ZačínámePorozumění PKICertifikační autorityVydávání certifikátůŽivotní cyklus certifikátuOCSPProtokol ACMEPřístup k APIIntegrace MCPWorkspaces

Certifikační autority

Certifikační autorita (CA) je kořen důvěry pro všechny certifikáty, které vydáváte. Certman podporuje jak kořenové CA, tak zprostředkující CA, což vám umožňuje budovat CA hierarchie pro různá prostředí nebo bezpečnostní požadavky.

Kořenové vs. zprostředkující CA

Certman podporuje dva typy certifikačních autorit:

  • Kořenová CA — Samo-podepsaná CA, která slouží jako kotva důvěry. Nainstalujte kořenový certifikát na zařízení, která potřebují důvěřovat vašim certifikátům.
  • Zprostředkující CA — CA podepsaná nadřazenou CA (kořenovou nebo jinou zprostředkující). Umožňuje delegovat vydávání certifikátů, zatímco kořenový klíč zůstává bezpečnější.

CA hierarchie

Můžete budovat CA hierarchie až do 3 úrovní:

Kořenová CA (hloubka 0)
├── Zprostředkující CA 1 (hloubka 1)
│   └── Zprostředkující CA 1a (hloubka 2)
└── Zprostředkující CA 2 (hloubka 1)

Omezení délky cesty kontroluje, kolik úrovní pod-CA může zprostředkující CA vydávat:

  • Neomezeno — Může vydávat pod-CA bez omezení (doporučeno pro kořenové CA)
  • 0 — Může vydávat pouze koncové certifikáty, ne pod-CA (doporučeno pro listové zprostředkující CA)
  • 1 nebo 2 — Může vydávat tento počet úrovní pod-CA

Vytvoření CA

Při vytváření CA zadáváte:

  • Typ CA — Kořenová (samo-podepsaná) nebo Zprostředkující (podepsaná nadřazenou CA)
  • Nadřazená CA — Pro zprostředkující CA vyberte, která CA ji podepíše
  • Common Name — Popisný název (např. "Home Lab Root CA")
  • Organizace — Název vaší organizace nebo projektu
  • Organizační jednotka — Oddělení nebo divize (např. "IT oddělení")
  • Algoritmus — RSA-2048, RSA-4096, ECDSA-P256 nebo ECDSA-P384
  • Platnost — Jak dlouho je CA certifikát platný (zprostředkující nemůže překročit nadřazenou)
  • Délka cesty — Kolik úrovní pod-CA může tato CA vydávat
  • Heslo (volitelné) — Chraňte CA heslem pro zero-trust provoz

Ochrana heslem (Zero-Trust režim)

Pro vysoce zabezpečená prostředí můžete chránit svou CA heslem. Když je povoleno:

  • Certman nemůže vydávat ani odvolávat certifikáty bez poskytnutí hesla
  • Heslo není nikdy uloženo na serveru — znáte ho pouze vy
  • OCSP a CRL fungují automaticky dál (přes delegované podpisové certifikáty)
  • Pokud zapomenete heslo, CA nemůže vydávat nové certifikáty

Ochrana heslem je ideální pro produkční CA, kde chcete zajistit, že vydávání certifikátů vždy vyžaduje explicitní lidskou autorizaci.

Úložiště soukromých klíčů

Soukromé klíče CA jsou uloženy ve standardním PKCS#8 šifrovaném PEM formátu. Toto je stejný formát používaný OpenSSL a většinou certifikátových nástrojů, což usnadňuje export a použití s jiným software v případě potřeby.

Životní cyklus CA: Odvolat → Smazat

Všechny CA následují konzistentní dvoukrokový životní cyklus pro vyřazení z provozu:

  1. Odvolat — Označí CA jako odvolanou a zabrání vydávání nových certifikátů
  2. Smazat — Trvale odstraní CA (dostupné pouze po odvolání)

Odvolání CA

Když je CA odvolána:

  • Zprostředkující CA jsou přidány do CRL nadřazené CA a OCSP je hlásí jako odvolané
  • Kořenové CA jsou označeny jako neaktivní (žádná nadřazená CRL neexistuje)
  • Z odvolané CA nelze vydávat nové certifikáty
  • Existující certifikáty vydané CA by měly být považovány za nedůvěryhodné
  • CRL vrací 410 Gone — klienti by neměli důvěřovat tvrzením odvolané CA
  • OCSP vrací unauthorized — ze stejného důvodu, CA již není funkční

Požadavky na heslo:

  • Odvolání heslem chráněné kořenové CA vyžaduje heslo CA
  • Odvolání zprostředkující CA s heslem chráněnou nadřazenou CA vyžaduje heslo nadřazené CA

Mazání CA

Pouze kořenové CA mohou být přímo smazány. Zprostředkující CA jsou kaskádově smazány, když je smazána jejich nadřazená kořenová CA. To zajišťuje, že odvolané zprostředkující CA zůstanou v CRL nadřazené CA, dokud není odstraněna celá hierarchie.

Kořenovou CA lze smazat, pokud:

  • Kořenová CA je odvolána
  • Všechny podřízené CA (pokud existují) jsou odvolány
  • Všechny certifikáty v hierarchii jsou odvolány

Když smažete kořenovou CA, všechny podřízené CA a jejich certifikáty jsou kaskádově smazány. Tento dvoukrokový proces poskytuje bezpečnostní rezervu, snižuje náhodná smazání a umožňuje uživatelům plně uklidit a získat zpět svůj limit CA (důležité pro uživatele Free plánu).

Řetězce certifikátů

Při použití zprostředkujících CA potřebují klienti kompletní řetězec certifikátů k ověření důvěry. Můžete stáhnout kompletní řetězec v PEM formátu ze stránky detailu CA, nebo použít API k jeho programovému získání.

Instalace vaší kořenové CA

Po vytvoření CA stáhněte kořenový certifikát a nainstalujte ho na zařízení, která potřebují důvěřovat vašim certifikátům:

  • macOS — Přidejte do Klíčenky a nastavte na "Vždy důvěřovat"
  • Windows — Importujte do úložiště "Důvěryhodné kořenové certifikační autority"
  • Linux — Zkopírujte do /usr/local/share/ca-certificates/ a spusťte update-ca-certificates
  • Prohlížeče — Většina používá úložiště důvěry operačního systému; Firefox má vlastního správce certifikátů