Přehled tvorby digitálních certifikátů

Chcete-li při spouštění testů nad aplikacemi, které vyžadují k ověření uživatelů digitální certifikáty na straně klienta, použít digitální certifikáty, určete ve spolupráci s administrátory příslušných serverů typy certifikátů, které je třeba vytvořit.

V kryptografii je certifikát veřejného klíče dokument, který používá digitální podpis ke svázání veřejného klíče s fyzickou identitou. tyto certifikáty jsou často genericky označovány jako digitální certifikáty nebo digitální certifikáty klientů. Nejobvyklejším standardem digitálních certifikátů je standard X.509.

Při šifrování pomocí veřejného klíče má každý certifikát přidružené dva klíče: veřejný klíč a soukromý klíč. Veřejný klíč je začleněný do certifikátu X.509 a je vždy dostupný spolu s tímto certifikátem. Soukromý klíč se zachovává v tajnosti (tzn. nikdy se nepřenáší). Pro snadnější přenositelnost je možné tyto dva klíče (a certifikát) zahrnout do jediného zašifrovaného a heslem chráněného formátu, známého jako PKCS#12.

Aby byl možné ověřit jeho pravost, je certifikát digitálně podepsán jiným certifikátem, takzvanou certifikační autoritou (CA). Tento certifikát CA může být vytvořen (a udržován v bezpečí) společností hostující zabezpečenou aplikaci, nebo může být vytvořen společností jako Verisign.

Když webová aplikace vyžaduje digitální certifikáty, vytvoří administrátor zpravidla digitální certifikáty pro všechny autorizované uživatele. Administrátor každý certifikát digitálně podepíše s pomocí systémového certifikátu CA. Tyto certifikáty jsou spolu s veřejným a soukromým klíčem distribuovány uživatelům. Tyto klíče jsou často distribuovány ve formátu PKCS#12. Potom si uživatelé tyto certifikáty naimportují do webových prohlížečů. Když je prohlížeč serverem vyzván, předloží svůj certifikát.

Při importu certifikátů pro webové aplikace zaškrtněte políčko udávající, že je možné klíče exportovat. Díky tomuto označení je možné certifikát exportovat do souboru ve formátu PKCS#12, který lze později používat v jiných programech.

Při testování výkonu nepoužívejte certifikáty, které jsou přiřazené skutečným uživatelům. Používejte testovací certifikáty, které žádným skutečným uživatelům neodpovídají.

Při testovaní je možné používat tyto čtyři typy certifikátů:

Certifikáty podepsané svým držitelem se používají, když za pravost certifikátu nemusí ručit žádná jiná entita. Tyto certifikáty lze vytvářet a používat nejjednodušeji. K reprezentaci konkrétního uživatele se ale zpravidla používá podepsaný certifikát.

Podepsané certifikáty se používají, když je zapotřebí vytvořit a vydat certifikát pro právě jednoho uživatele. Podepsané certifikáty jsou podepsané certifikační autoritou (CA).

Certifikáty certifikační autority (CA) jsou certifikáty podepsané svým držitelem používané pro podpis (certifikaci) certifikátů.

Nepodepsané certifikáty jsou certifikáty, které nejsou podepsané ani CA, ani svým držitelem. Většina webových aplikací nepodepsané certifikáty nepoužívá.

Při vytváření certifikátu podepsaného svým držitelem nebo podepsaného certifikátu (včetně certifikátů CA) můžete určit předmět. Předmět certifikátu je sada atributů pro rozlišující název X.500, která je v certifikátu zakódována. Předmět umožňuje příjemci certifikátu zobrazit informace o vlastníkovi certifikátu. Předmět popisuje vlastníka certifikátu, ale nemusí být jedinečný. Představte si předměty jako položky v telefonním seznamu. Pro jméno Patel Agrawal může existovat více položek, ale každá z nich odkazuje na jinou osobu.

Předmět může obsahovat mnoho různých typů identifikačních dat. Předmět zpravidla obsahuje tyto údaje:

Atribut Příklad
OBECNÝ NÁZEV (CN) CN=Patel Agrawal
ORGANIZACE (O) O=IBM Corporation
ORGANIZAČNÍ JEDNOTKA (OU) OU=IBM Software Group
ZEMĚ (C) C=IN
MÍSTO (L) L=Bangalore
STÁT nebo KRAJ (ST) ST=Kanataka
E-MAILOVÁ ADRESA (emailAddress) emailAddress=agrawal@abc.ibm.com

Tyto informace je možné zadat jako jeden řetězec, s daty oddělenými dopřednými lomítky.

Například výše uvedený předmět by byl zadán takto:

/CN=Patel Agrawal/O=IBM Corporation/OU=IBM Software Group/C=IN/L=Bangalore/ST=Karnataka/emailAddress=agrawal@abc.ibm.com

Další informace o vytváření certifikátů pomocí dodávaného programu příkazového řádku viz Vytvoření úložiště digitálních certifikátů.


Váš názor