Intermediate certifikáty a jejich instalace

24. 7. 2013 | Jindřich Zechmeister

Intermediate certifikáty (česky zprostředkující) jsou předpokladem správného fungování a důvěryhodnosti SSL certifikátu na serveru. Bez Intermediate certifikátu není ani certifikát na serveru důvěryhodný a vyvolává bezpečnostní varování v prohlížeči.

Co je to Intermediate certifikát?

Intermediate certifikát (zprostředkující) je autorita, která je vydána kořenovým certifikátem komerční certifikační autority a slouží k vydávání certifikátů zákazníkům. Zajišťuje důvěryhodnost SSL certifikátu díky vazbě na kořenové certifikáty autority, které jsou přítomny v operačních systémech a prohlížečích návštěvníků.

Váš vydaný certifikát není vystaven přímo root certifikátem příslušné autority, ale právě zprostředkujícím certifikátem. Pokud intermediate certifikát není na serveru nainstalován, zobrazuje návštěvníkův prohlížeč varování o nedůvěryhodném vydavateli certifikátu.

 

Varování prohlížeče - nedůvěryhodný certifikát

Varování o nedůvěryhodném certifikátu

Pokud není Intermediate certifikát na serveru přítomen, není možné ověřit, zdali je SSL certifikát důvěryhodný a pravý. Při správné instalaci SSL certifikátu je důvěryhodnost certifikátu zaručena a v detailu certifikátu je možné zobrazit tzv. řetěz důvěry (chain of trust), ve kterém Intermediate certifikát spojuje kořenový certifikát autority a váš serverový certifikát.

řetěz důvěry certifikátu

Kde Intermediate certifikát vzít?

Při zakoupení SSL certifikátu u SSLmarket.cz vám správný Intermediate certifikát pošleme e-mailem. V příloze naší zprávy naleznete dvě podoby Intermediate certifikátů; jedna je pro Linux (a ostatní) servery, druhý certifikát je pro platformu Windows.

Pokud byste Intermediate certifikát autority nemohli najít, můžete ho stáhnout přímo z webu certifikační autority.

Instalace Intermediate certifikátu je jednoduchá

Zprostředkující certifikát stačí dát vašemu serveru "k dispozici", aby ho mohl poslat prohlížeči návštěvníka a ten tak měl kompletní řetěz důvěry. Jen s kompletním "chainem" je možné ověřit pravost všech certifikátů a s určitostí prohlásit, že je certifikát server pravý a platný.

Instalace Intermediate certifikátu na platformě Windows 

Ve správě Microsoft Management Console (MMC) přidejte položku "Certificates" pro celý server (nikoliv pro uživatele) a následně do složky Console Root/Certificates (Local Computer)/Intermediate Certificattion Authorities/Certificates naimportujte získaný soubor s Intermediate certifikátem.

UPOZORNĚNÍ: Při instalaci Intermediate certifikátů na Windows server je třeba zakázat již přitomný Root certifikát dané certifikační autority - jeho úlohu přebírá právě Intermediate certifikát. Po instalaci na IIS 7 je nutné provést restart celého serveru a po instalaci na IIS 6 stačí restartovat pouze webový server.

Instalace Intermediate certifikátu na platformě Linux a ostatních 

Zaslaný soubor s Intermediate certifikátem na serveru uložte do složky s certifikáty (obvykle /usr/local/ssl/crt/, liší se podle distribuce). V dalším kroku upravte konfigurační soubor Apache s názvem httpd.conf (typicky je umístěn v /etc/httpd) a doplňte v něm direktivu pro intermediate certifikát, například: 

SSLCertificateChainFile /usr/local/ssl/crt/linux_intermediate.pem

Po provedení instalace musí být váš SSL certifikát důvěryhodný a prohlížeč při návštěvě webu nesmí zobrazovat varování o nedůvěryhodnosti certifikátu. Pokud se tak stále děje, doporučuji použít následující ověřovač certifikátů.

Ověřte si správnost instalace certifikátu

Pokud váháte a nejste si jisti, zdali jste vše nainstalovali a nastavili správně, můžete si nechat certifikát otestovat. Ověřovač certifikátu otestuje váš web z pohledu návštěvníka a upozorní vás na případné chyby.

Ověřovač instalace SSL certifikátu

Pokud byste narazili na problém, neváhejte kontaktovat naši zákaznickou podporu SSL certifikátů, která vám pomůže problém vyřešit.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz