Certifikáty TCS-P pro vnitřní oběh dokumentů

Z HelpDesk

Úvod

Certifikáty TCS-P jsou osobní certifikáty vydávané všeobecně uznávanou certifikační autoritou pro účely identifikace akademických uživatelů. Certifikáty jsou vydávány zaměstnancům ZČU zdarma v rámci členství ve sdružení CESNET. TCS-P certifikáty vydává certifikační autorita Sectigo jejíž kořenové certifikáty jsou součástí všech běžných operačních systémů a webových prohlížečů.

Získání certifikátu TCS-P

Certifikát může získat student nebo zaměstnanec ZČU na základě řádného ověření pomocí jména a hesla v systému jednotného přihlášení. Jeden uživatel může získat i několik certifikátů (např. pro každé své zařízení).

Pro nakládání s certifikátem je nutné dodržovat obecné zásady bezpečnosti a práce s citlivými daty. Zejména pak následující pravidla:

  • Certifikát musí být uložený tak aby k němu měl přístup pouze jeho držitel (např. osobní účet chráněný heslem)
  • Certifikát uložený v souboru musí být chráněný dostatečně silným heslem
  • Při uložení certifikátu v systémovém úložišti musí být označen jako neexportovatelný se silnou ochranou, tak aby každé použití certifikátu vyžadovalo dodatečné schválení

Důležité upozornění: Pokud si vydáváte certifikát TCS opakovaně, je nutné nově vydaný certifikát přenést do všech počítačů kde budete chtít podepisovat. Starší certifikáty budou zneplatněny. Platné jsou pouze poslední dva vydané certifikáty

Získaný certifikát v souboru usercert.p12 přeneste na druhý počítač a tam jej importujte dle návodu Import certifikátu do systémového úložiště. Staré certifikáty z úložiště odstraňte, abyste je nepoužili omylem.


Vydání certifikátu na váš počítač

Otevřete prohlížeč Firefox a přihlašte se na stránku https://tcs.cesnet.cz/clientrequestform . Prohlížeč Internet Explorer je již příliš zastaralý a není pro tuto funkci podporován, ostatní nové prohlížeče jako Edge, nebo Google Chrome lze s úspěchem také využít. V seznamu institucí vyberte "Západočeská univerzita" a budete vyzváni k zadání jména a hesla, bez ohledu na to zda jste již přihlášeni k jednotnému přihlášení. Títo opatřením si systém ověřuje, že za klávesnicí sedí právě majitel účtu a zná správné heslo. Překontrolujte si, že vaše emailová adresa je správná a klikněte na tlačítko "Vydat certifikát".

Ověření emailové adresy

V tomto okamžiku se spustí generování klíčového páru na straně prohlížeče. Pokud vše dopadne dobře certifikát se vygeneruje a je připraven k exportu. Nyní je nutné si vymyslet dostatečně kvalitní heslo, kterým bude chráněn soubor s certifikátem na vašem počítači. Heslo pro zašifrování vyplňte 2x do formuláře a po stisku tlačítka nastavit "Nastavit" budete vyzváni k uložení souboru.

Vytváření žádosti v prohlížeči

Soubor uložte na bezpečné místo např. na flash disk který budete mít bezpečně uložen. Heslo k certifikátu si zapamatujte, budete ho ještě potřebovat. Pokud heslo zapomenete, musíte si vygenerovat certifikát celý znova.

Uložení certifikátu

Nyní máte certifikát vygenerován a připraven k použití. Aby bylo možné certifikát používat je třeba jej nainstalovat do všech počítačů kde jej budete chtít použít dle postupu uvedeného dále. Tyto certifikáty jsou vhodné také pro podpis pošty, pak je nutné je nainstalovat současně do vašeho poštovního klienta.



Import certifikátu do systémového úložiště

Operační systém Windows umí pracovat pouze s certifikáty uloženými v systémovém úložišti. Certifikát vygenerovaný dle předchozího postupu máte zatím v souboru (chráněný heslem) a je třeba jej uložit do systémového úložiště. Při importu je nutné nastavit bezpečnou ochranu certifikátu, tak aby nebylo možné jej jednoduše zneužít.

Ve vašem počítači nejděte uložený soubor usercert.p12 a poklikejte na něj, tím otevřete dialog importu certifikátu. Ponechte volbu "Aktuální uživatel", která zařídí, že certifikát bude přístupný pouze pod právě přihlášeným uživatelským účtem.

Aktuální uživatel


Další volbu pouze přeskočte.

Import certifikátu

V následujícím kroku je třeba vyplnit heslo k certifikátu které jste zadali při generování certifikátu. Také je nutné zaškrtnout volbu Povolit silnou ochranu privátního klíče ... Tato volba, spolu s nezaškrtnutou možností Označit klíč jako exportovatelný tvoří důležitou ochranu vašeho certifikátu. Při každém použití certifikátu budete systémem upozorněni a nemůže dojít ke zneužití podpisu na pozadí.

Ochrana privátního klíče

Ponechte defaultní volbu "Automaticky vybrat úložiště ..." a pokračujete dalším krokem.

Ochrana privátního klíče

Po stisknutí tlačítkla "Dokončit" systém bude provádět privátního klíče a certifikátu do systémového úložiště.

Dokončení importu

V následujícím kroku můžete ponechat volby tak jak jsou a dokončit import stisknutím tlačítka "OK". Pokud na vašem počítači občas pracuje i někdo jiný doporučuji kliknout na volbu "Nastavit úroveň zabezpečení" a zvolit vysokou úrověň. Budete vyzváni k zadání hesla, které bude vyžadováno při každém podpisu (obdoba kódu PIN).

Import a ochrana privátního klíče

Pokud uvidíte následující box, je vše v pořádku a váš certifikát byl úspěšně uložen do systémového úložiště.

Dokončení


FAQ: Otázky a odpovědi

  • Proč je můj podpis nedůvěryhodný v Adobe Acrobatu?

Adobe Acrobat používá vlastní seznam důvěryhodných certifikátů. Standardně jsou na něm pouze kvalifikované certifikační úřady. Důvěru pro certifikáty TCS je nutné zapnout. Návod na to je uveden v sekci Elektronické podpisy v Acrobat Readeru - TCS-P#Co dělat pokud je podpis neplatný.

  • Používám i druhý počítač, jak do něj přidat elektronický podpis?

Důležité je používat na všech počítačích stejný certifikát pro el. podpis. Pokud podle návodu výše získáte certifikát v souboru usercert.p12, přeneste si jej i na druhý počítač a opakujte postup Certifikáty TCS-P pro vnitřní oběh dokumentů#Import certifikátu do systémového úložiště. Tím budete mít na všech počítačích stejný certifikát.

  • Jak dlouho certifikát platí?

Certifikát je vydáván na 3 roky. Uživatel může mít současně vydány pouze 2 platné certifikáty (starší jsou automaticky revokovány).

  • Certifikát už jsem měl, ale neznám k němu heslo.

Nevadí můžete získat certifikát nový přesně podle návodu z této stránky. Důležité je, abyste používal pouze ten nový.

  • Co mám dělat, pokud se blíží konec platnosti certifikátu? Jak si certifikát prodloužit?

Standardním způsobem si vydejte nový certifikát, který bude mít novou platnost. Nezapomeňte nový certifikát nahrát i na ostatní své zařizení, abyste používal pouze ten nový.

  • Co mám dělat, pokud mi přišel email se subj. "Expirace certifikátu Jmeno Prijmeni (TCS3) "?
 Vážený uživateli

Vašemu certifikátu vydanému v rámci služby TCS3
s předmětem: /postalCode=30100/O=Západočeská univerzita v Plzni/street=Univerzitni 2732/8/ST=Plzeňský kraj/L=Plzeň 3, Jižní Předměstí/C=CZ/CN=XXXXXXXXXXXXXXX /emailAddress=XXXXXXXXXXXXXX
a sériovým číslem: 5E:XX:XX:XX:XX:XX

vyprší platnost dne 24.04.2024 v 01:59 hodin.
....

S pozdravem
Certifikační úřad CESNET CA

Tuto informaci posílá automaticky správce služby. Pokud již certifikát nepotřebujete můžete tento mail ignorovat. Pokud certifikát i nadále používáte pro vnitřní oběh dokumentů zkontrolujte si jeho platnost a případně standardním způsobem si vydejte nový (dle tohoto návodu).

English Instructions

For instructions in English, please see the https://pki.cesnet.cz/en/tcs-personal-user.html