Kvalifikovaný certifikát pro ověření elektronického podpisu
"Osobní certifikát" je vlastně jakýsi "digitální průkaz totožnosti". Lze ho přirovnat k osobním dokladům, jako je pas nebo občanský průkaz. Zatímco osobní doklady se vydávají v tištěné podobě, certifikát je elektronicky podepsanou datovou strukturou a slouží pro identifikaci a autentizaci osoby v elektronické komunikaci. Je určen primárně k identifikaci uživatele (jedná se o oficiálně uznaný oficiální způsob autentizace – ověření totožnosti osoby v prostředí internetu) a k elektronickému podepisování dokumentů.
Existuje několik typů certifikátu podle toho, k jakému účelu a jakým subjektem jsou vydávány. Podstatnou informací je to, že pro komunikaci se státní správou obecně (a tedy i s EPO-PF) je třeba tzv. „kvalifikovaný certifikát“. Jeho náležitosti definuje zákon č. 227/2000 Sb. o elektronickém podpisu. Kvalifikovaný certifikát využijete zejména při komunikaci s úřady státní správy a samozřejmě také při komunikaci s ostatními institucemi, které tyto certifikáty uznávají.
Pro vydávání kvalifikovaných certifikátů jsou v současné době akreditovány tyto certifikační autority (dále jen CA):
Subjekt | URL | Kontaktní/registrační místa |
---|---|---|
První certifikační autorita, a. s. | http://www.ica.cz | Pobočky ČSOB v okresních městech, některé krajské úřady, pobočky společnosti PVT (celkem přes 300 poboček na území ČR a SR) |
Česká pošta, s. p. | http://www.postsignum.cz | Česká pošta s.p. (poštovní úřady ve většině okresních měst) |
eIdentity, a. s. | https://www.eidentity.cz | Praha (pouze jediné registrační místo) |
Z hlediska EPO-PF je jedno, kterou z výše uvedených CA si vyberete. Podmínky vydávání certifikátů jednotlivými CA jsou uvedeny na jejich webových stránkách. Vydání certifikátu je zpoplatněno. Certifikáty mají omezenou dobu platnosti (typicky jeden rok) a po této době je třeba nechat si u příslušné CA vygenerovat certifikát nový, což je rovněž zpoplatněno. Nejlevnější kvalifikované certifikáty v současné době nabízí certifikační autorita České pošty (za 396,- Kč). Největší pobočkovou síť má První certifikační autorita, a.s. Standardně je po doručení objednávky (žádosti) na kontaktní pracoviště poskytovatele kvalifikovaný certifikát vystavován na počkání.
Postup pro splnění podmínky kvalifikovaného certifikátu:
-
Na webových stránkách zvolené CA vyhledejte postup, jak získat kvalifikovaný certifikát, a postupujte podle něj. Pro lepší představu o proceduře získání kvalifikovaného certifikátu uvádíme v části Přílohy ukázkový postup pro získání kvalifikovaného certifikátu od CA České pošty.
-
Až budete mít vystavený kvalifikovaný certifikát od Vámi zvolené CA, dojděte s příslušnými dokumenty (smlouvou a protokolem o vydání certifikátu) na místně příslušnou okresní agenturu pro zemědělství a venkov. Pracovník agentury doplní údaje o Vašem certifikátu (tzv. „sériové číslo certifikátu“) k Vašemu účtu v registru uživatelů PF.
-
Před prvním elektronickým podáním do EPO-PF je nezbytné Vám vydaný certifikát a certifikáty příslušné CA nainstalovat na Vašem počítači.
Pozn.: Instalaci certifikátu se doporučuje provést co nejdříve po jeho vydání, snížíte tak riziko ztráty vygenerovaných klíčů.
Stručný průvodce získáním kvalifikovaného certifikátu PostSignum QCA
Následující řádky popisují základní kroky procedury získání certifikátu od certifikační autority PostSignum QCA, která je součástí České pošty, s. p. Tuto CA jsme použili pouze jako příklad, můžete se rozhodnout pro jinou akreditovanou CA (viz seznam). Ukázkový postup je zaměřen na variantu, kdy žadatelem o certifikát je podnikající fyzická osoba (OSVČ).
Postup je následující:
-
Na webových stránkách certifikační autority PostSignum QCA http://qca.postsignum.cz vyhledejte postupy, které musíte provést pro vydání prvního certifikátu.
-
V levém navigačním panelu stránek klikněte na odkaz „Přehled postupů“. Zobrazí se rozcestník postupů pro jednotlivé skupiny zákazníků (viz Obrázek).
-
Klikněte na skupinu zákazníků, k níž patříte (viz Obrázek). Jste-li zemědělec s přiděleným IČ, zvolte možnost „Podnikající fyzická osoba (OSVČ)“.
-
Zobrazí se kompletní přehled postupů pro danou skupinu zákazníků. Vás se týkají postupy nazvané „Činnosti potřebné pro vydání prvního certifikátu“. Postupy jsou zpracované formou hyperlinkových průvodců, které Vás provedou celým procesem od přípravy žádosti o certifikát až po jeho instalaci na Váš počítač. Postupy jsou velmi podrobné a nekladou žádné zvláštní nároky na počítačovou zdatnost uživatelů – stačí umět ovládat webový prohlížeč a znát základy práce s operačním systémem Windows. Pokud preferujete klasickou příručku, naleznete jí v sekci Ke stažení (formát PDF).
Obrázek 1.
-
V následující bodech jsou uvedeny základní kroky postupu získání certifikátu PostSignum QCA, v případě potřeby podrobnějších informací je třeba prostudovat výše popsané zdroje na webových stránkách PostSignum QCA.
-
-
Prostřednictvím webových stránek PostSignum QCA si na Vašem počítači vygenerujte klíče a elektronickou žádost o certifikát.
Pro generování klíčů přes webové stránky PostSignum QCA je nezbytný operační systém Windows 2000/2003/XP a Internet Explorer (doporučena verzi 6.1 a vyšší). V případě, že nemáte možnost použít on-line generování klíčů přes webové stránky, můžete provést vygenerování klíčů v off-line programu PostSignum Tool. Tento program mohou využít i uživatelé operačního systému Windows Vista. Postup pro vygenerování klíčů v programu PostSignum Tool je podrobně popsán v příslušném průvodci na stránkách PostSignum QCA.
-
Spusťte si průvodce „Generování žádosti o certifikát“ (odkaz: http://www.postsignum.cz/generovani_zadosti_o_certifikat.html).
-
Na zobrazené stránce klikněte na odkaz „On-line generování žádosti“.
Pozn.: V Internet Eploreru ve verzi 7 se Vám může při zobrazování některých stránek PostSignum QCA objevit upozornění „Existuje problém s certifikátem zabezpečení tohoto webu“. Důvodem je to, že nemáte instalován příslušný certifikát PostSignum QCA. Toto upozornění ignorujte a klikněte na odkaz
-
Zobrazí se úvodní informace o tomto postupu. Přečtěte si tyto informace a proveďte test generování klíčů kliknutím na tlačítko „Test generování klíčů“. Zobrazí se zpráva, zda je Váš prohlížeč schopen generovat klíče a žádost o certifikát. Pokud ano, pokračujte v generování kliknutím na odkaz „Další“ v pravém dolním rohu.
-
V dalším kroku je nutné zvolit správný typ zákazníka (viz vysvětlení jednotlivých skupin zákazníků na dalším obrázku) a druh certifikátu – ponechte volbu „osobní“ kvalifikovaný certifikát – a pokračujte na další obrazovku kliknutím na odkaz „Další“.
Pozn.: V následujícím postupu předpokládáme, že patříte do skupiny „Podnikající fyzická osoba“. Pokud patříte do jiné skupiny zákazníků, mohou být na on-line formulářích při genenerování žádosti o certifikát vyžadovány jiné údaje.
Obrázek 2.
-
Ve třetím kroku vyplňte do on-line formuláře Vaše obchodní a osobní údaje (stačí pouze základní údaje, viz následující obrázek). Dobře zkontrolujte emailovou adresu, pokud by obsahovala chybu, certifikát by nebylo možné využívat pro podepisování emailových zpráv. Pokračujte kliknutím na odkaz „Další“.
Obrázek 3.
-
Ve čtvrtém kroku on-line průvodce máte možnost nastavit parametry generování klíčů a úložiště pro elektronickou žádost, přednastavené hodnoty však není třeba měnit. Pokračujte kliknutím na odkaz „Další“.
Obrázek 4.
-
Po kliknutí na odkaz „Vytvořit žádost“ je nutné ještě potvrdit (stiskem tlačítka „Ano“) dvě bezpečnostní otázky Internet Eploreru a poté už jsou vygenerovány klíče a žádost o certifikát. O úspěšném vytvoření souboru se žádostí o certifikát jste informováni na následující obrazovce.
Obrázek 5.
-
Po vygenerování klíčů a elektronické žádosti proveďte tyto dva kroky:
-
Zkontrolujte vygenerované klíče a proveďte jejich zálohu do souboru (v tomto okamžiku provádíte zálohu pro případ havárie počítače nebo poškození úložiště klíčů v době mezi vygenerováním klíčů a nainstalováním vydaných certifikátů – tento krok je nepovinný, nicméně doporučený). Pro ověření klíčů a vytvoření jejich zálohy se používá nástroj „Microsoft Management Console“, což je standardní součást operačního systému Windows (detailní postup naleznete v příslušném on-line průvodci nebo PDF uživatelské dokumentaci na stránkách http://qca.postsignum.cz).
Obrázek 6.
-
Soubor se žádostí o certifikát nakopírujte na disketu (standardní disketa 3,5 palce). Tuto disketu budete potřebovat při registraci. Pokud jste při generování žádosti ponechali výchozí parametry, soubor se žádostí naleznete na disku C: pod názvem
cert_sign.req
.Obrázek 7.
Pozn.: V současné době Česká pošta vyžaduje doručení žádosti na disketě, pokud však nemáte disketovou mechaniku, pokuste se dohodnout s příslušným kontaktním místem České pošty, zda ve Vašem případě akceptují jiné paměťové médium, např. CD-ROM nebo USB flash disk.
-
-
-
Připravte si formuláře před návštěvou České pošty
Formuláře si stáhněte ze stránek http://qca.postsignum.cz například pomocí průvodců v postupu „Příprava podkladů před návštěvou České pošty“. Jedná se o dva dokumenty:
Pozn.:Na následujících obrázcích jsou zobrazeny náhledy formulářů pro „Podnikající fyzické osoby“. Pokud patříte do jiné skupiny zákazníků, formuláře se mohou mírně lišit.
-
Objednávka certifikačních služeb
Obrázek 8.
-
Zákaznický formulář
Obrázek 9.
-
V zákaznickém formuláři si můžete požádat také o přidělení tzv. Identifikátoru klienta Ministerstva práce a sociálních věcí. Jedná se o jedinečné číslo každé osoby, které přiděluje Ministerstvo práce a sociálních věcí. Identifikátor klienta MPSV v certifikátu může být vyžadován při komunikaci se státní správou (např. ČSSZ). Přiřazení tohoto identifikátoru je bezplatné a lze jej doporučit.
-
Zákaznický formulář má dvě strany. Vyplnění první z nich je povinné pro všechny žadatele, druhou část musí vyplnit jen ti, kteří požadují, aby jejich kvalifikovaný certifikát obsahoval identifikátor klienta Ministerstva práce a sociálních věcí (jedná se o souhlas se zpracováním osobních údajů).
-
-
-
Navštivte kontaktní místo České pošty
Pozn.:V následujícím popisu předpokládáme, že patříte do skupiny „Podnikající fyzická osoba“. Pokud patříte do jiné skupiny zákazníků, mohou být po Vás při registraci požadovány jiné doklady.
-
S vyplněnými formuláři (nepodepsanými), disketou s vygenerovanou žádostí o certifikát, živnostenským listem (nebo jiným zřizovacím dokladem, kde je uvedeno Vaše IČ) a jedním osobním dokladem (občanský průkaz nebo pas) se dostavte na nejbližší kontaktní místo České pošty, které poskytují služby certifikačních autority (viz „Seznam kontaktních míst“ na stránkách http://qca.postsignum.cz). Na dané poště hledejte poštovní přepážku, která je označena nápisem informujícím o službách certifikačních autority (jedná se většinou o stejnou přepážku, kde jsou poskytovány služby Czech POINT, nebo kde si lze sjednat SIPO).
Pozn.:Pro první vydání certifikátu je vždy nutná osobní návštěva – certifikační autorita musí ověřit, že údaje uvedené v žádosti jsou pravdivé a že podpis žádosti je platný (proto se formuláře podepisují až před pracovníkem České pošty). Pro vydání následného certifikátu (na další období platnosti) lze požádat e-mailem před vypršením platnosti prvního certifikátu.
-
Pro urychlení vyřízení žádosti si můžete dopředu připravit tzv. heslo pro zneplatnění, které souvisí s procesem zneplatnění Vašeho certifikátu a které po Vás bude vyžadováno při připravě žádosti pracovníkem České pošty. Není nutné si jej pamatovat, protože bude uvedeno v protokolu o vydání certifikátu. Z bezpečnostních důvodů musí být heslo pro zneplatnění alespoň 8 znaků dlouhé a musí obsahovat velká a malá písmena, číslice a neabecední znaky (,.+-*/).
-
Když je vše v pořádku, obě strany podepíší objednávku (tímto se stane smlouvou), zákaznický formulář, vytištěnou žádost o vydání certifikátu a na závěr protokol o vydání certifikátu. Po zaplacení ceny certifikátu (dle aktuálního sazebníku 190,- Kč) dostanete zpět Vaší disketu, na níž je uložen vygenerovaný certifikát a další soubory. Kompletní odbavení trvá cca 20-30 minut (předpokládáme tzv. zrychlené zavedení zákazníka do systému QCA, kdy je vše vyřízeno během jedné návštěvy, podrobněji viz webové stránky PostSignum QCA).
-
V tomto okamžiku můžete s příslušnými dokumenty (smlouvou a protokolem o vystavení osobního kvalifikovaného certifikátu) zajít na místně příslušnou Agenturu pro zemědělství a venkov. Abyste mohli certifikát začít používat, je nutné jej instalovat na Vašem PC, tj. na počítači, na němž jste prováděli generování klíčů a žádosti o certifikát (ukázka postupu instalace certifikátů viz Příloha č. 2: Postup instalace vydaného certifikátu a certifikátů CA ).
-
Postup instalace vydaného certifikátu a certifikátů CA
Abyste mohli certifikát začít používat (resp. podepsat elektronické podání v aplikaci vOKO), je třeba Vám vydaný kvalifikovaný certifikát a certifikáty příslušné certifikační autority nainstalovat na Vašem PC, resp. na počítači, na kterém byly vygenerovány klíče a žádost o certifikát (certifikát se tímto spojí s vygenerovaným soukromým klíčem).
V případě certifikátu PostSignum QCA existují dva způsoby instalace – prostřednictvím webových stránek PostSignum QCA nebo ruční instalace. Obě možnosti instalace jsou detailně popsány v on-line průvodci i v uživatelské dokumentaci na stránkách stránkách http://qca.postsignum.cz. Vzhledem k jednoduchosti ruční instalace certifikátů (která spočívá v poklepání na soubor s certifikátem a jeho nainstalování pomocí průvodce) lze doporučit tuto variantu instalace.
Postup instalace certifikátů (na příkladu certifikátů PostSignum QCA – CA České pošty):
Pozn.: Následující postup vychází z operačního systému Windows XP – v případě jiné verze Windows se mohou vyskytnout odlišnosti.
-
Vložte/připojte k Vašemu počítači paměťové médium, na němž je uložen vydaný certifikát a certifikáty příslušné CA (v případě certifikátu PostSignum QCA se certifikát standardně předává na disketě 3,5 palce) a spusťte Průzkumníka Windows.
-
Vyhledejte soubory s příponou .crt (soubory certifikátů mohou mít také příponu DER nebo CER) – v případě certifikátů PostSignum QCA se jedná o tyto soubory:
Postsignum_qca_root.crt
(kořenový certifikát PostSignum QCA)Postsignum_qca_sub.crt
(certifikát podřízené certifikační autority PostSignum QCA)Cert_sign.crt
(Váš certifikát)
Tyto soubory obsahují vlastní certifikáty a je nutno je postupně všechny nainstalovat do počítače. Instalace je popsána v dalších bodech a je stejná pro všechny 3 certifikáty.
Obrázek 10.
-
Dvakrát klikněte na první soubor s příponou
.crt
. -
Zobrazí se dialogové okno Certifikát – v tomto okně stiskněte tlačítko Nainstalovat certifikát….
Obrázek 11.
-
Zobrazí se průvodce importem certifikátu – stiskněte tlačítko Další >.
Obrázek 12.
-
Ponechte výchozí volbu „Automaticky vybrat úložiště…“ a stiskněte tlačítko Další >.
Obrázek 13.
-
Stiskněte tlačítko Dokončit.
Obrázek 14.
-
Podle toho, který certifikát instalujete, se v tomto okamžiku může objevit okno s varováním operačního systému, zda si jste jisti důvěryhodností certifikátu. Pokud se toto okno objeví, stiskněte tlačítko Ano.
Obrázek 15.
-
Po chvíli by se mělo zobrazit okno informující o úspěšném importu certifikátu. Okno zavřete stisknutím tlačítka OK. Můžete zavřít také okno certifikátu (tlačítkem OK nebo křížkem).
Obrázek 16.
-
Výše uvedené kroky opakujte s dalšími certifikáty.
-
Po instalaci všech tří certifikátů zkontrolujte, zda se tyto certifikáty nainstalovaly správně:
-
Zobrazte si dialog s informacemi k certifikátům: klepněte na tlačítko Start > Nastavení > Ovládací panely > Možnosti Internetu > záložka Obsah > tlačítko Certifikáty.
Obrázek 17.
-
V seznamu na kartě „Osobní“ by se měl nacházet certifikát s Vaším jménem, který vystavila autorita PostSignum Qualified CA.
Obrázek 18.
Pozn.: Pokud se certifikát nenachází na záložce Osobní (nejčastěji bude na záložce Ostatní uživatelé), nedošlo k jeho spojení se soukromým klíčem a nainstalovaný certifikát je nepoužitelný. Instalace certifikátu proběhla na nesprávném počítači, pod nesprávným účtem, nebo došlo ke ztrátě soukromého klíče.
-
Pokud se certifikát nachází na záložce „Osobní“, klikněte na něj dvakrát levým tlačítkem myši. Zobrazí se okno s informacemi o certifikátu.
Obrázek 19.
Pokud se horní část zobrazeného okna podobá výše uvedenému obrázku a neobsahuje žádný text „Systém Windows nemá dostatek informací pro ověření tohoto certifikátu“, byly úspěšně nainstalovány rovněž oba certifikáty PostSignum QCA.
-
Pokud se certifikát správně nainstaloval, doporučuje se provést jeho zálohu. V okně Certifikáty na záložce „Osobní“ označte kliknutím řádek s Vaším certifikátem a stiskněte tlačítko Exportovat (viz Obrázek). V průvodci exportem zaškrtněte volbu "Ano, exportovat soukromý klíč" (toto je velmi důležité!), v dalším okně zaškrtněte „Zahrnout všechny certifikáty na cestě k certifikátu“, zadejte heslo, kterým budete tuto zálohu certifikátu chránit (není nutné, ale ke zvýšení bezpečnosti se doporučuje), a nakonec zadejte název a umístění souboru (zálohy certifikátu). Soubor zálohy má příponu .pfx. Doporučujeme uložit tento soubor na přenosné médium a umístit na bezpečné místo.
Podrobný postup zálohování certifikátu
Zálohu certifikátu můžete znovu použít v případě havárie počítače nebo v případě, že chcete klíče a certifikáty přenést na jiný počítač nebo nainstalovat pod jiným uživatelským účtem.
-
Pozn.: Chcete-li digitálně podepisovat Vaše emaily, je nutné používat poštovní program, ktetý tuto funkci podporuje (např. v MS Outlook, Outlook Express, Mozilla Thunderbird aj.; postup pro připojení digitálního podpisu k emailové zprávě vyhledejte v nápovědě příslušného poštovního programu). Přes webové rozhraní na serverech Seznam, Centrum, Volný, Email apod. digitálně podepsané emaily nelze posílat. V případě elektronického podání do EPO-PF elektronický podpis k formuláři připojuje aplikace vOKO.