Jak vytvořit certifikát jiným prohlížečem po chybové zprávě od Firefox, Chrome a dalších

/!\ Cca od 20230515 zjištěno, že již žádný prohlížeč (ani Basilisk od v. 2023.05.17/64-bit, SeaMonkey od v. 2.53.15/64-bit, Palemoon od v. 32.1.0/64-bit) nevytváří správnou žádost o podpis (CSR). Proto řešení popsané v tomto článku již nelze použít. Použijte prosím aplikaci CAcert /!\

Problém

Už týden nejsem schopen vygenerovat klientský certifikát prohlížečem. Jak Firefox, tak Chrome i Internet Explorer hlásí chybu:

Je o tom něco známo?

Řešení

Naposledy jsem úspěšně vygeneroval certifikát v červenci 2019 s tehdejším aktuálním Firefoxem. V aktuální verzi, kterou pravděpodobně také máte, stejně jako v prohlížeči Chrome, generování certifikátů již nefunguje, protože nové verze prohlížečů už zřejmě nepodporují dosud používaný prvek <keygen> v HTML.

Pomohl jsem si nainstalováním prohlížeče Palemoon (je to dobře udržovaná odnož starého Firefoxu) a s ním jsem certifikáty vygeneroval.

Lze také nainstalovat podobný prohlížeč Seamonkey, případně Basilisk.

Basilisk Palemoon Seamonkey

Podle mého názoru je to nejjednodušší způsob, jak to udělat bez použití OpenSSL a manuálního generování párů klíčů a CSR. (Pokud znáte, jak OpenSSL použít, můžete to udělat.)

/!\ POZOR! /!\ Prohlížeče Palemoon, Basilisk i Seamonkey jsou klony Firefoxu a mají tedy svá vlastní úložiště certifikátů, kam se ale nezkopírují certifikáty z úložiště Firefoxu automaticky! Jejich správu otevřete takto:

Okno certifikátů se v obou případech velmi podobá tomu ve Firefoxu.

Nejprve musíte importovat oba kořenové certifikáty CAcertu z jeho stránky. Nejkratší možností je jít v Palemoonu, Basilisku i Seamonkey přímo na stránku http://www.cacert.org/index.php?id=3 (NIKOLIV https!), zvolit nejprve PKI klíč třídy 1, formát PEM, dát mu důvěru pro všechny 3 oblasti, pak PKI klíč třídy 3, formát PEM, nastavit důvěru není třeba (bude zděděna) - a tím jste dali důvěru certifikační autoritě CAcert: další komunikace s weby CAcert už půjdou protokolem https.

Dále: chcete-li se přihlásit svým existujícím certifikátem, musíte ve Správci certifikátů importovat i ten, a to ze souboru typu .p12 nebo .pfx - nemáte-li ho, musíte se přihlásit svým uživatelským jménem a heslem. Po přihlášení si už můžete prohlížečem Palemoon nechat vygenerovat a podat novou žádost o certifikát.

Další pomoc

Alternativy s CSR jsou popsány v části Wiki v sekci „Vytvořit certifikáty, v https://wiki.cacert.org/TutorialsHowto

Pozadí problému lze podrobněji vidět v chybách CAcert: http://bugs.cacert.org/view.php?id=1417

(odpovědi ST, GT, překlad od DL, AK)


HowTo/ClientCertCreate4/CZ (last edited 2023-05-22 17:29:03 by AlesKastner)