Import Thawte Freemail certifikátu do Vist či Windows Serveru 2008
Nainstaloval jsem si Visty, pak Windows Server 2008. Následně jsem zatoužil o Thawte Freemail certifikátu. Jak již jsem psal zde, na požádání o certifikát z Vist/W2008 můžu rovnou zapomenout. Takže jsem si certifikát vygeneroval na Windows Serveru 2003, uložil do PFX, soubor přenesl do W2008 a naimportoval. K mému překvapení jsem pořád nemohl podepsat e-mail ve Windows Mailu.
Zjistil jsem, že jsem do PFX souboru neuložil všechny nadřazené certifikáty – upřímně, ono je to jedině dobře, protože jejich import by stejně dopadl špatně. Takže jsem se podíval na W2003, jaká je správná certifikační cesta.
Ke štěstí mi ve Vistách/Windows Serveru 2008 zjevně chybí Trusted Root CA nazvaná “Thawte Personal Freemail CA” a “Thawte Personal Freemail Issuing CA”. Vzpomněl jsem si, že jsem kdysi kolegům linuxářům sháněl všechny Thawte CA. Na adrese http://www.thawte.com/roots/ je formulář, který lze s klidem ignorovat, nic nevyplňovat a stisknout Accept tlačítko. Stáhnete si ZIP soubor, v němž je hromada Root CA v různých formátech. Pak už stačí jen poklepat na ThawtePersonalFreemailCA, zvolit “Install Certificate…”, Next, nezapomenout označit “Place all certificates in the following store”, stisknout Browse… a zvolit “Trusted Root Certification Authorities”.
První část by byla – nicméně to není vše. Nyní je nutné získat ještě Thawte Personal Freemail Issuing CA – a to jsem netušil, co mne čeká. Jsou dvě cesty – snadná svépomocí a pak složitější přes Thawte (a pak vlastně ještě třetí - stáhnout si certifikát z přílohy tohoto článku).
Ta snadnější spočívá v tom, že si z počítače s WXP/W2003, v němž jsem si zažádal o Thawte certifikát a následně vytvořil PFX soubor, vyexportuji ještě Intermediate Certification Authority nazvanou “Thawte Personal Freemail Issuing CA”. Jelikož se klidně může stát, že v jste v rámci zabezpečení na pomocné stanici již vše uklidili a máte v ruce pouze PFX soubor, který je sám o sobě ve Vistách nedostatečný, je potřeba absolvovat druhou metodu.
Na adresu personalcert@thawte.com je potřeba poslat e-mail, v jehož Předmětu bude uvedeno “SO2441”. Po obdržení odpovědi je třeba naimportovat přiložený certifikát do Intermediate Certification Authorities.
Abych nemusel výše uvedené absolvovat znovu, přidávám si oba certifikáty jako přílohy tohoto příspěvku.
V případě, že jste oba CA certifikáty naimportovali na správná místa, měl by již váš osobní Thawte certifikát vypadat takto. A hlavně – Windows Mail přestane odporovat a povolí odeslání digitálně podepsaného e-mailu.
ThawtePersonalFreemailCA.der (817,00 bytes)
ThawtePersonalFreemailIssuingCA.der (835,00 bytes)
Doplnění: Tak odpověď z personalcert@thawte.com mi přišla - zpracovaná manuálně, podepsaná člověkem ze support teamu! Ať žijí manuální procesy. Hloupé je, že odezva na moji e-mailovou žádost byla 14 hodin :(