Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!
Zadejte Vaši e-mailovou adresu:
Kamarád fotí rád?
Přihlas ho k odběru fotomagazínu!
Zadejte e-mailovou adresu kamaráda:
Informace
Certifikát Thawte
29. srpna 2006, 00.00 | Dnes si ukážeme, jak pokračovat dále pro získání certifikátu a jeho instalaci do systému, tak, aby byl k dispozici (nejen, ale především) pro služby v aplikaci Mail.
V minulém dílu našeho seriálu jsme si krok za krokem ukázali, kterak se připojit k serveru Thawte a jak si tam vytvořit uživatelské konto. Skončili jsme ve chvíli, kdy jsme úspěšně konto potvrdili s použitím vygenerovaného jednorázového hesla, přijatého prostřednictvím e-mailu.
Dnes si ukážeme, jak pokračovat dále pro získání certifikátu a jeho instalaci do systému, tak, aby byl k dispozici (nejen, ale především) pro služby v aplikaci Mail.
Pokud jste své konto podle minulého článku právě vytvořili, stačí stisknout tlačítko "next" v uvítací obrazovce:
Jinak se prostě přihlásíme na stránky Thawte na adrese www.thawte.com, využívajíce ovšem pro uživatelské jméno e-mailové adresy, již jsme zadali při vytváření konta, stejně jako hesla, jež jsme si zvolili (již je máte uložené v aplikaci KeyChain? Ne-li, je na to při prvním přihlášení ideální chvíle).
Žádost o certifikát
V úvodní stránce našeho osobního konta se pomocí odpovídající položky z nabídky u levého okraje okna přesuneme do skupiny služeb, souvisejících přímo s certifikáty:
V ní si pak vyžádáme vytvoření certifikátu, odpovídajícího standardu X.509 – což je právě standard, s nímž pracuje Mac OS X (stejně jako prakticky všechny ostatní operační systémy):
Následující stránka, již pro nás server Thawte automaticky otevře v novém okně – sestavení certifikátu, podobně jako vytvoření nového uživatelského konta, probíhá v samostatném okně – je na první pohled poněkud problematická. Jejím prostřednictvím totiž zvolíme typ webového browseru, s nímž pracujeme; server Thawte mu přizpůsobí mechanismus předání certifikátu. Jenže... náš browser Safari v této stránce není.
Řešení je naštěstí dosti snadné: prostě vybereme nejobecnější variantu "Mozilla Firefox/Thunderbird, Netscape Communicator/Messenger":
Jak uvidíme později, při ní server certifikát pošle jako soubor ve standardním formátu P12 s korektním nastavením typu MIME; Safari to rozezná, a certifikát automaticky předá aplikaci KeyChain. To ale zatím předbíháme – nejprve musíme určit požadovaná nastavení certifikátu.
Prvá stránka je jednoduchá – v ní bychom mohli vybrat jméno nositele certifikátu a jeho podniku; pokud jsme ovšem použili nové konto, získané zdarma postupem z minulého článku, nemáme na vybranou: jméno je fixní, a žádný název zaměstnavatele není k dispozici:
Důležitější je následující stránka; v ní je zapotřebí určit, že naše e-mailová adresa se má stát součástí certifikátu. Pozor, defaultní volba je "vypnuto" – pokud bychom ji však ponechali, nebude nám certifikát v aplikaci Mail moc platný; Mac OS X totiž požaduje, aby součástí certifikátu, využitého k digitálnímu podpisu, byla též e-mailová adresa, z níž je zpráva odesílána.
Vložení adresy tedy explicitně zapneme:
V následující stránce jen klepneme na tlačítko "next" (není v ní co vybírat), a pak potvrdíme "Default Extensions":
Následuje volba kryptografické síly veřejného klíče; pokud z nějakého důvodu nemáme speciální požadavky, vybereme prostě nejdelší klíč, jenž nám server Thawte nabídne – v současnosti to je 2048 bitů:
Pozor: už v této chvíli nám systém vytvoří dvojici privátního a veřejného klíče – můžeme si to ověřit nahlédnutím do aplikace Keychain Access, v níž se tyto klíče oba ihned objeví:
Pokud bychom si nějakou náhodou tyto klíče smazali, máme smůlu: aplikace Thawte totiž samozřejmě náš privátní klíč vůbec nemá k dispozici. Přijdeme-li tedy o něj, neexistuje žádný způsob, kterak certifikát obnovit – v takovém případě bychom si museli vyžádat jiný.
Samozřejmě, rozumné je si certifikát i s klíči zazálohovat; buď v rámci celé "klíčenky" (keychain) – to samozřejmě stejně děláte, že? – nebo jej lze vyexportovat samostatně. Jak se to dělá si ukážeme později, až se budeme zabývat prací s aplikací Keychain Access.
Vraťme se však ke tvorbě certifikátu: po vytvoření klíče již jen v nové stránce potvrdíme zadané hodnoty:
a pak si počkáme, než server Thawte certifikát vytvoří – obvykle to trvá několik minut. Po vytvoření certifikátu dostaneme e-mailovou zprávu, jež obsahuje přímo odkaz pro "stažení" hotového certifikátu z webových stránek Thawte:
Povšimněme si, že URL vrací jméno aplikace "deliver.exe", jež certifikát patrně na webu Thawte generuje; nesmíme se proto divit, že na přijetí certifikátu Safari zareaguje následujícím bezpečnostním dotazem:
Potvrdíme jej samozřejmě.
Tím jsme hotovi: ačkoli se totiž získaný soubor, obsahující certifikát, jmenuje nesmyslně "deliver.exe", webový server Thawte jej doprovází korektním typem MIME. Díky tomu Safari automaticky otevře aplikaci Keychain Access a certifikát jí předá – a aplikace Keychain Access certifikát přidá do standardní "klíčenky" (v níž již jsou, jak jsme si před chvílí řekli, uloženy odpovídající klíče).
Pozor na jednu drobnost: server Thawte předávaný certifikát chrání vším možným i nemožným :), takže jak uvádí varování v e-mailu, skutečně jej musíme importovat v témže browseru a na témže počítači v rámci téhož uživatelského konta – jinak to nebude fungovat. Sám jsem kdysi na tento "podraz" zapomněl, a dlouho jsem marně hledal v čem je chyba, když jsem se snažil certifikát, vyžádaný na laptopu, importovat do správné "klíčenky" – jenže na jiném počítači.
Pokud jsme použili správný počítač, správný browser a tak dále, vidíme hned, že certifikát v "klíčence" máme k dispozici:
a ihned jej také můžeme používat v aplikaci Mail, jak ukazuje ikonka "digitálního podpisu" na pravém okraji lišty:
Nakonec jen pro úplnost – patrně neuvidíte ve vaší aplikaci rozevírací nabídku pro výběr identity – na obrázku nahoře označenou "Account": to proto, že pravděpodobně budete mít zkonfigurovaný pouze jediný účet, vhodný k odesílání zpráv. Aplikace Mail nabídku zobrazí teprve tehdy, když je z čeho vybírat.
Obsah seriálu (více o seriálu):
- Je to bezpečné?
- Základy zabezpečení Mac OS X
- Identifikace a autorizace
- Jak je to s administrátory
- Šifrování
- Co jsou to ty šifry?
- Černý vzadu, podpisy, a vůbec...
- Certifikáty
- Kde vzít certifikát?
- Certifikát Thawte
- Keychain
- Keychain Access
- Kolik keychainů máš, tolikrát jsi paranoikem
- Lepší konfigurace keychainů
- Jeden na neděli, jeden na všední den...
- WEP or weep
- AirPort a nastavení bezdrátové sítě
- WEP and weep...
- Externí router
- Slušný člověk nešifruje!
- Je ve vězení bezpečno
Tématické zařazení:
» Rubriky » Tipy a Triky