | english | español | français | lingála | magyar | nederlands | norsk | polski | português | svenska
Jak importovat kořenový certifikát CAcert do klientského softwaru
Viz také: Import kořenových certifikátů | E-mailové klientské programy
Chcete-li navštívit web, který používá SSL certifikát podepsaný CAcertem, můžete od SSL dostat výstrahu. Je nám líto, ale v současnosti je to stále ještě 'normální', protože hlavní (nejrozšířenější) prohlížeče ještě standardně neobsahují kořenový certifikát CAcertu. (Zkontrolujte stránku Stav vložení pro poslední zprávy o této věci.)
Tento článek říká, jak můžete manuálně vložit kořenový certifikát CAcert (CAcert Root Certificate) do svého webového prohlížeče a dalších klientských programů (jako Acrobat Reader), abyste už zmíněnou výstrahu nedostávali.
Očekávaný výsledek: Navštívíte https://www.cacert.org/ a další weby používající CAcertem vydané certifikáty a nedostanete už žádné výstrahy o neznámých certifikátech.
Contents
-
Jak importovat kořenový certifikát CAcert do klientského softwaru
- Mozilla Firefox
- Mozilla Thunderbird
- Apple Safari
- Webový prohlížeč Opera
- Microsoft Internet Explorer
- Microsoft Windows
- Microsoft Outlook
- Testování: Microsoft Outlook 2010
- Import objektu Skupinových zásad (Group Policy Object, GPO) do aktivního adresáře (Microsoft Active Directory)
- Podpora SHA256 ve starších systémech Windows
- Acrobat 6.0
- Acrobat 7.0 až 10.0
- Google Chrome
- Externí dokumentace
- Zbytky z původní stránky
- Často kladené otázky (FAQ)
Mozilla Firefox
|
Importujte NOVÉ kořenové certifikáty CAcert (root_X0F.crt, class3_x14E228.crt, root_X0F.der, class3_x14E228.der) do Firefoxu, Thunderbirdu, Palemoonu, Seamonkey, ... (všech, co mají vlastní úložiště certifikátů) podepsané algoritmem SHA256. |
Firefox používá svůj vlastní Správce certifikátů (Certificate Manager). Takže i když Vaše aplikace Windows (a jiné od Microsoftu) již používají kořenový certifikát CAcert, Firefox ještě nemusí.
Čtení kořenových certifikátů ze systémového úložiště Windows
Prohlížeč Firefox má své vlastní úložiště. V nových verzích (od roku cca 2017) lze však nastavit, aby si přečetl certifikáty autorit i ze systémového úložiště Windows.
Nastavení najdete na stránce about:config jako security.enterprise_roots.enabled a je třeba nastavit ho na true.
Import kořenového certifikátu CAcert
Jděte na web s kořenovými certifikáty CAcert: http://www.cacert.org/index.php?id=3
Klikněte na 'Kořenový certifikát (formát PEM)' x1)
- Uvidíte zprávu:
You have been asked to trust a new Certificate Authority (CA). Do you want to trust "CA Cert Signing Authority" for the following purposes? [ ] Trust this CA to identify web sites. [ ] Trust this CA to identify email users. [ ] Trust this CA to identify software developers. Before trusting this CA for any purpose, you should examine its certificate and its policy and procedures (if available). [VIEW] Examine CA certificate (česky): Dotaz, zda důvěřujete nové certifikační autoritě (CA)? Chcete důvěřovat "CA Cert Signing Authority" (podepisující autoritě Ca Cert) pro tyto účely? [ ] Důvěřuji této CA pro identifikaci webů. [ ] Důvěřuji této CA pro identifikaci uživatelů e-mailu. [ ] Důvěřuji této CA pro identifikaci vývojářů softwaru. Před vyslovením důvěry této CA pro kterýkoli účel prozkoumejte její certifikát a jeho zásady a procedury (jsou-li dostupné). [ZOBRAZIT] Zkontrolujte certifikát CA
Měl(a) byste kliknout na VIEW (ZOBRAZIT) a zkontrolovat certifikát. Nejdůležitější je zkontrolovat "otisky prstů" (fingerprints) certifikátu x2). Měly by se shodovat (v případě kořenového certifikátu CAcert) s:
SHA1 otisk prstu: dd:fc:da:54:1e:75:77:ad:dc:a8:7e:88:27:a9:8a:50:60:32:52:a5 SHA256 otisk prstu: 07ED BD82 4A49 88CF EF42 15DA 20D4 8C2B 41D7 1529 D7C9 00F5 7092 6F27 7CC2 30C5
- Zavřete prohlížeč certifikátů a označte aspoň první možnost ('Důvěřuji této CA pro identifikaci webů.').
- Stiskněte OK; to je vše.
- Celý postup opakujte pro kořenový certifikát třídy 3 (CAcert class3_x14E228.crt nebo class3_x14E228.der).
SHA1 otisk prstu: A7:C4:8F:BE:6B:02:6D:BD:0E:C1:B4:65:B8:8D:D8:13:EE:1D:EF:A0 SHA256 otisk prstu: F687 3D70 D675 96C2 ACBA 3440 1E69 738B 5270 1DD6 AB06 B497 49BC 5515 0936 D544
Zde však certifikátu třídy 3 nevyslovujte důvěru Důvěra se totiž (ať pro první, druhý nebo třetí účel) týká výslovně daného certifikátu. To je správné pro kořenový certifikát třídy 1, ale tento zprostředkující certifikát třídy 3 dědí důvěryhodnost od kořenového certifikátu třídy 1 (který jej podepsal) a pokud bychom mu dali výslovnou důvěryhodnost, nesestavil by se správně řetěz certifikátů od kořenového přes zprostředkující k Vašemu klientskému. Viz Sestavení řetězu certifikátů.
Instalace Seznamu odvolaných certifikátů (Certificate Revocation List, CRL)
Klikněte tlačítko 'Revocation Lists' (odvolací seznam) v Preference -> Upřesnit -> Šifrování (Preferences-> Advanced-> Encryption) a tím otevřete okno Manage CRL (Práce s CRL).
Zde klikněte tlačítko "Import", pak zadejte URL http://crl.cacert.org/revoke.crl.
- Klikněte OK a nastavte preference automatické aktualizace podle potřeby. Poznámka: Po stisknutí OK může chvíli trvat, než se CRL importuje.
Chcete-li kontrolovat, modifikovat nebo odstranit kořenový certifikát CAcertu, máte k němu kdykoli přístup takto:
Otevřete dialog Edit -> Preferences -> Advanced nebo Tools -> Options -> Advanced (úpravy-preference-upřesnit nebo nástroje-možnosti-upřesnit)
Certificates -> Manage Certificates (spravovat certifikáty)
- Autority
Certifikát CAcertu se nazývá Root CA (sjeďte v seznamu k 'R'!)
- Zvolte zde View, Edit nebo Delete.
Mozilla Thunderbird
Thunderbird používá svůj vlastní Správce certifikátů (Certificate Manager). Takže i když Vaše aplikace Windows (a jiné od Microsoftu) již používají kořenový certifikát CAcert, Thunderbird ještě nemusí. Následující procedura Vám řekne, jak importovat kořenový certifikát CAcert do Vašeho e-mailového klienta Thunderbird.
Jděte na web s kořenovými certifikáty CAcert: http://www.cacert.org/index.php?id=3
- Klikněte PRAVÝM tlačítkem myši na 'Kořenový certifikát (formát PEM)' a uložte ho do vhodného umístění (root_X0F.crt).
- Spusťte Thunderbird
- Podle verze Thunderbirdu
- u starších verzí: Preferences-> Privacy-> Security-> View Certificates -> CA
- u verze V2.x: Tools->Options->Encryption->View Certificates->Authorities
- Zvolte "Importovat certifikát" nebo "Import..."
- K importu zvolte stažený a uložený certifikát z kroku 2. Uvidíte zprávu:
You have been asked to trust a new Certificate Authority (CA). Do you want to trust "CA Cert Signing Authority" for the following purposes? [ ] Trust this CA to identify web sites. [ ] Trust this CA to identify email users. [ ] Trust this CA to identify software developers. Before trusting this CA for any purpose, you should examine its certificate and its policy and procedures (if available). [VIEW] Examine CA certificate (česky): Dotaz, zda důvěřujete nové certifikační autoritě (CA)? Chcete důvěřovat "CA Cert Signing Authority" (podepisující autoritě Ca Cert) pro tyto účely? [ ] Důvěřuji této CA pro identifikaci webů. [ ] Důvěřuji této CA pro identifikaci uživatelů e-mailu. [ ] Důvěřuji této CA pro identifikaci vývojářů softwaru. Před vyslovením důvěry této CA pro kterýkoli účel prozkoumejte její certifikát a jeho zásady a procedury (jsou-li dostupné). [ZOBRAZIT] Zkontrolujte certifikát CA
Měl(a) byste kliknout na VIEW (ZOBRAZIT) a zkontrolovat certifikát. Nejdůležitější je zkontrolovat "otisky prstů" (fingerprints) certifikátu *2). Měly by se shodovat (v případě kořenového certifikátu CAcert) s:
SHA1 otisk prstu: dd:fc:da:54:1e:75:77:ad:dc:a8:7e:88:27:a9:8a:50:60:32:52:a5 SHA256 otisk prstu: 07ED BD82 4A49 88CF EF42 15DA 20D4 8C2B 41D7 1529 D7C9 00F5 7092 6F27 7CC2 30C5
- Zavřete prohlížeč certifikátů a označte aspoň první možnost ('Důvěřuji této CA pro identifikaci webů.').
- Stiskněte OK, to je vše.
- Celý postup opakujte pro kořenový certifikát třídy 3 tvaru PEM (CAcert class3_x14E228.crt).
Jakmile jste instalovali kořenový certifikát do Thunderbirdu (nebo jiné Vaší klientské aplikace), můžete smazat soubor 'root_X0F.crt', který jste si stáhl(a) v kroku 2; po instalaci zprostředkujícího certifikátu i soubor 'class3_x14E228.crt'.
Pro instalaci Seznamu odvolaných certifikátů (Certificate Revocation List, CRL) stiskněte tlačítko 'Revocation Lists' v Preferences -> Advanced -> Certificates a tím otevřete okno Správa CRL (Manage CRL). Tam stiskněte tlačítko "Import", pak zadejte URL http://crl.cacert.org/revoke.crl, stiskněte OK a nastavte preference automatické aktualizace, jak je třeba. Poznámka: Po stisknutí OK může chvíli trvat, než se CRL importuje.
Apple Safari
K přidání kořenového certifikátu CAcert do Apple Safari potřebujeme použít aplikaci Keychain Access, která se dodává se systémem Mac OS X.
Pro instalaci certifikátu pro celý systém proveďte tyto kroky:
Navštivte web s kořenovými certifikáty CAcert: http://www.cacert.org/index.php?id=3
- Klikněte 'Kořenový certifikát (formát PEM)'. Tím ho stáhnete na plochu.
- Dvojklikem souboru 'root_X0F.crt' spustíte aplikaci Keychain Access.
- Pro kontrolu certifikátu klikněte na tlačítko 'View Certificates' (zobrazit certifikáty) na levé strabě dialogu.
Lion 10.7: 'Certificates' dole, ne však 'My Certificates' (Moje certifikáty). Klikněte na kořenový zobrazený v hlavním poli.
- Objeví se dialog s informacemi o certifikátu.
Lion: sjeďte ke spodku dialogu.
Ujistěte se, že se shodují tyto údaje:
"Otisky prstů" (Fingerprints) SHA1: dd:fc:da:54:1e:75:77:ad:dc:a8:7e:88:27:a9:8a:50:60:32:52:a5 SHA256: 07ED BD82 4A49 88CF EF42 15DA 20D4 8C2B 41D7 1529 D7C9 00F5 7092 6F27 7CC2 30C5
- Zvolte 'System' z rozbalovacího seznamu 'Keychain' a stiskněte OK.
Lion: Pro instalaci pro všechny uživatele přetáhněte certifikát(y) z Vašeho pole 'Certificates' doleva nahoru a pusťte nad 'System'.
- Budete požádáni, abyste se identifikovali. Pak bude certifikát instalován pro celý systém.
Aplikace Keychain Access zpřístupňuje certifikáty všem aplikacím včetně Chrome (ne však Thunderbird ani Firefox, které používají vlastní certifikátové ukládání, systém Mozilla).
Webový prohlížeč Opera
Toto se týká Linuxu 8.02, u 6.x a 7.x nejisté
Navštivte web s kořenovými certifikáty CAcert: http://www.cacert.org/index.php?id=3
- Klikněte na 'Kořenový certifikát (formát PEM)'
- Zvolte 'View' popř. 'Otevřít'
- Zvolte 'Allow connections to sites using this certificate' (povolit připojení k webům, používajícím tento certifikát)
- Je-li to žádoucí, zrušit 'Warn me before using this certificate' (upozornit mě před použitím tohoto certifikátu)
Příležitostně může vyvstat problém s průchodem (uložením?) certifikátu do Opery 8.5 ve Windows. Problém obejdete takto:
- Zajistěte vyčistění mezipaměti (cache).
- Pokuste se získat certifikát pomocí změny identifikace Opery (Operu lze nastavit, aby se identifikovala jako jiné prohlížeče).
- Pokuste se získat certifikát při identifikaci Opery jako IE 6.0 (v Opeře).
- Pokste se ho získat znovu při identifikaci prohlížeče znovu jako Opera. Tentokrát by měl certifikát projít.
Zdá se, že je zde něco v práci s mezipamětí, kdy je třeba nastavit identifikaci jak IE, tak Opery zároveň, než Opera certifikát propustí. Je to zvláštní, ale funguje to.
Microsoft Internet Explorer
Při použití Microsoft Internet Exploreru máte dvě možnosti zavedení certifikátu. Buď ho instalovat automaticky použitím ActiveX, nebo ho importovat manuálně.
ActiveX
ZASTARALÉ Instalace pomocí ActiveX (nefunguje ve Windows Vista)
Navštivte web CAcert Wiki FAQ/NewRoots/CZ, sjeďte dolů a najděte řádek "SHA256 CAcert_Root_Certificates_2021.msi - certifikáty třídy 1 (#00000F) a třídy 3 (#00000E), oba podepsané algoritmem SHA256 - instalační balíček pro Windows - postup"
- Stáhněte soubor CAcert_Root_Certificates_2021.msi (Windows Installer Package)
- Postupujte podle návodu odkazovaného na konci řádku (postup).
Manuální instalace (pro jednoho uživatele)
Chcete-li instalovat kořenový certifikát CAcert do Internet Exploreru manuálně:
Navštivte web s kořenovými certifikáty CAcert: http://www.cacert.org/index.php?id=3
- Stáhněte si kořenové a zprostředkující (Intermediate) certifikáty' (ve formátu DER nebo PEM - obojí je možné)
Otevřete úložiště klíčů Windows (Windows Key Store) přímo z prohlížeče: Zobrazit -> Nástroje -> Možnosti Internetu -> Obsah -> Osobní -> Certifikáty, v IE vyšších verzí (10, 11): "Ozubené kolečko vpravo nahoře nebo menu Nástroje (menu se objeví po stisknutí Alt) -> Možnosti Internetu -> Obsah -> Certifikáty
- Vyberte
pro třídu 1: záložku Důvěryhodné kořenové certifikační autority
Pro třídu 3: záložku Zprostředkující certifikační autority
- Importujte certifikáty, které jste stáhl(a).
Poznámka: Tato procedura pouze přidá certifikáty CAcert aktuálnímu uživateli! Má-li počítač více uživatelských účtů a Vy chcete certifikáty přidat všem, čtěte další sekce:
Microsoft Windows
Jediný uživatel
Navštivte web s kořenovými certifikáty CAcert: http://www.cacert.org/index.php?id=3
- Stáhněte si kořenové a zprostředkující (Intermediate) certifikáty' (ve formátu DER nebo PEM - obojí je možné)
- Přihlaste se jako Administrator (správce)
Ve Windows Exploreru najděte stažený kořenový certifikát třídy 1 a klikněte na něj pravou klávesou myši, vyberte Instalovat certifikát (a klikněte Otevřít a Další, je-li třeba). U Windows 8 se zde napřed objeví dialog Průvodce, který Vám dá vybrat úložiště: Aktuální uživatel nebo Místní počítač - vyberte to první
Ověřte, že je vybrána volba označená Umístit všechny certifikáty do tohoto úložiště a že textové pole obsahuje text Důvěryhodné kořenové certifikační autority
Klikněte Další a pak Dokončit. Měl(a) byste dostat hlášení o úspěšném importu.
Ve Windows Exploreru najděte stažený zprostředkující certifikát třídy 3 a klikněte na něj pravou klávesou myši, vyberte Instalovat certifikát (a klikněte Otevřít a Další, je-li třeba). U Windows 8 se zde napřed objeví dialog Průvodce, který Vám dá vybrat úložiště: Aktuální uživatel nebo Místní počítač - vyberte to první
Ověřte, že je vybrána volba označená Umístit všechny certifikáty do tohoto úložiště a že textové pole obsahuje text Zprostředkující certifikační autority
Klikněte Další a pak Dokončit. Měl(a) byste dostat hlášení o úspěšném importu.
Poznámka: Pod Windows 8, když v bodech 4 a 7 zvolíte v prvním kroku instalace certifikátu "Místní počítač", uloží se certifikát do ůložiště počítače pro všechny jeho uživatele. Následující postup pak není potřebný.
Více uživatelů
Máte-li na svém počítači více než jeden účet, nebudete chtít instalovat kořenové certifikáty CAcert pro každého uživatele zvlášť. Proto můžete ručně importovat kořenové certifikáty CAcert do úložiště místního počítače (Local Machine Store). Tato procedura funguje pouze pro programy Microsoftu (například Internet Explorer a Outlook), takže bude ještě třeba importovat certifikát do ne-Microsoftích prohlížečů a e-mailových klientských programů. Poznámka: Pro Windows 8 viz předchozí postup.
Klikněte tlačítko Windows Start a zvolte Spustit
Napište název programu mmc, stiskněte Enter - spustí se program správy mmc.exe
V okně programu MMC zvolte z menu File položku Přidat nebo odebrat modul snap-in...
Stiskněte tlačítko Přidat (u Windows 8 vyberte v levém seznamu Certifikáty, stiskněte Přidat> a přeskočte další krok
Zvolte položku Certifikáty ze seznamu a stiskněte tlačítko Přidat
Zvolte Účet počítače a stiskněte tlačítko Next
Zvolte Místní počítač a stiskněte Konec; u Windows 8 OK a vynechte další krok
Stiskněte tlačítko OK
Rozklikněte strom vlevo, abyste viděl(a) uzel Důvěryhodné kořenové certifikační autority
Pravým tlačítkem myši klikněte na Důvěryhodné kořenové certifikační autority
Z menu zvolte Všechny úkoly, pak Importovat... z podmenu a stiskněte Další
Vypište název s cestou anebo vyhledejte stažený kořenový certifikát CAcert třídy 1 a stiskněte Další
Ověřte, že je vybrána volba označená Umístit všechny certifikáty do tohoto úložiště a že textové pole obsahuje text Důvěryhodné kořenové certifikační autority
Stiskněte tlačítko Další a pak Dokončit. Měl(a) byste dostat hlášení o úspěšném importu.
Pravým tlačítkem myši klikněte na Zprostředkující certifikační autority
Z menu zvolte Všechny úkoly, pak Importovat... z podmenu a stiskněte Další
Vypište název s cestou anebo vyhledejte stažený kořenový certifikát CAcert třídy 3 a stiskněte Další
Ověřte, že je vybrána volba označená Umístit všechny certifikáty do tohoto úložiště a že textové pole obsahuje text Zprostředkující certifikační autority
Stiskněte tlačítko Další a pak Dokončit. Měl(a) byste dostat hlášení o úspěšném importu.
Nyní můžete okno programu MMC zavřít.
Microsoft Outlook
Postupujte podle výše uvedeného návodu pro Internet Explorer. (Úložiště je totéž.) Používáte-li Outlook 2007, musíte importovat certifikáty třídy 1 i třídy 3 (je-li Váš certifikát podepsán certifikátem třídy 3). Dalším problémem u Outlooku 2007 je, že se nestará o alternativní názvy (v certifikátu), takže se ujistěte, že je Vaše Veřejné jméno (Common Name) ve "Vystaveno pro" zadáno správně.
Testování: Microsoft Outlook 2010
- Outlook 2010 to Outlook 2010 podepisování a šifrování e-mailů by mělo fungovat správně.
- Podepisování e-mailů mezi Win7/Outlook 2010 a Ubuntu 11.04/Thunderbird 6 funguje
- Šifrování a podepisování z Ubuntu 11.04/Thunderbird 6 do Win7/Outlook 2010 funguje
Nemáme dosud způsob (založený na mých testech), jak šifrovat/podepisovat z Win7/Outlook 2010 do Ubuntu 11.04/Thunderbird 6: Thunderbird si stěžuje, že nemůže dešifrovat data. Poznámka: v Outlooku 2010 je řada nových možností pro výběr hašovacího a šifrovacího algoritmu.
Pznámka: Některé předchozí testy, které provedl Jason Curl v dubnu 2011, neposkytly jasné výsledky. Nelze zjistit, který software nepracuje správně (Outlook 2010 nebo Thunderbird verze 3)
Import objektu Skupinových zásad (Group Policy Object, GPO) do aktivního adresáře (Microsoft Active Directory)
Aby mohl jakýkoli produkt Microsoftu používat certifikáty generované CACert.org, budete muset ručně importovat kořenový certifikát do úložiště certifikátů. Můžete to udělat na svém stroji z téhož rozhraní, ALE chcete-li používat certifikáty po celém podniku / společnosti, budete muset postupovat podle tohoto textu, vypůjčeného z webu podpory Microsoftu.
Přidejte kořenovou CA třetí strany do důvěryhodných kořenových certifikátů v objektu zásad skupiny aktivního adresáře (Active Directory Group Policy object, AD GPO). Ke konfiguraci zásad skupiny v doméně Windows 2000, která bude distribuovat CA třetí strany do úložišť důvěryhodných kořenových certifikátů všech počítačů domény Windows:
Klikněte Start -> Programy -> Nástroje pro správu -> Uživatelé a počítače služby Active Directory
- V levém panelu najděte doménu, ve které chcete upravit zásady.
Klikněte doménu pravým tlačítkem myši a v menu pak klikněte Vlastnosti.
Klikněte záložku Zásady skupiny (Group Policy). Windows server 2008 - viz POZNÁMKU
Vytvořte novou položku zásad kliknutím na Nová (New) a pojmenujte ji.
Klikněte na nový objekt a pak na Upravit (Edit). Otevře se nové okno.
- V levém panelu rozbalte položky: Konfigurace počítače, Zásady, Nastavení Windows, Nastavení zabezpečení, Zásady veřejných klíčů ('Computer Configuration', 'Windows Settings', 'Security Settings', 'Public Key Policy')
Pravým tlačítkem myši klikněte na Důvěryhodné kořenové certifikační autority
Z menu zvolte Všechny úkoly, pak Importovat... z podmenu
- Importujte certifikát podle instrukcí průvodce.
Klikněte OK.
Zavřete okno Zásady skupiny.
Upravit Výchozí zásady domény, jak předtím navrhoval tento článek wiki, není správný postup.
POZNÁMKA: Ve verzích Windows Server 2008 (a WS 2008 R2) již není přístup k zásadám skupiny z Vlastností domény v nástroji správy Uživatelé a počítače služby Active Directory (chybí záložka zásad. Místo toho je třeba spustit nástroj správy "Správa zásad skupiny", vyhledat doménu v jeho levém panelu, přidat tam nový objekt a nastavit, jak výše uvedeno od bodu 5.
Podpora SHA256 ve starších systémech Windows
Máte-li problémy s použitím nových zprostředkujících certifikátů třídy 3 a s vytvářením klientských certifikátů třídy 3, pak pravděpodobně Váš starší systém Windows (Windows XP, Windows 2003) nemá instalovánu opravu Základní poskytovatel MS pro Smart Card (KB909520).
- KB909520 instaluje podporu SHA256 a jiných kryptografických poskytovatelů (poskytovatelů kryptografických služeb), jako AES128, AES192, AES256 a dalších
Další informace o kryptografických poskytovatelích ve Windows jsou v článku knihovny MSDN: CryptoAPI Cryptographic Service Providers
Acrobat 6.0
Pro Acrobat READER 6.0.X,jestliže certifikátové úložiště Windows obsahuje kořenový certifikát CAcert, postupujte takto:
Menu Edit -> Preferences (Úpravy -> Předvolby)
Zvolte Digital Signatures (digitální podpisy)
Stiskněte tlačítko Advanced Preferences (Upřesnit předvolby)
- Zkontrolujte tyto 3 možnosti:
- Povolit import identit z certifikátového úložiště Windows do seznamu důvěryhodných identit Adobe (Adobe Trusted Identities List)
- Ověřování podpisů
- Ověřování certifikovaných dokumentů
Poznámka: Toto BY MĚLO fungovat také pro Acrobat 6 verze Academic, Standard a Professional, ale nebylo to ověřeno.
Acrobat 7.0 až 10.0
Jak přidat kořenový certifikát CAcert do certifikačního úložiště Adobe, když nepoužívá úložiště certifikátů Windows?
Dotaz: Dostávám chybové hlášení Certifier's Identity is Unknown (neznámá identita certifikátora)
Řečeno jednoduše: důvodem je, že kořenový certifikát CACert.org v Adobe není, protože od Akrobatu 7 mají své kořenové certifikáty v Akrobatu pouze 2 certifikační autority (GeoTrust a Adobe). Tím se musíte ve svých klientech prokousat, chcete-li používat certifikáty jiných CA k k podpisu svých dokumentů PDF. Acrobat Reader skutečně má schopnost ověřovat své dokumenty podle úložiště certifikátů Windows, alespoň Acrobat Reader 7 ji má. Postupujte takto:
- Otevřete Acrobat (Reader, Academic, Standard or Professional)
Zvolte menu Edit (Úpravy)
Zvolte Preferences (Předvolby)
Zvolte kategorii Security (Zabezpečení)
Stiskněte tlačítko Advanced Preferences (Upřesnit předvolby)
Zvolte záložku Windows Integration (Integrace s Windows)
- Pak zaškrtněte tyto 3 možnosti:
- Povolit import identit z certifikátového úložiště Windows do seznamu důvěryhodných identit Adobe (Adobe Trusted Identities List)
- Ověřování podpisů
- Ověřování certifikovaných dokumentů
Pamatujte: toto nainstaluje kořenový certifikát CAcert pouze do Vaší kopie Akrobatu, ne do jiného softwaru (do webového prohlížeče ani do klienta e-mailu).
Google Chrome
Linux
V Linuxu používá Google Chrome pro certifikátyNSS jako Mozilla, proto potřebujete nástroj certutil k jeho správě.
V Debianu/Ubuntu certutil přichází v libnss3-tools
$ sudo apt-get install libnss3-tools
a k importu našich kořenových certifikátů zadejte příkazy:
$ wget -O cacert-root.crt "http://www.cacert.org/certs/root_X0F.crt" $ wget -O cacert-class3.crt "http://www.cacert.org/certs/class3_x14E228.crt" $ certutil -d sql:$HOME/.pki/nssdb -A -t TC -n "CAcert.org" -i cacert-root.crt $ certutil -d sql:$HOME/.pki/nssdb -A -t TC -n "CAcert.org Class 3" -i cacert-class3.crt
což bude fungovat ihned, bez restartování prohlížeče.
Vnější odkazy s dalšími podrobnostmi:
Mac OS X
Chrome používá pro správu klíčů systémový řetěz klíčů (keychain), viz instrukce pro nastavení uvedené v sekcích výše Apple Safari.
Externí dokumentace
- další odkazy jsou bohužel již asi nefunkční:
Rutgers University FAQ pro přidání CA cert do různých webových prohlížečů
{pt} Instalace kořenového certifikátu v Internet Exploreru (Carlos Pereira)
https://help.riseup.net/security/certificates/import/Návody od riseup.net pro instalaci kořenových certifikátů CACert v prohlížečích a e-mailových klientech Firefox, Mozilla, Safari, IE Mac, IE Windows, Thunderbird, Mozilla Mail, Apple Mail, Outlook Windows, Outlook Mac.
Import a export digitálních certifikátů v populárních webových prohlížečích z dokumentace PGP Trustcentra (Internet Explorer, FireFox, Chrome, Safari, Opera - s mnoha screenshoty)
Zbytky z původní stránky
Poznámka:
Protože můžete použít své osobní certifikáty (e-mailové) k podepisování dokumentů, začneme zásadní otázkou: "Jak generujete své klíče?"
Když žádáte od CA, například od CACert.org, certifikát, Váš počítač vygeneruje soukromý klíč a žádost, kterou pak použijete k získání části s veřejným klíčem, podepsané CA.
Používáte-li ke generování IE, uloží IE obě části Vašeho klíče do úložiště klíčů Windows. Používáte-li Firefox, budete mít trochu více potíží, protože budete muset exportovat klíč z úložiště klíčů Firefoxu a importovat ho do úložiště klíčů Windows, než ho budete moci použít ve Wordu nebo jiném produktu Office.
Manuální import/export osobních e-mailových certifikátů CAcert do Internet Exploreru
Proveďte tytéž instrukce jako výše.
V tomto stádiu můžete importovat celý svůj certifikát nebo ho zazálohovat, jedna z možností zálohy obsahuje uložení privátního klíče. Pro jednoduchost předpokládejme, že jste pro generování certifikátu použil(a) IE, je tedy certifikát v úložišti Windosw; pokud ne, vraťte se a udělejte to správně, ušetří Vám to bolení hlavy. Poznámka: Nebo použijte místo IE MMC modul "Certifikáty".
Často kladené otázky (FAQ)
Dotaz: Můj nový prohlížeč FF12 hlásí chybu "ssl_error_renegotiation_not_allowed" (chyba SSL: opakované vyjednání není dovoleno) při návštěvě stránky https://community.cacert.org/board/motions.php?motion=
Odpověď: To se dá obejít konfigurací nastavení FF12 - povolit opakované vyjednání SSL
- zadejte about:config na řádek URL
Varianta A:
- vyhledejte "security.ssl.allow_unrestricted_renego_everywhere_ _temporarily_available_pref" a nastavte True
(podle: http://my.opera.com/duyda/blog/2011/03/30/ssl-error-renegotiation-not-allowed)
Varianta B:
- vyhledejte "security.ssl.renego_unrestricted_hosts", přidejte "community.cacert.org,blog.cacert.org" do pole řetězců
Poznámky pod čarou
x1) Napíše-li Vám Firefox 'This certificate is already installed as a certificate authority.' (tento certifikát je již instalován jako certifikační autorita), pak už někdo (například správce sítě) importoval kořenový certifikát za Vás.
x2) Na stránce kořenových certifikátů CAcert můžete také najít "otisky prstů" (fingerprints) podepsané klíčem GPG.