Certifikát Thawte - MujMAC.cz - Apple, Mac OS X, Apple iPod

Odběr fotomagazínu

Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!

 

Zadejte Vaši e-mailovou adresu:

Kamarád fotí rád?

Přihlas ho k odběru fotomagazínu!

 

Zadejte e-mailovou adresu kamaráda:

Seriály

Více seriálů



Informace

Certifikát Thawte

29. srpna 2006, 00.00 | Dnes si ukážeme, jak pokračovat dále pro získání certifikátu a jeho instalaci do systému, tak, aby byl k dispozici (nejen, ale především) pro služby v aplikaci Mail.

V minulém dílu našeho seriálu jsme si krok za krokem ukázali, kterak se připojit k serveru Thawte a jak si tam vytvořit uživatelské konto. Skončili jsme ve chvíli, kdy jsme úspěšně konto potvrdili s použitím vygenerovaného jednorázového hesla, přijatého prostřednictvím e-mailu.

Dnes si ukážeme, jak pokračovat dále pro získání certifikátu a jeho instalaci do systému, tak, aby byl k dispozici (nejen, ale především) pro služby v aplikaci Mail.

Pokud jste své konto podle minulého článku právě vytvořili, stačí stisknout tlačítko "next" v uvítací obrazovce:

Jinak se prostě přihlásíme na stránky Thawte na adrese www.thawte.com, využívajíce ovšem pro uživatelské jméno e-mailové adresy, již jsme zadali při vytváření konta, stejně jako hesla, jež jsme si zvolili (již je máte uložené v aplikaci KeyChain? Ne-li, je na to při prvním přihlášení ideální chvíle).

Žádost o certifikát

V úvodní stránce našeho osobního konta se pomocí odpovídající položky z nabídky u levého okraje okna přesuneme do skupiny služeb, souvisejících přímo s certifikáty:

V ní si pak vyžádáme vytvoření certifikátu, odpovídajícího standardu X.509 – což je právě standard, s nímž pracuje Mac OS X (stejně jako prakticky všechny ostatní operační systémy):

Následující stránka, již pro nás server Thawte automaticky otevře v novém okně – sestavení certifikátu, podobně jako vytvoření nového uživatelského konta, probíhá v samostatném okně – je na první pohled poněkud problematická. Jejím prostřednictvím totiž zvolíme typ webového browseru, s nímž pracujeme; server Thawte mu přizpůsobí mechanismus předání certifikátu. Jenže... náš browser Safari v této stránce není.

Řešení je naštěstí dosti snadné: prostě vybereme nejobecnější variantu "Mozilla Firefox/Thunderbird, Netscape Communicator/Messenger":

Jak uvidíme později, při ní server certifikát pošle jako soubor ve standardním formátu P12 s korektním nastavením typu MIME; Safari to rozezná, a certifikát automaticky předá aplikaci KeyChain. To ale zatím předbíháme – nejprve musíme určit požadovaná nastavení certifikátu.

Prvá stránka je jednoduchá – v ní bychom mohli vybrat jméno nositele certifikátu a jeho podniku; pokud jsme ovšem použili nové konto, získané zdarma postupem z minulého článku, nemáme na vybranou: jméno je fixní, a žádný název zaměstnavatele není k dispozici:

Důležitější je následující stránka; v ní je zapotřebí určit, že naše e-mailová adresa se má stát součástí certifikátu. Pozor, defaultní volba je "vypnuto" – pokud bychom ji však ponechali, nebude nám certifikát v aplikaci Mail moc platný; Mac OS X totiž požaduje, aby součástí certifikátu, využitého k digitálnímu podpisu, byla též e-mailová adresa, z níž je zpráva odesílána.

Vložení adresy tedy explicitně zapneme:

V následující stránce jen klepneme na tlačítko "next" (není v ní co vybírat), a pak potvrdíme "Default Extensions":

Následuje volba kryptografické síly veřejného klíče; pokud z nějakého důvodu nemáme speciální požadavky, vybereme prostě nejdelší klíč, jenž nám server Thawte nabídne – v současnosti to je 2048 bitů:

Pozor: už v této chvíli nám systém vytvoří dvojici privátního a veřejného klíče – můžeme si to ověřit nahlédnutím do aplikace Keychain Access, v níž se tyto klíče oba ihned objeví:

Pokud bychom si nějakou náhodou tyto klíče smazali, máme smůlu: aplikace Thawte totiž samozřejmě náš privátní klíč vůbec nemá k dispozici. Přijdeme-li tedy o něj, neexistuje žádný způsob, kterak certifikát obnovit – v takovém případě bychom si museli vyžádat jiný.

Samozřejmě, rozumné je si certifikát i s klíči zazálohovat; buď v rámci celé "klíčenky" (keychain) – to samozřejmě stejně děláte, že? – nebo jej lze vyexportovat samostatně. Jak se to dělá si ukážeme později, až se budeme zabývat prací s aplikací Keychain Access.

Vraťme se však ke tvorbě certifikátu: po vytvoření klíče již jen v nové stránce potvrdíme zadané hodnoty:

a pak si počkáme, než server Thawte certifikát vytvoří – obvykle to trvá několik minut. Po vytvoření certifikátu dostaneme e-mailovou zprávu, jež obsahuje přímo odkaz pro "stažení" hotového certifikátu z webových stránek Thawte:

Povšimněme si, že URL vrací jméno aplikace "deliver.exe", jež certifikát patrně na webu Thawte generuje; nesmíme se proto divit, že na přijetí certifikátu Safari zareaguje následujícím bezpečnostním dotazem:

Potvrdíme jej samozřejmě.

Tím jsme hotovi: ačkoli se totiž získaný soubor, obsahující certifikát, jmenuje nesmyslně "deliver.exe", webový server Thawte jej doprovází korektním typem MIME. Díky tomu Safari automaticky otevře aplikaci Keychain Access a certifikát jí předá – a aplikace Keychain Access certifikát přidá do standardní "klíčenky" (v níž již jsou, jak jsme si před chvílí řekli, uloženy odpovídající klíče).

Pozor na jednu drobnost: server Thawte předávaný certifikát chrání vším možným i nemožným :), takže jak uvádí varování v e-mailu, skutečně jej musíme importovat v témže browseru a na témže počítači v rámci téhož uživatelského konta – jinak to nebude fungovat. Sám jsem kdysi na tento "podraz" zapomněl, a dlouho jsem marně hledal v čem je chyba, když jsem se snažil certifikát, vyžádaný na laptopu, importovat do správné "klíčenky" – jenže na jiném počítači.

Pokud jsme použili správný počítač, správný browser a tak dále, vidíme hned, že certifikát v "klíčence" máme k dispozici:

a ihned jej také můžeme používat v aplikaci Mail, jak ukazuje ikonka "digitálního podpisu" na pravém okraji lišty:

Nakonec jen pro úplnost – patrně neuvidíte ve vaší aplikaci rozevírací nabídku pro výběr identity – na obrázku nahoře označenou "Account": to proto, že pravděpodobně budete mít zkonfigurovaný pouze jediný účet, vhodný k odesílání zpráv. Aplikace Mail nabídku zobrazí teprve tehdy, když je z čeho vybírat.

Obsah seriálu (více o seriálu):

Tématické zařazení:

 » Rubriky  » Informace  

 » Rubriky  » Agregator  

 » Rubriky  » Tipy a Triky  

 » Rubriky  » Software  

 

 

 

Nejčtenější články
Nejlépe hodnocené články
Apple kurzy

 

Přihlášení k mému účtu

Uživatelské jméno:

Heslo: