Spouštíme Czech POINT

Naše obec obdržela dopis s přihlašovacími údaji pro Czech POINT. K tomu, abychom službu mohli používat nás čeká ještě poměrně náročná řada úkolů. Článek popisuje kroky nutné pro spuštění Czech POINTu.

Obraťte se na specialisty

Před tím, než se rozhodnete dělat něco sami, bych rád důrazně doporučil obrátit se na specialisty. Implementace Czech POINTu není zcela triviální a může potrápit i poměrně zkušeného IT specialistu, pokud nemá z Czech POINTem zkušenosti. Je zde několik míst, kde laik může napáchat více škody než užitku. Budete-li vše dělat sami, zabere vám to spoustu zjišťování, studování a trápení. Specialista se zkušenostmi zvládne kompletní rozchození zhruba za dvě hodinové návštěvy. Dále je třeba počítat s nějakým časem na zaškolení.

Doporučit mohu specialistu, který se implementací Czech POINTu zabývá. Jsou to např. většina firem dodávající software pro veřejnou správu – Triada, Gordic, Alis nebo třeba Česká informatika.

Implementace svépomocí

Pustíte-li se do implementace sami, je třeba vyřešit tyto úkoly. Doporučuji je provést v tomto pořadí. Řadu informací a postup instalace naleznete na stánkách Postsignum věnující se pojektu Czech POINT.

1. Přihlašovací údaje

Přihlašovací údaje pro Czech POINT jste pravděpodobně obdrželi dopisem od Ministerstva vnitra, které je správce  Czech POINTu. Pokud údaje nemáte, kontaktujte proto MVČR.

Přihlašovací jméno má tvar „adm_mojeobec“. Lze je použít pro přihlášení do administrace Czech POINTu a portál územních samospráv ePusa.

2. Tokeny

Token je zařízení, které vypadá jako obyčejná USB flashka (ale není to flashka, nelze použít k ukládání dat!). Zapojuje se do USB portu. Slouží pro uložení certifikátů, podobně jako čipová karta pro banku. Token vyžaduje ovladače, které se instalují z CD.

Token lze objednat na speciálních stránkách Postsignum (certifikační autorita České pošty) určené pro projekt Czech POINT. Cena tokenu je 1520 Kč. Součástí objednávky je CD se softwarem a licence k jeho používání.

Vlastní token potřebuje každý uživatel Czech POINTu. Bude-li Czech POINT používat starosta a účetní, jsou tedy třeba dva tokeny. Není problém pořídit token jeden a pozdejí dokoupit další.

Když nám tokeny přijdou, rozbalíme obálku a nejprve nainstalujeme z CD ovladače. Potom restartujeme PC. Vložíme token, nainstaluje se. Správnou funkci poznáme tak, že v system trayi vedle hodin uvidíme ikonu tokenu. Není-li funkční nebo vložen, je ikona přeškrtnutá.

Dále je třeba provést inicializaci tokenu, tzn. nastavení PINu a PUKu, což jsou hesla pro jeho použití a odblokování. Zadáme-li pětkrát špatně PIN, token se zablokuje. Poté je možné jej šestkrát odblokovat. Inicializaci provedeme utilitkou, kterou nalezneme v Start/Všechny programy/Safenet/Inicializace tokenu. Doporučuji vytvořit soubor Dokumenty/Internet/CzechPOINT.txt a tam všechna hesla, PINy, PUKy, uživatel apod. uložit!

3. Certifikáty

Certifikáty, neboli elektronický podpis, se v Czech POINT používají dva a ke dvěma účelům. Komerční certifikát VCA se vyžívá k přihlašování. Kvalifikovaný certifikát QCA se využívá k podepisování. Cena jednoho certifikátu je 190 Kč, pro jednu osobu ted 380 Kč. Platnost certifikátu je 12 měsíců.

Získání certifikátů se skládá z následujících kroků:

  • Příprava počítače – Instalace všech aktualizací. Nově vydávané certifikáty s algoritmem SHA-2 vyžadují u Windows XP Service Pack 3.
  • Instalace kořenových certifikátů Postsignum. K dispozici je instalační balíček, který nainstaluje vše sám. Je to instalace kořenového certifikátu Postsignum Root 2 a podřízených autorit VCA a QCA. Při ruční instalaci na Windows Vista a 7 je třeba instalovat do správných úložišt – root do důvěryhodné a QCA/VCA do zprostředkující certifikační autority.
  • Smlouvy o poskytování certifikačních služeb. Jsou třeba tři dokumenty: Smlouva (objednavka.doc), Úvodní list (sz_uvodni_list.doc) a Příloha se seznamem žadatelů (sz_ca_dual.doc). Soubory vždy stahujte z webu – mohou se časem měnit. Dokumenty pečlivě vyplňte a dvakrát vytiskněte. Ušetříte si tím čas na poště.
  • Generování klíčů. Certifikát se skládá ze dvou klíčů – soukromého, je umístěn na tokenu při generování klíčů a veřejného, který vygeneruje certifikační autorita Postsignum při osobní návštěvě pošty. Před generováním je třeba mít připojen token. Generování pro Czech POINT generuje vždy oba klíče, tj. QCA i VCA zároveň. Po generování zobrazí dvě ID žádosti, pod kterými jsou žádosti uloženy v systému Postsignum. Doporučuji vytisknout. V certifikátů se uvádí email. Pokud chcete využívat kvalifikovaný certifikát k podepisování emailů, musí se email v certifikátu shodovat s vaší skutečnou emailovou adresou!
  • Návštěva České pošty. Před návštěvou pošty je vhodné si domluvit termín. Jednak abyste dlouho nečekali, ale také je třeba, aby na poště byl přítomen pracovník, který umí s certifikáty pracovat. Doporučuji okresní nebo větší pošty. Můžete se však zeptat i na lokálních. Na poštu si vezměte: doklady totožnosti, doklad o organizaci (např. zřizovaci listinu), doklady o vaší funkci (dekret, jmenovací listinu, usnesení o jmenování), razítko a všechny připravené dokumenty. Nemusíte mít flashku a pokud ji někdo neznalý bude vyžadovat, tak trvejte na tom, že žádosti jsou u nich v systému! Návštěva pošty by neměla trvat více než hodinu a musí ji absolovovat každý uživatel, který chce certifikáty, tedy nejen starosta (a ten musí, ten jediný může podepsat smlouvu).
  • Instalace certifikátů na token. Instalaci provádějte na stejném počítači, kde jste generovali klíče. Pro jistotu doporučuji před zahájením instalace token vyjmout a hned zasunout. Instalaci lze provest buď pomocí sériového čísla (bude na dokumentu z pošty, často dopsané tužkou) nebo importem klíče, který si můžete stáhnout z webu Postsignum. Odkazy naleznete v emailech, které přijdou po návratu z pošty. Pro každého uživatele, tedy na každý token, se instalují dva certifikáty – QCA a VCA. Zda je certifikát správně nainstalován ověřite kliknutím pravým tlačítkem na ikonu tokenu vedle hodin a zvolením certificate information. Zobrazí se okno se seznamem certifikátů na tokenu. I certifikátu by mělo bý zorazeno „valid“.

4. Administrace uživatelů na ePusa

Uživatelé pro Czech POINT se nyní administrují na portále ePusa. Pro přihlášení použijte adm heslo pro Czech POINT. Pokud se přihlašujete poprvé, budete vyzvání k doplnění údajů o správci/gestorovi dat – jméno, email, telefon.

V menu zvolte kontaktní údaje. Je možné, že potřebné uživatele již v seznamu uvidíte. Potom je upravte tak, že jim zapnete účet v Czech POINT, nastavíte jméno (doporučuji ve tvaru jmeno.prijmeni) a heslo (malá, velká písmena, čísla a rozmná delka). Dále je možno zapnout Czech POINT@office a agendy matriky a ohlašovny. Zapněte kompetentním uživatelů. Pokud uživatel v seznamu není, přidejte nového.

Pokud jste na ePuse přihlášení poprvé, rozhodně doporučuji zkontrolovat, opravit a doplnit všechny údaje.

V menu Czech POINT si ještě doplňte místo, kde se dělají výpisy, tj. „V Mojí obci“ a složku, kam se budo výpisy ukládat. Doporučuji c:\czechpoint. Tuto složku si zároveň v počítači vytvořte.

5. Přiřazení certifikátů

Do Czech POINTu se sice přihlašujete jménem a heslem, ale k tomu ještě i certifikátem (uloženém na tokenu). Proto je třeba uživateli přiřadit certifikáty. Každý certifikát má své sériové číslo. To zjistíte buď z žádosti o vydání certifikátu (podepisovali jste na poště) nebo ze systému – Internet Explorer/Nástroje/Možnosti/Obsah/Certifikáty/…/Sériové číslo. V systému je sériové číslo uvedeno v šestnáctkové soustavě, na žádosti v desítkové. Budeme ho potřebovat v desítkové. Převod zvládne kalkulačka (v režimu vědecká – hex/dec) z Windows.

  • Přihlaste se do Administrační konzoly Czech POINT. Opět použijte adm heslo.
  • Na hlavní stránce uvidíte adresu kontextu. Zkopírujte si do schránky od „users.mojeobec…..“
  • Zvolte Upravit certifikáty.
  • Objeví se pole pro zadání uživatele. Klikněte na ikonu s lupou – hledání.
  • Objeví se selektor objektů, do Hledat v vložte adresu kontextu. Hledat.
  • Zobrazí se uživatelé, jednoho zvolte.
  • Do pole se zadávají informace o certifikátech ve tvaru 123456@postsignum#Q a 654321@postsignum#V. Je to tedy sériové číslo certifikátu, symbol zavináče (at), název certifikační autority, symbol mřížky (hash) a písmeno označující typ certifikátu (Q kvalifikovaný, V komerční). Řetězec zadejte podle konkrétního certifikátu.
  • Zaškrtněte pole, že údaje jsou správné.

Jsou-li certifikáty zadány správně ověříte dvěma úkony: VCA – stačí se přihlásit do Czech POINTu. QCA – poznáte až při podepisování, můžete udělat třeba výpis z rejstříku trestu. Ale to až později. Nyní ještě nemáme vše potřebné.

6. Instalace 602 XML Filler

Rozhraní Czech POINTu funguje jako rozcestník, který nabízí formuláře pro konkrétní agendy. Pro zpracovní formulářu se používá aplikace 602 XML Filler. Formulář již potom komunikuje se systémem, který obsluhuje danou agendu. Proto si program nainstalujte.

7. První přihlášení

Pro snadný přístup do Czech POINTu doporučuji udělat na ploše zástupce, který vede na adresu https://www.czechpoint.cz. Před kliknutím na tuto ikonu je potřeba mít vložen token a doporučuji zavřít Internet Explorer (kvůli výběru certifikátů). Jako prohlížeč internetu musíte používat Internet Explorer. S jiným prohlížečem budete mít problémy.

Přihlášení funguje takto:

  • Kliknutí na ikonu Czech POINT nebo přechod na adresu https://www.czechpoint.cz (je tam https!).
  • Výběr certifikátu. Máte-li více certifikátů, je třeba vybrat ten, který máte nastaven v Czech POINTu.
  • Zadání jména a hesla.
  • Kontrola zda uživatel „pepa.novak“ má certifikát se sériovým číslem 123456.
  • Pokud je vše ok, jsme přihlášeni.
  • Můžete zkusit udělat třeba výpis z RT nebo ŽR.

8. Smlouva s katastrem

Abyste mohli dělat ověřené výpisy z katastru, je třeba mít smlouvu s katastrálním úřadem. Ten vám přidělí přístupové údaje ve tvaru oumojeobec_cp. Ty se potom musejí nastavit v Czech POINT. To se provádí na adrese https://www.czechpoint.cz/czechpoint/spravceskupiny

Platnost hesla je 6 měsíců.