Na úvod
Jak už dlouhodobě zjišťuju, certifikáty jsou poměrně složitá věc, kterou mnoho lidí prozatím pořádně nezná a pak má problémy s jejich správou. Pojďme si to tedy vysvětlit v několika článcích pěkně krok za krokem.
Certifikáty a jejich vydavatelé
Tak to, že se jedná o nějaké šifrovací věci, tak to asi víte. Detaily případně později. Teď to berme tak, že si ho umíte zobrazit v prohlížeči kliknutím na ikonku v pravo nahoře.
V certifikátu jsou tři základní parametry. Jméno vlastníka v políčku Issued to, jméno vydavatele v políčku Issued by a data platnosti. Vlastník je v tomto případě nějaké doménové jméno webové stránky. A vydavatelem je nějaká certifikační autorita (CA). Všimněte si také úplně nesmyslného čudlíku Install Certificate.
V tomto případě to totiž nemá cenu vůbec instalovat. Jestliže se vlastník a vydavatel liší, jedná se o certifikát koncové entity. Tedy například certifikát webového serveru, který vydal někdo jiný, nějaká certifikační autorita. Tlačítkem Install Certificate byste se mohli snažit tento certifikát učinit důvěryhodným. Ale to se vám nepovede (i když vám to bude hlásit, že je všechno v pořádku). Důvěryhodní mohou být pouze vydavatelé, nikoliv koncové entity.
Certifikát vydavatele, tedy té skutečné autority naleznete na třetí záložce Certification Path. Bude to ten úplně nejhornější (strom může být i delší, než jen dva certifikáty jako v našem případě).
Takže pokud si ho otevřete dvojklikem, nebo stiskem tlačítka View Certificate, tak uvidíte něco následujícícho. Všimněte si, že vlastník i vydavatel jsou totožní. Toto je konečně tzv. self-signed certifikát, tedy certifkát podepsaný sám sebou. Takový můžete nainstalovat (pokud ho důvěryhodný nemáte) a tím ho učinit důvěryhodným.
Někdy máte certifikát, který nevydala žádná certifikační autorita. Všimněte si, že se opět vlastník i vydavatel shodují. Je to tedy vlastně současně jak certifikát koncové entity tak i certifikát autority. V tomto případě můžete certifikát skutečně přímo zdůvěryhodnit.
Instalace self-signed certifikátu
Takže ještě jednou. Instalovat musíte vždycky pouze self-signed certifikáty. To jsou certifikáty, které mají stejného vlastníka jako vydavatele.
Až tedy budete instalovat certifikát vydavatele (tedy ten self-sidned certifikát), prostě můžete kliknout na tlačítko instaluj. Jenže opatrně kam ho instalujete. Rozhodně nevybírejte možnost Automatically select the certificate store based on the type of certificate. To je cesta do pekel.
Pěkně si vždycky vyberte a ještě navíc zaklikněte zaškrtávátko Show physical stores. To vám zobrazí nádherný seznam. Buď si můžete vybrat Registry, což by znamenalo, že se snažíte učinit ten certifikát důvěryhodným pouze sami sobě. Nebo můžete vybrat, a to bych vřele doporučoval, Local Computer. Tím uděláte certifikát důvěryhodný pro celý počítač.
Proč instalovat pro celý počítač
Windows 7 jsou v této věci poněkud stupidní. Pokud certifikátu nevěří celý počítač, není možné ověřit CRL. To je ale pohádka až na příště.
A rozhodně přijďte na GOPAS TechEd 2011, největší IT konferenci ve střední Evropě!