17.1 Správa certifikačního úřadu

Ve výchozím nastavení pro vás proces instalace služby Certificate Server vytvoří certifikační úřad organizace. Budete vyzváni k zadání názvu certifikačního úřadu. Po kliknutí na tlačítko Dokončit se vytvoří certifikační úřad organizace s výchozími parametry a umístí se do bezpečnostního kontejneru. Pokud chcete mít nad vytvořením certifikačního úřadu organizace větší kontrolu, můžete ho vytvořit ručně na portálu OpenText Identity Console. Pokud certifikační úřad organizace odstraníte, musíte ho znovu vytvořit.

Pomocí modulu Certifikační úřad můžete provádět následující úlohy:

17.1.1 Vytvoření certifikátů certifikačního úřadu organizace

Chcete-li vytvořit objekt certifikačního úřadu organizace, postupujte následovně:

  1. Na vstupní stránce konzole klikněte na položky Správa certifikátů > Certifikační úřady.

  2. Pokud žádný objekt certifikačního úřadu organizace neexistuje, otevře se dialogové okno Vytvořit objekt certifikačního úřadu organizace a příslušný průvodce pro vytvoření objektu. Postupujte podle pokynů a vytvořte objekt.

    POZNÁMKA:Zkontrolujte, zda cesta k souboru CRL, která je zde zadaná, odpovídá instalační cestě služby OpenText eDirectory.

  3. Po vytvoření certifikačního úřadu doporučujeme vytvořit zálohu dvojice veřejného/soukromého klíče certifikačního úřadu a uložit ji na bezpečném místě. Další informace najdete v části Zálohování certifikátů certifikačního úřadu organizace.

17.1.2 Zálohování certifikátů certifikačního úřadu organizace

Soukromý klíč a certifikáty certifikačního úřadu organizace doporučujeme zálohovat pro případ neodstranitelného selhání hostitelského serveru certifikačního úřadu organizace. Pokud dojde k selhání, můžete pomocí souboru zálohy obnovit certifikační úřad organizace na libovolný server ve stromové struktuře.

POZNÁMKA:Možnost zálohovat certifikační úřad organizace je k dispozici pouze pro certifikační úřady vytvořené pomocí služby Certificate Server verze 9.0 a vyšší. V předchozích verzích služby Certificate Server byl soukromý klíč certifikačního úřadu organizace vytvořen tak, že ho nebylo možné exportovat.

Soubor zálohy obsahuje soukromý klíč certifikačního úřadu, certifikát podepsaný sebou samým, certifikát veřejného klíče a několik dalších certifikátů nezbytných pro fungování. Tato informace je uchovávána ve formátu PKCS #12 (označován také jako PFX).

Je doporučeno certifikační úřad organizace po ověření jeho správné funkce zálohovat.

Certifikační úřad lze zálohovat následovně:

  1. Na vstupní stránce konzole klikněte na položky Správa certifikátů > Certifikační úřady.

  2. Klikněte na kartu Certifikáty.

  3. Vyberte možnost Certifikát podepsaný sebou samým nebo Certifikát veřejného klíče. Oba certifikáty jsou během operace zálohování zapsány do souboru. Možnost Certifikát podepsaný sebou samým doporučujeme vybrat pro certifikáty RSA a ECDSA zvlášť.

  4. Klikněte na ikonu .

  5. Vyberte možnost exportu soukromého klíče, zadejte heslo obsahující minimálně šest alfanumerických znaků, které se použije při šifrování souboru PFX, jako formát exportu vyberte PKCS12 a klikněte na tlačítko OK.

  6. Šifrovaný soubor zálohy se zapíše do zadaného umístění. Nyní ho můžete uložit do bezpečného umístění pro použití v případě nouze.

17.1.3 Obnovení certifikačního úřadu organizace

Pokud je objekt certifikačního úřadu organizace odstraněn, poškozen nebo pokud na hostitelském serveru certifikačního úřadu organizace došlo k neodstranitelnému selhání, můžete certifikační úřad organizace obnovit pomocí souboru zálohy. Další informace o zálohování certifikátů certifikačního úřadu najdete v části Zálohování certifikátů certifikačního úřadu organizace.

Certifikační úřad organizace lze obnovit následovně:

  1. Na vstupní stránce konzole klikněte na položky Správa certifikátů > Certifikační úřady.

  2. Klikněte na v horní části obrazovky (vedle položky Správa certifikačních úřadů) a odstraňte existující certifikační úřad organizace.

  3. Nyní budete vyzváni ke konfiguraci nového certifikačního úřadu organizace. Otevře se dialogové okno Vytvořit objekt certifikačního úřadu organizace a příslušný průvodce, který objekt vytvoří.

  4. V dialogovém okně pro vytvoření zadejte server, který by měl certifikační úřad organizace hostovat, a název objektu certifikačního úřadu organizace.

  5. Klikněte na tlačítko Importovat.

  6. Vyberte certifikát RSA i ECDSA. Služba Certificate Server vyžaduje, aby oba certifikáty měly stejný název subjektu. Služba Certificate Server nepodporuje import externích certifikátů certifikačního úřadu organizace podepsaných sebou samým. Můžete však importovat podřízené certifikáty certifikačního úřadu.

  7. Na následujících obrazovkách vyhledejte a vyberte název souboru pro certifikát RSA a ECDSA.

  8. Zadejte heslo použité k šifrování souboru při vytváření zálohy a klikněte na tlačítko OK.

  9. Soukromý klíč a certifikáty certifikačního úřadu organizace byly obnoveny a certifikační úřad je plně funkční. Soubor lze nyní znovu uložit pro budoucí použití.

17.1.4 Ověření certifikátů certifikačního úřadu organizace

Pokud máte podezření na problém s certifikátem nebo pokud certifikát už není platný, můžete ho snadno ověřit pomocí konzole OpenText Identity Console. Ověřit lze jakýkoli certifikát ve stromu služby OpenText eDirectory, včetně certifikátů vydaných vnějšími certifikační úřady.

Proces ověření certifikátu zahrnuje několik kontrol dat v certifikátu a dat v řetězci certifikátů. Řetězec certifikátů se skládá z kořenového certifikátu certifikačního úřadu a volitelně z certifikátu minimálně jednoho zprostředkujícího certifikačního úřadu.

Ověření certifikátu:

  1. Na vstupní stránce konzole klikněte na položky Správa certifikátů > Certifikační úřady.

  2. Klikněte na kartu Certifikáty.

  3. Vyberte možnost Certifikát podepsaný sebou samým nebo Certifikát veřejného klíče.

  4. Kliknutím na položku ověřte vybrané certifikáty certifikačního úřadu.

17.1.5 Nahrazení certifikátů certifikačního úřadu organizace

Pokud se certifikáty z nějakého důvodu poškodí nebo ztratí platnost, případně chcete-li jen nahradit existující certifikáty, postupujte následovně:

  1. Na vstupní stránce konzole klikněte na položky Správa certifikátů > Certifikační úřady.

  2. Klikněte na kartu Certifikáty.

  3. Vyberte možnost Certifikát podepsaný sebou samým nebo Certifikát veřejného klíče.

  4. Kliknutím na položku nahraďte vybrané certifikáty certifikačního úřadu.

  5. Importujte certifikát certifikačního úřadu ve formátu .pfx nebo .p12 a zadejte heslo pro šifrování soukromého klíče.

  6. Klikněte na tlačítko OK.

POZNÁMKA:Konzole OpenText Identity Console vás na vypršení certifikátu certifikačního úřadu poprvé upozorní 60 dní před datem vypršení platnosti. Tato zpráva se zobrazí po přihlášení ke konzoli OpenText Identity Console.

17.1.6 Odvolání certifikátů certifikačního úřadu organizace

Odvolání certifikátu:

  1. Na vstupní stránce konzole klikněte na položky Správa certifikátů > Certifikační úřady.

  2. Klikněte na kartu Certifikáty.

  3. Vyberte možnost Certifikát podepsaný sebou samým nebo Certifikát veřejného klíče.

  4. Klikněte na ikonu .

  5. Seznamte se s riziky souvisejícími s odvoláním certifikátů serveru.

  6. V rozevíracím seznamu vyberte platný důvod odvolání, zvolte datum ukončení platnosti a zadejte případné další poznámky.

  7. Kliknutím na tlačítko OK dokončete odvolání.