česky | english
Generování nového certifikátu ve tvaru P12 webovou aplikací CAcert
Webová aplikace je umístěna zde. Lze ji použít v jakémkoli prohlížeči. Výsledkem je soubor ve formátu P12 (PFX), který lze importovat do téhož i jiného webového prohlížeče nebo do OS Windows.
Postup je zcela přímočarý a je (anglicky) popsán přímo v aplikaci.
- Nejprve se generují RSA klíče a žádost o podpis - CSR.
- Pak je nutno si "odskočit" na stránku webu CAcert pro generování nového klientského certifikátu, přenést tam vygenerovanou žádost, doplnit požadavky (e-mailové adresy. jméno, případně další), podat žádost a počkat na odpověď - certifikát.
- Ten přenést zpět do aplikace a nechat si vytvořit soubor typu P12. Ten obsahuje certifikát a privátní klíč, který musí být zašifrován heslem a to je nutno zadat.
- Hotový soubor si pak stáhnete do svého počítače, odkud ho můžete importovat do prohlížeče nebo OS (Windows).
Pozor! Aplikace vytvoří soubor ve tvaru P12, obsahující dva kořenové certifikáty CAcert, nový klientský certifikát a odpovídající (heslem zašifrovaný) privátní klíč. |
Podrobný postup
1. Vygenerujte CSR, privátní a veřejný klíč
Po spuštění se ukáže úvodní stránka aplikace. V záhlaví stránky je stažitelné, škálovatelné logo CAcert, název aplikace a postupová lišta.
Vyplníte jméno - jelikož je pak nahradí web CAcertu z Vašeho účtu, může být v podstatě libovolné. Vyberete délku klíčů - sílu šifrování. Předvolená hodnota je 3072. Hodnota 2048 je označena jako nejvíce kompatibilní, ale nejméně bezpečná. Stiskněte tlačítko Generate... a vyčkejte vygenerování klíčů - postup lze sledovat na liště v záhlaví stránky.
2. Přeneste CSR do formuláře CAcert
Po ukončení generování je na stránce toto:
Lišta je modrá a oznamuje, že je připravena žádost, kterou je třeba podat. Posuvem stránky dolů vidíte:
Červené tlačítko ukáže privátní klíč, což pravděpodobně nevyužijete. Následuje výpis CSR ve tvaru Base64 a modré tlačítko, kterým dostanete CSR do schránky Clipboard, což se bude hodit v dalším kroku.
3. Vystavení certifikátu
V dalším textu vidíte odkaz na CAcert web. Použijte ho, přihlaste se, jděte na úvodní stránku "Klientské certifikáty - Nový". Zde vyberte e-mailové adresy pro certifikát a případně zvolte vložení Vašeho občanského jména do certifikátu. Do velkého textového pole postavte kursor a kombinací Ctrl-V vložte CSR ze schránky. Při počtu bodů AP > 49 můžete ještě vybrat podepisování kódu a/nebo SSO. Nezapomeňte zaškrtnout potvrzení dohody CCA. Stiskněte "Další".
Po vystavení certifikátu se ukáže stránka, kde je nový certifikát zobrazen. Odkazy v horní části této stránky nepoužívejte, neboť:
- Nemáte žádný způsob, jak do prohlížeče dostat privátní klíč, kromě importu ze souboru typu P12, ten však v této fázi ještě nemáte.
- Nejlepší způsob uchování certifikátu i s odpovídajícím privátním klíčem je právě v souboru typu P12 a proto nemá smysl ukládat si soubory jiných formátů obsahující POUZE certifikát.
Vyberte celý certifikát myší, i s úvodním a závěrečným komentářem a pomocí Ctrl-C ho přeneste do schránky. Nyní se vraťte k aplikaci. Tam postavte kursor do velkého pole níže pod odkazem na CAcert web. Pomocí Ctrl-V vložte certifikát ze schránky do pole. Posuňte se na stránce na bod 4.
4. Vytvoření souboru s certifikátem a privátním klíčem
Aplikace má nyní jak certifikát, tak privátní klíč (který se nikam neodesílal). Pro jeho bezpečnostní zašifrování vyžaduje heslo. Vytvořte heslo a zadejte je, pro kontrolu si je můžete zobrazit podržením myši na značce vpravo. Stiskněte modré tlačítko "příprava stažení".
5. Stažení souboru
Konečně se objeví závěrečný text, že soubor formátu P12 je připraven a můžete ho stáhnout a pak importovat do prohlížečů, OS Windows, i jiného SW. Stiskněte zelené tlačítko, soubor pojmenujte (ponechte příponu) a uložte.
6. Import souboru typu P12 do prohlížeče nebo operačního systému
Princip
Soubor P12 (přípony .p12 nebo .pfx) můžete importovat:
- do OS Windows utilitou MMC-Certifikáty,
- do OS Windows prostřednictvím Správce certifikátů v prohlížečích Edge, Chrome, Opera, Vivaldi, Brave (a dalších, používajících úložiště certifikátů Windows),
- do vlastního úložiště prohlížeče (Firefox, Basilisk, Seamonkey, Palemoon a dalších),
- do vlastního úložiště v systémech Linux (Firefox, Chromium a jiné zde používané prohlížeče).
Jak otevřít Správce certifikítů u nejčastěji používaných prohlížečů:
- (Není-li uvedeno jinak, dostanete se k Nastavení pomocí ikony "3 vodorovné čárky", tzv. "hamburger", v pravém horním rohu okna.)
- Edge ver. 114.0.1823.51: Nastavení - Ochrana osobních údajů,... - v pravém panelu okna sjet dolů na nadpis Zabezpečení - odkaz Spravovat certifikáty zobrazí okno systémové správy osobních certifikátů Windows
- Chrome ver. 114.0.5735.134: Nastavení - Ochrana soukromí a zabezpečení - v pravém panelu okna přejít na odkaz Zabezpečení - sjet níže a použít odkaz "Spravovat certifikáty zařízení" - zobrazí se okno systémové správy osobních certifikátů Windows
Opera ver. 99.0.4788.47: Ikona levý horní roh okna - Nastavení - Soukromí & bazpečnost - v pravém panelu sjet na Zabezpečení - použít odkaz "Spravovat certifikáty zařízení", který opět zobrazí okno systémové správy osobních certifikátů Windows
- Vivaldi ver. 6.1.3035.75: Ikona levý horní roh okna - Nastavení - Soukromí a bezpečí - v pravém panelu sjet na BEZPEČNOST - tlačítko "Správa certifikátů" zobrazí okno systémové správy osobních certifikátů Windows
- Brave ver. 1.52.126: Nastavení - Ochrana soukromí a zabezpečení - v pravém panelu sjet na Zabezpečení - použít odkaz "Spravovat certifikáty zařízení", který opět zobrazí okno systémové správy osobních certifikátů Windows
- Firefox ver. 114.0.1: Nastavení - Soukromí a zabezpečení - v pravém panelu okna sjet dolů na nadpis Certifikáty - tlačítko "Zobrazit certifikáty..."
- Basilisk ver. 2023.05.17: Preferences - Advanced - v pravém panelu nahoře zvolte Certificates - tlačítko "View certificates"
- Seamonkey ver. 2.53.16: menu Úpravy - Předvolby - rozkliknout Soukromí a zabezpečení - v pravém panelu tlačítko "Spravovat certifikáty"
Palemoon ver. 32.2.0: modrý obdélníček PaleMoon vlevo nahoře - Preferences, nebo menu Tools - Preferences - nové okno dialogu, nahoře vpravo Advancsd - tlačítko View Certificates
- Chromium ver. 114.0.5735.106: Nastavení - Ochrana soukromí a zabezpečení - v pravém panelu okna přejít na odkaz Zabezpečení - sjet níže na odkaz Správa certifikátů - přejít na odkaz
Správce certifikátů Firefox/Basilisk/Palemoon/Seamonkey
Kořenový certifikát CAcert najdete v záložce Autority pod "R" (Root CA). Použijte označené tlačítko a zkontrolujte důvěru Vašeho stroje ke kořenovému certifikátu CAcert. V dalším dialogu musí být pro "Root CA" - "CA Cert Signing Authority" zaškrtnuty všechny možnosti.
Import vytvořených klíčů a certifikátu ze souboru P12 provedete na záložce "Osobní" (Your Certificates) naznačeným tlačítkem "Import...". Zadáte vytvořený soubor P12 a heslo, které jste při vytváření souboru stanovili. Správce by měl oznámit úspěch a po stisknutí OK se importovaný certifikát objeví v jeho okně.
Správce certifikátů Chrome
Ve Správci certifikátů prohlířeče Chrome pod Linuxem je na záložce "Vaše certifikáty" jen nic neříkající "org-" a název certifikátu. Po rozbalení pak vidíte názvy svých certifikátů a můžete si prohlédnout jejich obsah, kde teprve vidíte, která autorita je vydala. Nový certifikát ze souboru P12 přidáte tlačítkem "Import". Opět je třeba zadat heslo privátního klíče.
Pokud chcete zkontrolovat důvěru k certifikační autoritě, najdete ji na záložce autorit. Název začíná org-Root CA, což lze rozbalit, jak je naznačeno. Důvěru pak lze upravit po výběru "Upravit" z menu vpravo (3 tečky). Zaškrtněte všechny možnosti, pokud již nejsou zvoleny.
Správa certifikátů Windows dostupná z prohlížečů
Běží-li prohlížeč využívající systémového úložiště, v systému Windows, pak jako okno Správce certifikátů uvidíte toto okno. Je to vlastně část pohledu utility MMC-Certifikáty do systémového úložiště. Chybí zde levý - stromový - panel kde bychom zjistili, že jde o osobní certifikáty aktuálního uživatele. Sem tedy můžeme importovat vytvořený soubor P12 použitím zvýrazněného tlačítka. Tím se spustí Průvodce importem certifikátu, kde vyberete soubor typu P12 (s příponou .p12) k importu.
Pozor, při následujícím výběru souboru jsou standardně nastaveny soubory typu .crt/.cer; je třeba vybrat soubory "Výměna osobních informací" s příponami .pfx/.p12.
S průvodcem projdete celý proces importu. Po jeho ukončení můžete zkontrolovat importovaný certifikát tím, že jej otevřete. Ve spodní části okna certifikátu musíte vidět ikonu klíče a text "Máte privátní klíč, jenž odpovídá tomuto certifikátu".
Oproti tomu není nutné kontrolovat důvěru ke kořenovému certifikátu (třídy 1) CAcert, protože tu je třeba potvrdit již při jeho importu do Windows.
Poznámka: S použitím souborů typu P12 je možný scénář, kdy na zařízení, kam chcete nainstalovat certifikát a privátní klíč, nejsou ještě nainstalovány kořenové certifikáty CAcert. Ze souboru P12 lze zároveň instalovat i ty, ale je nutno dodržet určitá pravidla: |
1. Při importu, jehož cílem je systém Windows, je v Průvodci třeba ponechat automatický výběr úložiště, aby jednotlivé části souboru P12 zapadly do správných úložišť. |
2. Při importu, jehož cílem je vlastní úložiště prohlížeče / Linuxu, je třeba po importu zkontrolovat / nastavit důvěru ke kořenovému certifikátu třídy 1. |