Jak získat S/MIME certifikát s CSR a začít ho používat

6. 10. 2020 | Jindřich Zechmeister

Osobní S/MIME certifikáty nyní získáte pomocí CSR a už se pro jejich získání nepoužívá Internet Explorer. Důvody změny a nový postup pro získání osobního S/MIME certifikátu najdete v tomto článku. Nebojte, je to ještě snazší než předtím!

Konec Internet Exploreru znamená i konec "vyzvednutí" v prohlížeči

Vydávání osobních S/MIME certifikátů bylo poměrně komfortní dokud prohlížeče umožňovaly vyzvednutí certifikátu na webu. Pokud jste provedli "pick up" s prohlížečem na Microsoftu nebo Chrome, certifikát se vygeneroval a uložil přímo v úložišti certifikátů Windows. Ostatní programy jako Outlook ho pak "viděly" a nebyl problém v nich certifikát pouze vybrat k podpisu.

Výjimkou je Firefox a Thunderbird, které používají vlastní certificate store a nepoužívají úložiště certifikátů ve Windows (dokonce má každý program vlastní, což je trochu k vzteku). Ač ve Firefoxu kdysi certifikát vyzvednout šel, nyní to již není možné.

Velkou změnou k horšímu bylo ukončení podpory tzv. Crypto-api v prohlížečích - jednoduše řečeno přišli o tuto funkci a možnost vyzvednutí certifikátu. Jediným podporujícím prohlížečem zůstal Internet Explorer, který si ale řada lidí (právem) plete s Edge, kde tato funkce rovněž není. Tím docházelo ke zmatkům, které měly neblahý vliv na použitelnost tohoto postupu a uživatelský zážitek.

Internet Explorer tedy zůstal poslední možností pro vyzvednutí S/MIME certifikátu. Po oznámení konce jeho podpory (spekulovalo se i o odstranění z Windows) ho však Microsoft již vůbec nedoporučuje používat. Ať už bude odstraněn ze systému nebo ne, je prohlížeč definitivně mrtvý. Proto jsme se už teď rozhodli vydávat S/MIME certifikáty pomocí CSR (jako ostatní TLS certifikáty).

Jak vytvořit CSR a získat certifikát

Nejlepší možností vytvoření CSR je vygenerování přímo v detailu naší objednávky. To je nejrychlejší a nejsnazší možnost. Samozřejmě si můžete CSR vytvořit sami, ale údaje musí odpovídat údajům v objednávce. Pro vlastní CSR použijte OpenSSL (balík je součástí *unix systémů), nebo grafický nástroj XCA.

V detailu objednávky máte celou operaci bez práce, můžete si být jistí, že je CSR v pořádku, a máte k dispozici privátní klíč k certifikátu. Ten budete potřebovat po jeho vydání pro vytvoření PFX a pro používání certifikátu; proto je naprosto nezbytné, abyste si privátní klíč pečlivě uložili (prohlížeč vám tuto možnost nabídne po vygenerování CSR).

CSR se následně uloží v objednávce, my certifikát zažádáme a vy potvrdíte vydání S/MIME certifikátu. E-mail pro toto potvrzení, tzv. approver, bude poslán na e-mailovou adresu uvedenou v objednávce S/MIME certifikátu. Pole e-mail a adresa jsou v certifikátu totiž obsažena vždy - i kdybyste je nechtěli pro podpis e-mailů používat. Klikněte na odkaz zaslaný DigiCertem a na jejich webu (cílu odkazu) následně uvidíte potvrzení.

S/MIME approver pro vydání certifikátu

S/MIME approver pro vydání certifikátu. Klikněte pro zvětšení.

Po vydání certifikátu, které nastává okamžitě po potvrzení approveru, si v detailu objednávky stáhněte PFX (pokud vám dorazí certifikát i od DigiCertu, tak zprávu ignorujte). Stačí vložit dříve uložený privátní klíč do textového pole a zvolit si heslo, které budete pro PFX používat. Stažený PFX soubor je chráněný tímto heslem, obsahuje kromě certifikátu i zmíněný privátní klíč a CA certifikát; tento soubor si ponechte jako zálohu pro případnou ztrátu certifikátu nebo pro případ přeinstalování počítače.

Zprovoznění certifikátu pro podpis

Osobní S/MIME certifikát je nejčastěji využíván pro elektronický podpis a používá se v programech jako Outlook či Thunderbird. Pojďme se podívat, jak certifikát nastavit a začít používat.

Základem je mít PFX soubor, který obsahuje vše potřebné. Pokud chcete certifikát z PFX naimportovat do počítače s Windows, aby ho mohly používat ostatní programy, tak soubor PFX jednoduše otevřete. Po poklikání se spustí průvodce importem certifikátu a stačí jej dokončit ve výchozím nastavení.

pruvodce-importem.certu.png

Průvodce importem certifikátu. Pro zvětšení klikněte.

Nenechte se zmást tím, že se po dokončení průvodce "nic nestane". Certifikát je teď uložen v úložišti Windows a Outlook ho uvidí.

V Outlooku už nyní pouze vyberete tento certifikát jako výchozí pro podpis - tento dialog najdete v nabídce Soubor -> Možnosti a v novém okně Centrum zabezpečení -> Nastavení Centra zabezpečení a v novém dialogu Zabezpečení e-mailu. Výběr podpisového certifikátu je jednoduchý - systém vám jen nabídne seznam certifikátů přítomných v úložišti systému a vy vyberete ten od DigiCertu.

Nastavení S/MIME certifikátu v OutlookuNastavení S/MIME certifikátu v Outlooku.

Po této úpravě nastavení stačí v nové zprávě kliknout na tlačítko Podepsat (v nabídce Možnosti) a zpráva bude podepsána tímto certifikátem z PFX souboru.

Import certifikátu do Thunderbirdu probíhá podobně; návod najdete v článku nápovědy Import S/MIME certifikátu do klientů a nastavení.

Nevíte si rady? Kontaktujte naši podporu

Budete-li při použití S/MIME certifikátů potřebovat pomoc, tak neváhejte kontaktovat naši podporu. V nápovědě SSLmarketu jsou pokryty veškeré aspekty použití S/MIME certifikátů v obrázkových návodech, takže doporučujeme podívat se též na náš web.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz