#language cs
## 20160503 AK

----
 '''česky''' | [[FAQ/TechnicalQuestions|english]]
----

<<TableOfContents>>

= Technické často kladené otázky (FAQ) =
== Získávání certifikátů nebo podpisů ==
 * [[FAQ/CSR/CZ|Co je to CSR a jak ho získám?]]
 * [[PgpSigning/CZ|Mohu od CAcert získat podpis svého klíče PGP/GPG?]]
 * [[Technology/KnowledgeBase/ClientCerts/CZ|Vše o klientských certifikátech a co s nimi]]
 * [[FAQ/ServerCerts/CZ|Vše o serverových certifikátech]]
 * [[FAQ/ImportRootCert/CZ|Jak mohu ověřit kořenový certifikát CAcert (CAcert Root Certificate)?]]
== Klient, server a síť - problémy a konfigurace ==
 * [[PortBlocking/CZ|Můj paranoidní poskytovatel Internetu blokuje port 25]]
 * [[FAQ/NoDomainName/CZ|Nemám pojmenovanou doménu / Chci použít doménu .local / Můj server není dosažitelný]]
 * [[FAQ/BrowserClients/CZ|Jak mám konfigurovat svůj webový prohlížeč pro používání kořenového certifikátu CAcert?]]
 * [[WebServers/CZ|Jak mám konfigurovat svůj webový server k podpoře SSL?]]
== Pomocné ==
=== Dostávám upozornění, že SSL certifikát vašeho webu nelze ověřit. ===
Importoval(a) jste kořenový certifikát CAcert (CAcert Root Certificate) do svého prohlížeče?

Viz  [[http://www.cacert.org/index.php?id=3]] a [[FAQ/BrowserClients/CZ|Jak importovat kořenové certifikáty CAcert do prohlížečů?]]

=== Certifikáty CAcert třídy 3 (CAcert Class 3 certificates) ===
==== Proč třída 3? ====
Od 18. října 2005 začal CAcert nabízet certifikáty třídy 3.

Důvodem zavedení certifikátů třídy 3 (kořenových zprostředkujících) je, že některým vývojářům softwaru a správcům (administrátorům) se nelíbí myšlenka mít ověřené i neověřené certifikáty na téže půdě, a i když jsme věděli, že jiné společnosti již v nejrozšířenějších prohlížečích vydávají certifikáty za stejných nebo horších podmínek, žádá se od nás, abychom byli lepší občané sítě...!

A tak zlepšujeme důvěryhodnost certifikátů, které poskytujeme.

==== Jaký je rozdíl mezi certifikáty kořenovými - třídy 1 a zprostředkujícími - třídy 3? ====
Certifikát třídy 3 je vysoce bezpečnou podmnožinou kořenového certifikátu CAcert třídy 1.

Certifikát třídy 1 je 'normální' a starší kořenový certifikát CAcertu. Obsahuje oba certifikáty - nízké i vysoké úrovně bezpečnosti. Jelikož nemusí být možné získat certifikát třídy 1 vložený do některých prohlížečů a distribucí (viz InclusionStatus), byl zaveden certifikát třídy 3. Ten obsahuje pouze certifikáty vysoké úrovně bezpečnosti a je podmnožinou certifikátu třídy 1.

Všeobecně: Certifikát třídy 3 bude v budoucnu patrně integrován do nových prohlížečů a distribucí, zatímco certifikát třídy 1 pravděpodobně funguje s jinými, zvláště staršími prohlížeči.

==== Použití certifikátů třídy 3 ====
 . /!\ stručná koncepce
Použití certifikátů třídy 3 ve webovém serveru Apache je shodné s použitím certifikátů třídy 1. Pouze přidružte svůj serverový certifikát vydaný CAcertem s Vaším (virtuálním) strojem použitím direktivy `SSLCertificateFile`. ''Nemusíte'' specifikovat certifikát CA v Apache, ''pokud'' nechcete ověřit klientské certifikáty podepsané klíčem CA.

'''Aby to bylo absolutně jasné: '''Specifikujete-li certifikát CA v Apache, pak Apache ''nebude'' posílat CA certifikát s certifikátem serveru v odpovědi na připojení klienta, protože to by '''vůbec nemělo smysl'''. Představte si, co by znamenalo, kdyby to Apache udělal: Někdo, koho neznáte, Vám dá písemný příkaz od někoho, koho také neznáte, a tvrdí: "Ano, je to pravda, on je skutečně ten, kým se prohlašuje."

''Skutečně'' to funguje asi takto: Musíte mít certifikát CA již importovaný do svého webového prohlížeče. Tím importem prohlašujete, že věříte, že CA správně certifikuje uživatele nebo servery. Jestliže se teď připojíte k webu, web odpoví svým serverovým certifikátem. Váš prohlížeč detekuje, že ten certifikát byl podepsán důvěryhodnou CA a proto věří, že serverový certifikát je platný.

Takže znovu: potřebujete vložit `SSLCACertificateFile` do Apache ''pouze'', když chcete, aby Apache ověřil klientské certifikáty s použitím certifikátu specifikované CA.

Příklad pro Apache 1.x mod_ssl:

{{{
# Váš soubor certifikátu
SSLCertificateFile /etc/apache/ssl.crt/www.example.org.crt
# Váš soubor klíčů
SSLCertificateKeyFile /etc/apache/ssl.key/www.example.org.key
# Certifikát Cacert pro verzi 3; je potřebný pouze k ověření klientských certifikátů
SSLCACertificateFile /etc/apache/ssl.crt/cacert.org-class3.crt
}}}
Soubor cacert.org-class3.crt by měl obsahovat PEM verzi certifikátu třídy 3 (http://www.cacert.org/certs/class3.crt)

=== Proč je certifikát podepsaný CAcertem lepší, než certifikát podepsaný sám sebou (self-signed)? ===
I když jsme nebyli standardně začleněni do nejrozšířenějších prohlížečů, řada linuxových distribucí nás již vkládá do svých vydání Mozilly a jiných prohlížečů/e-mailových klientů.

Kdybyste měli 100 webů konfigurovaných se 100 certifikáty podepsanými samy sebou, museli byste je všechny importovat do svého prohlížeče, zatímco použití modelu kořenových certifikátů vydaných CA -> serverových certifikátů (ať už používáte náš web nebo máte svůj vlastní) bude od Vás vyžadovat import pouze jednoho (1) certifikátu, aby Váš prohlížeč důvěřoval všem 100 webům. To však nebere v úvahu všechny předešlé osvojitele s jejich importy našeho kořenového certifikátu do jejich počítačů a celých pracovních sítí pomocí aktivního adresáře, což je pravděpodobně pár sítí s 20,000 a více pracovními stanicemi nastavenými pro použití certifikátů CAcert, namísto aby měli vlastní vnitřní certifikační autority.

A kromě toho certifikát podepsaný sám sebou (self-signed) neposkytuje žádné třetí straně možnost ověření, takže můžete snadno vydat sebou podepsaný certifikát pro "Microsoft.com", ale pokud nemáte přístup k e-mailovým adresám dle RFC, náš systém Vám to nedovolí.

Na první pohled sice prohlížeč obtěžuje, ale v každém směru je zde skutečně určitý přínos, když existuje co nejvíce lidí rovněž importujících kořenový certifikát, protože čím více lidí ho má nainstalovaný, tím užitečnější se stává a naopak.

=== Jak mohu exportovat / zálohovat kořenový certifikát CA z Mozilly? ===
Nemůžete.

Současné zálohovací funkce Mozilly jsou určeny pro Vaše vlastní certifikáty - takové, pro které máte klíče, ve formátu PKCS#12. Nemusíte mít klíče ke kořenovým certifikátům (z definice), takže je nemůžete zálohovat do PKCS#12. Některé kořenové certifikáty mohou být uloženy ve Vašem souboru typu PKCS#12, když zálohujete některý svůj certifikát jako celý řetěz certifikátů.

K zálohování certifikátů třetích stran, například kořenových certifikátů, byste potřebovali zálohovací funkci pro PKCS#7.

(Podle: netscape.public.mozilla.crypto - Julien Pierre)

=== Co potřebuji k získání certifikátu pro podpis kódu? ===
Pro možnost podepisování kódu musíte být zaručovatelem. Pak musíte poslat e-mail na support(zavináč)cacert.org a požádat o aktivaci podepisování kódu (Code-Signing) na Vašem účtu. Prosím, čtěte [[CodesigningCert/CZ| Certifikáty pro podpis kódu]] pro další podrobnosti.

=== Jak si mohu vyžádat serverový certifikát? ===
[Otázka] Pokouším se zjistit, co přesně musím udělat, abych si vyžádal serverový certifikát. Úspěšně jsem si vytvořil účet k získání certifikátů pro osobní e-maily, ale tam se neobjeví odpovídající stránka pro serverové certifikáty. Stránka, které popisuje program serverových certifikátů (Server Certificate Programme) neříká nic o tom, jak mám podat žádost. Měl bych napsat e-mail na podporu a připojit žádost o podpis certifikátu (CSR), kterou jsem vygeneroval, jako přílohu e-mailu? Existuje nějaká jiná e-mailová adresa, kterou bych k tomu měl použít?

[Odpověď] Po přihlášení na hlavní stránku webu CAcert.org máte napravo sloupec menu. Ten obsahuje položky menu "Domény (Domains)" a také "Certifikáty serveru (Server Certificates)" (obě mají položky "Přidat" resp. "Nový (new)" a "Zobrazit (view)"). Potřebujete nejprve prokázat, že jste vlastníkem domény nebo máte oprávnění ji spravovat (to provedete zadáním domény a pak výběrem jednoho z oficiálních e-mailových kontaktů domény). Jakmile dostanete na e-mail doménového kontaktu zprávu, objeví se doména ve Vašem seznamu zobrazených domén jako "ověřená". V dalším kroku jděte do menu "Certifikáty serveru" a vyžádejte si certifikát uploadem [[FAQ/CSR/CZ|žádosti o podpis certifikátu]]. Žádost CSR musí obsahovat platné Obecné_jméno (!CommonName, CN) a volitelně i položky subjectAltName= (odpovídající doménám, které jste předtím ověřil/a). Všechny ostatní atributy budou odstraněny.

=== Je zdrojový kód CAcert.org dostupný? ===
Ano, je. Podívejte se na http://www.cacert.org/src-lic.php

== Kořenové certifikáty ==

 * [[SubRoot/CZ|Mohu získat vydaný zprostředkující certifikát?]]

=== Struktura kořenových certifikátů ===

Struktura kořenových certifikátů typu G1 je převzata z [[https://www.cacert.org/policy/CertificationPracticeStatement.php#p1.4|Rozpracováno (WIP): Přehled postupu certifikace (Certification Practise Statement, CPS)]]:

CAcert v současnosti vydává 2 kořenové certifikáty známé jako "Class 3" (třída 3, kořenový zprostředkující) a "Class 1" (třída 1, kořenový):
 * Třída 3. Primárně používán pro certifikáty obsahující jména zaručených Členů.
 * Třída 1. Primárně používán pro certifikáty beze jmen a vydané nezaručeným Členům.
Kořenový zprostředkující certifikát třídy 3 je podepsán kořenovým certifikátem třídy 1 ("3" je pod-certifikát "1", tedy kořenový certifikát třídy 3 je technicky zprostředkujícím certifikátem kořenového certifikátu třídy 1).

Spoléhající strany se mohou rozhodnout důvěřovat pouze certifikátům pro zaručené Členy (výběrem certifikátu třídy 3 [pro zaručené Členy] za kotvu důvěry), nebo všech certifikátů (výběrem certifikátu třídy 1 [pro nezaručené Členy] za kotvu důvěry). Zaručení Členové mají volbu použít kořenový certifikát třídy 1, ale ten je spíše určen jako kompatibilní než jako "ostrý".

{{attachment:RootClass3.gif}}

CAcert v současnosti připravuje vytvoření nových kořenových certifikátů. Připojte se k diskusi, jak na to: [[Roots/Structure/CZ|Struktura]] a [[Roots/NewRootsTaskForce|Komando pro nové kořenové certifikáty]].

----

 . [[CategoryFAQ]]