17.6 Vystavení certifikátu veřejného klíče

Váš certifikační úřad organizace funguje stejně jako vnější certifikační úřad. Znamená to, že může vystavovat certifikáty ze žádostí o podepsání certifikátu. Certifikáty můžete vystavovat pomocí certifikačního úřadu organizace, když vám uživatel zašle žádost o podepsání certifikátu. Uživatel požadující certifikát může následně vystavený certifikát importovat přímo do aplikace s podporou šifrování.

Tato úloha umožňuje generovat certifikáty pro aplikace s podporou šifrování, které nerozpoznávají objekty certifikátu serveru.

Chcete-li vystavit certifikát, postupujte následovně:

Na vstupní stránce konzole klikněte na položky Správa certifikátů > Vystavení certifikátů.
Vyhledejte a vyberte soubor CSR.
V části Specifikace použití klíčů vyberte příslušný typ klíče a odpovídající použití klíče. Pomocí těchto voleb můžete vybrat typ klíče. Každý typ klíče má předefinované hodnoty použití klíče, které jsou s ním spojeny:
1. Nezadáno: Tato možnost je ve výchozím nastavení vybrána a neaktivuje žádné použití klíče v certifikátu.
2. Certifikační úřad: Tato možnost aktivuje použití klíče Podepisování certifikátu a Podepisování seznamu CRL.
3. Šifrování: Tato možnost aktivuje použití Šifrování klíče.
4. Podpis: Tato možnost aktivuje použití klíče Digitální podpis.
5. SSL nebo TSL: Tato možnost nakonfiguruje klíč tak, aby ho bylo možné použít v transakcích SSL nebo TLS.
6. Vlastní: Tato možnost umožňuje vybrat libovolné nebo všechny možnosti použití klíče ručně.
7. Nastavit rozšíření pro použití klíčů jako kritické: Pokud vyberete jakýkoli typ klíče kromě typu Nezadáno, můžete označit rozšíření pro použití klíčů jako kritické. Každé rozšíření, které je označeno jako kritické, musí být pochopeno přijímajícím softwarem, než lze certifikát jakkoli použít. Označení rozšíření jako kritického proto přináší určité riziko, protože certifikát nemohou použít všechny aplikace. U dobře známých rozšíření, jako je například použití klíče, je však riziko minimální. Obecně platí, že pokud je zadáno použití klíče, mělo by být rozšíření označeno jako kritické.
V certifikátu můžete kódovat rozšíření Použití rozšířeného klíče. Chcete-li tuto funkci aktivovat, vyberte možnost Aktivovat použití rozšířených klíčů:
1. Server: Tato možnost aktivuje použití rozšířeného klíče Ověřování na serveru.
2. Uživatel: Tato možnost aktivuje použití rozšířeného klíče Ověřování uživatele a Ochrana e-mailových zpráv.
3. Vlastní: Tato možnost umožňuje vybrat libovolné nebo všechna použití rozšířeného klíče.
4. Libovolný: Umožňuje využít klíč pro libovolné použití rozšířeného klíče.
5. Nastaví rozšíření pro použití rozšířených klíčů jako kritické: Každé rozšíření, které je označeno jako kritické, musí být pochopeno přijímajícím softwarem, než lze certifikát jakkoli použít. Označení rozšíření jako kritického proto přináší určité riziko, protože certifikát nemohou použít všechny aplikace. Vzhledem k tomu, že mnoho aplikací nerozumí rozšíření pro použití rozšířených klíčů, představuje označení tohoto rozšíření jako kritického významné riziko, že certifikát nebude danou aplikací přijat. Proto by toto rozšíření mělo být nastaveno na kritické, pouze pokud je to nutné.
Vyberte příslušná základní omezení:
1. Typ certifikátu:
  1. Nezadáno: Tuto možnost vyberte, pokud pro certifikát nechcete přidat rozšíření základního omezení.
  2. Certifikační úřad: Tuto možnost vyberte, pokud pro certifikát chcete přidat rozšíření základního omezení Certifikační úřad. Pokud je certifikát určen pro certifikační úřad, musíte tuto možnost vybrat.
  3. Koncová entita: Tuto možnost vyberte, pokud pro certifikát chcete přidat rozšíření základního omezení, které určuje, že se jedná o certifikát koncové entity (která není certifikační úřad). Poznámka: Pokud je typ certifikátu Koncová entita, je třeba délku cesty nastavit na Nezadáno.
2. Délka cesty:
  1. Nezadáno: Tuto možnost vyberte, pokud nechcete určit, kolik úrovní podřízených certifikačních úřadů lze vytvořit pod tímto certifikačním úřadem.
    
    POZNÁMKA:Pokud je typ certifikátu Koncová entita, je třeba délku cesty nastavit na Nezadáno.
  2. Specifický: Tuto možnost vyberte, pokud chcete určit, kolik úrovní podřízených certifikačních úřadů lze vytvořit pod tímto certifikačním úřadem. Kliknutím na šipky nahoru a dolů zadejte délku cesty.
    
    POZNÁMKA:Pokud je vytvářený certifikát podřízený certifikační úřad, musí být délka cesty konzistentní s nadřazeným certifikačním úřadem. Pokud má například nadřazený certifikační úřad cestu o délce 3, musí být délka podřízeného certifikačního úřadu 2 a méně. Pokud má nadřazený certifikační úřad nezadanou délku cesty, může mít podřízený certifikační úřad také nezadanou délku cesty nebo libovolnou konkrétní délku.
3. Nastavit rozšíření základních omezení jako kritické: Možnost Rozšíření základních omezení je obecně nutné nastavit jako kritickou pro certifikáty certifikačního úřadu. Každé rozšíření, které je označeno jako kritické, musí být pochopeno přijímajícím softwarem, než lze certifikát jakkoli použít. Označení rozšíření jako kritického proto přináší určité riziko, protože certifikát nemohou použít všechny aplikace. U dobře známých rozšíření, jako je například Základní omezení, je však riziko minimální.
Zadejte následující parametry certifikátu:
1. Název subjektu: Zobrazí název stromu služby OpenText eDirectory s úplným typem.
2. Název subjektu: Zobrazí název stromu služby OpenText eDirectory s úplným typem.
3. Období platnosti: Pomocí rozevíracího seznamu zadejte období, po které bude certifikát platit. Rozsah je od šesti měsíců po maximální dobu, rok 2036 (časové omezení na základě 32bitové hodnoty času). Pokud vyberete možnost Zadejte data, můžete upravit pole Datum platnosti a Datum konce platnosti a vytvořit vlastní období platnosti. Maximální vybrané datum musí odpovídat datu platnosti certifikační autority.
  1. Datum začátku platnosti: Umožňuje zobrazit nebo upravit čas a datum, kdy certifikát vstoupí v platnost.
  2. Datum konce platnosti: Umožňuje zobrazit nebo upravit čas a datum, kdy se certifikát stane neplatným.
4. Vlastní rozšíření: Umožní, aby služba Certificate Server podporovala standardní a vlastní rozšíření, která chcete zahrnout při vytváření certifikátu. Rozšíření je třeba nejdříve vytvořit a uložit v souboru (jedno rozšíření na soubor). Každé rozšíření musí mít kódování ASN.1 podle definice v dokumentu IETF RFC 2459/3280, oddíl 4.2.
  
  Pokud do vytvářeného certifikátu chcete zahrnout minimálně jedno vlastní rozšíření, klikněte na položku Nové, vyhledejte soubor obsahující vlastní rozšíření a přidejte ho do certifikátu. Zopakováním tohoto procesu můžete přidat více rozšíření.
  
  Chcete-li odstranit soubor vlastního rozšíření, vyberte ho a klikněte na ikonu .
Z následujících možností vyberte příslušný formát certifikátu:
1. Soubor v binárním formátu DER: Tato možnost umožňuje uložit nebo exportovat certifikát do souboru zobrazeného v poli Název souboru. Ve výchozím nastavení se soubor certifikátu exportuje s rozšířením .DER do kořene jednotky C: pracovní stanice konzole OpenText Identity Console se systémem Windows a do domovského adresáře pracovní stanice konzole OpenText Identity Console se systémem Linux.
2. Soubor ve formátu Base64: Tato možnost umožňuje uložit soubor CSR nebo exportovat certifikát do souboru zobrazeného v poli Název souboru. Ve výchozím nastavení se certifikát a soubory CSR exportují s rozšířením .B64 do kořene jednotky C: pracovní stanice konzole OpenText Identity Console se systémem Windows a do domovského adresáře pracovní stanice konzole OpenText Identity Console se systémem Linux.
3. Soubor ve formátu CER: Tato možnost umožňuje uložit soubor CSR nebo exportovat certifikát do souboru zobrazeného v poli Název souboru. Ve výchozím nastavení se certifikát a soubory CSR exportují s rozšířením .CER do kořene jednotky C: pracovní stanice konzole OpenText Identity Console se systémem Windows a do domovského adresáře pracovní stanice konzole OpenText Identity Console se systémem Linux.
Na následující obrazovce zkontrolujte souhrn certifikátu a klikněte na tlačítko OK.
Zobrazí se potvrzení udávající, že certifikát byl úspěšně vystaven.