Na začátek
Musím zopakovat, že v minulém díle jsem alespoň zběžně vysvětlil, co je certifikát autority (self-signed certifikát) a co je certifikát koncové entity. Kdyby to někdo zapomněl, řeknu to ještě jednou. Self-signed certifikát je certifikát, který poznáte tak, že je v něm vydavatel shodný s vlastníkem. Jen takový může být důvěryhodný a má ho cenu ve Windows instalovat. Dnes se podíváme na jména v certifikátech.
Jména vlastníků v certifikátech
Každý klient kontroluje jaká jména jsou uvedena v certifikátech služeb, na které přistupuje. Ono tam totiž nemusí být jen jedno. Pomalu se tedy přestaneme bavit o vlastníkovi a začneme to nazývat správně Subject. Subject vidíte na úplně první obrazovce, ale je vidět také uvnitř v certifikátu.
Už v poli Subject může být více jmen. Různé aplikace kontrolují různá jména. Webový prohlížeč kontroluje jméno typu CN (Common Name) a očekává, že v něm najde jméno webového serveru přesně tak, jak ho zadal uživatel do prohlížeče. Mailový klient by kontroloval jméno typu E (Email) a očekával by, že v něm uvidí emailovou adresu odesílatele. Jmen každého typu tam může být i více. To není úplně standardní, ale někdy to klientům nevadí. Někdy to kontrolují všechno, někdy zase třeba jen to první, nebo poslední takové jméno. Takže se to obecně nedoporučuje.
To co ale můžete mít je tzv. hvězdičkový certifikát (wildcard certificate). V poli Subject takového certifikátu by bylo jedno jméno s (jednou) hvězdičkou. Takový certifikát pak platí pro všechna jména, která vyhovují dané hvězdičkové konvenci. Opět ale můžete narazit na podporu různých aplikací. Například ani Windows Mobile 5 ani například ISA Server 2004 takovým certifikátům ještě nevěří. Raději se tomu stejně vyvarujte.
Poněkud standardnější a tedy i kompatibilnější je mít v certifikátu více konkrétních jmen. Ale nikoliv v poli Subject, ale v poli Subject Alternative Name(SAN).
Všimněte si, že je zde zopakováno jméno z políčka Subject. Někteří klienti, třeba Internet Explorer 6 (IE6) ještě obě pole sečítali, tzn. brali všechna jména z obou polí dohromady. Zatímco Internet Explorer 7 (IE7) si kontrolu změnil (nevím jestli je to více standardní, nebo proč). Jestliže je v certifikátu políčko Subject Alternative Name (SAN), tak kontroluje jen toto jediné pole a Subject úplně ignoruje.
Dobrá praxe
Dobrá praxe je tedy mít všechna jména v Subject Alternative Name (SAN) a nepoužívat hvězdičku. Do pole Subject potom dávejte to jméno, které se bude nejpravděpodobněji používat z (pre)historických klientů, kteří by SAN poli nerozumněli. Říkám prehistorických, protože podpora SAN je poněkud starší, než podpora hvězdičkových (wildcard) jmen. SAN jména nepodporoval jako poslední Internet Explorer 4 (IE4) nebo například ani Windows Pocket PC 4.
Zelené certifikáty
Někdy se adresní pruh v prohlížeči zobrazuje zelený.
To jsou tzv. Extended Validation, nebo Enhanced Validation (EV) certifikáty. Vydávají je speciální certifikační autority (ne každá umí dělat zelené certifikáty). Zelenost autority je dána nastavením vašeho operačního systému nebo prohlížeče. Zjednodušeně řečeno existují důvěryhodné a důvěryhodnější autority. Tyto certifikační autority dávají do pole Subject navíc ještě přesnou identifikaci firmy vlastníka takového certifikátu, jako je jméno společnosti, adresa a identifikační číslo (v našich krajích IČO).
Zelenost autority není výsadou jen Internet Exploreru 7 a novějších. Stejně to chápou například Opera 9.5, Firefox 3, Safair 3.2 i iPhone od verze 3. Má to prostě tu výhodu, že víte, s kým hovoříte. Pokud máte webový obchod, nebo jiný veřejně přístupný portál, rozhodně je lepší mít zelený certifikát. Jenže je to podstatně dražší, jak si přečtete v dalším díle až vyjde :-)
Co je GOPAS TechEd? No přece nejlepší příležitost bavit se čtyři dny tím, co vás zajímá!