%brandDTD; ]> Používanie certifikátov

Používanie certifikátov

Certifikát je digitálnym ekvivalentom preukazu totožnosti. Tak ako máte niekoľko preukazov na rôzne účely, napr. je občiansky preukaz, vodičský preukaz alebo kreditná karta, môžete mať niekoľko rôznych certifikátov, ktoré vás identifikujú pri rôznych účeloch.

Táto kapitola popisuje, ako vykonávať úkony spojené s certifikátmi.

V tejto kapitole:

Získanie vlastného certifikátu

Podobne ako kreditná karta alebo vodičský preukaz, certifikát je spôsob identifikácie, ktorým sa môžete preukázať na internete a ostatných sieťach. Rovnako ako ostatné bežne používané spôsoby preukázania totožnosti, i certifikáty sú typicky vydávané organizáciou s uznanou autoritou na vydávanie takých preukazov. Organizácia, ktorá vydáva certifikáty sa nazýva certifikačná autorita (CA).

Certifikát, ktorý by vás identifikoval, môžete získať od verejných certifikačných autorít, od správcu systému alebo od zvláštnej certifikačnej autority vo vašej organizácii, alebo na webových stránkach ponúkajúcich zvláštne služby, ktoré vyžadujú dôveryhodnejší spôsob preukázania totožnosti ako je zadanie používateľského mena a hesla.

Tak ako požiadavky na získanie vodičského preukazu sa líšia podľa typu vozidla, ktoré chcete šoférovať, aj požiadavky na získanie certifikátu závisia na tom, k čomu ho chcete používať. V niektorých prípadoch môže byť získanie certifikátu jednoduché - napr. návšteva webovej stránky, zadanie niektorých osobných informácií, a automatické prevzatie certifikátu do vášho prehliadača. V iných prípadoch môže byť získanie certifikátu zložitejšie.

Certifikát môžete dnes získať návštevou adresy URL certifikačnej autority a postupovaním podľa zobrazovaných inštrukcií. Zoznam certifikačných autorít, ktoré vydávajú certifikáty, ktoré dokáže &brandShortName; rozpoznať, nájdete online dokumente Klientske certifikáty [en].

Ako náhle získate certifikát, tento je automaticky uložený v bezpečnostnom zariadení. Váš prehliadač obsahuje vstavané softvérové bezpečnostné zariadenie. Bezpečnostné zariadením môže byť tiež hardvérové zariadenie, ako je napr. karta Smart card.

Ako vodičský preukaz alebo kreditná karta, aj certifikát je významný spôsob identifikácie, ktorý môže byť zneužitý, ak sa dostane do nesprávnych rúk. Ako náhle získate certifikát, ktorý vás identifikuje, mali by ste ho zabezpečiť dvoma spôsobmi: zálohovaním a nastavením vášho hlavného hesla.

Keď po prvýkrát získate certifikát, môžete byť požiadaný o zálohovanie. Ak ešte nemáte vytvorené hlavné heslo, budete požiadaný o jeho vytvorenie.

Ďalšie informácie o zálohovaní certifikátov a nastavení vášho hlavného hesla nájdete v kapitole Vaše certifikáty.

[Návrat na začiatok kapitoly]

Kontrola zabezpečenia webovej stránky

Keď si prehliadate akúkoľvek webovú stránku, ikonka zámku v pravom dolnom rohu okna vás informuje, či bol celý obsah stránky zabezpečený šifrovaním počas prenosu do vášho počítača:

Ikona uzamknutého zámku Uzamknutý zámok znamená, že stránka bola počas prenosu zabezpečená šifrovaním.
Ikona otvoreného zámku Otvorený zámok znamená, že stránka nebola počas prenosu zabezpečená šifrovaním.
Ikona zlomeného zámku Zlomený zámok znamená, že niektoré alebo všetky časti stránky neboli počas prenosu zabezpečené šifrovaním napriek tomu, že stránka HTML bola zašifrovaná.

Viac podrobností o stave zabezpečenia prijatej stránky získate po kliknutí na ikonu zámku (alebo otvorte ponuku Zobraziť, kliknite na položku Informácie o stránke, a kliknite na kartu Zabezpečenie).

Karta Zabezpečenie v dialógovom okne Informácie o stránke poskytuje dva druhy informácií:

Dôležité: Ikona zámku popisuje len stav zabezpečenia stránky počas prenosu na váš počítač. Aby ste boli upozornený pred odoslaním alebo prijatím nezašifrovaných informácií, zvoľte príslušné nastavenie výstrah SSL. Ďalšie informácie nájdete v kapitole Nastavenia SSL.

[Návrat na začiatok kapitoly]

Správa certifikátov

Na správu dostupných certifikátov môžete použiť Správcu certifikátov. Certifikáty môžu byť uložené na pevnom disku vášho počítača, na karte smart card alebo na iných bezpečnostných zariadeniach pripojených k vášmu počítaču.

Ak chcete otvoriť Správcu certifikátov:

  1. Otvorte ponuku &brandShortName; Upraviť a zvoľte položku Možnosti.
  2. V kategórii Súkromie a bezpečnosť kliknite na položku Certifikáty. (Ak nevidíte žiadnu podkategóriu, dvojitým kliknutím na položku Súkromie a bezpečnosť rozbalíte jej ponuku.)
  3. V sekcii Správa certifikátov kliknite na tlačidlo Správa certifikátov. Otvorí sa Správca certifikátov.
V tejto kapitole:

Správa osobných certifikátov

Keď prvýkrát otvoríte Správcu certifikátov, všimnite si, že má vo svojom okne niekoľko kariet. Prvá karta nazvaná Vaše certifikáty zobrazuje certifikáty, ktorými prehliadač alebo e-mailový klient môžu preukázať vašu identitu. Vaše certifikáty sú usporiadané podľa názvov organizácií, ktoré ich vydali.

Ak chcete vykonať úkon s jedným alebo viacerými certifikátmi, kliknite na záznam certifikátu (ak chcete označiť viac ako jeden certifikát, držte kláves CmdCtrl), a potom kliknite na jedno z tlačidiel v spodnej časti okna Správcu certifikátov. Každé z týchto tlačidiel zobrazí ďalšie dialógové okno, ktoré umožňuje potvrdiť akciu. Kliknutím na tlačidlo Pomocník získate viac informácií o používaní príslušnej karty.

Ďalšie informácie o zobrazení a správe týchto certifikátov nájdete aj v kapitole Vaše certifikáty.

[Návrat na začiatok kapitoly]

Správa certifikátov, ktoré identifikujú iných ľudí

Keď vytvárate e-mailovú správu, môžete k nej pripojiť váš digitálny podpis. Digitálny podpis umožňuje príjemcom správy overiť, že správa skutočne pochádza od vás a nebola sfalšovaná potom, ako ste ju odoslali.

Zakaždým, keď odošlete digitálne podpísanú správu, ku správe je automaticky pripojený váš šifrovací certifikát. Tento certifikát umožňuje príjemcom správy posielať vám šifrované správy.

Jedným z najjednoduchších spôsobov získania niekoho šifrovacieho certifikátu je odoslanie digitálne podpísanej správy danou osobou pre vás. Správca certifikátov automaticky ukladá certifikáty ostatných ľudí zakaždým, keď sú prijaté týmto spôsobom.

Všetky certifikáty prístupné Správcovi certifikátov, ktoré identifikujú ostatných ľudí, zobrazíte kliknutím na kartu Ľudia v okne Správcu certifikátov. Šifrovanú správu môžete zaslať každému, pre koho máte zobrazený platný certifikát. Certifikáty sú zobrazené podľa názvu organizácie, ktorá ich vydala.

Ak chcete vykonať úkon s jedným alebo viacerými certifikátmi, kliknite na záznam certifikátu (ak chcete označiť viac ako jeden certifikát, držte kláves CmdCtrl), a potom kliknite na jedno z tlačidiel v spodnej časti okna Správcu certifikátov. Každé z týchto tlačidiel zobrazí ďalšie dialógové okno, ktoré umožňuje potvrdiť akciu. Kliknutím na tlačidlo Pomocník získate viac informácií o používaní príslušnej karty.

Ďalšie informácie o zobrazení a správe týchto certifikátov nájdete aj v kapitole Certifikáty ostatných subjektov.

[Návrat na začiatok kapitoly]

Správa certifikátov webových serverov

Niektoré webové a e-mailové servery používajú certifikáty na identifikáciu seba samých. Takáto identifikácia je vyžadovaná predtým, ako je možné preniesť šifrované informácie medzi webovým serverom a vašim počítačom (a naopak), takže nikto nemôže prečítať údaje počas prenosu.

Ak adresa URL webovej stránky začína https://, webový server má certifikát. Ak navštívite takýto webový server a jeho certifikát bol vydaný certifikačnou autoritou, ktorú Správca certifikátov nepozná alebo nepovažuje za dôveryhodnú, prehliadač sa vás opýta, či chcete akceptovať tento certifikát. Ak certifikát webového serveru akceptujete, Správca certifikátov ho pridá do zoznamu certifikátov webových serverov.

Všetky certifikáty webových serverov, ktoré sú prístupné vášmu prehliadaču, zobrazíte kliknutím na kartu Servery v okne Správcu certifikátov.

Ak chcete vykonať úkon s jedným alebo viacerými certifikátmi, kliknite na záznam certifikátu (ak chcete označiť viac ako jeden certifikát, držte kláves CmdCtrl), a potom kliknite na jedno z tlačidiel v spodnej časti okna Správcu certifikátov. Každé z týchto tlačidiel zobrazí ďalšie dialógové okno, ktoré umožňuje potvrdiť akciu. Kliknutím na tlačidlo Pomocník získate viac informácií o používaní príslušnej karty.

Ďalšie informácie o zobrazení a správe týchto certifikátov nájdete aj v kapitole Certifikáty webových serverov.

[Návrat na začiatok kapitoly]

Správa certifikátov certifikačných autorít

Podobne ako ostatné bežne používané spôsoby preukázania totožnosti, aj certifikáty sú vydávané organizáciou s uznanou autoritou na vydávanie týchto identifikácií. Organizácia, ktorá vydáva certifikáty, sa nazýva certifikačná autorita (CA). Certifikát, ktorý identifikuje certifikačnú autoritu, sa nazýva certifikát CA.

Správca certifikátov má obvykle v súbore mnoho certifikátov CA. Tieto certifikáty CA umožňujú Správcovi certifikátov rozpoznávať a pracovať s certifikátmi vydanými príslušnými CA. Avšak prítomnosť certifikátu CA v tomto zozname nie je zárukou, že vydaný certifikát je dôveryhodný. Vy alebo správca vášho systému musí rozhodnúť, ktorým druhom certifikátov dôverovať v závislosti na vašich bezpečnostných potrebách.

Všetky certifikáty CA, ktoré sú prístupné vášmu prehliadaču, zobrazíte kliknutím na kartu Autority v dialógovom okne Správcu certifikátov.

Ak chcete vykonať úkon s jedným alebo viacerými certifikátmi, kliknite na záznam certifikátu (ak chcete označiť viac ako jeden certifikát, držte kláves CmdCtrl), a potom kliknite na jedno z tlačidiel v spodnej časti okna Správcu certifikátov. Každé z týchto tlačidiel zobrazí ďalšie dialógové okno, ktoré umožňuje potvrdiť akciu. Kliknutím na tlačidlo Pomocník získate viac informácií o používaní príslušnej karty.

Ďalšie informácie o zobrazení a správe týchto certifikátov nájdete aj v kapitole Autority.

[Návrat na začiatok kapitoly]

Správa certifikátov ostatných subjektov

Ak chcete zobraziť všetky certifikáty, ktoré nespadajú ani do jednej z vyššie uvedených kategórií, kliknite v okne Správcu certifikátov na kartu Iné.

Ďalšie informácie o zobrazení a správe týchto certifikátov nájdete aj v kapitole Správa certifikátov ostatných subjektov.

[Návrat na začiatok kapitoly]

Správa kariet Smart card a ďalších bezpečnostných zariadení

Smart card je malé zariadenie, typicky veľkosti kreditnej karty, ktoré obsahuje mikroprocesor a je schopné uložiť informácie o vašej identite (ako je váš súkromný kľúč a certifikáty) a vykonávať šifrovacie operácie.

Na použitie karty Smart card typicky potrebujete mať čítačku týchto kariet (hardvérové zariadenie) pripojenú k vášmu počítaču, a tiež nainštalovaný softvér, ktorý čítačku ovláda.

Karty Smart cards sú len jedným z druhov bezpečnostných zariadení. Bezpečnostné zariadenie (niekedy nazývané ako token) je hardvérové alebo softvérové zariadenie, ktoré poskytuje šifrovacie služby a uchováva informácie o vašej identite. Na spravovanie kariet Smart card a ostatných bezpečnostných zariadení použite Správcu zariadení.

V tejto kapitole:

Čo sú bezpečnostné zariadenia a moduly

Správca zariadení zobrazuje zoznam dostupných bezpečnostných zariadení. Správcu zariadení môžete použiť na správu akýchkoľvek bezpečnostných zariadení, vrátane kariet Smart card, ktoré podporujú štandard Public Key Cryptography Standard (PKCS) #11.

Modul PKCS #11 (niekedy nazývaný bezpečnostný modul) ovláda jedno alebo viac bezpečnostných zariadení podobným spôsobom, ako softvérový ovládač riadi externé zariadenia ako je tlačiareň alebo modem. Ak nainštalujete kartu Smart card, musíte nainštalovať modul PKCS #11 pre Smart card na váš počítač, a tiež pripojiť čítačku kariet Smart card.

V predvolenom stave Správca zariadení ovláda dva interné moduly PKCS #11, ktoré obsahujú tri bezpečnostné zariadenia:

[Návrat na začiatok kapitoly]

Používanie bezpečnostných zariadení

Správca zariadení vám umožňuje vykonávať úkony s bezpečnostnými zariadeniami. Dialógové okno Správca zariadení získate tak, že:

  1. Otvorte ponuku &brandShortName; Upraviť a zvoľte položku Možnosti.
  2. V kategórii Súkromie a bezpečnosť kliknite na položku Certifikáty. (Ak nevidíte žiadnu podkategóriu, dvojitým kliknutím na položku Súkromie a bezpečnosť rozbalíte jej ponuku.)
  3. V sekcii Správa bezpečnostných zariadení kliknite na tlačidlo Správa bezpečnostných zariadení.

Správca zariadení zobrazuje každý dostupný PKCS #11 modul a bezpečnostné zariadenia spravované každým modulom s jeho názvom.

Ak vyberiete bezpečnostné zariadenie, informácie o ňom sa zobrazia v strednej časti okna Správca zariadení a niektoré z tlačidiel na pravej strane okna sa stanú prístupnými. Napríklad, keď vyberiete Softvérové bezpečnostné zariadenie, môžete vykonať tieto činnosti:

Tieto akcie môžete vykonávať s väčšinou bezpečnostných zariadení. Avšak, nemôžete ich vykonávať so zariadeniami Builtin Object Token alebo Všeobecné šifrovacie služby, lebo to sú špeciálne zariadenia, ktoré musia byť vždy dostupné.

Ďalšie informácie nájdete v kapitole Správca zariadení.

[Návrat na začiatok kapitoly]

Používanie bezpečnostných modulov

Ak chcete používať kartu Smart card alebo iné externé bezpečnostné zariadenie, musíte najskôr nainštalovať softvér modulu na váš počítač, a ak je to nutné, pripojiť príslušný hardvér. Postupujte podľa inštrukcií dodaných s hardvérom.

Potom, čo je nový modul nainštalovaný na vašom počítači, jeho načítanie vykonáte nasledovne:

  1. Otvorte ponuku &brandShortName; Upraviť a zvoľte položku Možnosti.
  2. V kategórii Súkromie a bezpečnosť kliknite na položku Certifikáty. (Ak nevidíte žiadnu podkategóriu, dvojitým kliknutím na položku Súkromie a bezpečnosť rozbalíte jej ponuku.)
  3. V sekcii Správa bezpečnostných zariadení kliknite na tlačidlo Správa bezpečnostných zariadení.
  4. Kliknite na tlačidlo Načítať.
  5. V dialógovom okne Načítať zariadenie PKCS #11 kliknite na tlačidlo Prehľadávať, vyhľadajte súbor modulu a kliknite na tlačidlo Otvoriť.
  6. Vyplňte pole Názov modulu a kliknite na tlačidlo OK.

Nový modul sa zobrazí v zozname modulov s názvom, ktorý ste mu priradili.

Modul PKCS #11 odstránite, ak označíte jeho názov a kliknete na tlačidlo Uvoľniť.

[Návrat na začiatok kapitoly]

Povolenie režimu FIPS

Federal Information Processing Standards Publications (FIPS PUBS) 140-1 je americký vládny štandard na implementáciu šifrovacích modulov - to je hardvér nebo softvér, ktorý šifruje a dešifruje údaje alebo vykonáva ostatné šifrovacie operácie (ako je vytváranie alebo overovanie digitálnych podpisov). Veľa produktov predávaných vláde Spojených štátov musí spĺňať jeden alebo viac štandardov FIPS.

Na povolenie režimu FIPS vo vašom prehliadači použite Správcu zariadení:

  1. Otvorte ponuku &brandShortName; Upraviť a zvoľte položku Možnosti.
  2. V kategórii Súkromie a bezpečnosť kliknite na položku Certifikáty. (Ak nevidíte žiadnu podkategóriu, dvojitým kliknutím na položku Súkromie a bezpečnosť rozbalíte jej ponuku.)
  3. V sekcii Správa bezpečnostných zariadení kliknite na tlačidlo Správa bezpečnostných zariadení.
  4. Kliknite na tlačidlo Povoliť FIPS. Keď je režim FIPS povolený, názov NSS Internal PKCS #11 Module sa zmení na NSS Internal FIPS PKCS #11 Module a tlačidlo Povoliť FIPS sa zmení na Zakázať FIPS.

Režim FIPS zakážete kliknutím na tlačidlo Zakázať FIPS.

[Návrat na začiatok kapitoly]

Správa upozornení SSL a nastavení

Protokol SSL (Secure Sockets Layer) umožňuje vášmu počítaču výmenu informácií s ostatnými počítačmi na Internete v zašifrovanej podobe, tzn. že informácia je počas prenosu zakódovaná tak, že nikomu nedáva zmysel. SSL je tiež používané na identifikáciu počítačov na Internete pomocou certifikátov.

Protokol TLS (Transport Layer Security) je nový štandard založený na SSL. V predvolenom nastavení prehliadač používa SSL aj TLS. Tento prístup funguje pre väčšinu ľudí, pretože zaručuje, že prehliadač bude pracovať s prakticky každým existujúcim softvérom na internete, ktorý podporuje akúkoľvek verziu SSL alebo TLS.

Avšak v niektorých prípadoch si správcovia systému alebo iné dobre informované osoby môžu priať prispôsobiť nastavenia SSL podľa zvláštnych bezpečnostných potrieb alebo kvôli chybám v niektorých starších softvérových produktoch.

Nemali by ste prispôsobovať nastavenia SSL vášho prehliadača, ak neviete, čo robíte, alebo ak vám nepomáha niekto, kto to vie. Ak z akýchkoľvek dôvodov potrebujete zmeniť nastavenia, postupujte nasledovne:

  1. Otvorte ponuku &brandShortName; Upraviť a zvoľte položku Možnosti.
  2. V kategórii Súkromie a bezpečnosť kliknite na položku SSL. (Ak nevidíte žiadnu podkategóriu, dvojitým kliknutím na položku Súkromie a bezpečnosť rozbalíte jej ponuku.)

Ďalšie informácie nájdete v kapitole Nastavenia SSL.

[Návrat na začiatok kapitoly]

Overovanie platnosti

Ako bolo popísané v časti Získanie vlastného certifikátu, certifikát je spôsob identifikácie, podobne ako vodičský preukaz, pomocou ktorej sa môžete preukázať na Internete a ostatných sieťach. Takisto ako vodičský preukaz aj certifikát môže prepadnúť alebo sa stať z iného dôvodu neplatným. Preto prehliadač potrebuje nejakým spôsobom potvrdiť platnosť akéhokoľvek predloženého certifikátu ešte predtým, ako ho použije na účely identifikácie.

Táto kapitola popisuje, ako Správca certifikátov overuje platnosť certifikátov a ako kontrolovať tento proces. Na pochopenie tohto procesu by ste mali byť oboznámený so šifrovaním verejným kľúčom. Ak nie ste oboznámený s používaním certifikátov, akékoľvek zmeny v nastavení overovania certifikátov konzultujte so správcom systému.

V tejto kapitole:

Ako funguje overovanie platnosti

Kedykoľvek použijete alebo prehliadate certifikát uložený v Správcovi certifikátov, vykoná sa niekoľko krokov na overenie certifikátu. Ako minimum je vykonané overenie, či bol digitálny podpis certifikačnej autority v tomto certifikáte vytvorený certifikačnou autoritou, ktorej vlastný certifikát je (1) v Správcovi certifikátov prítomný v zozname dostupných certifikátov certifikačných autorít a (2) je označený ako dôveryhodný na vydávanie druhu certifikátov, ktorý je overovaný.

Ak certifikát CA nie je prítomný, reťazový certifikát pre certifikát CA musí obsahovať certifikát nadriadenej CA, ktorý je prítomný a je považovaný za dôveryhodný. Správca certifikátov tiež potvrdzuje, že certifikát, ktorý je overovaný, je označený ako dôveryhodný v úložisku certifikátov. Ak ktorákoľvek z týchto kontrol zlyhá, Správca certifikátov označí certifikát za neoverený a nepotvrdí identitu, ktorá je certifikovaná.

Certifikát, ktorý prejde týmito testami, stále môže byť v niektorých prípadoch kompromitovaný. Napríklad, platnosť certifikátu môže byť zrušená, pretože neautorizovaná osoba získala prístup k súkromnému kľúču certifikátu. Kompromitovaný certifikát môže neautorizovanej osobe (alebo webovému serveru) umožniť predstierať, že je vlastníkom certifikátu.

One way to combat this threat would be for Certificate Manager to check a previously downloaded certificate revocation list (CRL) as part of the verification process. However, those lists may be large and need to be updated frequently in order to remain current and thus useful.

Preferovaným spôsobom, ako sa brániť hrozbe kompromitovaných certifikátov, je použitie špeciálneho servera, ktorý podporuje protokol OCSP (Online Certificate Status Protocol). Takýto server môže odpovedať klientom na ich požiadavky na kontrolu jednotlivých certifikátov (viď časť Nastavenie OCSP).

Server, nazývaný odpovedač OCSP, prijíma aktualizované CRL periodicky od CA, ktorá vydáva certifikáty na overovanie. Môžete nastaviť Správcu certifikátov tak, aby posielal žiadosť o stave certifikátu serveru OCSP a daný server OCSP potvrdí, či je certifikát platný.

[Návrat na začiatok kapitoly]

Configuring OCSP

The settings that control OCSP are part of Certificates preferences. To view Certificates preferences, follow these steps:

  1. Open the &brandShortName; Edit menu and choose Preferences.
  2. Under the Privacy & Security category, click Certificates. (If no subcategories are visible, double-click Privacy & Security to expand the list.)

For information about the OCSP options available, see Privacy & Security Preferences - Certificates, OCSP.

[Return to beginning of section]