Як створювати нові пари ключів

За допомогою пункту меню ФайлСтворити сертифікат... (Ctrl+N) можна відкрити майстер створення пари ключів, який допоможе вам виконати декілька кроків створення запиту на сертифікат.

Після заповнення сторінки майстра належними даним, натисніть кнопку Далі, щоб перейти до наступного кроку (або кнопку Назад, щоб змінити відомості введені на попередніх сторінках). Процес створення запиту на сертифікат можна у будь-який момент перервати натисканням кнопки Скасувати.

На першій сторінці майстра вам слід обрати тип сертифіката, який ви бажаєте створити:

Створити особисту пару ключів OpenPGP

Пари ключів OpenPGP буде створено локально і посвідчено вашими друзями або знайомими. Централізовано гаранта сертифікатів не буде; замість цього кожен користувач створює особисту мережу надійності, посвідчуючи пари ключів інших користувачів своїм власним сертифікатом.

Вам слід ввести Ім’я, Адресу ел. пошти і, за бажання, Коментар.

Створити особисту пару ключів X.509 і запит на посвідчення

Пари ключів X.509 створюються локально, але сертифікуються централізовано службами сертифікації (CA). Служби сертифікації можуть надавати сертифікати іншим службам сертифікації. Таким чином, створюється централізований, ієрархічний ланцюжок надійності.

На наступному кроці роботи майстра вам потрібно буде ввести ваші особисті дані для сертифіката. Серед полів, які вам потрібно буде заповнити:

  • П. І. Б.: ваше ім’я;

  • Адреса ел. пошти: адреса вашої електронної пошти, перевірте правильність введеної інформації, — цю адресу буде використано тими, хто надсилатиме пошту з використанням вашого сертифіката.

  • Адреса: місто або селище, у якому ви мешкаєте;

  • Відділ організації: підрозділ організації, у якій ви працюєте (наприклад «Логістики»);

  • Організація: організація, яку ви представляєте (наприклад компанія, на яку ви працюєте);

  • Код країни: дволітерний код країни, у якій ви мешкаєте (наприклад «UA»);

Наступним кроком у майстрі буде вибір між збереженням сертифіката до файла і безпосереднім надсиланням його до CA. Вам слід буде вказати назву файла або адресу електронної пошти, на яку буде надіслано запит на сертифікацію.

Відкликання ключа

Пару ключів, строк дії якої сплив, можна поновити, якщо у когось є доступ до закритого ключа і він знає пароль. Щоб надійно вилучити непотрібний ключ, вам слід його відкликати. Відкликання виконується додаванням до ключа особливого підпису відкликання.

Цей підпис відкликання зберігатиметься у окремому файлі. Цей файл пізніше можна імпортувати до сховища ключів, а потім долучити до ключа для позначення його як непридатного до використання. Будь ласка, зауважте, що для імпортування цього підпису до ключа не потрібно вказувати пароль. Тому вам слід зберігати підпис відкликання у надійному місці, зазвичай окремо від пари ключів. Варто зберігати такий підпис на портативному пристрої зберігання даних, не з’єднаному з комп’ютером постійно, або просто надрукувати підпис на папері.

У Kleopatra не передбачено функціональної можливості створення такого підпису відкликання у довільний момент часу, але ви зможете це зробити це за допомогою програми KDE KGpg. Просто скористайтеся пунктом КлючіВідкликати ключ і, якщо потрібно, негайно імпортуйте підпис відкликання до вашого сховища ключів.

Ще одним способом створення сертифіката відкликання є використання GPG безпосередньо з командного рядка: gpg --output сертифікат_відкликання.asc --gen-revoke ваш_ключ. Аргументом ваш_ключ має бути специфікатор ключа, ідентифікатор вашої основної пари ключів або частина ідентифікатора користувача. Цей ідентифікатор має однозначно визначати вашу пару ключів.