Как да получите сертификат

Изборът на метод за производство на удостоверението зависи от целите на използването им. Ако сертификатите се използват за осигуряване на кореспонденция малкото хора, които се познават помежду си "в реалния живот" (служители на малки фирми, например), нищо не пречи на тях, за да се възползва от "самостоятелно направени" сертификат генериран с помощта на помощната програма OpenSSL (както е направено, за което ще говоря по-долу) , Ако се изисква удостоверение за съобщения с непознати в една глобална мрежа, трябва да се свържете с някой от местни или чуждестранни органи за сертификация (CAS). И накрая, ако се изисква удостоверение за взаимодействие с правителствени агенции на Руската федерация, тя трябва да бъде получена в един от ТЗ, одобрен от нашите държавни органи (вж. Sidebar, "Особености на национално сертифициране").

Получавате безплатен сертификат

Най-известният сред КО, които предоставят някои услуги безплатно, са три: Thawte Consulting, CAcert и Comodo Group. Всеки един от тези сертифициращи органи имат своите предимства и недостатъци.

Компанията Comodo Group (известен на мнозина, защото на неговата свободна защитна стена за Windows) използва за разпространение на сертификати в Internet Explorer възможности, така че нейните услуги за нас не е подходящ (разбира се, да инсталирате сертификата на Windows браузър, то тогава може да "влачите и пускате" в друга програма, включително платформата Linux, но ние със сигурност няма да направи).

CA CAcert подкрепя Windows и Linux, и като цяло да предоставя широка гама от безплатни услуги, но главният сертификат (CC) от CAcert не е предварително инсталирана в популярни браузъри и програми за електронна поща (поне засега), а това означава, че за CAcert сертификати сертификата си към насрещната страна по сделката трябва да бъдат инсталирани от KS CASert. Не всеки потребител ще се съгласи с нещо там, за да инсталирате от интернет, особено след като съобщението на браузъра не е намерен от Конференцията на страните, изглежда страшно. Например, IE 7 дори съветва на бягство от сайта CAcert (фиг. 1).

CA Thawte (на базата, между другото, прословутия Марк Шатълуърт и след това се продават на VeriSign фирма) - голямо име в света на цифрови сертификати - осигурява безплатни сертификати, за да удостовери, електронна поща (но не и за SSL). Това CA се е убедил, че неговите сертификати могат да бъдат инсталирани във всяка система, в допълнение, на Конференцията на страните от Thawte предварително инсталиран в почти всички програми, които работят с цифрови сертификати. Ако имате нужда от сертификат за подписване и криптиране на частна поща безплатни Thawte сертификати - най-добрият избор. Thawte недостатък може да се нарече, че при издаването на безплатни сертификати не се поддържат самостоятелно генерира заявки за сертификати (вж. По-долу), в допълнение Thawte сертификат не поддържа инсталация в Konqueror. Това означава, че инсталирането на безплатни сертификати Thawte трябва да използвате Firefox или Opera.

Сертификатът в мрежата

Има две схеми за получаване на сертификати за онлайн. В първо изпълнение, както и сертификат и двойка ключове се генерира от вашия браузър и отидете на сайта Калифорния. Когато вашият сертификат ще се появи на сайта сертифициращи органи, можете да инсталирате сертификата (и предоставения таен ключ) във вашия браузър. За да импортирате сертификат и личен ключ (SK) в Firefox, просто кликнете върху линка, който сочи към сертификат за уебсайта, Калифорния. Имайте предвид, че въпреки че си сертификат ще се съхраняват на СО на сървъра, CK към сертификата можете да получите само веднъж, след което го ТК "забрави" (сертификат е безполезна без Великобритания).

Вторият вариант - да се създаде заявка за издаване на удостоверение, използвайки OpenSSL полезност и да го изпратите на сайта CA (изглежда, че Konqueror не може да генерира валидни заявки за сертификат, така че ако не използвате Firefox и Opera, тази опция - за вас). Искането за удостоверението е документ, подписан с помощта на частен ключ от новата двойка ключове. За да създадете заявката за сертификат, трябва да генерира ключове:

Частният ключ се съхранява в klient.key файла (пак там, всъщност, се поддържа и публичния ключ, без които Великобритания също е безполезно). Последният брой на командата низ - дължината на ключа в битове, които определят неговите съпротива.

Изискването за сертификат (файл КСО) се създава с командата:

Инсталация под Linux Програма Сертификат

Много популярна програма Linux поддържа цифрови сертификати X.509. Ще разгледаме тяхното инсталиране и използване на KMail, Thunderbird и OpenOffice.org апартамент. За да може да подпише своите публикации, трябва да инсталирате програмите таен ключ и сертификат, удостоверяващ съответния публичен ключ. За криптиране на съобщения, предназначени за други, това е достатъчно, за да се установи вашите кореспонденти удостоверения (сертификати от тях програма за електронна поща ще извлече необходимата за публичен ключ за криптиране). Сертификат за вашия кореспондент, можете да получите, например, заедно с писмо, съдържащо електронен подпис.

В прозореца на диспечера на сертификат, който се отваря, изберете сертификата си, а след това щракнете върху бутона Backup. Вие ще бъдете помолени да посочите парола за защита на частния ключ, след което PKCS # 12 файл може да бъде записан на диск. С мениджърът на сертификати, можете да импортирате PKCS # 12 пакета в браузъра Firefox.

Ако получите сертификат и частен ключ в PEM формат, можете да използвате OpenSSL програма, за да го превърнете в PKCS # 12. В конзолата с екипа (пазим PKCS # 12 пакет наречен cert.p12):

където cert.pem - файл със сертификата и ключа в PEM формат и cert.p12 - нов файл в # 12 формат PKCS.

Със сертификат и личен ключ във формат * .crt, можете да ги конвертирате в # 12 формат PKCS използване OpenSSL:

Ако сертификатът и частният ключ се съхраняват в различни файлове (например, да генерирате ключ за себе си, и след това да създадете заявка за сертификат), екипът създаде PKCS # 12 пакет ще изглеждат по различен начин:

Тук cert.pem - файл на сертификат, който сте изтеглили от сайта на Калифорния и client.key - файла с частния ключ, който сте създали за генериране на заявката за сертификат.

Във всички случаи ползата OpenSSL ще ви подкани да зададете парола за защита на PKCS # 12 пакета.

Инсталиране на сертификат в KDE / KMail

За да импортирате пакет от сертификати и лични ключове от PKCS # 12 файл (и други формати) в KDE, трябва само да отворите файла сертификат в Konqueror и кликнете върху бутона Import (паролата ще се изисква да се защити # 12 пакета PKCS).

Инсталиране на сертификата в KDE може да използвате Центъра за управление на KDE Desktop. В Центъра за управление, отидете на Групата за сигурност Декларация -> Crypto, отворете раздела Вашите сертификати, и използвайте бутона за внос на удостоверение от файл. В този случай, програмата пита дали сертификатът да бъде достъпна за KMail.

Ситуацията е малко по-сложно, ако инсталирането на личен сертификат, заверен от главния сертификат не е във вашата система. За да зададете KDE, например, от cacert на COP, първо трябва да се внасят по същия начин като личен сертификат. След това трябва да добавите цифров SHA-1 пръстови отпечатъци на главния сертификат към списъка с надеждни сертификати gpgsm (списък на пръстови отпечатъци на надеждни сертификати се съхраняват във файла

/.gnupg/trustlist. TXT). Вземете отпечатъци на SHA-1 на всички инсталирани сертификати можете да използвате командата

Конзолна полезност gpgsm GPG-агент и да изпълнява всички стъпки, свързани с обработка на X.509 сертификати и свързаните с ключове в KDE, KMail програма ги изпълнява като външни процеси. Преглед на съобщенията, издадени от тези инструменти, както и идентифициране на причината за евентуални повреди, можете да използвате KWatchGnuPG програма

Инсталиране на сертификат в Thunderbird

Инсталиране на сертификата и частния ключ от PKCS # 12 файла в Thunderbird е направено с помощта на мениджъра на програмата за сертификат (Thunderbird може да се извлече сертификати от Firefox магазин, но той не го направи). Отворете прозореца Preferences Thunderbird, отидете на групата за поверителност, кликнете върху раздела Защита, след което се обади мениджърът на сертификати, като кликнете върху Показване на сертификати. Сега можете да добавите сертификат, като натиснете бутона Import.

По време на инсталацията на сертификата и частния ключ от # 12 Thunderbird пакет PKCS ще поиска две пароли - основната парола, която програмата използва за защита на частни ключове, съхранявани в неговите настройки и защитени с парола PKCS # 12 пакета. Ако използвате сертификат cacert, вие също трябва да инсталирате COP CAcert. (На разположение в сайта CAcert COP, тя трябва да бъде инсталиран по абсолютно същия начин, както и личен сертификат). Създаване на Конференцията на страните, отидете на раздела Органи в прозореца на Диспечер на сертификатите, намерете желания списък COP, щракнете върху бутона Edit и поставете отметка в квадратчето на този сертификат на потребители на поща.

Когато изпращате подписано съобщение от Thunderbird, да се грижи за пощенската кутия, от която изпращате съобщение отговаря на пощенската кутия, посочен в удостоверението. Точно като KMail, Thunderbird клиент, преди да подпишат съобщение с искане за паролата, която защитава частния ключ.

Текст имейл съобщение с помощта на OpenSSL

Ако любимата си програма за електронна поща не поддържа X.509 сертификати пряко, това не означава, че не можете да ги използвате. С помощта на "сертификат на SK +" полезност OpenSSL пакета и в PEM формат (може да бъде създаден такъв пакет, например, с помощта на Клеопатра програма), можете да се регистрирате имейл съобщения, които се съхраняват във файл на диск:

-noverify опция деактивира проверка сертификат сертифициращ подпис. съобщение-signed.eml файл ще съдържа подписано съобщение. Други опции ви позволяват да се изгради OpenSSL тази програма, в верига от програми, които изпълняват за създаване и изпращане на съобщения. Съветвам ви да прочетете документацията на тази мощна програма.

Използване на сертификати в OpenOffice.org

Програма на OpenOffice.org може да се използва за документиране на подписване на ключове и сертификати, инсталирани в браузъра Firefox (OpenOffice е в състояние да изтеглите сертификати от Firefox хранилище автоматично). Ако вашият персонален сертификат не е инсталиран в Firefox, можете да го инсталирате с помощта на Firefox Сертификат мениджър, както е описано по-горе. За да подпишат документ, в OpenOffice.org, трябва да изберете команда от меню Файл | Цифрови подписи в диалоговия прозорец, щракнете върху бутона Add. списък на лични сертификати ще се отвори, където можете да изберете сертификат / ключ за подписване.

Обстоятелството, че документът на OpenOffice е подписан и цифровия подпис е непокътнат, показва икона в прозореца за състоянието бар OpenOffice показване на документа с червен печат (ако промените подписания документ, иконата ще изчезне).

Жълт триъгълник с удивителен знак върху иконата показва, че проверка на автентичността на сертификата потвърждаващ подпис не успя. Това може да се случи, ако съответната CS не е инсталиран или не е инсталирана правилната удостоверение за самоличност, предназначени за подписване на съдържанието му.

За да отстраните този проблем, отворете прозореца на диспечера на Firefox Сертификат и щракнете върху раздела органи. Ако COP за вашето удостоверение липсва, то трябва да бъде инсталиран в Firefox. Ако е инсталирана желания COP, изберете го в прозореца на сертификат и кликнете върху бутона Edit. Поставете отметка в квадратчетата на този сертификат е-мейл адреса на потребителя и на този сертификат софтуер.

Bold удивителен знак върху икона, която показва състоянието на подписване на документ OpenOffice, показва, че подписването структура е била прекъсната (или удостоверяване на главния сертификат не е валиден).

Особености на националния сертифициране

По очевидни причини държавният контрол (поне отчасти) използването на криптиране системи, техните граждани, както и страната ни не е изключение. Ако правилно разбирам съответните закони на страната (и аз не се преструвам да се коригира напълно тяхното разбиране), да използва програмите, които са преминали държавната сертифициране, не забравяйте да само в рамките на държавните органи на Руската федерация и в сътрудничество с тях. В други случаи, потребителят има право да защитават своите данни със средствата, с които разполага. Сертификация центрове в страната ни там, а те са много. Сред предложените от тях алгоритми и протоколи, електронен подпис, може да се намери, тъй като някои гости и описани в различните RFC и FIPS.

файлове X.509 сертификати

• * .cer - сертификат се съхранява в стандарта CER. Тя може да включва и сертификат, частния ключ, пътят на сертифициране.
• * .der - сертификати в DER стандарт. Тя може да включва и сертификат, частния ключ, пътят на сертифициране.
• * .crt - сертификат файл във формат CER, DER или Netscape.
• * .pem - кодирания сертификат основа 64. То може да включва пълния път на сертификата и частния ключ сертификати.
• * .p8 - файл, съдържащ частния ключ е защитен по стандарта PKCS # 8.
• * .p12 (Windows използва разширението * .pfx) - сертификат файл е защитен по стандарта PKCS # 12. Тя може да включва и сертификат, частния ключ, пътят на сертифициране.

Как да стигнем до "мрежата на доверие"?

Най-тежките потребители на OpenPGP често гледат отвисоко цифрови сертификати X.509. Въпреки това, в този формат сертификати доминират извън Linux, както и защото трябва да ги използвате, за да общуват с потребители, които не Линукс. В крайна сметка, зачитане на традициите на другите - най-важният принцип на приятелски комуникация.

Предпочитана тел Volgograd.

Свързани статии

• Създаване ISCSI инициатор прозорци, прозорци за системни администратори

• Безплатна bookdesigner програма за бързо конвертиране на дигитална библиотека

• Обучение за медицински център администраторите