Ostatnio opisałem jak zmusić Kmail do akceptacji prawidłowych certyfikatów na przykładzie mBanku. Teraz zapragnąłem czegoś więcej – własnego certyfikatu.
Jest wiele opisów jak utworzyć certyfikat podpisany przez samego siebie. Jednak takie certyfikaty są złe ponieważ nie będą oznaczane automatycznie jako zaufane. Niewiele osób wie, że można uzyskać darmowy certyfikat podpisany przez zaufanego wystawcę. W dalszej części opiszę jak można go uzyskać.
Całość będzie się składała z trzech części:
- utworzenia certyfikatu;
- eksportu certyfikatu do pliku na przykładzie Firefoksa;
- konfiguracji Kmaila do podpisywania wiadomości wystawionym certyfikatem.
Wystawienie certyfikatu
Przede wszystkim należy zacząć od rejestracji na stronie StartSSL wybierając opcję “Sign-up“. Na formularzu rejestracyjnym uzupełniamy wszystkie dane.
Naciskamy “Continue” i potwierdzamy akceptację regulaminu. Na podany adres email przyjdzie wiadomość z kodem, który trzeba przekleić do następnego okna.
Kolejnym krokiem będzie utworzenie głównego klucza prywatnego. Będzie on chronił dostępu do całego konta na stronie, jednak może również posłużyć do podpisywania wiadomości.
Jako rodzaj certyfikatu wybieramy “High grade” i przechodzimy dalej.
Potwierdzamy wybór i certyfikat zostanie automatycznie zainstalowany w przeglądarce.
Możemy utworzyć dowolną liczbę certyfikatów, ale tylko po jednym na każdy adres email. Jeśli potrzebujemy ich więcej wybieramy kreator “Validations wizard”
a następnie “Certificates Wizard“.
Eksport certyfikatu do pliku
Wygenerowany plik należy zabezpieczyć w miejscu niedostępnym dla innych. Na przykład na USB. Najpierw jednak trzeba go wyeksportować z przeglądarki. Tak się to robi w Mozilli Firefox.
Wchodzimy do opcji (Edit -> Preferences), a następnie wyświetlany certyfikaty (Advanced -> Encryption -> View Certificates). Następnie na zakładce Your Certificates zaznaczamy utworzony certyfikat i wybieramy Backup.
Wskazujemy plik wybieramy hasło do zabezpieczenia zawartości. Hasło powinno być trochę bardziej skomplikowane niż “12345” czy też “kasia1”.
Jeśli podczas eksportu wyskakuje błąd – jest to wina wtyczki torbutton. Należy ją wyłączyć i spróbować ponownie.
Instalacja certyfikatu
Zanim będzie można użyć utworzony certyfikat w Kmail, należy go zaimportować do systemu. Wystarczy otworzyć wyeksportowany przed chwilą plik w programie Kleopatra. zostaniemy spytani o hasło, które przed chwilą podaliśmy.
Teraz pozostało jedynie skonfigurować Kmail.
W ustawieniach tożsamości (Tożsamości -> modyfikuj) na zakładce Cryptography wybieramy Change przy “S/MIME signing certificate“. Następnie z listy wybieramy właściwy certyfikat.