Import kořenového certifikátu ZČU

Z HelpDesk

http://athletics.salemu.edu/under_construction_large.jpg

co, kdy, proc a jak

Úvod

Pro zabezpečování elektronické komunikace na internetu se využívá různých metod šifrování informací. Šifrování jako takové, ale samo o sobě nezaručuje bezpečnost (pokud si nezkontroluji oprávnění revizora v MHD může se mi stát, že zaplatím pokutu podvodníkovi - šifrovat bezpečně mohu i komunikaci s podvodníkem). Proto bychom při používání šifrovaných přenosů měli vždy dbát na ověření identity protistrany se kterou komunikujete nebo požadujete nějaké služby. Pro ověřování protistrany se v dnešní době používají digitální certifikáty (podobně jako obtížně falšovatelné občanské průkazy nebo odznaky revizorů v MHD).

Digitální certifikáty a jejich použití

Digitální certifikát je elektronická identifikace nějakého subjektu a obsahuje položky určující jeho platnost (jméno, datum, jméno vydavatele, ...). Narozdíl od občanského průkazu lze však certifikátem potvrdit platnost jiného certifikátu (zřetězení certifikátů - certificate chaining). Této vlastnosti se využívá při vydávání, ale hlavně ověřování certifikátů.

Dotaz prohlížeče na akci pro předložený platný certifikát se správným jménem podepsaný neznámou certifikační autoritou

Před začátkem šifrované komunikace je tedy potřeba ověřit identitu komunikujícího protějšku, respektive ověřit pravost a platnost jím předloženého certifikátu (průkazu). Proto je potřeba pozorně číst a přemýšlet o výstražných hlášeních prohlížeče, která v souvislosti s navazováním spojení uživateli vyskakují v prohlížeči. V praxi je potřeba zkontrolovat základní podmínky:

  1. soulad jména certifikátu se jménem serveru na který se prohlížeč/uživatel snaží připojit
  2. datum platnosti certifikátu
  3. důvěryhodnost certifikátu případně certifikační autority, která jej vydala

V ideálním případě musí být splněny všechny tři podmínky: certifikát by měl být časově platný, podepsaný důvěryhodnou certifikační autoritou a jméno v certifikátu by mělo odpovídat subjektu který jej předkládá. Bohužel svět není ideální ...

O ověření těchto parametrů se stará prohlížeč za uživatele automaticky. Pokud není splněna některá z výše uvedených podmínek, zobrazí uživateli varovné hlášení. Ve chvíli zobrazení varování, se musí uživatel sám rozhodnout jestli jsou parametry pro zabezpečení spojení dostatečné či nikoliv a zda bude pokračovat v komunikaci se vzdálenou stranou či nikoliv.

Aby uživatel nemusel potvrzovat důvěryhodnost každého jednotlivého certifikátu ke každému serveru při každém navazování spojení, používá se s svýhodou zřetězení certifikátů. Každý certifikát, stejně jako průkaz, je vydáván nějakou autoritou, která zaručuje správnost zapsaných informací. V digitálním světě se takové autoritě říká certifikační autorita (CA), ta stvrzuje správnost informací ve vydávaném certifikátu jeho zřetězením/podpisem svým vlastním certifikátem - kořenovým certifikátem certifikační autority.

Pro uživatele to v důsledku znamená, mít v přohlížeči nainstalovány (importovány) kořenové certifikáty certifikačních autorit a k těmto mít přiřazenu důvěryhodnost. Prohlížeč přitom toto nastavení zohledňuje při vyhodnocování třetí podmínky platnosti certifikátu. Pokud je podepsaný CA, kterou uživatel označil za důvěryhodnou je i předložený certifikát považovaný za důvěryhodný. Pokud prohlížeč nedokáže rozhodnout automaticky, dotáže se uživatele.

Certifikáty ve výpočetním prostředí ZČU

Většina oficiálních serverů ZČU má vlastní certifikát podepsaný centrální certifikační autoritou ZCU root CA. Díky tomu Vám pro ověřování všech serverů ZČU postačí importovat certifikát certifikační autority, tím dokáže Váš prohlížeč automaticky ověřit pravost webových serverů ZČU.

PPPPPPPPPPPPPPPPPREPSAT, neplati to pro variantu webs vs. IE. Po úspěšném importování by se při přístupy na serveru ZČU, nikdy nemělo objevit varovné okno s hlášením o nedůvěryhodném certifikátu. Pokud se však toto hlášení objevuje i po úspěšném importu certifikátu, měli byste kontaktovat uživatelskou podporu ( http://support.zcu.cz/helpdesk) a nepokračovat v komunikaci se serverem, z nějž varování pochází.

Importovat certifikát můžete na adrese http://crl.zcu.cz/crl/ZCUrootCA.der a při jeho přijímání musíte zkontrolovat miniaturu/otisk certifikátu, abyste si mohli být jisti, že importujete pravý certifikát. Miniatura/otisk jsou k dispozici na adrese: http://crl.zcu.cz/crl/fingeprint.

Import do prohlížeče Internet Explorer

01-ie opencert.png

  • tlačítkem Otevřít zobrazte informace o certifikátu a tlačítkem Nainstalovat certifikát naimportujte certifikát do úložiště operačního systému :

03-ie install.png
04-ie autokeystore.png

  • v posledním kroku instalačního průvodce je potřeba zkontrolovat zda souhlasí miniatura instalovaného certifikátu s miniaturou uvedenou na stránce http://crl.zcu.cz/crl/fingeprint (okno s touto stránkou máte mít připravené z prvního kroku)

05-ie check2.png

06-ie imported.png

Import do prohlížeče Mozilla Firefox

01-ff opencert.png

  • zde je potřeba zkontrolovat zda souhlasí miniatura instalovaného certifikátu s miniaturou uvedenou na stránce http://crl.zcu.cz/crl/fingeprint (okno s touto stránkou máte mít připravené z prvního kroku)

02-ff check finger.png

  • Pokud miniatura/otisk souhlasí, zavřete okno s podrobnostmi certifikátu, zvolte Uznat tuto CA pro identifikaci serverů a dokončete import tlačítkem OK.

03-ff finish.png




Varování o nedůvěryhodném certifikátu

Internet Explorer 6

00-ie warning.png

Mozilla Firefox 2.0

00-ff warning.png