Většina certifikátu vydaných tuzemskými certifikačními autoritami má platnost 12 měsíců. Poté expirují neboli jim skončí platnost a nelze je dále používat k zamýšleným účelům – v případě Czech POINTu k přihlašování se a podepisování. Článek popisuje možnosti prodloužení certifikátů.
TENTO ČLÁNEK JE ZASTARALÝ
Existují dvě metody, jak certifikát prodloužit. Každá metoda má své výhody a nevýhody, ovšem i svoji spolehlivost. Proto v případě dvou certifikátů, což je případ Czech POINTu, rozhodně doporučuji metodu číslo 2.
1. Metoda bez návštěvy pošty
Tato metoda využívá pro odeslání vygenerovaných žádostí a klíčů elektronické pošty, což může být výhoda, protože se nemusí osobně na poštu. Má to ale několik podmínek:
- Certifikáty musí být při generování platné, hlavně proto, abychom jimi mohly podepsat email.
- Prodlužujeme-li certifikáty pro Czech POINT, musíme generovat QCA a VCA zvlášť.
- Vygenerovaná žádost se musí uložit do souboru. Pře generování jsou volby do souboru nebo přímo na Postsignum.
- Email uvedený v certifikátu musí být shodný s vaším emailem. Pokud není, nelze podepsat.
- Email, který odešleme musí obsahovat soubor s žádosti a musí být podepsaný certifikátem, který chceme prodloužit. A to konkrétně QCA nebo VCA, ale ne naopak! A toto bývá častý problém, protože třeba v Outolook Expresu není moc zřejmé, čím se podepisuje.
U této metody je velký problém podepsání emailu, protože ne vždy se nám podepíše správným certifikátem QCA/VCA. Z vlastní zkušenosti tuto metodu nedoporučují pro více certifikátů. U jednoho problém není. Podepíšeme-li špatným certifikátem, dozvíme se z emailu, ale třeba až druhý den. Pokud prodloužení dělám jako službu, je tato metoda kritická.
2. Metoda s návštěvou pošty
Smíříme-li se s osobní návštěvou pošty, je tato metoda ideální. Žádosti generuji jednoduše obě současně. Podmínky nejsou v podstatě žádné. Certifikáty mohou být klidně expirované, nic se nepodepisuje, ani nemusím mít přístup k emailu. Žádosti se odesílají přímo na web Postsignum.
Instalace certifikátu
Vygenerování certifikátu nám certifikační autorita oznámí emailem „Upozornění na připravený certifikát“. V emailu je odkaz na stažení certifikátu. Zvláštní pozornost věnujte tlačítkům přijmout/odmítnout! Pokud odmítnete, celý postup děláte znovu!
Po přijmutí certifikátu je možné jej stáhnout, včetně protokolu o vydání. Stažený soubor je třeba nainstalovat na token.
Postup je třeba opakovat pro všechny certifikáty QCA i VCA.
Přiřazení certifikátů v Czech POINT
Ještě zbývá přiřadit nové certifikáty uživateli. Každý certifikát má své sériové číslo. To zjistíte buď z žádosti o vydání certifikátu (podepisovali jste na poště) nebo ze systému – Internet Explorer/Nástroje/Možnosti/Obsah/Certifikáty/…/Sériové číslo. V systému je sériové číslo uvedeno v šestnáctkové soustavě, na žádosti v desítkové. Budeme ho potřebovat v desítkové. Převod zvládne kalkulačka (v režimu vědecká – hex/dec) z Windows.
- Přihlaste se do Administrační konzoly Czech POINT. Použijte adm heslo.
- Na hlavní stránce uvidíte adresu kontextu. Zkopírujte si do schránky od „users.mojeobec…..“
- Zvolte Upravit certifikáty.
- Objeví se pole pro zadání uživatele. Klikněte na ikonu s lupou – hledání.
- Objeví se selektor objektů, do Hledat v vložte adresu kontextu. Hledat.
- Zobrazí se uživatelé, jednoho zvolte.
- Do pole se zadávají informace o certifikátech ve tvaru 123456@postsignum#Q a 654321@postsignum#V. Je to tedy sériové číslo certifikátu, symbol zavináče (at), název certifikační autority, symbol mřížky (hash) a písmeno označující typ certifikátu (Q kvalifikovaný, V komerční). Řetězec zadejte podle konkrétního certifikátu.
- Zaškrtněte pole, že údaje jsou správné.
Jsou-li certifikáty zadány správně ověříte dvěma úkony: VCA – stačí se přihlásit do Czech POINTu. QCA – poznáte až při podepisování, můžete udělat třeba výpis z rejstříku trestu. Ale to až později. Nyní ještě nemáme vše potřebné.