Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Certifikáty pro začátečníky (1.díl)
březen 26
Certifikáty pro začátečníky (1.díl)

Na úvod

Jak už dlouhodobě zjišťuju, certifikáty jsou poměrně složitá věc, kterou mnoho lidí prozatím pořádně nezná a pak má problémy s jejich správou. Pojďme si to tedy vysvětlit v několika článcích pěkně krok za krokem.

Certifikáty a jejich vydavatelé

Tak to, že se jedná o nějaké šifrovací věci, tak to asi víte. Detaily případně později. Teď to berme tak, že si ho umíte zobrazit v prohlížeči kliknutím na ikonku v pravo nahoře.

V certifikátu jsou tři základní parametry. Jméno vlastníka v políčku Issued to, jméno vydavatele v políčku Issued by a data platnosti. Vlastník je v tomto případě nějaké doménové jméno webové stránky. A vydavatelem je nějaká certifikační autorita (CA). Všimněte si také úplně nesmyslného čudlíku Install Certificate.

V tomto případě to totiž nemá cenu vůbec instalovat. Jestliže se vlastník a vydavatel liší, jedná se o certifikát koncové entity. Tedy například certifikát webového serveru, který vydal někdo jiný, nějaká certifikační autorita. Tlačítkem Install Certificate byste se mohli snažit tento certifikát učinit důvěryhodným. Ale to se vám nepovede (i když vám to bude hlásit, že je všechno v pořádku). Důvěryhodní mohou být pouze vydavatelé, nikoliv koncové entity.

Certifikát vydavatele, tedy té skutečné autority naleznete na třetí záložce Certification Path. Bude to ten úplně nejhornější (strom může být i delší, než jen dva certifikáty jako v našem případě).

Takže pokud si ho otevřete dvojklikem, nebo stiskem tlačítka View Certificate, tak uvidíte něco následujícícho. Všimněte si, že vlastník i vydavatel jsou totožní. Toto je konečně tzv. self-signed certifikát, tedy certifkát podepsaný sám sebou. Takový můžete nainstalovat (pokud ho důvěryhodný nemáte) a tím ho učinit důvěryhodným.

Někdy máte certifikát, který nevydala žádná certifikační autorita. Všimněte si, že se opět vlastník i vydavatel shodují. Je to tedy vlastně současně jak certifikát koncové entity tak i certifikát autority. V tomto případě můžete certifikát skutečně přímo zdůvěryhodnit.

Instalace self-signed certifikátu

Takže ještě jednou. Instalovat musíte vždycky pouze self-signed certifikáty. To jsou certifikáty, které mají stejného vlastníka jako vydavatele.

Až tedy budete instalovat certifikát vydavatele (tedy ten self-sidned certifikát), prostě můžete kliknout na tlačítko instaluj. Jenže opatrně kam ho instalujete. Rozhodně nevybírejte možnost Automatically select the certificate store based on the type of certificate. To je cesta do pekel.

Pěkně si vždycky vyberte a ještě navíc zaklikněte zaškrtávátko Show physical stores. To vám zobrazí nádherný seznam. Buď si můžete vybrat Registry, což by znamenalo, že se snažíte učinit ten certifikát důvěryhodným pouze sami sobě. Nebo můžete vybrat, a to bych vřele doporučoval, Local Computer. Tím uděláte certifikát důvěryhodný pro celý počítač.

Proč instalovat pro celý počítač

Windows 7 jsou v této věci poněkud stupidní. Pokud certifikátu nevěří celý počítač, není možné ověřit CRL. To je ale pohádka až na příště.


A rozhodně přijďte na GOPAS TechEd 2011, největší IT konferenci ve střední Evropě!

Comments

There are no comments for this post.

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments