Skip to end of metadata
Go to start of metadata

Certifikáty

Certifikát je určen k tomu aby bylo možné identifikovat Server/Zařízení, na které se snažíme připojit. Certifikát nám pomáhá potvrdit, že zařízení na které se připojujeme, je opravdu toto zařízení. Certifikát přiřazuje veřejný klíč buďto doménovému jménu nebo IP adrese. Pokud je vydán certifikát na jinou adresu/doménové jméno, než kterou má destinace, na kterou se snažíme připojit moderní prohlížeč nás zpravidla informuje o tom, že se může jednat o podvrženou stránku.

Certifikát je zpravidla potvrzen a vystavován důvěryhodný vydavatelem neboli Certifikační Autoritou (zkráceně také CA). Na webu je možné vyhladet několi CA, které poskytují důvěryhodné cerifikáty s tím, že tyto certifikáty jsou většinou vydávané na doménové jméno. Většina těchto CA by měla být zařezena v důvěryhodných CA v nastavení prohlížeče. Je také možné vytvořit si vlastní CA, s tím že je nutné certifikát takovéto vytvořené CA vložit do důvěryhodných certifikátů v prohlížeči.

V dnešní době se pro digitální certifikáty pro zabezpečení webové komunikace používá doporučení ITU X.509.

Důležitá je také skutečnost že certifikáty jsou vydávané s omezenou platností (z důvodu bezpečnosti), tudíž je nutné certifikát jednou začas obnovit (zpravidla se jedná o dobu jednoho roku s rezervou několika málo dní). Po vypršení platnosti se bude certifikát tvářit jako nedůvěryhodný jelikož neprojde ověřovacím postupem kde se zjišťuje jestli nevypršela platnost tohoto certifikátu.

Možnosti 2N® IP Interkomu

Zařízení 2N® IP Interkom umožňuje nahrávání certifikátů pro různé účely. Nahrané uživatelské certifikáty lze přiřadit webovému rozhraní a tím dojít k autentizaci 2N® IP Interkomu v síti.

Postup pro vytvoření CA a certifikátu za pomocí OpenSSL

Certifikát certifikační autority, certifikát i se všemi klíči je možné vytvoři několika málo příkazy pomocí programu OpenSSL. Pro certifikát vytvořený jinou certifikační autoritou je možné tuto kapitolu přeskočit. Tento návod je poměrně přímočarý aby bylo možné vytvořit potřebné certifikáty v několika málo krocích pro elegantnější řešní lze postupovat například podle následujícího návodu: https://jamielinux.com/docs/openssl-certificate-authority/introduction.html

V prvním kroku je nutné vytvořit si certifikát certifikační autority s patřičným privátním klíčem. Příkaz je zadán následovně:

Parametr -x509 znamená že certifikát bude tzv. "Self-Signed" neboli podepsán sám sebou.

Behěm zpracování příkazu dojde k vyzvání vyplnění hesla toto heslo bude zabezpečovat privátní klíč CA aby nebylo možné vytvářet neautorizované certifikáty.

Po vyplnění hesla je nutné zadat důležité údaje týkající se CA, které budou součástí certifikátu. Toto by mělo vypadat následovně:

Tímto by se měla vytvořit dvojice souborů, první bude ca.pem obsahující certifikát CA a také privkey.pem obsahující privátní klíč CA. Tento klíč je nutný k podepisování vytvořených certifikátů. Kdokoliv s přístupem k tomuto klíči a heslu bude moci vytvářet nové certifikáte jménem této CA.

V následujícím kroku je nutné vytvořit klíč k certifikátu který budeme chtíti vložit na naše zařízení. Pomocí příkazu openssl genrsa vytvoříme klíč s jménem HELIOS-KEY.pem o délce 2048 bitů. Jméno souboru klíče se může jmenovat libovolně v této ukázce HELIOS-KEY.

Výstup poříkazu by měl vypadat přibližně následovně:

Program by měl vytvořit soubor s klíčem HELIOS-KEY.pem

V dalším kroku se vytvoří žádost o vytvoření certifikátu. Žádost se vytvoří pomocí příkazu openssl req a použije se pro ní klíč HELIOS-KEY.pem a žádost bude podepsána metodou sha-256. Jméno souboru žádosti se může jmenovat libovolně v této ukázce pouze HELIOS. Příkaz bude vypadat následovně:

V dalším kroce dojde k podpobnému dialogu jako v případě vytváření certifikátu pro CA. Tedy vyplnění údajů o vlastníkovi certifikátu. Důležitá položka je Common Name jelikož v této položce se musí nacháze IP adresa nebo doménové jméno pod kterým je přístupné webové rozhraní zařízení 2N® Helios IP. Výstup by měl tedy vypadat následujícím způsobem:

Nyní by se měl vytvořit soubor HELIOS.req.

Poznámka

Icon

Common Name je velmi důležitá položka, pokud tato položka nebude vyplněna správně nepovede se správně authentizace a webový prohlížeč upozorní že se jedná o nedůvěryhodnou webovou stránku.

V posledním kroku je nutné vytvořenou žádost podepsat a vytvořit certifikát, který bude možné vložit do zařízení 2N® Helios IP. Toto se provede pomocí příkazu openssl x509 kde specifikujeme že se jedná a podepsání žádosti HELIOS.req, že budeme podepisovat certifikační autoritou ca.pem s klíčem privkey.pem a použije se heslo HESLO specifikované při vytváření CA a že výstupem příkatu bude certifikát HELIOS-CERT.pem s platností 365 dní. Jméno souboru s certifikátem se může jmenovat libovolně v této ukázce HELIOS-CERT.

Výstup programu by měl přibližně následující s tím že pod položkou CN=10.27.20.10 by měla být IP adresa/ Doménové jméno 2N® Helios IP zařízení.

Program by měl nyní vytvořit poslední potřebnou položku a to certifikát pro zařízení 2N® Helios IP.

Nahrání certifikátu do prohlížeče

Toto je nutné pro certifikáty vydané a podepsané vlastní vytvořenou Certifikační Autoritou.

Mozilla Firefox

V prohlížeči Mozilla Firefox běžte do Možnosti > Rozšířené > Certifikáty zde stačí importovat certifikát Certifikační Autority (soubor ca.pem v případě vytvoření pomocí postupu výše).

Google Chrome

V prohlížeči Google Chrome běžte do Nastavení > Rozšířená nastavení > HTTPS/SSL > Spravovat certifikáty > Záložka Důvěryhodné kořenové certifikační autority  a zde je možné importovat certifikát Certifikační Autority (soubor ca.pem v případě vytvoření pomocí postupu výše).

Internet Explorer

V prohlížeči Iternet Explorer přes nabídku "ozubeného kola" > Možnosti Internetu > Záložka Obsah > Certifikáty, zde je možné importovat certifikát Certifikační Autority (soubor ca.pem v případě vytvoření pomocí postupu výše). Soubor .pem není zařezen mezi zobrazovanými je tudíž nutné vybrat zobrazení všech souborů.

Nahrání certifikátu do 2N® Helios IP zařízení

Certifikát buď vytvořený vlastní Certifikační Autoritou (CA), nebo obdržený od důvěryhodné webové CA lze vložit v sekci System / Certificates v kategorii User Certificates pomocí tlačítka zvýrazněného na následujícím obrázku.Ve otevřeném okně je nutné nahrát soubor s certifikátem a s klíčem, dále je nutné zadat heslo chranící privátní klíč (znázorněno na následujícím obrázku).

 

V následujícím kroku je nutné přiřadit certifikát Webovému rozhraní aby bylo možné pomocí tohoto certifikátu identifikovat zařízení. Přiřazení se provede v záložce Services / Web Server v kategorii Advanced Settings a zde v položce HTTPS User Certificate přiřadit vložený certifikát. Jelikož byl vložen certifikát [1] je nutné vybrat certifikát [1]

V posledním kroku je nutné zařízení 2N® Helios IP restartovat při novém startu zařízení se bude pro webovou komunikaci použítvat vložený certifikát. Restartovat v záložce System / Maintanance tlačítkem Restart Device.