Klientské certifikáty - Certifikační autorita
Zpětné odkazy:
Pokud provozujete WebSpis na vlastním serveru a chcete pro přihlášení používat klientské certifikáty jednotlivých uživatelů, je potřeba zajistit, aby z pohledu serveru byly vystavené certifikáty validní.
Na serveru je proto nutné nastavit, že je certifikační autorita WebSpis CA důvěryhodná.
Instalace certifikátu
Stáhněte si certifikát certifikační autority WebSpis CA a uložte jej např. do složky c:\cert.
Na serveru spusťte Správa certifikátů počítačů (Manage computer certificates) (POZOR, nikoli správu uživatelských certifikátů!)
Rozbalte složku Důvěryhodné kořenové certifikační autority (Trusted Root Certification Authorities) a klikněte pravým tlačítkem myši na Certifikáty (Certificates).
V menu vyberte Všechny úkoly / Importovat (All Tasks / Import).
V průvodci importem nejprve potvrďte, že chcete importovat do certifikátů počítače a vybrte soubor se staženým certifikátem WebSpisCA-certificate.pem. Pozor, ve formuláři výběru souborů musíte přepnout na Všechny soubory (All files).
Po dokončení průvodce bude certifikát zobrazen v seznamu důvěryhodných certifikačních autorit a stažený certifikát je možné smazat.
Nedůvěryhodný certifikát
Pokud se při pokusu o přihlášení do WebSpisu klientským certifikátem zobrazí následující stránka s chybou 401.16, mohou být dvě příčiny.
Certifikát certifikační autority není ve složce důvěryhodných certifikačních autorit na serveru. Překontrolujte, že jste certifikát nahráli do správné složky.
Ve složce důvěryhodných certifikačních autorit na serveru je jiný chybný certifikát.
Ve složce důvěryhodných certifikačních autorit mohou být pouze certifikáty podepsané sebou samým. Stává se, že do této složky jsou naimportované certifikáty, které jsou podepsané jiným certifikátem.
V seznamu to pak vypadá následovně:
Zvýrazněný certifikát má v poli Vydavatel (Issuer) jiný certifikát, než ten samý.
Seznam takových certifikátů můžete zjistit pomocí PowerShell příkazu
Get-Childitem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}
Obrázek použití v tomto případě - ve výsledném seznamu je jeden chybný certifikát.
