Osobní certifikáty TCS

Více informací o osobních certifikátech a tom, proč podepisovat elektronickou poštu, naleznete ve stručném shrnutí v článku Elektronická pošta a elektronický podpis nebo v knize J. Peterky: Báječný svět elektronického podpisu.

Získání certifikátu

Charakteristika:

  • doba platnosti certifikátu: 2 roky
  • typ certifikátu: RSA 2048
  • důvěryhodná kořenová CA: USERTrust RSA Certification Authority
  • pro uživatele organizací zařazených ve federaci identit eduID.cz.

Žádost:

  1. Ověření identity uživatele. Přijďte na helpdesk v místnosti 22 Sb a obsluze řekněte, že chcete ověřit svoji totožnost pro elektronický podpis. Vezměte si s sebou svoji studentskou (ISIC) nebo zaměstnaneckou kartu a jeden doklad totožnosti (občanský průkaz, řidičský průkaz nebo cestovní pas).
  2. Vydání certifikátu. Podání žádosti je prostřednictvím webového formuláře CESNETu (https://tcs.cesnet.cz/clientrequestform/form, Osobní certifikát):
    • přihlašování účtem VŠE (přes Shibboleth),
    • zvolte e-mailové adresy, které se umístí do certifikátu,
    • zadejte bezpečné heslo (frázové heslo) a stáhne se Vám soubor s privátním klíčem a certifikátem, obvykle usercert.p12
    • privátní klíč (soubor stažený z prohlížeče s privátním klíčem a certifikátem) důrazně doporučujeme zálohovat včetně uchování hesla ve správci hesel.
  3. Instalace privátního klíče a certifikátu. Je vhodné nainstalovat certifikáty do klientů na všech zařízeních, na kterých se vyřizuje pošta.

Podrobný návod se vzhledem obrazovek při vydání certifikátu – návod je obecný pro všechny školy, takže chybí krok návštěvy Helpdesku CI.

Revokace:

Při vydání dalšího certifikátu se automaticky revokuje předchozí certifikát. V případě potřeby se můžete obrátit se
žádostí na adresu scs@vse.cz.

 

Import osobního certifikátu do systému

V systému vyhledáme certmgr (nástroj Certificate Manager) a v sekci Personal zvolíme Importovat, nebo je možné v souborech pravé kliknutí na soubor certifikátu (např. ze zálohovacího média) a dále Instalovat PFX. Spustí se průvodce instalací (zadání hesla, umístění certifikátu), kterou dokončíme.

Takto importovaný certifikát lze snadno využít i v případě přihlašování do VPN.

Microsoft Outlook

Microsoft Outlook – nastavení osobního certifikátu

V Centru zabezpečení (Soubor – Možnosti – Centrum zabezpečení/Trust Center – Email Security) zkontrolujeme, zda je vybraná volba „Přidat digitální podpis do odesílaných zpráv“ a pro vyšší kompatibilitu s webovými klienty také  volba „Při odesílání podepsané zprávy odeslat podepsanou zprávu bez nutnosti ověření“. Výchozí nastavení zde můžeme změnit.

Microsoft Outlook – odesílání podepsané zprávy

Při odesílání zprávy informuje zabarvené tlačítko (1), že zpráva bude podepsána.

Microsoft Outlook – zpráva s platným podpisem

Ikona (1) v seznamu doručené pošty oznamuje, že zpráva je podepsaná. Ikona (2) v detailu doručené zprávy oznamuje, že podpis je platný. Po kliknutí na tuto ikonu (2) se zobrazí okno s bližšími informacemi o platnosti podpisu (3) a tlačítkem pro zobrazení podrobností o vyhodnocení platnosti podpisu (4).

Microsoft Outlook – zpráva s neplatným podpisem

Ikona (1) v seznamu doručené pošty oznamuje, že zpráva je podepsaná. Po kliknutí na ikonu či hlášku (2) v detailu doručené zprávy, se zobrazí okno s bližšími informacemi o problémech s ověřením platnosti podpisu (3) a tlačítkem pro zobrazení podrobností o vyhodnocení platnosti podpisu (4). Po výběru položky „Podepsaný“ (5) se zobrazí informace o tom, že zpráva byla změněna – podpis je tedy neplatný (6).

Microsoft Outlook – odesílání zašifrované zprávy

Jak získat certifikát příjemce:

Abychom mohli odeslat šifrovaný email, musíme získat příjemcův certifikát. Jakmile nám zašle digitálně podepsanou zprávu, přidáme si ho do kontaktů (společně s ním automaticky i jeho certifikát) a jsme připraveni mu poslat zašifrovaný email. Námi odesílaná zpráva bude zašifrována jeho veřejným klíčem (známe z uloženého certifikátu) a on ji může pomocí svého privátního klíče dešifrovat.

 

Microsoft Outlook – iOS

iOS – instalace certifikátu

Otevřeme v aplikaci ve svém mobilním telefonu soubor certifikátu, chráněný heslem (pro import souboru do telefonu je možné si poslat email se zašifrovaným souborem .pfx). Po zadání hesla proběhne instalace.

Takto importovaný certifikát lze snadno využít i v případě přihlašování do VPN.

iOS – nastavení certifikátu

Přejdeme do nastavení a vybereme poštovní účet (Office 356). V sekci zabezpečení můžeme dále spravovat základní nastavení certifikátu (zapnutí S/MIME podepisování/šifrování).

iOS – odesílání zašifrované zprávy

Při odesílání nového emailu, který chceme zašifrovat, zvolíme ve spodní liště 3 tečky → podepsat a šifrovat.

Jak získat certifikát příjemce:

Abychom mohli odeslat šifrovaný email, podobně jak je již výše uvedeno (ukládání kontaktu v desktopové aplikaci), musíme mít nainstalován certifikát příjemce. Jakmile nám tedy zašle podespaný email, klikneme na zelenou „fajfku“ a Instalovat certifikát. Nyní známe jeho veřejný klíč, pomocí kterého zprávu zašifrujeme a příjemce ji poté se svým privátním klíčem dešifruje.

Mozilla Thunderbird

Mozilla Thunderbird – import osobního certifikátu

Pro import osobního certifikátu v aplikaci vybereme Hlavní menu:  Předvolby → Nastavení účtu → Zabezpečení (1) → Zobrazit certifikáty (2) → Osobní (3) → Importovat (4) a zadáme cestu k záloze osobního certifikátu.

Mozilla Thunderbird – asociace osobního certifikátu

Pro asociaci osobního certifikátu s poštovním účtem v aplikaci vybereme Hlavní menu: Předvolby → Nastavení účtu → Zabezpečení → Vybrat certifikát pro podpis (1). V rozbalovacím menu (2) zvolíme importovaný certifikát a zaškrtneme volbu Elektronicky podepisovat zprávy (3).

Mozilla Thunderbird – odeslání podepsané zprávy

Při odesílání zprávy indikuje ikona (1), že zpráva bude podepsána. Po kliknutí na ni (1) nebo na tlačítko Zabezpečení (2) se zobrazí detailní souhrn (3).

Mozilla Thunderbird – zpráva s platným podpisem

Doručenou zprávu s platným podpisem označuje ikona (1), po kliknutí na ni se zobrazí detaily ověření podpisu (2). Kliknutím na tlačítko Zobrazit certifikát (3) lze zobrazit certifikát podepisující osoby (4) včetně informací o jeho důvěryhodnosti.

Mozilla Thunderbird – zpráva s neplatným podpisem

Doručenou zprávu s neplatným podpisem označuje ikona (1), po kliknutí na ni se zobrazí detaily ověření podpisu (2), v tomto případě oznamující porušení integrity zprávy. Kliknutím na tlačítko Zobrazit certifikát (3) lze zobrazit certifikát podepisující osoby (4) včetně informací o jeho důvěryhodnosti.

 

Acrobat Reader – podepisování dokumentu

Přejdeme do záložky v horní liště Nástroje → Certifikáty → Digitálně podepsat.

Vyznačíme pole, do kterého bude vložen podpis a vybereme osobní certifikát, kterým chceme dokument podepsat.

  

 

Kontrolujeme náhled podpisu, máme možnost zamknutí dokumentu → Podepsat.

 

Do dokumentu můžeme vložit také časové razítko. Zvolíme Nástroje → Certifikáty → Časové razítko. Při prvním použití vyskočí dialogové okno, kam zadáme url časového serveru (například bezplatná služba TSA od Cesnetu, FreeTSA nebo jiný bezplatný TSA server) a libovolné jméno. Lze nastavit více serverů a vybrat jeden výchozí.

Při dalším používání můžeme nastavení změnit v Úpravy → Předvolby. V části Podpisy, Přidání časového razítka do dokumentu → Další.

Nástroje → Certifikáty → Časové razítko a uložíme soubor s časovým razítkem.