Nastavení důvěryhodnosti

Tento návod popisuje postup pro zajištění důvěryhodnosti certifikátů ve vašem prostředí. Cílem je vytvořit tzv. Chain of Trust (řetězec důvěry) importem kořenového a zprostředkujících certifikátů do příslušných systémových úložišť.

Přehled certifikátů

Pro úspěšnou konfiguraci je nutné nainstalovat těchto 5 souborů (stáhněte je):

Root CA (Kořen):

root3.cer → patří do Důvěryhodné kořenové certifikační autority / Trusted Root Certification Authorities

Sub-CA (Zprostředkující):

• Doporučené pro podpis: aca3-2.cer, aca3-3.cer
• Doporučené pro e-mailovou komunikaci: cca3-2.cer, cca3-3.cer

→ všechny patří do Zprostředkující certifikační autority / Intermediate Certification Authorities

Poznámka

Soubory jsou staženy ze stránek eIdentity a upraveny do správného formátu.

Hromadné nasazení přes GPO

Tato metoda automaticky nainstaluje certifikáty na všechny počítače v doméně.

Požadavky

Přístup k nástroji Správa zásad skupiny (Group Policy Management) a oprávnění Domain Admin.

Krok 1: Vytvoření GPO

1. Spusťte gpmc.msc.
2. Vytvořte novou zásadu (např. CERT-EIDENTITY) a propojte ji s požadovanou OU nebo doménou.
3. Klikněte na zásadu pravým tlačítkem a zvolte Edit (Upravit).

Krok 2: Import Kořenového certifikátu

1. V editoru přejděte na: Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies
2. Klikněte pravým tlačítkem na složku Trusted Root Certification Authorities (Důvěryhodné kořenové certifikační autority) > Import…
3. Vyberte soubor root3.cer.
4. Potvrďte, že cílové úložiště je Trusted Root Certification Authorities.
5. Dokončete import.

Krok 3: Import Zprostředkujících certifikátů

1. Ve stejném umístění klikněte pravým tlačítkem na složku Intermediate Certification Authorities (Zprostředkující certifikační autority) > Import…
2. Postupně importujte všechny 4 soubory (aca3-2.cer, aca3-3.cer, cca3-2.cer, cca3-3.cer).
3. U každého se ujistěte, že cílové úložiště je Intermediate Certification Authorities.

Krok 4: Aplikace

Na klientských stanicích se změna projeví po restartu nebo spuštěním příkazu v CMD (jako správce):

gpupdate /force

Ruční instalace (pro běžné uživatele)

Tato metoda je určena pro počítače mimo doménu nebo pro uživatele, kteří si certifikáty instalují sami.

Windows

1. Instalace Kořenového certifikátu (root3.cer)

1. Otevřete soubor root3.cer.
2. Klikněte na Nainstalovat certifikát…
3. Vyberte Aktuální uživatel a klikněte na Další.
4. Zvolte Všechny certifikáty umístit do následujícího úložiště.
5. Klikněte na Procházet… a vyberte Důvěryhodné kořenové certifikační autority.
6. Potvrďte OK > Další > Dokončit.
7. Potvrďte bezpečnostní upozornění systému (klikněte na Ano).

2. Instalace Zprostředkujících certifikátů (ostatní 4 soubory)

Opakujte tento postup pro každý ze souborů: aca3-2, aca3-3, cca3-2, cca3-3.

1. Otevřete soubor certifikátu.
2. Klikněte na Nainstalovat certifikát… > Aktuální uživatel > Další.
3. Zvolte Všechny certifikáty umístit do následujícího úložiště.
4. Klikněte na Procházet… a vyberte Zprostředkující certifikační autority.
5. Potvrďte OK > Další > Dokončit.

MAC / OS X

Tento postup zopakujte pro každý z následujících souborů: root3.cer, aca3-2, aca3-3, cca3-2, cca3-3

1. Import certifikátu: Dvojklikem otevřete soubor certifikátu. Systém se zeptá na přidání do klíčenky – potvrďte tlačítkem Přidat a v případě výzvy zadejte své heslo k počítači.

2. Vyhledání v Klíčence: Otevřete aplikaci Přístup ke klíčence (Keychain Access).
   Do vyhledávacího pole vpravo nahoře zadejte název certifikátu (např. ACA nebo root).

   

3. Nastavení důvěry: Dvojklikem otevřete nalezený certifikát a rozbalte sekci Trust / Důvěra:
   U položky When using this certificate / Při použití tohoto certifikátu vyberte možnost Always Trust / Vždy důvěřovat.

   

4. Potvrzení: Zavřete okno certifikátu. Systém si vyžádá heslo administrátora (nebo otisk prstu) pro uložení změn. Správně nastavený certifikát bude mít u ikonky malý modrý symbol plus (+).