česky | english

Jak obnovit certifikát

Autor: alkas

CAcert umožňuje obnovit prošlý certifikát, pokud ještě nebyl odvolán. Přitom oba klíče páru (privátní a veřejný) zůstávají zachovány.

Když se přihlásíte ke svému účtu u CAcert, můžete si zobrazit všechny vydané certifikáty, klientské i serverové.

Zvolíme příklad obnovy serverového certifikátu, což je náročnější. Budeme potřebovat:

Počítač (pravděpodobně server), kde je umístěn původní prošlý certifikát. Musí tam být uložen i jeho privátní klíč.
Serverový certifikát ve Vašem účtu CAcert: z menu Certifikáty serveru - Zobrazit - a pod seznamem platných certifikátů odkaz "Zobrazit všechny certifikáty". Zobrazí se odvolané a propadlé certifikáty. Vybereme z propadlých certifikátů takový, o němž víme, na kterém počítači vznikl - kde je tedy uložen jeho privátní klíč. Pomůže, pokud jsme při tvorbě původního (prošlého) certifikátu dali do poznámky jeho identifikaci včetně umístění.

Celkový postup:

Obnovíme certifikát ve svém účtu CAcert a uložíme ho do souboru. Pozor, tento certifikát neobsahuje privátní klíč, a má také jiné pořadové číslo, než certifikát původní (propadlý).
Z počítače, kde je privátní klíč, vyexportujeme prošlý certifikát i s privátním klíčem.
Pro sestavení (spojení) nového certifikátu s původním privátním klíčem použijeme Firefox. (V tomto příkladu budeme pracovat na jiném počítači než na původním serveru.)
Vzniklý obnovený certifikát exportujeme jako zálohu i s privátním klíčem do souboru.
Soubor pak importujeme do serveru, kde má být používán (například do webového serveru).

Obnovení certifikátu CAcert a jeho uložení do souboru

Přihlaste se ke svému účtu CAcert. Z menu v pravé části stránky zvolte: Certifikáty serveru - Zobrazit. Objeví se stránka se seznamem platných certifikátů. Pod seznamem klikněte na odkaz "Zobrazit všechny certifikáty".

Přehled certifikátů včetně propadlých a odvolaných

Vyberte propadlý certifikát, k němuž budete schopni najít privátní klíč, tedy znáte počítač, kde je umístěn. Stiskněte tlačítko "Obnovit". Po určité chvíli se objeví stránka s obnoveným certifikátem. Vyberte jeho obsah:

Je vystaven obnovený serverový certifikát

Zkopírujte obsah (Ctrl-C), spusťte program Poznámkový blok a vytvořte soubor s příponou .CER.

Obnovený certifikát v souboru

Vložte do něj certifikát (Ctrl-V) a uložte.

Vlastnosti obnoveného certifikátu

Takto vypadá Váš obnovený certifikát, zatím bez privátního klíče. Všimněte si, že má již nové období platnosti, ale také nové pořadové (sériové) číslo.

Export prošlého certifikátu z původního serveru

Nyní vyexportujte prošlý certifikát i s privátním klíčem z počítače, kde je umístěn. Použijte modul Certifikáty nástroje MMC. Doporučuji exportovat do souboru, jehož název obsahuje jméno původního serveru a pořadové číslo původního certifikátu. Je také potřeba exportovat všechny rozšířené vlastnosti certifikátu.

Prošlý certifikát je v našem případě umístěn na serveru 2012. Použijte nástroj MMC, modul Certifikáty a najděte ho v "osobních" certifikátech místního počítače.

Prošlý certifikát

Pro kontrolu porovnejte pořadové (sériové) číslo certifikátu (zde 105006) s údajem z účtu CAcert. Musí jít o prošlý certifikát, který jste obnovovali.

Prošlý certifikát - pořadové číslo

Export certifikátu je zcela přímočarý.

Export - zahájení

V průvodci exportem je třeba zvolit formát P12 (.PFX) - export s privátním klíčem.

Export - volba PFX

Exportovaný certifikát by měl obsahovat všechny rozšířené vlastnosti.

Export - vlastnosti

Nastavte heslo a název souboru, kam se bude certifikát exportovat.

Export - heslo privátního klíče Export - název výstupního souboru

Dokončete export (rekapitulace a zpráva o úspěšnosti).

Export - rekapitulace a dokončení

Vytvoření obnoveného certifikátu s privátním klíčem

Pokračujte na počítači, kde je nainstalován Firefox, zde například Windows 10.

Firefox - možnosti Firefox - rozšířené možnosti Firefox - certifikáty Firefox - správa certifikátů

Spusťte Firefox a z jeho nastavení zvolte Možnosti, dále Rozšířené a Certifikáty. V okně Správce certifikátů zvolte Importovat.

Import prošlého certifikátu

Vyberte soubor .PFX, kam jste vyexportovali prošlý certifikát s privátním klíčem.

Import prošlého certifikátu

Zadejte heslo, které jste uvedli dvakrát při exportu. Pokračujte a importujte prošlý certifikát.

Kontrola prošlého certifikátu

Podle data vidíte, že jde o prošlý certifikát. Nyní importujte obnovený certifikát.

Import obnoveného certifikátu

Je naimportován starý i nový certifikát a privátní klíč, patřící k oběma.

Kontrola importovaných certifikátů

Export obnoveného certifikátu do souboru

Pokračujte exportem nového certifikátu s privátním klíčem, tedy podle terminologie Firefoxu "zálohováním", kde vznikne soubor .P12 se strukturou PEM.

Export/zálohování Export - nastavení hesla

Opět je nutno nastavit heslo. Po OK je export dokončen.

Export - dokončeno

Instalace obnoveného certifikátu a jeho privátního klíče na cílový server

Další postup spočívá v zavedení obnoveného certifikátu s privátním klíčem na server, kde se bude používat. V našem příkladu je to Windows server 2012.

Import obnoveného certifikátu s privátním klíčem Zadání souboru .P12

Zvolte import a vyberte soubor, který jste právě vyexportovali. (Přenos mezi počítači je snazší po síti v doméně nebo domácí skupině Windows. Jinak lze použít například USB disk.)

Zadání hesla a exportovatelnosti

Zadejte heslo a opět označte klíč jako exportovatelný.

Kontrola po importu

Po importu můžete zkontrolovat:

Importovala se celá cesta (zde certifikát serveru a kořenový certifikát CAcert). To není na závadu.
Importovaný obnovený serverový certifikát má, jak je vidět na jeho ikoně, svůj privátní klíč a může být tedy serverem využit.