Certifikáty TCS-P pro vnitřní oběh dokumentů
Úvod
Certifikáty TCS-P jsou osobní certifikáty vydávané všeobecně uznávanou certifikační autoritou pro účely identifikace akademických uživatelů. Certifikáty jsou vydávány zaměstnancům ZČU zdarma v rámci členství ve sdružení CESNET. TCS-P certifikáty vydává certifikační autorita Sectigo jejíž kořenové certifikáty jsou součástí všech běžných operačních systémů a webových prohlížečů.
Získání certifikátu TCS-P
Certifikát může získat student nebo zaměstnanec ZČU na základě řádného ověření pomocí jména a hesla v systému jednotného přihlášení. Jeden uživatel může získat i několik certifikátů (např. pro každé své zařízení).
Pro nakládání s certifikátem je nutné dodržovat obecné zásady bezpečnosti a práce s citlivými daty. Zejména pak následující pravidla:
- Certifikát musí být uložený tak aby k němu měl přístup pouze jeho držitel (např. osobní účet chráněný heslem)
- Certifikát uložený v souboru musí být chráněný dostatečně silným heslem
- Při uložení certifikátu v systémovém úložišti musí být označen jako neexportovatelný se silnou ochranou, tak aby každé použití certifikátu vyžadovalo dodatečné schválení
Vydání certifikátu na váš počítač
Klikněte a přihlašte se na stránku https://tcs.cesnet.cz/clientrequestform/form . V seznamu institucí vyberte "Západočeská univerzita" a budete vyzváni k zadání jména a hesla, bez ohledu na to zda jste již přihlášeni k jednotnému přihlášení. Títo opatřením si systém ověřuje, že za klávesnicí sedí právě majitel účtu a zná správné heslo. Překontrolujte si, že vaše emailová adresa je správná a klikněte na tlačítko "Vydat certifikát".
V tomto okamžiku se spustí generování klíčového páru na straně prohlížeče. Pokud vše dopadne dobře certifikát se vygeneruje a je připraven k exportu. Nyní je nutné si vymyslet dostatečně kvalitní heslo, kterým bude chráněn soubor s certifikátem na vašem počítači. Heslo pro zašifrování vyplňte 2x do formuláře a po stisku tlačítka nastavit "Nastavit" budete vyzváni k uložení souboru.
Soubor uložte na bezpečné místo např. na flash disk který budete mít bezpečně uložen. Heslo k certifikátu si zapamatujte, budete ho ještě potřebovat. Pokud heslo zapomenete, musíte si vygenerovat certifikát celý znova.
Nyní máte certifikát vygenerován a připraven k použití. Aby bylo možné certifikát používat je třeba jej nainstalovat do všech počítačů kde jej budete chtít použít dle postupu uvedeného dále. Tyto certifikáty jsou vhodné také pro podpis pošty, pak je nutné je nainstalovat současně do vašeho poštovního klienta.
Import certifikátu do systémového úložiště
Operační systém Windows umí pracovat pouze s certifikáty uloženými v systémovém úložišti. Certifikát vygenerovaný dle předchozího postupu máte zatím v souboru (chráněný heslem) a je třeba jej uložit do systémového úložiště. Při importu je nutné nastavit bezpečnou ochranu certifikátu, tak aby nebylo možné jej jednoduše zneužít.
Ve vašem počítači nejděte uložený soubor usercert.p12 a poklikejte na něj, tím otevřete dialog importu certifikátu. Ponechte volbu "Aktuální uživatel", která zařídí, že certifikát bude přístupný pouze pod právě přihlášeným uživatelským účtem. Aktuální uživatel
V následujícím kroku je třeba vyplnit heslo k certifikátu které jste zadali při generování certifikátu. Také je nutné zaškrtnout volbu Povolit silnou ochranu privátního klíče ... Tato volba, spolu s nezaškrtnutou možností Označit klíč jako exportovatelný tvoří důležitou ochranu vašeho certifikátu. Při každém použití certifikátu budete systémem upozorněni a nemůže dojít ke zneužití podpisu na pozadí.
Ponechte defaultní volbu "Automaticky vybrat úložiště ..." a pokračujete dalším krokem.
Po stisknutí tlačítkla "Dokončit" systém bude provádět privátního klíče a certifikátu do systémového úložiště.