Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

5.4.2.3         Systémové úložiště certifikátů v MS Windows

Nejvíce strukturované je systémové úložiště certifikátů v operačním systému MS Windows. To je standardně tvořeno interním úložištěm, které je realizováno čistě softwarovými prostředky. Ale i k němu lze „připojit“ externí úložiště, jehož obsah se do systémového úložiště vhodně promítne.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Složky systémového úložiště MS Windows

Obrázek 5 - 29: Složky systémového úložiště MS Windows

Systémové úložiště MS Windows má řadu „složek“ pro různé významy certifikátů:

·         Osobní: pro certifikáty aktuálního uživatele

·         Ostatní uživatelé: pro osobní certifikáty jiných fyzických osob

·         Zprostředkující certifikační autority (viz dále)

·         Důvěryhodné kořenové certifikační autority

·         Důvěryhodní vydavatelé

·         Nedůvěryhodní vydavatelé

Poměrně specifický význam má složka „Nedůvěryhodní vydavatelé“, zmiňovaná již dříve: umístěním konkrétního certifikátu do této složky se mu vyjadřuje nedůvěra, ve stejném smyslu jako kdyby tento certifikát byl revokován (k okamžiku začátku své platnosti).

Význam složky „Osobní“ je u tohoto systémového úložiště stejný, jako v případě úložiště prohlížeče Firefox: sem se instalují osobní certifikáty i se soukromými klíči, a sem se také „promítají“ vlastní certifikáty a soukromé klíče z případného externího úložiště (na čipové kartě či na USB tokenu).

Velmi významná je u systémového úložiště složka „Důvěryhodné kořenové certifikační autority“, kterou je třeba odlišit od složky „Zprostředkující certifikační autority“. Jde o dvojici složek, která umožňuje zohlednit hierarchii certifikátů, kterou používají některé (ale ne všechny) certifikační autority. Do první z těchto složek patří právě a pouze „kořenové“ certifikáty, neboli takové, které jsou opatřeny vlastním podpisem (jsou „self-signed“). Naproti tomu do druhé složky (“zprostředkující …“) patří takové certifikáty, které mají „nad sebou“ jiné nadřazené certifikáty, kterými jsou podepsány.

Ukažme si to na příkladu CA PostSignum, která používá „dvoupatrovou“ hierarchii svých certifikačních autorit (viz část 1.10.2), a tomu odpovídající „dvoupatrovou“ hierarchii svých certifikátů:

·         na nejvyšší úrovni je „Kořenová certifikační autorita“, a její (kořenový) certifikát je třeba umístit do složky „Důvěryhodné kořenové certifikační autority“ systémového úložiště MS Windows. Od roku 2010 má CA PostSignum dvě takovéto kořenové certifikační autority (QCA a QCA2), a každá z nich má svůj vlastní kořenový certifikát (PostSignum Root QCA a PostSignum Root QCA 2). Rozdíl mezi nimi je mj. v použití různých hašovacích funkcí (SHA-1 vs. SHA-2), a délce klíčů.

·         na nižší úrovni jsou dvě zprostředkující certifikační autority (v terminologii CA PostSignum označované jako „podřízené“), které teprve vydávají certifikáty koncovým zákazníkům: kvalifikovanou certifikační autoritu (PostSignum Qualified CA), která vydává kvalifikované certifikáty, a veřejnou certifikační autoritu (PostSignum Public CA), která vydává komerční certifikáty. Certifikáty těchto zprostředkujících (podřízených) certifikačních autorit se v systémovém úložišti MS Windows umisťují do složky „Zprostředkující certifikační autority“.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Správné zařazení certifikátů CA PostSignum do složek
systémového úložiště MS Windows

Obrázek 5 - 30: Správné zařazení certifikátů CA PostSignum do složek systémového úložiště MS Windows

Poněkud odlišně je tomu v případě I.CA, která nepoužívá hierarchické, ale „ploché“ uspořádání svých jednotlivých certifikačních autorit. Každá z nich tak má svůj vlastní kořenový certifikát (s vlastním podpisem, self-signed), a v systémovém úložišti MS Windows je třeba tyto certifikáty umístit do složky „Důvěryhodné kořenové certifikační autority“.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Zařazení certifikátů I. CA do složek systémového úložiště MS Windows

Obrázek 5 - 31: Zařazení certifikátů I. CA do složek systémového úložiště MS Windows

Jak záhy uvidíme, obě popisované složky („Důvěryhodné kořenové certifikační autority“ a „Zprostředkující certifikační autority“) se určitým způsobem účastní i na automatickém načítání certifikátů. To je společně odlišuje od poslední dosud nepopisované složky „Důvěryhodní vydavatelé“. Do ní by měly být umisťovány certifikáty těch vydavatelů (certifikačních autorit), kterým chceme důvěřovat, ale současně se neúčastní (resp. nemají účastnit) automatického načítání certifikátů.

Pro instalování certifikátů do systémového úložiště MS Windows má uživatel k dispozici průvodce, který nabízí, že za něj vybere správnou složku a do ní certifikát umístí.

V případě kořenových certifikátů tuzemských akreditovaných certifikačních autorit se ale tento průvodce (hlavně na vyšších verzích MS Windows, jako je Vista a 7) někdy plete a kořenové certifikáty místo do správné složky („Důvěryhodné kořenové certifikační autority“) umisťuje nesprávně do složky („Zprostředkující certifikační autority“).



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61