Nacházíte se zde: CIT Internet Certifikáty
Navigace

Fakultní služby


Univerzitní služby

 
Akce dokumentů

Certifikáty na serverech FF MU

spravuje: Lukáš NavrátilPoslední změna: Středa 09.03.2016 15:54

Certifikáty na serverech FF MU - seznam, platnost, dokumentace, návody

Bezpečnostní certifikáty se používají u těch služeb, kde existuje reálné riziko prozrazení autentizačních údajů (heslo) nebo důvěrných dat (pošta). (Podrobněji viz wiki.ics.muni.cz/vydavani_certifikatu)

Servery na FF MU používají bezpečnostní certifikáty u těchto služeb: pošta, web, e-learningový systém, administrativní servery. Zaměstnanci MU mají možnost si u CA Cesnet pořídit také osobní certifikát, pokud jej potřebují.

Při použití důvěryhodných certifikátů je komunikace mezi serverem a stanicí uživatele oboustranně zabezpečena šifrou. Takové zabezpečení má za cíl předcházet možnosti odposlechnout po síti heslo a důvěrnou komunikaci nebo data měnit, zejména v případě, že se uživatelé pohybují v síťovém prostředí, kterému nemohou stoprocentně důvěřovat. Pokud se pochybnost týká i důvěry k samotnému počítači, není zabezpečení certifikátem dostatečnou ochranou před odposlechnutím hesla ani dat – v tom případě není dokonce vůbec vhodné pracovat se službami zabezpečenými pomocí uživatelského jména a hesla.

 

Seznam platných certifikátů používaných na serverech FF

kvalifikované jméno serveru kanonické jméno serveru popis služby certifikační autorita datum vydání certifikátu datum expirace certifikátu
ns.phil.muni.cz ankh administrativní server TERENA SSL CA May  6 00:00:00 2014 GMT May  5 23:59:59 2017 GMT
ns2.phil.muni.cz morpork záložní administrativní server TERENA SSL CA Apr 18 00:00:00 2014 GMT Apr 17 23:59:59 2017 GMT
www.phil.muni.cz mrakoplas webový server TERENA SSL CA 3
Mar  4 00:00:00 2016 GMT Mar  8 12:00:00 2019 GMT
mail.phil.muni.cz rosret poštovní server TERENA SSL High Assurance CA 3
Mar  9 00:00:00 2016 GMT
Mar 14 12:00:00 2018 GMT
elf.phil.muni.cz
e-learning.phil.muni.cz
elf e-learningový webový server TERENA SSL High Assurance CA 3
Mar  9 00:00:00 2016 GMT
Mar 14 12:00:00 2018 GMT
eldum.phil.muni.cz eldum
moodlový server - projekt TERENA SSL CA 3
Mar  4 00:00:00 2016 GMT Mar  8 12:00:00 2019 GMT
elfdev.phil.muni.cz elfdev vývojová větev pro elf TERENA SSL CA 3
Mar  4 00:00:00 2016 GMT
Mar  8 12:00:00 2019 GMT
ysabell.phil.muni.cz ysabell zálohování a testování TERENA SSL CA May  6 00:00:00 2014 GMT May  5 23:59:59 2017 GMT
snuff.phil.muni.cz snuff monitorování a řízení TERENA SSL CA 3
Mar  4 00:00:00 2016 GMT Mar  8 12:00:00 2019 GMT
oktavo.phil.muni.cz oktavo webový metadatový editor TERENA SSL CA 2
Jan 21 00:00:00 2015 GMT
Jan 20 23:59:59 2017 GMT
digsig.phil.muni.cz digsig infosystem TERENA SSL CA 3 8.9.2015 02:00:00 12.9.2018 14:00:00
kvalifikované jméno certifikační autority popis služby certifikační autorita datum vydání certifikátu datum expirace certifikátu
TERENA SSL CA certifikační autorita k podpisu certifikátů na FF UTN-USERFirst-Hardware May 18 00:00:00 2009 GMT May 30 10:48:38 2020 GMT
UTN-USERFirst-Hardware certifikační autorita k podpisu delegované certifikační autority AddTrust External TTP Network, CN=AddTrust External CA Root Jun  7 08:09:10 2005 GMT May 30 10:48:38 2020 GMT
TERENA SSL CA 2 certifikační autorita k podpisu certifikátů na FF USERTrust RSA Certification Authority
Oct  9 00:00:00 2014 GMT Oct  8 23:59:59 2024 GMT
USERTrust RSA Certification Authority
certifikační autorita k podpisu delegované certifikační autority CN=AddTrust External CA Root
May 30 10:48:38 2000 GMT
May 30 10:48:38 2020 GMT
TERENA SSL CA 3
certifikační autorita k podpisu certifikátů na FF DigiCert Assured ID Root CA Nov 18 12:00:00 2014 GMT
Nov 18 12:00:00 2024 GMT
TERENA SSL High Assurance CA 3
certifikační autorita k podpisu certifikátů na FF DigiCert High Assurance EV Root CA Nov 18 12:00:00 2014 GMT
Nov 18 12:00:00 2024 GMT
kvalifikované jméno kořenové certifikační autority datum vydání certifikátu datum expirace certifikátu
AddTrust External TTP Network, CN=AddTrust External CA Root May 30 10:48:38 2000 GMT May 30 10:48:38 2020 GMT
DigiCert Assured ID Root CA
Nov 10 00:00:00 2006 GMT
Nov 10 00:00:00 2031 GMT
DigiCert High Assurance EV Root CA
Nov 10 00:00:00 2006 GMT
Nov 10 00:00:00 2031 GMT

 

Poznámky:

  • kvalifikované jméno (FQDN): doménové jméno, na které je certifikát vystaven; jiné jméno nelze při navazování spojení použít; též Common name (CN)
  • kanonické jméno: jméno stroje, pod jakým je obecně znám a zaveden v DNS

V závislosti na nastavení vašeho počítače bude možná nutné před prvním použitím stáhnout kořen a mezilehlé certifikáty odpovídající certifikační autority a nainstalovat jej na počítač nebo potvrdit jejich důvěryhodnost.

Obsah certifikátu

Teoretický koncept: Certifikát (=průkaz) je dokument, který prokazuje nějakou skutečnost. Každý certifikát obsahuje následující údaje:

  • účel certifikátu – jakou skutečnost certifikát prokazuje (držitel je českým občanem, zaměstnancem firmy ABC, oprávněn k řízení automobilu, očkován proti vzteklině)
  • identifikátor subjektu – znaky, podle kterých lze ověřit identitu držitele certifikátu (jméno a příjmení, fotografie, otisk prstu, výška, barva očí, výrobní číslo)
  • identifikátor autority – označení toho, kdo certifikát vydal (označení vydavatele, razítko, podpis)
  • platnost – od kdy do kdy je certifikát platný, údaje o prodloužení platnosti
  • integrita certifikátu – slouží k ověření, že certifikát je platný, úplný a že nebylo nic změněno (číslované stránky, proražené číslo na jednotlivých stránkách, hologram, speciální použitý materiál apod.)
  • další atributy – dodatečné a pomocné údaje, které nejsou ve vztahu k samotnému certifikátu, např. adresa, funkce, rodné číslo

Typickým zástupcem certifikátu v reálném světě je občanský průkaz, který slouží k prokazování totožnosti, místa trvalého pobytu a dalším administrativně-správním úkonům. Subjekt – občan České republiky – je identifikovatelný fotkou, pohlavím, datem a místem narození. Průkaz vydává místně příslušný úřad (magistrát, pověřená obec). Platí zpravidla 10 let od data vydání, během této doby se průkazy obměňují a vylepšují se ochranné prvky, které obsahují. Ochranné prvky – bankovkový papír s ochrannými proužky, materiál obalu s vlysem, hologram apod. – pomáhají chránit integritu a tím věrohodnost certifikátu. Na centrální adrese je seznam čísel vydaných průkazů, které byly zcizeny a jsou vyhlášeny za neplatné.

 

Definice, formáty, standardní přípony, zkratky

  • Certifikát: definice ve Wikipedii
  • Certifikační autorita: v kryptografii objekt, který vydává digitální certifikáty k použití ostatním zúčastněným stranám. CA má v PKI zásadní roli.
    Existuje mnoho komerčních certifikačních autorit, které za poplatek poskytují své služby pro serverové aplikace, klientům za to poskytují bezpečnostní záruku. V Česku to je např. ICA nebo Česká pošta, ve světě například Verisign. Poměrně novou záležitostí jsou komunitní CA; největší a nejznámější, která má své zástupce i v Česku, je CAcert.org, původem z Austrálie.

  • .CER, .DER: certifikát kódovaný podle DER (Distinguished Encoding Rules, používá se pro zakódování dat před jejich podepsáním)
  • .PEM: údaje certifikátu kódovány v Base64 a uzavřeny mezi řetězce -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----
  • .P7B, .P7C, .PK7: údaje kódovány podle PKCS#7 (Public Key Cryptography Standard, RFC 2315) a uzavřeny mezi řetězce -----BEGIN PKCS7----- a -----END PKCS7-----
  • .PFX, .P12: údaje kódovány dle PKCS#12
  • PKI: Public key infrastructure (podrobný popis anglicky ve Wikipedii), velmi stručný v české Wikipedii), prostředí, které důvěryhodným třetím stranám umožňuje potvrzovat či naopak vyvracet identity uživatelů. Jinými slovy umožňuje propojit veřejné klíče s identitami jejich uživatelů; takové spojení pak může jiný uživatel prostřednictvím svého elektronického podpisu potvrdit. Veřejný klíč je typicky uložený ve formě certifikátu a potvrzuje ho certifikační autorita
  • ASN.1: notace s abstraktní syntaxí (zhruba řečeno: něco jako xml, určeno ke strojovému zpracování, ne přímo pro člověka)
  • zaručený elektronický podpis založený na kvalifikovaném certifikátu

Odkazy pro pokročilé

 


Osobní nástroje