• HowTo
• ReplaceCAcertRootCertificate
• PL

• česky | deutsch | english | español | français | italiano | nederlands | polski |

W jaki sposób zastąpić zakorzeniony w CAcert Klasa 1, sygnowany MD-5, korzeniem CAcert Klasa 1 z SHA 256, sygnowany CAcert Klasa 1.

Główne przeglądarki nie akceptują certyfikatów (w tym podpisanych przez root) podpisanych algorytmem MD-5 po 2016 roku1231. Dzieje się tak dla tego, że obecnie algorytm MD-5 nie jest już uważany za bezpieczny. Jest to również powód do zastąpienia go certyfikatem SHA256 podpisanym CAcert root.

Wprowadzenie

Podpisany certyfikat CAcert root jest dość podobny do podpisanego MD-5 CAcert root, jeśli chodzi o kwestie techniczne. Główne różnice między rdzeniem SHA256 z klasy 1 a rdzeniem MD-5 z klasy 1 są następujące:

• Oczywiście algorytm podpisywania: SHA256 zamiast MD-5,
• numer seryjny: 00000F zamiast 00000000,
• Odcisk palca SHA-1:? dd: fc: da: da: 54:1e: 75:77: ad: dc: a8:7e: 88:27: a9:8a: 50:50:60:32:52: a5 (zamiast 13:5C: EC: 36: F4:9C: B8: E9:3B: 1A: B2:70: CD: 80:88:46:76:76

Procedura

Krótko mówiąc: wymiana jest możliwa, prosta i nie stanowi problemu zarówno dla systemów operacyjnych, jak i przeglądarek. Proces wymiany jest całkowicie prosty - 1-2-3:

1. Pobierz i zapisz podpisany plik główny CAcert Class 1 root SHA256. Wybierz format, którego można użyć w systemie lub przeglądarce.
2. Zaimportuj pobrany root do swojego systemu operacyjnego lub przeglądarki internetowej (np. użyj odpowiednio narzędzia systemowego lub wbudowanego programu Certyfikat Manager).
3. Skreślić poprzedni podpisany kontrakt MD-5 CAcert Class 1 root. Przedtem sprawdź numer seryjny 00000000.

Udowodniono, że procedura zastąpienia nie szkodzi. Nie ma potrzeby zmiany lub ponownego instalowania certyfikatu CAcert root klasy 3 lub certyfikatu CAcert, ponieważ są one już podpisane przez SHA256. Systemy (Linux, Windows) i przeglądarki (Firefox) nadal są w stanie tworzyć potrzebne łańcuchy certyfikatów.

Procedura, jeśli korzenie zostały zainstalowane przez pakiet MSI dla MS Windows

1. Jeśli zainstalowałeś korzenie CAcert przy użyciu pakietu MSI, musisz je najpierw dezinstalować przy użyciu tego samego pakietu CAcert_Root_Certificates. msi (lub nowego CAcert_Root_Certificates_256. msi). Jeśli nie pamiętasz procedury poprzedniej instalacji, uruchom pakiet (z nazwą _256). jeśli wyświetla trzy standardowe opcje (przyciski Zmień, Naprawa, Odinstalowanie), naciśnij Odinstaluj. Jeśli pojawi się okno dialogowe błędu (bez tekstu, przyciski Tak/Nie), naciśnij Tak.
2. Po zakończeniu dezinstalacji uruchom nowy pakiet CAcert_Root_Certificates_256. msi, potwierdź umowę licencyjną i zainstaluj korzenie. Ponownie, jeśli pojawi się okno dialogowe "Błąd", naciśnij Tak.

Procedura dla Kleopatry w Linuksie

Program Kleopatra usuwa certyfikat korzeniowy z całego łańcucha certyfikatów. Nie pozwala to zatem na bezpośrednie zastąpienie starego certyfikatu korzeniowego. Należy postępować zgodnie z tą procedurą:

1. Eksport wszystkich wydanych certyfikatów do plików typu <hash>. pem.

2. Usunięcie podpisanego certyfikatu głównego CAcert (MD-5). W ten sposób można również usunąć cały łańcuch certyfikatów, tj. certyfikat CAcert Class3 i wszystkie Twoje certyfikaty (masz kopię zapasową z kroku 1).
3. Importer certyfikatu CAcert root CAcert Class1 SHA256 oznaczony numerem seryjnym 0F (root_256. crt) i ustaw go jako wiarygodny.
4. Importer certyfikatu CAcert pośredni klasy 3 (class3. crt).
5. Importuj wszystkie wydane Ci certyfikaty, które zostały wyeksportowane w kroku 1.

• CategoryCertificate