Osobní certifikáty TCS

Více informací o osobních certifikátech a tom, proč podepisovat elektronickou poštu, naleznete ve stručném shrnutí v článku Elektronická pošta a elektronický podpis nebo v knize J. Peterky: Báječný svět elektronického podpisu.

Získání certifikátu

Charakteristika:

  • doba platnosti certifikátu: 3 roky
  • typ certifikátu: RSA 2048
  • důvěryhodná kořenová CA: USERTrust RSA Certification Authority
  • pro uživatele organizací zařazených ve federaci identit eduID.cz.

Žádost:

  1. Ověření identity uživatele. Přijďte na helpdesk v místnosti 22 Sb a obsluze řekněte, že chcete ověřit svoji totožnost pro elektronický podpis. Vezměte si s sebou svoji studentskou (ISIC) nebo zaměstnaneckou kartu a jeden doklad totožnosti (občanský průkaz, řidičský průkaz nebo cestovní pas).
  2. Vydání certifikátu. Podání žádosti je prostřednictvím webového formuláře CESNETu (https://tcs.cesnet.cz/clientrequestform/form, Osobní certifikát):
    • přihlašování účtem VŠE (přes Shibboleth),
    • zvolte e-mailové adresy, které se umístí do certifikátu,
    • zadejte bezpečné heslo (frázové heslo) a stáhne se Vám soubor s privátním klíčem a certifikátem, obvykle usercert.p12
    • privátní klíč (soubor stažený z prohlížeče s privátním klíčem a certifikátem) důrazně doporučujeme zálohovat včetně uchování hesla ve správci hesel.
  3. Instalace privátního klíče a certifikátu. Je vhodné nainstalovat certifikáty do klientů na všech zařízeních, na kterých se vyřizuje pošta.

Podrobný návod se vzhledem obrazovek při vydání certifikátu – návod je obecný pro všechny školy, takže chybí krok návštěvy Helpdesku CI.

Revokace:

Při vydání dalšího certifikátu se automaticky revokuje předchozí certifikát. V případě potřeby se můžete obrátit se
žádostí na adresu scs@vse.cz.

 

Import osobního certifikátu do systému

V systému vyhledáme certmgr (nástroj Certificate Manager) a v sekci Personal zvolíme Importovat, nebo je možné v souborech pravé kliknutí na soubor certifikátu (např. ze zálohovacího média) a dále Instalovat PFX. Spustí se průvodce instalací (zadání hesla, umístění certifikátu), kterou dokončíme.

Takto importovaný certifikát lze snadno využít i v případě přihlašování do VPN.

Microsoft Outlook

Microsoft Outlook – nastavení osobního certifikátu

V Centru zabezpečení (Soubor – Možnosti – Centrum zabezpečení/Trust Center – Email Security) zkontrolujeme, zda je vybraná volba „Přidat digitální podpis do odesílaných zpráv“ a pro vyšší kompatibilitu s webovými klienty také  volba „Při odesílání podepsané zprávy odeslat podepsanou zprávu bez nutnosti ověření“. V nastavení můžeme výchozí nastavení přejmenovat, případně změnit.

Microsoft Outlook – odesílání podepsané zprávy

Při odesílání zprávy informuje zabarvené tlačítko (1), že zpráva bude podepsána.

Microsoft Outlook – zpráva s platným podpisem

Ikona (1) v seznamu doručené pošty oznamuje, že zpráva je podepsaná. Ikona (2) v detailu doručené zprávy oznamuje, že podpis je platný. Po kliknutí na tuto ikonu (2) se zobrazí okno s bližšími informacemi o platnosti podpisu (3) a tlačítkem pro zobrazení podrobností o vyhodnocení platnosti podpisu (4).

Microsoft Outlook – zpráva s neplatným podpisem

Ikona (1) v seznamu doručené pošty oznamuje, že zpráva je podepsaná. Po kliknutí na ikonu či hlášku (2) v detailu doručené zprávy, se zobrazí okno s bližšími informacemi o problémech s ověřením platnosti podpisu (3) a tlačítkem pro zobrazení podrobností o vyhodnocení platnosti podpisu (4). Po výběru položky „Podepsaný“ (5) se zobrazí informace o tom, že zpráva byla změněna – podpis je tedy neplatný (6).

Microsoft Outlook – odesílání zašifrované zprávy

Jak získat certifikát příjemce:

Abychom mohli příjemci poslat šifrovaný email, musí znát náš veřejný klíč – získat naše digitální ID (stejně tak naopak, v případě obdržení zašifrovaného emailu). Je třeba, abychom příjemci poslali podepsanou zprávu. Uloží si nás do kontaktů, a tím se automaticky uloží také certifikát. Nyní můžeme odeslat šifrovaný email.

 

Microsoft Outlook – iOS

iOS – instalace certifikátu

Otevřeme v aplikaci ve svém mobilním telefonu soubor certifikátu, chráněný heslem (pro import souboru do telefonu je možné si poslat email se zašifrovaným souborem .pfx). Po zadání hesla proběhne instalace.

iOS – nastavení certifikátu

Přejdeme do nastavení a vybereme poštovní účet (Office 356). V sekci zabezpečení můžeme dále spravovat základní nastavení certifikátu (zapnutí S/MIME podepisování/šifrování).

iOS – odesílání zašifrované zprávy

Při odesílání nového emailu, který chceme zašifrovat, zvolíme ve spodní liště 3 tečky → podepsat a šifrovat.

 

Mozilla Thunderbird

Mozilla Thunderbird – import osobního certifikátu

Pro import osobního certifikátu v aplikaci vybereme Hlavní menu:  Předvolby → Nastavení účtu → Zabezpečení (1) → Zobrazit certifikáty (2) → Osobní (3) → Importovat (4) a zadáme cestu k záloze osobního certifikátu.

Mozilla Thunderbird – asociace osobního certifikátu

Pro asociaci osobního certifikátu s poštovním účtem v aplikaci vybereme Hlavní menu: Předvolby → Nastavení účtu → Zabezpečení → Vybrat certifikát pro podpis (1). V rozbalovacím menu (2) zvolíme importovaný certifikát a zaškrtneme volbu Elektronicky podepisovat zprávy (3).

Mozilla Thunderbird – odeslání podepsané zprávy

Při odesílání zprávy indikuje ikona (1), že zpráva bude podepsána. Po kliknutí na ni (1) nebo na tlačítko Zabezpečení (2) se zobrazí detailní souhrn (3).

Mozilla Thunderbird – zpráva s platným podpisem

Doručenou zprávu s platným podpisem označuje ikona (1), po kliknutí na ni se zobrazí detaily ověření podpisu (2). Kliknutím na tlačítko Zobrazit certifikát (3) lze zobrazit certifikát podepisující osoby (4) včetně informací o jeho důvěryhodnosti.

Mozilla Thunderbird – zpráva s neplatným podpisem

Doručenou zprávu s neplatným podpisem označuje ikona (1), po kliknutí na ni se zobrazí detaily ověření podpisu (2), v tomto případě oznamující porušení integrity zprávy. Kliknutím na tlačítko Zobrazit certifikát (3) lze zobrazit certifikát podepisující osoby (4) včetně informací o jeho důvěryhodnosti.

 

Acrobat Reader – podepisování dokumentu

Po vyplnění dokumentu přejdeme do záložky v horní liště Nástroje → Certifikáty → Digitálně podepsat.

Vyznačíme pole, do kterého bude vložen podpis a vybereme osobní certifikát, kterým chceme dokument podepsat.

  

 

Kontrolujeme náhled podpisu, máme možnost zamknutí dokumentu → Podepsat.