Myšlenka pořízení důvěryhodného certifikátu pro webový server v praxi obvykle zanikne při zjištění jeho pořizovací ceny. Zásadně nový na věc ovšem přináší certifikační autorita StartCom poskytující některé důvěryhodné certifikáty zcela zdarma!

Pořízení důvěryhodného certifikátu přestává být doménou velkých organizací. Microsoft totiž nedávno přidal certifikační autoritu StartCom mezi Důvěryhodné kořenové certifikační autority ve Windows. Jinými slovy operační systémy Windows nyní důvěřují všem platným certifikátům, vydaným touto autoritou. Pro zabezpečení vašeho webového serveru tedy nemusíte nutně pořizovat placený certifikát, ale vystačíte si s bezplatným od StartComu.

neduveryhodny-certifikat

Známé upozornění na obrázku výše se konečně stává minulostí.

Bezplatně poskytované certifikáty mají některá omezení, ale většinu menších organizací jistě uspokojí. K dispozici jsou SSL či S/MIME (podepisování e-mailů) certifikáty s životností 1 rok. Výhodou je rychlost získání certifikátu díky tomu, že vše probíhá elektronickou cestou přes webového průvodce StartSSL a váš e-mail. Celý proces je otázkou přibližně 30 minut.

Přejděme k ukázce celého postupu. Cílem naší snahy bude Outlook Web Access vypublikovaný do internetu za pomoci důvěryhodného certifikátu.

Založení uživatelského účtu u StartComu

Pro práci s certifikáty a přihlášení do administračního rozhraní StartComu je potřeba mít platný uživatelský účet. Přihlašovacími údaji v tomto případě nejsou uživatelské jméno a heslo, ale osobní certifikát. Po prvním přihlášení je třeba uživatelský účet aktivovat. Příjemné je, že není vyžadována žádná osobní schůzka kvůli ověření totožnosti. Vše nezbytné totiž proběhne během pár minut a výhradně e-mailem.

Předtím, než se pustíte do následujících kroků, byste měli vědět, že webový průvodce StartSSL není plně funkční na moderních prohlížečích a systémech. V případě mé konfigurace Windows 7 RTM CZ + Internet Explorer 8 nebylo možné některé kroky průvodce dokončit. Proto doporučuji pro přihlášení do webového rozhraní a získání certifikátu použít starší operační systém a browser. Uspěl jsem s virtuálním strojem běžícím na Windows XP SP3 CZ a Internet Explorerem 6. Najdete-li další funkční konfiguraci, napište mi.

Další funkční konfigurace
Windows XP Home SP3, Firefox 3.5.7
Mac OS X 10.5.8 s nejnovějším Safari (14.8.2010)
Debian Linux 6.0.6, Google Chrome 24.0.1312.52 (Official Build 175374)
Windows 8.1 Pro 64 bit, Chrome 31

  1. Navštivte webovou stránku průvodce získáním certifikátu na StartSSL. Zde klepněte na Express Lane.
    express-lane
  2. Vyplňte všechny osobní údaje a pokračujte stiskem Continue. Všechny položky jsou povinné. V případě jejich neúplnosti si StartCom vyhrazuje právo na zrušení platnosti certifikátu. Budete přihlášeni do administračního rozhraní.
    osobni-udaje
  3. Zároveň vám je zaslán e-mail s ověřovacím kódem. Kód zkopírujte, vložte do formulářového pole a stiskněte Continue.
    aktivacni-kod
  4. Následuje další ověření, tentokrát pracovníkem StartComu. Vyčkejte několik minut na doručení e-mailu s odkazem a dalším ověřovacím kódem. Jakmile jej obdržíte, klepněte na odkaz a zadejte ověřovací kód. Poté se vám do prohlížeče uloží váš osobní certifikát, jímž se budete přihlašovat do administračního rozhraní. Doporučuji jej ihned vyexportovat na bezpečné místo včetně soukromého klíče pomocí Internet Exploreru (Nástroje – Možnosti Internetu – Obsah – Certifikáty). Zajistíte si tím bezproblémový přístup do webového rozhraní do budoucna.
  5. Nyní jste svým ověřeným účtem přihlášeni.

Vytvoření žádosti o certifikát

K tomu, abyste se mohli ucházet o certifikát, musíte nejprve vytvořit na serveru žádost. Tu posléze elektronicky poskytnete StartComu, který následně vydá finální certifikát.  Žádost o certifikát můžete vytvořit různými způsoby. Například i pomocí Powershellu. My si ukážeme vygenerování žádosti na Small Business Serveru 2003 R2.

Poznámka: Měníme certifikát Výchozího webového serveru, což má dopad na veškeré webové služby běžící přes SSL. Proto v produkčním prostředí veškeré úpravy naplánujte a zamyslete se, zda nepostačí přiřadit certifikát pouze nějakému konkrétnímu webovému serveru.

  1. Otevřete konzolu Správa internetové informační služby (IIS).
  2. Rozbalte větev Webové servery, klepněte pravým tlačítkem myši na Výchozí webový server a zvolte Vlastnosti.
  3. Přejděte na záložku Zabezpečení adresáře a klepněte na tlačítko Certifikát serveru.
  4. V průvodci pomocí tlačítka Další pokračujte k výběru akce.
  5. Vyberte Odebrat certifikát a dokončete průvodce odebráním. Tím odstavíte doposud používaný certifikát. Nebude však nenávratně odstraněn a můžete se k jeho používání kdykoliv vrátit.
  6. Opětovným kliknutím na Certifikát serveru vyvoláte znovu průvodce. Tentokrát v nabídce funkcí zvolte možnost Vytvořit nový certifikát a pokračujte dvojím klepnutím na Další.
  7. Zadejte jméno certifikátu. Zde pozor, délka certifikátu musí být 2048 bitů (či více, což ale nedoporučuji s ohledem na mobilní zařízení)! StartCom totiž nezpracovává žádosti o 1024 bitů dlouhé certifikáty.
    IIS-delka-certifikatu
  8. V dalším kroku zadejte organizaci a organizační jednotku dle vašich potřeb. Pokračujte dále.
  9. Položka Běžný název musí odpovídat DNS jménu pod jakým budete server publikovat do internetu, tedy např. mail.jiribrejcha.net.
    IIS-bezny-nazev
  10. Vyplňte informace v dalších krocích průvodce. Výslednou žádost o certifikát uložte do textového souboru zadost.txt. Obsah tohoto souboru budete potřebovat v následující kapitole pro vygenerování certifikátu.

Získání certifikátu od StartComu

Nyní máte aktivní konto a připravenou žádost o vydání certifikátu. Nastal čas pro přidání a ověření domény, pro kterou chcete získat důvěryhodný certifikát.

  1. Otevřete Validation Wizard a zadejte název domény (např. jiribrejcha.net). Pokud nevidíte záložku Validation Wizard, přepněte se pomocí Control panel nebo Classic view v pravé horní části okna.
  2. Na jednu z e-mailových adres si nechte zaslat aktivační kód. Jakmile jej obdržíte, opište do formulářového pole a stiskněte Continue.
  3. Po dokončení ověření domény přejděte do Certificates Wizardu.
  4. Zde zvolte Skip, vyberte doménu, a do formulářového pole vložte obsah souboru zadost.txt vytvořeného v 10. kroku kapitoly Vytvoření žádosti o certifikát.
  5. V dalším kroku se zobrazí vygenerovaný certifikát. Obsah formulářového pole si uložte do souboru certifikat.cer a zkopírujte jej na server, ze kterého jste generovali žádost.
    ulozeni-certifikatu

Vložení vydaného certifikátu do serveru

  1. Na vašem serveru absolvujte znovu kroky 1. až 4. z kapitoly Vytvoření žádosti o certifikát.
  2. Z akcí tentokrát zvolte Dokončení zpracování žádosti čekající na vyřízení a nainstalovat certifikát.
  3. Zadejte cestu k souboru certifikat.cer vytvořenému v 5. kroku kapitoly Získáváme certifikát od StartComu.
  4. Tím je celá serverová konfigurace u konce. Server v tuto chvíli disponuje soukromým i veřejným klíčem důvěryhodného certifikátu. Certifikát je nyní vhodné vyexportovat včetně soukromého klíče na bezpečné místo.

V tuto chvíli je Outlook Web Access opět dostupný z internetu. Všimněte si, že upozornění na nedůvěryhodnost certifikátu zmizelo a jste rovnou vyzváni k zadání přístupových údajů do vaší schránky.

Klientské operační systémy

Windows 7 a novější systémy již v základu obsahují aktuální seznam důvěryhodných certifikačních autorit včetně StartComu. Naproti tomu do Windows XP a Vista, které nemají přístup k internetu, je nutné doinstalovat aktuální sadu autorit. Instalační balíček najdete ve článku KB931125. Výjimkou jsou Windows XP a Vista mající online přístup k Microsoft Update. Ty jsou schopny automaticky StartCom přidat do důvěryhodných autorit.

Mobilní zařízení

Používáte-li spolu s Exchange Serverem mobilní zařízení (telefony, PDA) synchronizovaná pomocí ActiveSync, pravděpodobně zjistíte, že po změně certifikátu na straně serveru, přestane fungovat synchronizace a zařízení budou hlásit chybu zachycenou na obrázku.

WM-active-sync-chyba

Problém spočívá v tom, že operační systém Windows Mobile 6 nedůvěřuje autoritě StartCom. Ta je totiž Microsoftem uznána za důvěryhodnou relativně krátce a na platformě Windows Mobile 6 se zatím tato změna nestihla projevit. Je tedy na nás, abychom ji do mobilního zařízení přidali.

  1. Stáhněte si tento certifikát certifikační autority StartCom. Nejedná se o ten, který jste si v předchozích krocích nechali vygenerovat.
  2. Nahrajte jej do libovolné složky mobilního zařízení a z prostředí Windows Mobile na něj klepněte.
  3. Automaticky se spustí obslužná aplikace. Akceptujte přidání StartComu do důvěryhodných autorit a pokračujte pomocí voleb DalšíInstalovat.
    WM-instalace-starcom-rca WM-instalace-starcom-rca-2 WM-instalace-starcom-rca-3
  4. Potvrzení o úspěšném přidání certifikátu zavřete pomocí OK a v umístění Start – Nastavení – Systém – Certifikáty si ověřte, že byl StartCom přidán mezi kořenové certifikační autority.
    WM-instalace-starcom-rca-4
  5. Po dokončení těchto úprav není nutné mobilní zařízení restartovat ani provádět kompletní resynchronizaci vůči serveru. ActiveSync tedy ihned při příští synchronizaci začne komunikovat s Exchange Serverem.

Nezapomeňte!

  • Použijte kompatibilní OS a webový prohlížeč
  • Certifikát musí mít délku 2048 bitů
  • Běžný název při generování žádosti na serveru musí odpovídat internetovému DNS jménu publukovaného webového serveru (např. mail.jiribrejcha.net)
  • Do mobilních zařízení nainstalujte cetifikát autority StartCom
  • Do systémů starších než Windows 7, které nemají přístup k internetu doinstalujte balíček s aktuální sadou důvěryhodných autorit (KB931125)

FAQ

Otázka: Stačí ověření provést pouze jednou?
Odpověď: Bohužel nestačí. Ověření je nutné provést znovu každý rok.

Otázka: Je bezpodmínečně nutné instalovat do OS aktuální sadu certifikačních autorit KB931125?
Odpověď: V případě, že má klientský operační systém dostupnou službu Microsoft Update, dokáže provést přidání certifikátu automaticky. Stane se tak při prvním použití certifikátu (návštěvě webu, který používá StartCom certifikát).

Otázka: Je možné použít bezplatný certifikát pro podepisování aplikací?
Odpověď: Ne. Pro tyto účely poslouží ceretifikát StartSSL Verified za 39,90 USD. Aktuálně je tato služba v beta verzi.

Otázka: Mohu si nechat vydat certifikát přímo pro doménu 2. řádu (např. sitarina.cz)?
Odpověď: Pozor! Pokud zažádáte o certifikát pro doménu 2. řádu, nebude možné žádat o certifikát pro její subdoménu, tedy doménu 3. řadu (např. mail.sitarina.cz). Řešením je odvolání původního certifikátu a následné zažádání o certifikát přímo pro doménu 3. řádu.

Děkuji Radku Doleželovi za odpovědi na otázky.

Odkazy