5.4.2.3         Systémové úložiště certifikátů v MS Windows

Nejvíce strukturované je systémové úložiště certifikátů v operačním systému MS Windows. To je standardně tvořeno interním úložištěm, které je realizováno čistě softwarovými prostředky. Ale i k němu lze „připojit“ externí úložiště, jehož obsah se do systémového úložiště vhodně promítne.

Obrázek 5 - 29: Složky systémového úložiště MS Windows

Systémové úložiště MS Windows má řadu „složek“ pro různé významy certifikátů:

·         Osobní: pro certifikáty aktuálního uživatele

·         Ostatní uživatelé: pro osobní certifikáty jiných fyzických osob

·         Zprostředkující certifikační autority (viz dále)

·         Důvěryhodné kořenové certifikační autority

·         Důvěryhodní vydavatelé

·         Nedůvěryhodní vydavatelé

Poměrně specifický význam má složka „Nedůvěryhodní vydavatelé“, zmiňovaná již dříve: umístěním konkrétního certifikátu do této složky se mu vyjadřuje nedůvěra, ve stejném smyslu jako kdyby tento certifikát byl revokován (k okamžiku začátku své platnosti).

Význam složky „Osobní“ je u tohoto systémového úložiště stejný, jako v případě úložiště prohlížeče Firefox: sem se instalují osobní certifikáty i se soukromými klíči, a sem se také „promítají“ vlastní certifikáty a soukromé klíče z případného externího úložiště (na čipové kartě či na USB tokenu).

Velmi významná je u systémového úložiště složka „Důvěryhodné kořenové certifikační autority“, kterou je třeba odlišit od složky „Zprostředkující certifikační autority“. Jde o dvojici složek, která umožňuje zohlednit hierarchii certifikátů, kterou používají některé (ale ne všechny) certifikační autority. Do první z těchto složek patří právě a pouze „kořenové“ certifikáty, neboli takové, které jsou opatřeny vlastním podpisem (jsou „self-signed“). Naproti tomu do druhé složky (“zprostředkující …“) patří takové certifikáty, které mají „nad sebou“ jiné nadřazené certifikáty, kterými jsou podepsány.

Ukažme si to na příkladu CA PostSignum, která používá „dvoupatrovou“ hierarchii svých certifikačních autorit (viz část 1.10.2), a tomu odpovídající „dvoupatrovou“ hierarchii svých certifikátů:

·         na nejvyšší úrovni je „Kořenová certifikační autorita“, a její (kořenový) certifikát je třeba umístit do složky „Důvěryhodné kořenové certifikační autority“ systémového úložiště MS Windows. Od roku 2010 má CA PostSignum dvě takovéto kořenové certifikační autority (QCA a QCA2), a každá z nich má svůj vlastní kořenový certifikát (PostSignum Root QCA a PostSignum Root QCA 2). Rozdíl mezi nimi je mj. v použití různých hašovacích funkcí (SHA-1 vs. SHA-2), a délce klíčů.

·         na nižší úrovni jsou dvě zprostředkující certifikační autority (v terminologii CA PostSignum označované jako „podřízené“), které teprve vydávají certifikáty koncovým zákazníkům: kvalifikovanou certifikační autoritu (PostSignum Qualified CA), která vydává kvalifikované certifikáty, a veřejnou certifikační autoritu (PostSignum Public CA), která vydává komerční certifikáty. Certifikáty těchto zprostředkujících (podřízených) certifikačních autorit se v systémovém úložišti MS Windows umisťují do složky „Zprostředkující certifikační autority“.

Obrázek 5 - 30: Správné zařazení certifikátů CA PostSignum do složek systémového úložiště MS Windows

Poněkud odlišně je tomu v případě I.CA, která nepoužívá hierarchické, ale „ploché“ uspořádání svých jednotlivých certifikačních autorit. Každá z nich tak má svůj vlastní kořenový certifikát (s vlastním podpisem, self-signed), a v systémovém úložišti MS Windows je třeba tyto certifikáty umístit do složky „Důvěryhodné kořenové certifikační autority“.

Obrázek 5 - 31: Zařazení certifikátů I. CA do složek systémového úložiště MS Windows

Jak záhy uvidíme, obě popisované složky („Důvěryhodné kořenové certifikační autority“ a „Zprostředkující certifikační autority“) se určitým způsobem účastní i na automatickém načítání certifikátů. To je společně odlišuje od poslední dosud nepopisované složky „Důvěryhodní vydavatelé“. Do ní by měly být umisťovány certifikáty těch vydavatelů (certifikačních autorit), kterým chceme důvěřovat, ale současně se neúčastní (resp. nemají účastnit) automatického načítání certifikátů.

Pro instalování certifikátů do systémového úložiště MS Windows má uživatel k dispozici průvodce, který nabízí, že za něj vybere správnou složku a do ní certifikát umístí.

V případě kořenových certifikátů tuzemských akreditovaných certifikačních autorit se ale tento průvodce (hlavně na vyšších verzích MS Windows, jako je Vista a 7) někdy plete a kořenové certifikáty místo do správné složky („Důvěryhodné kořenové certifikační autority“) umisťuje nesprávně do složky („Zprostředkující certifikační autority“).