česky | english
Pro další informace viz stránku Zprostředkující (pod-kořenové) certifikáty pro organizace.
Pod-kořenové (Sub-Root) certifikáty
Dotaz: Rád bych, aby CAcert podepsal můj kořenový certifikát, abych mohl podepisovat další certifikáty. Je to možné?
Odpověď: Krátká odpověď je NE.
Chceme dosáhnout toho, aby byl CAcert vložen do nejpoužívanějších prohlížečů. Byli jsme však informováni, že v dotazu uvedená praxe nejen komplikuje dosažení tohoto cíle, ale může nás úplně vyloučit z kandidátů na toto vložení. Důvodem je, že nemáme žádný vliv na toho, kdo certifikáty vydává, že nezmění své praktiky/zásady, na to, kdo bude mít přístup k privátnímu klíči, atd., atd. A to nechceme nyní riskovat, když už lidé vynaložili množství práce na dosažení tohoto cíle.
Odpověď: Dlouhá odpověď je ANO.
Organizace
Hledáte-li snazší cestu k práci s certifikáty v zákonem uznávané organizaci, měl(a) byste se podívat na systém zaručování organizací resp. Organizace.
Automatické vydávání certifikátů
Zajímá-li Vás automatické vydávání certifikátů, máme pro Vás tyto možnosti:
Certificator je nástroj pro automatické generování certifikátů pro velké množství uživatelů, např. v LDAP
AEP je CAcert proxy server automatického zápisu (auto-enrollment) - pro automatický výdej certifikátů organizace pro Aktivní adresář
Pomocí CertApi můžete začlenit automatické vydávání certifikátů do jakékoli jiné aplikace (což používá i Certificator)
Zprostředkující certifikáty
Potřebujete-li skutečně zprostředkující certifikáty (abyste omezili spoléhající aplikace pouze na certifikáty vydané tímto zprostředkujícím certifikátem), pak Vám CAcert může nabídnout řešení nazvané "ManagedPki", kdy CAcert vytvoří jednoúčelový zprostředkující certifikát a pracuje s ním za Vás. K vydávání certifikátů tímto způsobem budete moci použít jak webové rozhraní, tak také CertApi. V tomto scénáři pracuje CAcert za Vás jako zprostředkující autorita a uplatňuje místo Vás i zásady podřízené certifikační autority (CA), abyste nemuseli auditovat svou vlastní podřízenou CA. CAcert Vám zajistí stabilní, automatické rozhraní pro výdej certifikátů za Vaši podřízenou CA.
Omezené podřízené certifikační autority (CA)
Chcete-li vydávat certifikáty s vysokou dostupností, nebo je z jakéhokoli jiného důvodu nutné, abyste měli svou vlastní "domácí" CA, pak pro Vás máme dvě možnosti, jak toho dosáhnout:
RFC 3280 definuje rozšíření certifikátů X.509 DNS Name Constraint (Omezení DNS názvů), tak aby podřízené certifikační autority (Sub-CA) byly omezeny na určitou doménu a její subdomény. CAcert to bude možná v budoucnu podporovat.
Mikro CA: Protože některé systémy dosud nepodporují RFC3280, plánujeme vytvořit implementaci Mikro CA pro Smart Cards nebo HSM (Hardware Security Module, hardwarový zabezpečovací modul), který prosadí omezení názvů v bezpečném hardwaru pro zabezpečení, že bude pracovat s každým existujícím softwarem.
Neomezené podřízené certifikační autority (CA)
Pro neomezené podřízené certifikační autority bude CAcert pravděpodobně uplatňovat požadavky podobné těmto: http://www.mozilla.org/projects/security/certs/policy/ Odhaduji, že cena tohoto programu bude několik set tisíc EUR/USD. Koneckonců bude asi snazší, když prosadíte vložení do prohlížečů Vy sami, než když získáte neomezenou podřízenou CA od CAcert.
Máte-li jakékoli specifické potřeby, které nyní dostupné programy nepokrývají, prosím kontaktujte nás.
Back to FAQ/TechnicalQuestions