Prodlužujeme certifikáty, nejen, pro CzechPOINT

Většina certifikátu vydaných tuzemskými certifikačními autoritami má platnost 12 měsíců. Poté expirují neboli jim skončí platnost a nelze je dále používat k zamýšleným účelům – v případě Czech POINTu k přihlašování se a podepisování. Článek popisuje možnosti prodloužení certifikátů.

Existují dvě metody, jak certifikát prodloužit. Každá metoda má své výhody a nevýhody, ovšem i svoji spolehlivost. Proto v případě dvou certifikátů, což je případ Czech POINTu, rozhodně doporučuji metodu číslo 2.

1. Metoda bez návštěvy pošty

Tato metoda využívá pro odeslání vygenerovaných žádostí a klíčů elektronické pošty, což může být výhoda, protože se nemusí osobně na poštu. Má to ale několik podmínek:

  • Certifikáty musí být při generování platné, hlavně proto, abychom jimi mohly podepsat email.
  • Prodlužujeme-li certifikáty pro Czech POINT, musíme generovat QCA a VCA zvlášť.
  • Vygenerovaná žádost se musí uložit do souboru. Pře generování jsou volby do souboru nebo přímo na Postsignum.
  • Email uvedený v certifikátu musí být shodný s vaším emailem. Pokud není, nelze podepsat.
  • Email, který odešleme musí obsahovat soubor s žádosti a musí být podepsaný certifikátem, který chceme prodloužit. A to konkrétně QCA nebo VCA, ale ne naopak! A toto bývá častý problém, protože třeba v Outolook Expresu není moc zřejmé, čím se podepisuje.

U této metody je velký problém podepsání emailu, protože ne vždy se nám podepíše správným certifikátem QCA/VCA. Z vlastní zkušenosti tuto metodu nedoporučují pro více certifikátů. U jednoho problém není. Podepíšeme-li špatným certifikátem, dozvíme se z emailu, ale třeba až druhý den. Pokud prodloužení dělám jako službu, je tato metoda kritická.

2. Metoda s návštěvou pošty

Smíříme-li se s osobní návštěvou pošty, je tato metoda ideální. Žádosti generuji jednoduše obě současně. Podmínky nejsou v podstatě žádné. Certifikáty mohou být klidně expirované, nic se nepodepisuje, ani nemusím mít přístup k emailu. Žádosti se odesílají přímo na web Postsignum.

Instalace certifikátu

Vygenerování certifikátu nám certifikační autorita oznámí emailem „Upozornění na připravený certifikát“. V emailu je odkaz na stažení certifikátu. Zvláštní pozornost věnujte tlačítkům přijmout/odmítnout! Pokud odmítnete, celý postup děláte znovu!

Po přijmutí certifikátu je možné jej stáhnout, včetně protokolu o vydání. Stažený soubor je třeba nainstalovat na token.

Postup je třeba opakovat pro všechny certifikáty QCA i VCA.

Přiřazení certifikátů v Czech POINT

Ještě zbývá přiřadit nové certifikáty uživateli. Každý certifikát má své sériové číslo. To zjistíte buď z žádosti o vydání certifikátu (podepisovali jste na poště) nebo ze systému – Internet Explorer/Nástroje/Možnosti/Obsah/Certifikáty/…/Sériové číslo. V systému je sériové číslo uvedeno v šestnáctkové soustavě, na žádosti v desítkové. Budeme ho potřebovat v desítkové. Převod zvládne kalkulačka (v režimu vědecká – hex/dec) z Windows.

  • Přihlaste se do Administrační konzoly Czech POINT. Použijte adm heslo.
  • Na hlavní stránce uvidíte adresu kontextu. Zkopírujte si do schránky od „users.mojeobec…..“
  • Zvolte Upravit certifikáty.
  • Objeví se pole pro zadání uživatele. Klikněte na ikonu s lupou – hledání.
  • Objeví se selektor objektů, do Hledat v vložte adresu kontextu. Hledat.
  • Zobrazí se uživatelé, jednoho zvolte.
  • Do pole se zadávají informace o certifikátech ve tvaru 123456@postsignum#Q a 654321@postsignum#V. Je to tedy sériové číslo certifikátu, symbol zavináče (at), název certifikační autority, symbol mřížky (hash) a písmeno označující typ certifikátu (Q kvalifikovaný, V komerční). Řetězec zadejte podle konkrétního certifikátu.
  • Zaškrtněte pole, že údaje jsou správné.

Jsou-li certifikáty zadány správně ověříte dvěma úkony: VCA – stačí se přihlásit do Czech POINTu. QCA – poznáte až při podepisování, můžete udělat třeba výpis z rejstříku trestu. Ale to až později. Nyní ještě nemáme vše potřebné.