Jak vytvořit certifikát jiným prohlížečem po chybové zprávě od Firefox, Chrome a dalších
Cca od 20230515 zjištěno, že již žádný prohlížeč (ani Basilisk od v. 2023.05.17/64-bit, SeaMonkey od v. 2.53.15/64-bit, Palemoon od v. 32.1.0/64-bit) nevytváří správnou žádost o podpis (CSR). Proto řešení popsané v tomto článku již nelze použít. Použijte prosím aplikaci CAcert |
Problém
Už týden nejsem schopen vygenerovat klientský certifikát prohlížečem. Jak Firefox, tak Chrome i Internet Explorer hlásí chybu:
- "Nedostali jsme platnou žádost o certifikát. Zkuste jiný prohlížeč!".
Je o tom něco známo?
Řešení
Naposledy jsem úspěšně vygeneroval certifikát v červenci 2019 s tehdejším aktuálním Firefoxem. V aktuální verzi, kterou pravděpodobně také máte, stejně jako v prohlížeči Chrome, generování certifikátů již nefunguje, protože nové verze prohlížečů už zřejmě nepodporují dosud používaný prvek <keygen> v HTML.
Pomohl jsem si nainstalováním prohlížeče Palemoon (je to dobře udržovaná odnož starého Firefoxu) a s ním jsem certifikáty vygeneroval.
Lze také nainstalovat podobný prohlížeč Seamonkey, případně Basilisk.
Podle mého názoru je to nejjednodušší způsob, jak to udělat bez použití OpenSSL a manuálního generování párů klíčů a CSR. (Pokud znáte, jak OpenSSL použít, můžete to udělat.)
POZOR! Prohlížeče Palemoon, Basilisk i Seamonkey jsou klony Firefoxu a mají tedy svá vlastní úložiště certifikátů, kam se ale nezkopírují certifikáty z úložiště Firefoxu automaticky! Jejich správu otevřete takto:
- Palemoon: - okno prohlížeče - modré pole vlevo nahoře - Preference - Preference - v dialogovém okně Preferences záložka Advanced - View Certificates.
- Basilisk (není lokalizovaný): na dialog Preferences se nejsnáze dostanete tlačítkem Open menu vpravo nahoře, pak záložka Advanced - View Certificates.
- Seamonkey: okno prohlížeče - z menu Úpravy - Preference - v okně předvoleb Soukromí a zabezpečení - Certifikáty - Spravovat certifikáty.
Okno certifikátů se v obou případech velmi podobá tomu ve Firefoxu.
Nejprve musíte importovat oba kořenové certifikáty CAcertu z jeho stránky. Nejkratší možností je jít v Palemoonu, Basilisku i Seamonkey přímo na stránku http://www.cacert.org/index.php?id=3 (NIKOLIV https!), zvolit nejprve PKI klíč třídy 1, formát PEM, dát mu důvěru pro všechny 3 oblasti, pak PKI klíč třídy 3, formát PEM, nastavit důvěru není třeba (bude zděděna) - a tím jste dali důvěru certifikační autoritě CAcert: další komunikace s weby CAcert už půjdou protokolem https.
Dále: chcete-li se přihlásit svým existujícím certifikátem, musíte ve Správci certifikátů importovat i ten, a to ze souboru typu .p12 nebo .pfx - nemáte-li ho, musíte se přihlásit svým uživatelským jménem a heslem. Po přihlášení si už můžete prohlížečem Palemoon nechat vygenerovat a podat novou žádost o certifikát.
Další pomoc
Alternativy s CSR jsou popsány v části Wiki v sekci „Vytvořit certifikáty, v https://wiki.cacert.org/TutorialsHowto
Pozadí problému lze podrobněji vidět v chybách CAcert: http://bugs.cacert.org/view.php?id=1417
(odpovědi ST, GT, překlad od DL, AK)