Certifikáty TCS-P pro vnitřní oběh dokumentů
Úvod
Certifikáty TCS-P jsou osobní certifikáty vydávané všeobecně uznávanou certifikační autoritou pro účely identifikace akademických uživatelů. Certifikáty jsou vydávány zaměstnancům ZČU zdarma v rámci členství ve sdružení CESNET. TCS-P certifikáty vydává certifikační autorita Sectigo jejíž kořenové certifikáty jsou součástí všech běžných operačních systémů a webových prohlížečů.
Získání certifikátu TCS-P
Certifikát může získat student nebo zaměstnanec ZČU na základě řádného ověření pomocí jména a hesla v systému jednotného přihlášení. Jeden uživatel může získat i několik certifikátů (např. pro každé své zařízení).
Pro nakládání s certifikátem je nutné dodržovat obecné zásady bezpečnosti a práce s citlivými daty. Zejména pak následující pravidla:
- Certifikát musí být uložený tak aby k němu měl přístup pouze jeho držitel (např. osobní účet chráněný heslem)
- Certifikát uložený v souboru musí být chráněný dostatečně silným heslem
- Při uložení certifikátu v systémovém úložišti musí být označen jako neexportovatelný se silnou ochranou, tak aby každé použití certifikátu vyžadovalo dodatečné schválení
Důležité upozornění: Pokud si vydáváte certifikát TCS opakovaně, je nutné nově vydaný certifikát přenést do všech počítačů kde budete chtít podepisovat. Starší certifikáty budou zneplatněny. Platné jsou pouze poslední dva vydané certifikáty
Získaný certifikát v souboru usercert.p12 přeneste na druhý počítač a tam jej importujte dle návodu Import certifikátu do systémového úložiště. Staré certifikáty z úložiště odstraňte, abyste je nepoužili omylem.
Vydání certifikátu na váš počítač
Otevřete prohlížeč Firefox a přihlašte se na stránku https://tcs.cesnet.cz/clientrequestform . Prohlížeč Internet Explorer je již příliš zastaralý a není pro tuto funkci podporován, ostatní nové prohlížeče jako Edge, nebo Google Chrome lze s úspěchem také využít. V seznamu institucí vyberte "Západočeská univerzita" a budete vyzváni k zadání jména a hesla, bez ohledu na to zda jste již přihlášeni k jednotnému přihlášení. Títo opatřením si systém ověřuje, že za klávesnicí sedí právě majitel účtu a zná správné heslo. Překontrolujte si, že vaše emailová adresa je správná a klikněte na tlačítko "Vydat certifikát".
V tomto okamžiku se spustí generování klíčového páru na straně prohlížeče. Pokud vše dopadne dobře certifikát se vygeneruje a je připraven k exportu. Nyní je nutné si vymyslet dostatečně kvalitní heslo, kterým bude chráněn soubor s certifikátem na vašem počítači. Heslo pro zašifrování vyplňte 2x do formuláře a po stisku tlačítka nastavit "Nastavit" budete vyzváni k uložení souboru.
Soubor uložte na bezpečné místo např. na flash disk který budete mít bezpečně uložen. Heslo k certifikátu si zapamatujte, budete ho ještě potřebovat. Pokud heslo zapomenete, musíte si vygenerovat certifikát celý znova.
Nyní máte certifikát vygenerován a připraven k použití. Aby bylo možné certifikát používat je třeba jej nainstalovat do všech počítačů kde jej budete chtít použít dle postupu uvedeného dále. Tyto certifikáty jsou vhodné také pro podpis pošty, pak je nutné je nainstalovat současně do vašeho poštovního klienta.
Import certifikátu do systémového úložiště
Operační systém Windows umí pracovat pouze s certifikáty uloženými v systémovém úložišti. Certifikát vygenerovaný dle předchozího postupu máte zatím v souboru (chráněný heslem) a je třeba jej uložit do systémového úložiště. Při importu je nutné nastavit bezpečnou ochranu certifikátu, tak aby nebylo možné jej jednoduše zneužít.
Ve vašem počítači nejděte uložený soubor usercert.p12 a poklikejte na něj, tím otevřete dialog importu certifikátu. Ponechte volbu "Aktuální uživatel", která zařídí, že certifikát bude přístupný pouze pod právě přihlášeným uživatelským účtem.
Další volbu pouze přeskočte.
V následujícím kroku je třeba vyplnit heslo k certifikátu které jste zadali při generování certifikátu. Také je nutné zaškrtnout volbu Povolit silnou ochranu privátního klíče ... Tato volba, spolu s nezaškrtnutou možností Označit klíč jako exportovatelný tvoří důležitou ochranu vašeho certifikátu. Při každém použití certifikátu budete systémem upozorněni a nemůže dojít ke zneužití podpisu na pozadí.
Ponechte defaultní volbu "Automaticky vybrat úložiště ..." a pokračujete dalším krokem.
Po stisknutí tlačítkla "Dokončit" systém bude provádět privátního klíče a certifikátu do systémového úložiště.
V následujícím kroku můžete ponechat volby tak jak jsou a dokončit import stisknutím tlačítka "OK". Pokud na vašem počítači občas pracuje i někdo jiný doporučuji kliknout na volbu "Nastavit úroveň zabezpečení" a zvolit vysokou úrověň. Budete vyzváni k zadání hesla, které bude vyžadováno při každém podpisu (obdoba kódu PIN).
Pokud uvidíte následující box, je vše v pořádku a váš certifikát byl úspěšně uložen do systémového úložiště.
FAQ: Otázky a odpovědi
- Proč je můj podpis nedůvěryhodný v Adobe Acrobatu?
Adobe Acrobat používá vlastní seznam důvěryhodných certifikátů. Standardně jsou na něm pouze kvalifikované certifikační úřady. Důvěru pro certifikáty TCS je nutné zapnout. Návod na to je uveden v sekci Elektronické podpisy v Acrobat Readeru - TCS-P#Co dělat pokud je podpis neplatný.
- Používám i druhý počítač, jak do něj přidat elektronický podpis?
Důležité je používat na všech počítačích stejný certifikát pro el. podpis. Pokud podle návodu výše získáte certifikát v souboru usercert.p12, přeneste si jej i na druhý počítač a opakujte postup Certifikáty TCS-P pro vnitřní oběh dokumentů#Import certifikátu do systémového úložiště. Tím budete mít na všech počítačích stejný certifikát.
- Jak dlouho certifikát platí?
Certifikát je vydáván na 3 roky. Uživatel může mít současně vydány pouze 2 platné certifikáty (starší jsou automaticky revokovány).
- Certifikát už jsem měl, ale neznám k němu heslo.
Nevadí můžete získat certifikát nový přesně podle návodu z této stránky. Důležité je, abyste používal pouze ten nový.
- Co mám dělat, pokud se blíží konec platnosti certifikátu? Jak si certifikát prodloužit?
Standardním způsobem si vydejte nový certifikát, který bude mít novou platnost. Nezapomeňte nový certifikát nahrát i na ostatní své zařizení, abyste používal pouze ten nový.
- Co mám dělat, pokud mi přišel email se subj. "Expirace certifikátu Jmeno Prijmeni (TCS3) "?
Vážený uživateli Vašemu certifikátu vydanému v rámci služby TCS3 s předmětem: /postalCode=30100/O=Západočeská univerzita v Plzni/street=Univerzitni 2732/8/ST=Plzeňský kraj/L=Plzeň 3, Jižní Předměstí/C=CZ/CN=XXXXXXXXXXXXXXX /emailAddress=XXXXXXXXXXXXXX a sériovým číslem: 5E:XX:XX:XX:XX:XX vyprší platnost dne 24.04.2024 v 01:59 hodin. .... S pozdravem Certifikační úřad CESNET CA
Tuto informaci posílá automaticky správce služby. Pokud již certifikát nepotřebujete můžete tento mail ignorovat. Pokud certifikát i nadále používáte pro vnitřní oběh dokumentů zkontrolujte si jeho platnost a případně standardním způsobem si vydejte nový (dle tohoto návodu).
English Instructions
For instructions in English, please see the https://pki.cesnet.cz/en/tcs-personal-user.html