Uzyskanie osobistego certyfikatu S/MIME poprzez utworzenie CSR

Informacje o wersji
  • Identyfikator wersji: 317691
  • Utworzono:
  • Autor: Teo
  • Komentarz: Przetłumaczono
  • Zrecenzowano: Tak
  • Zrecenzowano:
  • Autor recenzji: teo951
  • Zatwierdzone? Tak
  • Aktualna: Tak
  • Gotowy do tłumaczenia: Nie
Źródło wersji
Podgląd zawartości
Ważne! Ta funkcja jest dostępna począwszy od wersji Thunderbirda 128.

Uzyskanie osobistego certyfikatu S/MIME jest procesem wieloetapowym.

Utworzenie klucza publicznego i prywatnego

Do szyfrowania wiadomości i podpisywania cyfrowego w standardzie S/MIME potrzebny jest certyfikat osobisty.

Certyfikat składa się z pary kluczy – klucza publicznego i klucza prywatnego. Thunderbird generuje klucze losowo. Klucz prywatny jest przechowywany lokalnie i opcjonalnie chroniony hasłem głównym, klucz publiczny będzie dołączony do certyfikatu. Aby uzyskać certyfikat, klucz publiczny należy przesłać do Organu certyfikacji (CA) jako część żądania podpisania certyfikatu (CSR), które Thunderbird utworzy automatycznie. Aby wygenerować klucze:

  1. Kliknij przycisk menu Thunderbirda IG main menu i wybierz Konfiguracja kont. Zostanie wyświetlona karta konfiguracji kont.
  2. Wybierz konto lub tożsamość, dla którego chcesz utworzyć klucze i wybierz menu Szyfrowanie „end-to-end”.
  3. Przewiń do sekcji S/MIME i kliknij Wygeneruj i zapisz plik CSR jako…
  4. Wybierz folder zapisu i nazwę dla pliku tekstowego CSR generowanego w następnym kroku. Zapamiętaj folder i nazwę pliku, ponieważ podczas uzyskiwania certyfikatu plik ten należy dołączyć do żądania podpisania certyfikatu przesłanego do organu certyfikacji. Po określeniu folderu zapisu i nazwy pliku zostanie wyświetlony zestaw pytań dotyczących typu kryptograficznego oraz mocy certyfikatu S/MIME. Zaleca się pozostawienie ustawień domyślnych, chyba że występują specjalistyczne wymagania.

Po udzieleniu odpowiedzi na wszystkie pytania, w ustawieniach Thunderbirda zostanie wygenerowany tajny klucz. Zachowaj cierpliwość na tym etapie. Jest to intensywny proces obliczeniowy, w trakcie którego Thunderbird może chwilowo przestać reagować. W tym czasie zostanie utworzony i zapisany we wcześniej określonym miejscu plik żądania podpisania certyfikatu (CSR). Po zakończeniu operacji Thunderbird wyświetli potwierdzenie.

Uzyskiwanie certyfikatu

Kolejnym krokiem jest kontakt z wybranym organem certyfikacji. Jeśli użytkownik jest powiązany z firmą lub organizacją, warto zapytać personel działu informatyki, który organ certyfikacji wybrać. W przypadku działania jako osoba indywidualna można wyszukać w internecie organy certyfikacji wydające certyfikaty S/MIME i akceptujące CSR. Obecnie Thunderbird nie rekomenduje żadnego konkretnego organu certyfikacji (CA).

Proces uzyskania certyfikatu może wymagać utworzenia konta użytkownika w CA, zarejestrowania danych osobowych, skonfigurowania metody płatności oraz zwykle weryfikacji adresu e-mail.

Po spełnieniu wymagań organu certyfikacji użytkownik zostanie poproszony o przesłanie pliku CSR.

  1. Otwórz plik zapisany wcześniej podczas tworzenia klucza publicznego i prywatnego. Zostanie wyświetlona zawartość pliku. Pierwsza linia będzie zawierać tekst:
    -----BEGIN CERTIFICATE REQUEST-----
  2. Skopiuj całą zawartość pliku.
  3. Wróć do witryny CA w przeglądarce, wklej w formularzu skopiowaną zawartość pliku CSR i wyślij formularz.

Po pomyślnym przesłaniu pliku organ certyfikacji powiadomi, że certyfikat został wydany lub zostanie wydany wkrótce. Może udostępnić certyfikat do pobrania od razu lub później, albo przesłać go mailem.

  1. Zapisz otrzymany plik certyfikatu. Zapamiętaj miejsce jego zapisania. Gdy używasz Firefoksa, plik zostanie zapisany w katalogu pobierania skonfigurowanym w ustawieniach przeglądarki np. w folderze Pobrane.

Gdy pobierasz plik z witryny internetowej, warto sprawdzić, czy nie są udostępniane dodatkowe certyfikaty pośrednie, które również mogą wymagać pobrania.

Informacja. Jeśli organ certyfikacji (CA) dostarcza certyfikat w pliku z rozszerzeniem .p12 lub .pfx, może to oznaczać, że CA nie użył przesłanego klucza, lecz wygenerował klucz na swoich systemach. Może to nie być pożądane.

Importowanie certyfikatu do menedżera certyfikatów i wykonanie kopii zapasowej

  1. Kliknij przycisk menu Thunderbirda IG main menu i wybierz Konfiguracja kont. Zostanie wyświetlona karta konfiguracji kont.
  2. Wybierz konto lub tożsamość, dla którego chcesz zaimportować certyfikat i wybierz menu Szyfrowanie „end-to-end”.
  3. Kliknij Zarządzaj certyfikatami S/MIME. Zostanie wyświetlone okno menedżera certyfikatów. Jeśli okno jest zbyt małe, przeciągnij jego prawy dolny róg, aby je powiększyć.
  4. W wyświetlonym oknie kliknij kartę Osoby, a następnie przycisk Importuj….
  5. Wybierz plik uzyskany z CA i kliknij przycisk Otwórz. Po zakończeniu importu zostanie wyświetlone okno menedżera certyfikatów. Thunderbird połączy zaimportowany certyfikat z przechowywanym lokalnie, odpowiadającym mu kluczem prywatnym.
  6. Jeśli organ certyfikacji udostępnił dodatkowe certyfikaty pośrednie lub podrzędne, kliknij kartę Organy certyfikacji. Zostaną wyświetlone certyfikaty identyfikujące organy certyfikacji.
  7. Kliknij przycisk Importuj… i zaimportuj je kolejno. Podczas importu Thunderbird zaproponuje oznaczenie organu certyfikacji jako zaufanego i ostrzeże o związanych z tym ryzykach. Pozostaw pola wyboru niezaznaczone – NIE zaznaczaj ich. Potwierdź, klikając OK, co spowoduje import certyfikatu pośredniego bez nadawania mu statusu zaufanego.
  8. Wykonaj bezpieczną kopię zapasową klucza i certyfikatu na innym nośniku:
    1. W menedżerze certyfikatów kliknij kartę Użytkownik. Na liście powinien być widoczny nowy certyfikat osobisty.
    2. Zaznacz wpis przedstawiający nowy certyfikat osobisty i kliknij Utwórz kopię zapasową….
    3. Wybierz folder zapisu i nazwę dla pliku kopii zapasowej.
    4. Wykonaj kroki wyświetlane na ekranie, w tym zdefiniuj hasło chroniące plik kopii zapasowej. Plik kopii zapasowej zapisz na nośniku zewnętrznym np. w pamięci flash przeznaczonej do przechowywania ważnych kopii zapasowych, a hasło w bezpiecznym miejscu, np. w menedżerze haseł.

Konfigurowanie Thunderbirda do korzystania z zabezpieczeń S/MIME

  1. Kliknij przycisk menu Thunderbirda IG main menu i wybierz Konfiguracja kont. Zostanie wyświetlona karta konfiguracji kont.
  2. Wybierz konto lub tożsamość, które chcesz skonfigurować i wybierz menu Szyfrowanie „end-to-end”.
  3. W sekcji S/MIME znajdują się dwie możliwości wyboru certyfikatu – Certyfikat osobisty do podpisywania cyfrowego: i Certyfikat osobisty do szyfrowania:. Kliknij przycisk Wybierz… znajdujący się po prawej stronie danego certyfikatu.
  4. Zostanie wyświetlona lista certyfikatów osobistych dla tego adresu e-mail. Certyfikat uzyskany w poprzednich krokach powinien być widoczny na liście. Należy go wybrać i potwierdzić. Thunderbird może zapytać o użycie tego samego certyfikatu do szyfrowania i podpisywania — zwykle należy to potwierdzić.

Od tego momentu możliwe jest używanie certyfikatu osobistego do wysyłania wiadomości podpisanych cyfrowo. Odbiorcy takich wiadomości będą mogli wysyłać zaszyfrowane wiadomości przy użyciu technologii S/MIME, o ile certyfikat nie wygasł. Po wygaśnięciu certyfikatu konieczne będzie powtórzenie procedury uzyskania nowego certyfikatu osobistego.