Jak instalovat digitální podpis pod Windows XP
Článek na Zvědavci (https://zvedavec.news)
URL adresa článku:
https://zvedavec.news/techpor/2011/10/4626-jak-instalovat-digitalni-podpis-pod-windows-xp.htm
Vladimír Stwora
O digitálním certifikátu jsme ve Zvědavci už psali a také jsme uveřejnili popis, jak jej instalovat. Bohužel ten návod je místy roztříštěný tím, že současně popisuje postup u různých prohlížečů a poštovních klientů. A navíc nezahrnuje popis instalace pro Outlook Express. Tento klient je stále ještě hojně používán a instalace certifikátu pro něj se malinko liší. Dnes se tedy budeme věnovat pouze tomu, jak nainstalovat digitální podpis / certifikát pod Windows XP a Outlook Express.
Ještě krátce k čemu to slouží: Digitální podpis / certifikát vám umožní podepisovat a / nebo šifrovat vaši korespondenci. Digitálně podepsaný email potvrzuje, že přišel z adresy uvedené v záhlaví a že s textem nebylo cestou manipulováno. Součástí digitálního podpisu je i veřejný klíč odesílatele. Příjemce může svou odpověď šifrovat za předpokladu, že oba, jak odesílatel, tak adresát, mají vlastní digitální podpis / certifikát.
Vytvoření digitálního certifikátu třídy 1 je zdarma (certifikát třídy 1 potvrzuje pouze to, že přišel z uvedené emailové adresy, certifikát třídy 2 potvrzuje, že přišel z uvedené emailové adresy a identita podepsané osoby byla nějakou formou ověřena; certifikáty třídy 2 se platí) a instalace pro zkušeného člověka nezabere více jak 10 minut. Pokud to děláte poprvé, počítejte tak s půlhodinkou.
Vytvoření a instalace digitálního certifikátu se skládá ze tří kroků:
1. Vygenerování certifikátů přes webový prohlížeč MS Explorer
2. Uložení certifikátu do složky Dokumenty (Můžete zvolit i jiné úložiště, třeba USB klíčenku, je to sice bezpečnější, ale mírně nepohodlné)
3. (a) Určení cesty (path) k certifikátu pro Outlook Express a (b) propojení certifikátu s vaším emailovým účtem.
Poslední krok jsou vlastně dva kroky. Dal jsem to do jednoho bodu, protože oba kroky děláme v jediné aplikaci – Outlook Express.
Digitální certifikát je vázán na jednu konkrétní emailovou adresu a nelze jej použít pro jinou adresu. Chcete-li mít digitální certifikát pro více emailových adres, musíte pro každou vytvořit vlastní certifikát.
1. Vygenerování certifikátu přes webový prohlížeč
V průběhu generování budete potřebovat vložit dvě hesla. Obě mohou být shodná a nemusí ani být příliš složitá (podle míry zabezpečení vašeho počítače).
To první heslo slouží k případné revokaci (zneplatnění) vašeho certifikátu v případě, že by vám třeba ukradli počítač a vy byste se báli, že by někdo mohl odesílat vaším jménem poštu.
To druhé slouží k otevírání certifikátu. Všimněte si, neříkám k šifrování, říkám k otevírání. Certifikát je udělán tak, že jej musíte heslem otevřít, abyste jej mohli použít. To děláte jen při otevírání Outlook Express; dokud bude Outlook otevřen, můžete podepisovat nebo šifrovat dle libosti více emailů. K samotnému šifrování je použito úplně jiné heslo – náhodný shluk písmen a čísel dlouhý 256 znaků. Skutečný klíč pro šifrování si nikdy nebudete muset ani pamatovat, ani se o něj nějak starat, je dobře schován v soukromém klíči certifikátu.
Klikněte sem: https://secure.comodo.com/products/frontpage?area=SecureEmailCertificate
Neumíte-li anglicky, tak
| First Name | Jméno (jen formalita, stejně v certifikátu nebude, pište bez diakritiky, prosím!) |
| Last Name | Příjmení (rovněž formalita, rovněž bez diakritiky) |
| Email Address | Emailová adresa, se kterou bude váš certifikát pevně spojen |
| Key Size | Velikost klíče (ponechte High Grade) |
| Revocation Password | Následující dvě pole slouží pro vložení hesla k revokaci (odvolání) certifikátu v případě krádeže apod. Viz výše. Do obou polí vložte stejné heslo dvakrát. |
| Comodo Newsletter | Chtějí po vás souhlas se zasíláním jejich spamu, nevyžádané pošty, všelijakých reklam apod. Doporučuji toto pole odkliknout. |
| I accept | Souhlasím s podmínkami (zaklikněte) a klikněte na Next - Pokračovat |
Do schránky vám přišel email s předmětem Your certificate is ready for collection!. Email bude vypadat přibližně takto:
![[Dopis od Comodo]](images/techpor/dig-cert-win-xp-1.jpg)
Doporučuji jej uschovat, obsahuje totiž také adresu pro případné zrušení (revoke) certifikátu.
Klikněte na Click & Install...
Objeví se druhá obrazovka
![[Certifikát byl přijat]](images/techpor/dig-cert-win-xp-2.jpg)
V této chvíli byl certifikát prohlížečem přijat. Je nutno jej někam uložit.
2. Uložení certifikátu do složky Dokumenty
V MS IE klikneme na Nástroje | Možnosti internetu, v menu vybereme kartu Obsah a klikneme na Certifikáty.
Zvýrazníme certifikát a klikneme na Export.
Objeví se okno Vítá vás Průvodce exportem certifikátu. Klikneme na Další, objeví se okno Exportovat soukromý klíč. Zvolíme Ano a klikneme na Další. Objeví se okno Formát souboru pro export, zde můžeme ponechat vše jak je a klikneme na Další.
Nové okno Heslo. Zde vložíme dvakrát po sobě heslo sloužící k otevření certifikátu. Nemusí být příliš silné, pokud máte chráněn přistup do Windows jinak, třeba šifrovaným celým diskem, nebo pokud máte slušnou jistotu, že se váš počítač nedostane do nepovolaných rukou. V každém případě opakuji, toto není heslo, kterým se šifruje, toto je pouze heslo pro otevření certifikátu.
Klikneme na Další a objeví se okno Soubor pro export. Zvolte jméno souboru s certifikátem. Doporučuji použít jako jméno vlastní emailovou adresu, usnadní to orientaci. Klikněte na Procházet a zvolte místo, kde bude certifikát uložen. Doporučuji složku Dokumenty, kde si udělejte adresář Smime-certifikáty a sem si certifikát uložte. Je jedno, kam jej uložíte, jen si pamatujte, kde je.
3 a. Určení cesty (path) k certifikátu (Outlook Express)
Otevřeme si Outlook Express. Klikneme na Nástroje | Možnosti. Vybereme kartu Zabezpečení. Klikněte na Digitální ID. Pod kartou Osobní by už měl být váš nový certifikát.
![[Osobní certifikát]](images/techpor/dig-cert-win-xp-4.jpg)
Pokud tam není, klikněte na Importovat, otevře se Průvodce importem certifikátů. Klikněte na Další, v novém okně klikněte na Procházet a najděte soubor, který jste si v předchozím kroku uložili.
Nyní už Outlook zná cestu k vašemu certifikátu. Zbývá poslední krok, a sice
3 b. Propojení certifikátu s emailovým účtem
Jsme stále v Outlook Express. Klikněte na Nástroje | Účty, zvýrazněte účet s emailem, pro který jste vytvořili certifikát, a klikněte na Vlastnosti. Vyberte kartu Zabezpečení.
V Podpisový certifikát klikněte na Vybrat. Otevře se okno Vybrat digitální ID, kde vidíte váš nový certifikát. Zvýrazněte jej, pokud není a klikněte na OK.
To, co jsme provedli pro podpisový certifikát (viz předchozí odstavec) zopakujeme pro Předvolby šifrování, tzn opět klikneme na Vybrat a vybereme stejný certifikát.
Mělo by to vypadat takto:
![[Výběr certifikátu]](images/techpor/dig-cert-win-xp-6.jpg)
Klikneme na Použít a OK. Hotovo.
A na závěr
Doporučuji digitálně podepisovat každý odchozí email. Pro příjemce je to jistota, že email není spam, a že s ním nebylo cestou hýbáno. Pro vás je to jistota, že nikdo nemůže odeslat vaším jménem email a tvrdit, že jste to poslal vy (jako se to svého času stalo Adamu Bartošovi, že ano paní Tydlitátová).
A pokud dostanete digitálně podepsaný email a vy sami máte digitální certifikát, neostýchejte se použít mimo digitálního podpisu i šifrování ve své odpovědi. Ne proto, že něco chcete tajit, ale proto, že nikomu nic není po tom, co si píšete.
Při psaní nové zprávy klikněte před odesláním na Nástroje a zvolte Šifrovat. Znovu na Nástroje a zvolte Digitálně podepsat.
![[Nová zpráva]](images/techpor/dig-cert-win-xp-7.jpg)
Pokud vám něco nebude fungovat, nebo si nebudete vědět rady, napište mi.
Článek byl publikován 4.10.2011
Článek je možno dále šířit podle licence Creative Common.