Předpokládám, že jste pilně studovali teorii a jste připravení na hromadu praxe. Půjdeme na web StartCom.
https://www.startssl.com/. Klikneme na ikonku vytvoření účtu.
Objeví se formulář, který každý vyplní podle svého jména, umístění, atd.
Ještě musíte potvrdit, že jste zadali pravdivé údaje.
A pak si musíte počkat, až vám do mailu přijde potvrzovací kód. Pokud máte greylisting, tak se může stát, že než kód přijde, tak vám vyprší platnost stránky. Mě se to stalo.
Pak musíte stejné kolečko projít ještě jednou, na podruhé přijde kód okamžitě. Copy a paste kódu z mailu do formuláře pomůže vyhnout se chybám.
Nakonec vám řeknou, že si stejně ještě data ověří, takže to může trvat až šest hodin, než přijde potvrzovací mail.
Mně přišel asi po 20 minutách. V mailu najdete link a kód. Link otevřete a zadejte kód.
Pokud bylo všechno v pořádku, tak si budete muset vygenerovat certifikát pro přihlašování. Ano SSL certifikát se dá použít nejen pro šifrování provozu, ale i pro ověření identity.
A tohle je ten případ. Nebudete zadávat heslo, browser vás přihlásí sám certifikátem. Vybereme High Grade a klikneme na Continue.
Začne se generovat privátní klíč. To může chvíli trvat. Až to bude, tak můžeme certifikát nainstalovat.
Klikneme na Install.
Takhle to vypadá ve Firefoxu. Celý ten postup může v IE vypadat trochu jinak. Tím jsme získali možnost přihlašovat se do systému CA.
Doporučuju si ten certifikát zazálohovat. Jak jsem říkal, tak používám Firefox. Takže v Options, Advanced, záložka Encryption vyberu View Certificates. A v mých certifikátech
vidím přesně ten, kterým se přihlašuju. Můžete tam mít ještě nějaké další. Já tam nic jiného nemám.
Když na něj kliknete, tak jej můžete zálohovat. Tak do toho. Hlavně si to uložte někam, kde to najdete a kde na to nezapomenete. Až jednou přeinstalujete PC nebo notebook, tak
se už nepřihlásíte, dokud certifikát opět nenahrajete. Pak se vrátíme do control panelu CA a budeme pokračovat.
Jestli se těšíte na certifikát, tak ještě brzděte. CA nevydá certifikát každému. Slušná CA si provádí kontrolu, že vůbec máte právo žádat o certifikát pro doménu. Takže klikneme
na Validation Wizard.
Vybereme Domain Name validation.
Protože bude certifikát pro doménu jan-kovar.cz, tak podle toho upravím výběr. Udělejte to podle vaší domény a klikněte na Continue. Systém se zeptá, podle jaké adresy chcete
ověřit, že jste vlastník domény. Bohužel nemám screenshot. Pokud si dobře pamatuju, tak jsem vybíral, že ověření má jít na mail postmaster@jan-kovar.cz. Ono je tam jen pár
adres na výběr. Další je tuším webmaster@jan-kovar.cz. Takže vyberete adresu, necháte si poslat zase kód. To už tu bylo. Když všechno dobře dopadne ...
Hurá, můžeme jít do Certificates Wizard a začneme vlastně teprve teď vytvářet certifikát pro náš web. Chceme web server certifikát.
Klikneme na Continue. Jdeme generovat privátní klíč. Pokud bychom měli vygenerovaný request z Exchange serveru, tak bychom tento krok museli přeskočit.
Pokud vás napadlo, že byste obešli omezení certifikátu na jedno jméno + doménu tím, že byste si vygenerovali request na SAN certifikát v Exchange serveru, tak na to zapomeňte.
Nefunguje to. Ten Wizard všechny jména vyhází a řekne si o to jedno + doménu, které použije. Takže klidně můžete pokračovat. Je to takhle jednodušší a neobčuráte to. Zadejte heslo,
které budete potřebovat později. Rozhodně tam dejte něco, co si budete pamatovat. Pokud to zapomenete, tak budete mít problém. Revokace certifikátu stojí kolem 500 Kč.
Key size může být 2048bits, a algoritmus nechejte na SHA1, někteří klienti by si s SHA2 neporadili. Třeba Windows XP nebo některá mobilní zařízení. Klikneme na Continue.
Objeví se varování, že pokud chceme generovat request na naší straně, tak nemáme pokračovat. My chceme pokračovat, tak klikneme na OK. System vygeneruje privátní klíč.
Celý obsah toho pole vložte do notepadu a uložte jako privatni_klic.txt. Pak můžeme pokračovat.
Systém si řekne doménové jméno. Nikoliv FQDN serveru.
Nabídne to ty domény, pro které jste provedli autorizaci - resp. validaci. Vybrat a pokračujeme.
Tady už bude FQDN serveru. Doménu doplní systém, takže jen jméno. A jedeme dál.
Závěrečná kontrola. Continue. A zase kontrola. Takže budeme čekat, co nám přijde do mailu. Až mail dorazí, tak otevřete Tool Box. Tam vyberete možnost retrieve certificate.
Nabídnou se možnosti certifikátů, které jsme generovali. Protože je to první, tak tam bude jen jeden. Vybereme jej. Zobrazí se Public Key.
Obsah boxu celý zkopírujeme a vložíme do notepadu. Pak to uložíme jako verejny_klic.txt. Pokud máme, tak to spojíme dohromady. V toolboxu klikneme na Create PKCS#12 (PFX) File
Na disku máme dva soubory. Ze souboru privatni_klic.txt nakopírujeme celý obsah do horního boxu. Ze souboru verejny_klic.txt nakopírujeme celý obsah do dolního boxu. A přidáme heslo,
které jsme zadali při generování privátního klíče.
Klikneme na Get PFX a soubor uložíme někam na disk.
A to by stačilo. Příště to všechno nacpeme na Exchange server a upravíme nastavení, ať nám všechno funguje.
|