5.5        Správa vlastních certifikátů

Vlastní certifikáty se od certifikátů třetích stran liší ve dvou zásadních aspektech. Prvním z nich je účel, kterému slouží: certifikáty třetích stran používáme při vyhodnocování platnosti „cizích“ elektronických podpisů, značek či časových razítek. Naproti tomu vlastní certifikáty nám umožňují vytvářet naše vlastní elektronické podpisy.

Dalším zásadním rozdílem je držení soukromého klíče: vlastní certifikáty jsou nám užitečné pouze tehdy, pokud k nim máme odpovídající soukromý klíč. Naopak od certifikátu třetí strany soukromý klíč nemáme a mít ani nemůžeme (protože nám ho ona třetí strana nesmí dát).

Z těchto zásadních rozdílů pak vyplývají i odlišnosti ve správě vlastních certifikátů a certifikátů třetích stran. Na jednu z těchto odlišností jsme přitom již narazili v úvodu této kapitoly: certifikáty třetích stran, které jsou plně veřejné, nemusíme chránit proti okopírování (zajišťovat jejich důvěrnost). A tak si je můžeme uchovávat v kterémkoli úložišti. Obvykle v tom, jehož používání je pro nás nejjednodušší.

Naproti tomu vlastní certifikáty, pokud je chceme využít pro vytváření vlastních podpisů, musíme uchovávat spolu s odpovídajícími soukromými klíči. A to znamená zajistit, aby si náš soukromý klíč nemohl nikdo okopírovat. Stejně tak bychom ale měli požadovat i spolehlivost a dostupnost uložení soukromého klíče (spolu s certifikátem), tak abychom o něj nepřišli a mohli jej využívat. Třeba i po přechodu na nový počítač, po havárii pevného disku atd.

V praxi by to mělo být tak, že své vlastní certifikáty (a jim odpovídající soukromé klíče) si uchováváme nejlépe na externích úložištích typu čipových karet či USB tokenů. Po technické stránce je samozřejmě možné je uchovávat i v interních úložištích, jako například v systémovém úložišti operačního systému MS Windows. Je to asi nejjednodušší, a také nejlevnější řešení. Z hlediska bezpečnosti by to ale mělo být jen nouzovým řešením. Stejně tak z ryze praktického hlediska: když nám například zhavaruje pevný disk, přijdeme o certifikáty a soukromé klíče, uložené v systémovém úložišti.

Pojďme si nyní podrobněji rozebrat postup při získávání nového (osobního) certifikátu.