Osobní certifikáty TCS

Více informací o osobních certifikátech a tom, proč podepisovat elektronickou poštu, naleznete ve stručném shrnutí v článku Elektronická pošta a elektronický podpis nebo v knize J. Peterky: Báječný svět elektronického podpisu: http://bajecnysvet.cz/.

Charakteristika:

• délka klíče: 1024, 2048, nebo 4096 bit (ruční generování žádosti),
• platnost: 1, 2, nebo 3 roky,
• kořenový certifikát: Comodo CA – implicitně důvěřovaný v řadě poštovních klientů,
• pro uživatele organizací zařazených ve federaci identit eduID.cz.

Návod:

Vzhledem k chybě v aplikaci v současné době mohou odvolat (revokovat)
certifikáty pouze správci. V případě potřeby se můžete obrátit se
žádostí na adresu scs@vse.cz.

• Návod

Žádost:

1. Ověření totožnosti uživatele na Helpdesku VŠE
2. Podání žádosti prostřednictvím webového formuláře CESNETu (rozcestník, nápověda, https://tcs.cesnet.cz/clientrequestform/form, žádost):
   • přihlašování účtem VŠE (přes Shibboleth),
   • parametry certifikátu (druh: běžný, žádost: v prohlížeči, klíč: 2048bit, platnost, adresy),
   • instalace certifikátu (důvěra kořenové CA, uložení do prohlížeče).
3.  Záloha certifikátu se silným heslem (ve formátu PKCS\#12).

Doporučení pro kompatibilitu s InSIS:

• při odesílání zpráv preferujte kódování ISO 8859-2 (u uváděných klientů jde o výchozí kódování znaků, pokud jste toto nastavení neměnili, mělo by se použít).

Žádost o osobní certifikát TCS – vydané certifikáty

Vpravo vydaný osobní certifikát, vlevo certifikát nadřazené CA.

 

Žádost o osobní certifikát TCS – záloha certifikátu
Vydaný certifikát uložen v prohlížeči, dále je potřeba certifikát bezpečeně zazálohovat.

Firefox

V aplikaci Firefox vybereme:

1. Hlavní nabídku: Nástroje  → Možnosti → Rozšířené → Certifikáty → Certifikáty → Osobní (1),
2. vybereme certifikát (2)
3. a zvolíme Zálohovat (3).

 

Záloha certifikátu obsahuje tajný klíč, proto je potřeba použít k ochraně silné heslo a zálohu bezpečně uložit.

Microsoft Outlook

Microsoft Outlook – import osobního certifikátu 1

V aplikaci vybereme Nastavení – Možnosti – Centrum zabezpečení (1) – Nastavení Centra zabezpečení (2) – Importovat/exportovat (3). Tlačítkem Procházet (4) vybereme soubor certifikátu, do políčka Heslo (5) zadáme jeho heslo a potvrdíme tlačítkem Ok (6).

Microsoft Outlook – import osobního certifikátu 2

V Centru zabezpečení zkontrolujeme (1), zda je vybraná volba „Přidat digitální podpis do odesílaných zpráv“  a pro vyšší kompatibilitu s webovými klienty také  volba „Při odesílání podepsané zprávy odeslat podepsanou zprávu bez nutnosti ověření “ (ve verzi 2013 označované jako „Odeslat tuto zprávu jako podepsanou bez nutnosti ověření“). Poté   vytvoříme nové nastavení zabezpečení (2), které nějak pojmenujeme (3) a následně vybereme jako výchozí nastavení (4).

Microsoft Outlook – odesílání podepsané zprávy

Při odesílání zprávy informuje zabarvené tlačítko (1), že zpráva bude podepsána.

Microsoft Outlook – zpráva s platným podpisem

Ikona (1) v seznamu doručené pošty oznamuje, že zpráva je podepsaná. Ikona (2) v detailu doručené zprávy oznamuje, že podpis je platný. Po kliknutí na tuto ikonu (2) se zobrazí okno s bližšími informacemi o platnosti podpisu (3) a tlačítkem pro zobrazení podrobností o vyhodnocení platnosti podpisu (4).

Microsoft Outlook – zpráva s neplatným podpisem

Ikona (1) v seznamu doručené pošty oznamuje, že zpráva je podepsaná. Po kliknutí na ikonu či hlášku (2) v detailu doručené zprávy, se zobrazí okno s bližšími informacemi o problémech s ověřením platnosti podpisu (3) a tlačítkem pro zobrazení podrobností o vyhodnocení platnosti podpisu (4). Po výběru položky „Podepsaný“ (5) se zobrazí informace o tom, že zpráva byla změněna – podpis je tedy neplatný (6).

Microsoft Outlook – neznámý podpis a udělení důvěry

Ikona (1) v seznamu doručené pošty oznamuje, že zpráva je podepsaná. Po kliknutí na ikonu či hlášku (2) v detailu doručené zprávy, se zobrazí okno s bližšími informacemi o problémech s ověřením platnosti podpisu a tlačítkem pro zobrazení podrobností o vyhodnocení platnosti podpisu (3). Po výběru položky „Podepsaný“ (4) se zobrazí informace o tom, že že kořenový certifikát není mezi důvěryhodnými – platnost podpisu tedy nelze ověřit (5). Klikutím na tlačítko (6) lze zobrazit deatily kořenového certifikátu (7). Po jeho prozkoumání lze udělit certifikátu důvěru tlačítkem (8).

Mozilla Thunderbird

Mozilla Thunderbird – import osobního certifikátu

Pro import osobního certifikátu v aplikaci vybereme Hlavní menu:  Předvolby → Nastavení účtu → Zabezpečení (1) → Zobrazit certifikáty (2) → Osobní (3) → Importovat (4) a zadáme cestu k záloze osobního certifikátu.

Mozilla Thunderbird – asociace osobního certifikátu

Pro asociaci osobního certifikátu s poštovním účtem v aplikaci vybereme Hlavní menu: Předvolby → Nastavení účtu → Zabezpečení → Vybrat certifikát pro podpis (1). V rozbalovacím menu (2) zvolíme importovaný certifikát a zaškrtneme volbu Elektronicky podepisovat zprávy (3).

Mozilla Thunderbird – odeslání podepsané zprávy

Při odesílání zprávy indikuje ikona (1), že zpráva bude podepsána. Po kliknutí na ni (1) nebo na tlačítko Zabezpečení (2) se zobrazí detailní souhrn (3).

Mozilla Thunderbird – zpráva s platným podpisem

Doručenou zprávu s platným podpisem označuje ikona (1), po kliknutí na ni se zobrazí detaily ověření podpisu (2). Kliknutím na tlačítko Zobrazit certifikát (3) lze zobrazit certifikát podepisující osoby (4) včetně informací o jeho důvěryhodnosti.

Mozilla Thunderbird – zpráva s neplatným podpisem

Doručenou zprávu s neplatným podpisem označuje ikona (1), po kliknutí na ni se zobrazí detaily ověření podpisu (2), v tomto případě oznamující porušení integrity zprávy. Kliknutím na tlačítko Zobrazit certifikát (3) lze zobrazit certifikát podepisující osoby (4) včetně informací o jeho důvěryhodnosti.

Mozilla Thunderbird – zpráva s neznámým podpisem

Doručenou zprávu s neznámou platností podpisu označuje ikona (1), po kliknutí na ni se zobrazí detaily ověření podpisu (2), v tomto případě oznamující, že kořenovému certifikátu dosud nebyla udělena důvěra.
Kliknutím na tlačítko Zobrazit certifikát (3) lze zobrazit certifikát podepisující osoby (4). Popis vydavatele certifikátu (5) odhalí, jaký kořenový certifikát je potřeba.

Mozilla Thunderbird – udělení důvěry kořenovému certifikátu

Kořenový certifikát získáme ze stránek certifikační autority . Pro udělení důvěry kořenovému certifikátu v aplikaci vybereme Hlavní menu: Předvolby → Rozšířené (1) → Certifikáty (2) → Certifikáty (3) → Autority (4) → Importovat (5) a zadáme cestu ke staženému certifikátu.

---