Správa certifikátů

Přehled certifikátů

Okno Certifikáty (SPRÁVA  Nastavení aplikace  Certifikáty) zobrazuje přehled certifikátů používaných ve FormFlow. Nejsou v něm zařazeny uživatelské certifikáty, ale zobrazuje certifikáty pro přihlašování ke službám, například ke službě SecuSign, případně certifikáty elektronických značek pro službu kvalifikovaného uchování (dříve DDA).

image56

Okno pod příkazem Certifikáty je komplexní prostředek pro zobrazení přehledů o certifikátech, časových razítkách a pečetích. Konkrétní obsah okna nastavíte pomocí struktury položek v sekci Typy v levé části okna.

Není žádoucí, aby uživatel viděl vždy všechny položky přehledu. Ve svém okně uvidí jen ty části struktury, se kterými má právo pracovat.

V následujícím přehledu jsou uvedeny operace, které umožní přístup k jednotlivým částem nastavení.

Seznam certifikátů

OPER::SETUP_CERTIFICATES, OTYP::ALL, GRANTREVOKE_PRIV::EXECUTE

Podpisy > Žádosti

OPER::RSM_SIGNING_ADMINISTRATOR, OTYP::ALL, GRANTREVOKE_PRIV::EXECUTE

Podpisy > Certifikáty

OPER::RSM_SIGNING_ADMINISTRATOR, OTYP::ALL, GRANTREVOKE_PRIV::EXECUTE

Podpisy > Operace s certifikáty

OPER::RSM_SIGNING_ADMINISTRATOR, OTYP::ALL, GRANTREVOKE_PRIV::EXECUTE

Pečetě > Certifikáty pro elektronickou pečeť

OPER::SETUP_LTD_AND_MARKS, OTYP::ALL, GRANTREVOKE_PRIV::EXECUTE

Pečetě > Šablony pro vizualizace pečetí PDF příloh

OPER::SETUP_LTD_AND_MARKS, OTYP::ALL, GRANTREVOKE_PRIV::EXECUTE

Časová razítka

OPER::RSM_SIGNING_ADMINISTRATOR, OTYP::ALL, GRANTREVOKE_PRIV::EXECUTE + OPER::SETUP_LTD_AND_MARKS, OTYP::ALL, GRANTREVOKE_PRIV::EXECUTE

Časová razítka > Operace s razítky

OPER::RSM_SIGNING_ADMINISTRATOR, OTYP::ALL, GRANTREVOKE_PRIV::EXECUTE + OPER::SETUP_LTD_AND_MARKS, OTYP::ALL, GRANTREVOKE_PRIV::EXECUTE

Systémové certifikáty > SecuSign

OPER::SETUP_LTD_AND_MARKS, OTYP::ALL, GRANTREVOKE_PRIV::EXECUTE

Jednotlivé části struktury budou v okně zobrazovány pouze tehdy, pokud má uživatel přiděleno potřebné právo:

  • RSM_SIGNING_ADMINISTRATOR ⇒ Certifikáty / Podpisy – Žádosti, certifikáty, operace s certifikáty

  • RSM_SIGNING_USER ⇒ Moje nastavení / Podpisové certifikáty

  • SETUP_LTD_AND_MARKS ⇒ Certifikáty / Pečetě / Certifikáty pro elektronickou pečeť, Šablony pro vizualizace pečetí PDF příloh:

  • SETUP_LTD_AND_MARKS + RSM_SIGNING_ADMINISTRATOR ⇒ Certifikáty / Časová razítka / Operace s razítky

  • SETUP_LTD_AND_MARKS + XG_IS_LTV_ENABLED z tabulky XG_LSYS ⇒ Certifikáty / Systémové certifikáty / SecuSign

Přehled otevřený položkou Seznam certifikátů má především umožnit snadnou kontrolu platnosti vložených certifikátů. Jednotlivé záznamy jsou proto odlišeny barevně:

  • zeleně podbarvené záznamy jsou platné certifikáty;

  • oranžově podbarvené záznamy označují certifikáty, jejichž platnost vyprší za méně než měsíc;

  • červeně podbarvené záznamy jsou ty certifikáty, jejichž platnost již vypršela.

Práva pro certifikáty pro serverové podepisování

K podepisování dokumentů budou uživatelé často používat serverové (vzdálené) podepisování s využitím služeb SignMaster nebo PostSignum. Aby uživatelům mohly být vydávány certifikáty pro serverové podepisování, a aby je mohli používat, musí být nastavena určitá práva:

  • RSM_SIGNING_ADMINISTRATOR – právo pro administrátora spravovat certifikáty pro vzdálené podepisování.

  • RSM_SIGNING_USER – právo pro uživatele obecně používat vzdálené podepisování. Po přidělení tohoto práva se na kartě Moje nastavení objeví tlačítko Podpisové certifikáty.

  • RSM_SIGNING_USER_POSTSIGNUM – právo pro uživatele používat technologie PostSignum.

  • RSM_SIGNING_USER_SIGNMASTER – právo pro uživatele používat technologie SignMaster.

  • RSM_SIGNING_USER_MULTI – právo pro uživatele žádat o víceleté certifikáty PostSignum.

Pokud tedy má uživatel používat certifikát SignMaster, musí mít právo EXECUTE pro RSM_SIGNING_USER a RSM_SIGNING_USER SIGNMASTER.

Uživatelé mající operaci RSM_SIGNING_USER_POSTSIGNUM mohou žádat o vystavení podpisového certifikátu PostSignum. Operace je zavedena nově – proto:

  • V nové instalaci dostane k této operaci právo EXECUTE skupina Everybody, práva GRANT a REVOKE dostane role Security Administrator. Uživatel ffs_system_account dostane všechna tři práva.

  • Při aktualizaci existující instalace dostane uživatel ffs_system_account všechna tři práva, role Security Administrator dostane práva GRANT a REVOKE a následně se zkopírují práva nastavená k operaci RSM_SIGNING_USER.

  • Při updatu všem uživatelům/skupinám mající oprávnění ke stávající operaci RSM_SIGNING_USER bude přiděleno oprávnění na novou operaci RSM_SIGNING_USER_POSTSIGNUM.

Práva nastavíte v okně SPRÁVA  Nastavení aplikace  Práva k operacím. Práva můžete nastavit pro jednotlivé uživatele, případně pro jejich skupiny. V okně Práva k operacím pomocí filtru vyhledejte uživatele (skupinu) a klepněte na tlačítko Přidělit právo v pravém horním rohu okna.

image57
image58

Certifikáty pro serverové podepisování

Pro funkcionalitu serverového podepisování jsou důležité tři podsložky ve složce Podpisy: Žádosti, Certifikáty a Operace s certifikáty.

image59

Přehled žádostí o certifikát

Klepnutím na položku Podpisy  Žádosti v sekci Typy se v okně Přehled žádostí o certifikát zobrazí přehled žádostí od uživatelů, kteří požádali o vydání certifikátu.

image60

Ve sloupci Akce je několik tlačítek, jejichž pomocí získáte bližší informace o jednotlivých položkách:

  • image61 Schválit – tlačítko pro schválení žádosti žadatele o certifikát.

  • image62 Zobrazit certifikát – zobrazí údaje o certifikátu v okně Přehled certifikátů.

  • obnovit Zjistit stav – zobrazí zprávu o okamžitém stavu žádosti – například Certifikát s id žádosti: xxx ještě není vytvořen u CA.

  • i Informace o žádosti – otevře okénko s popisnými údaji o žádosti (kdo a kdy žádal, ID organizace, jaký je stav žádosti a datum poslední změny stavu).

  • image65 Zamítnout – tlačítko pro zamítnutí žádosti žadatele o certifikát.

Přehled vytvořených certifikátů

Klepnutím na položku Podpisy  Certifikáty v sekci Typy se otevře okno s přehledem certifikátů, které již na základě žádostí byly vytvořené.

image66

Ve sloupci Akce jsou tato obslužná tlačítka:

  • image67 Zastavit platnost certifikátu nebo image68 (Zrušit zastavení platnosti certifikátu) – umožní pozastavit platnost dosud platného certifikátu a následně opět jeho platnost obnovit.

  • image69 Stáhnout certifikát – umožní stáhnout certifikát a uložit do souboru ve formátu CER.

  • image70 Zneplatnit – otevře okénko, kde můžete platný certifikát předčasně zneplatnit – například kvůli prozrazení klíčů, nebo protože jej prostě už nebudete potřebovat.

    • U certifikátů vydaných interní certifikační autoritou SignMaster stačí potvrdit kontrolní dotaz tlačítkem Ano.

      image71

    • Pokud certifikát pochází od certifikační autority PostSignum, použijte webový formulář, který naleznete pod odkazem uvedeným v okénku Zneplatnit certifikát. Dále je třeba znát sériové číslo certifikátu a heslo pro zneplatnění. Oba údaje najdete v protokolu o vydání certifikátu, který můžete získat klepnutím na odkaz Stáhnout protokol certifikátu.

      image72

Přehled operací s certifikáty

Klepnutím na položku Podpisy  Operace s certifikáty v sekci Typy se otevře stejnojmenné okno. V něm můžete pomocí voliče Počet záznamů upravit počet položek, které budou v okně zobrazeny (výchozí hodnota je 100, maximální 1000).

Pole Uživatel je volič, jehož pomocí vyberete uživatele, jehož certifikátové operace chcete zobrazit. Pomocí „našeptávače“ vyberte jméno uživatele a klepněte na tlačítko Vybrat.

image73

Na to se otevře okno s přehledem operací s certifikáty – kdy se s jakým certifikátem co podepsalo, zda to byl jen samostatný podpis nebo časové razítko, případně podpis s časovým razítkem.

Přehled je čistě popisný, nejsou zde žádné ovladače umožňující úpravy údajů. Zobrazené údaje lze filtrovat dle data/typu operace, certifikátu, dokumentu, IP adresy a obsluhovaného subjektu.

image74

Certifikáty pro elektronickou pečeť

Certifikáty elektronických pečetí slouží k podepisování dokumentů, které mají být dlouhodobě udržovány, ale nemají vlastní podpis. Ve FormFlow lze k dokumentům připojit i několik systémových pečetí. Po přidání jsou pečetě k dispozici ve výběrových polích ve správě formuláře, kde se volí konkrétní značka pro daný vzor formuláře.

Seznam pečetí

Okno Certifikáty pro elektronickou pečeť se seznamem certifikátů pro elektronické pečetění otevřete volbou SPRÁVA  Nastavení aplikace  klepnutí na položku Pečetě – Certifikáty pro elektronickou pečeť.

image75

V okně jsou zobrazeny všechny systémové pečetě vložené do FormFlow. Pomocí tlačítek ve sloupci Akce můžete záznamy zkontrolovat a změnit:

  • Tlačítkem image76 Vyzkoušení podepsání umožní vyzkoušet funkci pečetění na testovacím souboru ve formátu PDF. Zpráva o výsledku testu se zobrazí v červeném nebo zeleném rámečku v horní části okna.

  • Tlačítkem i Formuláře s pečetí zobrazíte seznam formulářových šablon, které danou pečeť používají k razítkování.

    image78

  • Tlačítkem edit Editovat pečeť otevřete dialog pro editaci pečetě.

Tlačítkem Přidat novou pečeť v okně vpravo nahoře zobrazíte dialog pro vyplnění vlastností nové pečetě.

Tlačítkem ozubene umístěným vpravo nad tabulkou si zobrazíte dialog pro nastavení limitů filtrace a třídění pro tento seznam. Jednotlivá nastavení podrobněji popisuje kapitola Administrace gridů.

Vytvoření a editace pečetě

Tlačítkem Přidat novou pečeť nad seznamem pečetí nebo tlačítkem edit Editovat pečeť ve sloupci Akce u existující pečetě zobrazíte dialog, ve kterém můžete vyplnit či upravit vlastnosti pečetě. Oba dialogy jsou až na nadpis totožné.

V poli Typ certifikátu je možné si vybrat ze tří možností:

  • Certifikát bude uložen v databázové tabulce,

  • Certifikát bude uložen na tokenu nebo jiném kryptografickém zařízení,

  • Služba vzdáleného pečetění SecuSign.

V závislosti na vybrané variantě se zobrazí další pole formuláře. Obě varianty jsou popsány v následujících odstavcích.

Certifikát bude uložen v databázové tabulce

V poli Soubor s certifikátem elektronické pečetě (pfx, p12) vyhledejte vybraný certifikát a vyplňte heslo do následujícího pole Heslo.

image79

Certifikát bude uložen na tokenu nebo jiném kryptografickém zařízení

Pokud má být certifikát uložen na tokenu nebo podobném zařízení, zobrazí se k vyplnění následující pole:

  • PIN zařízení – přístupový PIN k zařízení, na kterém je certifikát uložen.

  • Pkcs11 id certifikátu – název kontejneru určující certifikát v tokenu nebo jiném kryptografickém zařízení.

  • Pkcs11 id zařízení – ID tokenu nebo jiného kryptografického zařízení pro pečetění v modulu kvalifikovaného uchování.

  • Pkcs11 parametry – dodatečné parametry pečetění v kvalifikovaném uchování ve formátu klíč1=hodnota1\nklíč2=hodnota2\n…\nklíčM=hodnotaM.

  • Pkcs11 knihovna – celá cesta ke knihovně obsluhující kryptografické zařízení, např. C:\Windows\System32\bit4xpki.dll nebo např. c:\Windows\System32\eTPKCS11.dll. Tato knihovna je součástí software třetí strany s ovladači zařízení.

image80

Bude využita služba vzdáleného pečetění přes SecuSign

Pomocí voliče Typ certifikátu vyberte položku Služba vzdáleného pečetění SecuSign. Služba opatří dokument zaručenou elektronickou pečetí s elektronickým časovým razítkem z externího zdroje dle specifikací ETSI (European Technical Standards Institute).

V okně Přidat novou pečeť je dále potřeba zadat identifikaci pečetě, kterou budete chtít použít.

  • PIN pečetě – přístupový PIN k pečeti.

  • Id certifikátu pečetě – identifikační řetězec charakterizující certifikát pečetě SecuSign, která má být použita pro tento způsob pečetění.

image81

Uložení a kontrola pečeti

Zadané údaje potvrďte tlačítkem Uložit. Při stisku tlačítka proběhne kontrola zadaného certifikátu podepsáním testovacího PDF dokumentu. Výsledný dokument či dokumenty si pak můžete stáhnout a zkontrolovat.

image82

Vzdálené pečetění pro více subjektů

Aby bylo možné využívat tuto funkcionalitu, je zapotřebí nastavit výchozí konfiguraci kvalifikovaného uchování na obsluhovaném subjektu SPRÁVA  Nastavení aplikace  Obsluhované subjekty.

image83

Pokud chcete upravit údaje o již existujícím obsluhovaném subjektu, pak vyberte požadovaný subjekt a stiskem tlačítka Upravit otevřete okénko Editace obsluhovaného subjektu. Zde nastavte voličem Výběr existující DDA konfigurace vhodnou položku a stiskněte tlačítko Upravit.

image84

Poznamenejme, že nastavení pro DMS dokument (tedy dokument řízené dokumentace) se bere v pořadí těchto priorit:

  • Nastavení v metadatech dokumentu.

  • Není-li nastavený údaj metadat, použije se nastavení obsluhovaného subjektu.

  • Není-li specifikován ani údaj metadat, ani není k dispozici nastavení obsluhovaného subjektu, je přiřazeno nastavení z modulu kvalifikovaného uchování (dříve Dlouhodobého digitálního archívu –DDA).

Vizualizace pečetí příloh ve formátu PDF

Pro větší přehlednost je možné elektronický podpis PDF dokumentu zobrazit na stránce jako grafiku (obrázek), případně doplněný o vhodnou textovou informaci (například datum podpisu či jméno podepisujícího).

V okně Šablony pro vizualizace pečetí PDF příloh (SPRÁVA  Nastavení aplikace  Certifikáty  v sekci Typy klepnout na Pečetě a dále na Šablony pro vizualizaci pečetí PDF příloh) můžete určit vlastnosti grafického ztvárnění pečetí pro všechny dlouhodobě udržované PDF soubory.

image85

Každá šablona nese řadu údajů o souřadnicích umístění obrázku s vizualizovanou pečetí, rozměry obrázku, popisné údaje, doplňkový text k obrázku a různá proměnná data.

image86

  • Novou šablonu vytvoříte klepnutím na tlačítko Přidat novou šablonu.

  • Tlačítkem edit Upravit šablonu ve sloupci Akce otevřete okno k úpravě šablony již vytvořené.

  • Tlačítkem popelnice Odstranit šablonu ve sloupci Akce dříve vytvořenou šablonu vymažete.

Nastavení slouží k úpravě pozice jednotlivých pečetí v dokumentu tak, aby se jejich vizualizace navzájem nepřekrývaly. Lze tak například určit, že druhý podpis bude umístěn napravo od prvního, třetí pod nimi apod. V dialogu vyplňte následující údaje:

  • UID – identifikátor šablony.

  • Pozice X vizualizace (pixelů) – vodorovné umístění obrázku pečeti (v pixelech).

  • Pozice Y vizualizace (pixelů) – svislé umístění obrázku pečeti (v pixelech).

  • Šířka obrázku, Výška obrázku – rozměry obrázku v pixelech. Nastavení samotného obrázku je umístěno v pravé části dialogu.

  • Strana – číslo stránky dokumentu, na které bude obrázek pečeti umístěn. Hodnota:
    1 … znamená první strana,
    2 … znamená druhá strana atd.;
    -1 … znamená poslední strana,
    -2 … předposlední atd.

  • Důvod – důvod pečetění.

  • Lokace – místo, kde se pečetilo.

  • Komentář k vizualizaci – prostor pro libovolný komentář.

V pravé části dialogu vložíte v sekci Nový obrázek odkaz na obrázek pečeti. Pokud údaje upravujete, pak se v sekci Aktuální obrázek zobrazuje aktuálně nastavený obrázek, který se použije k vizualizaci podpisu. Nahradit jej případně můžete vybráním nového souboru ve formátu PNG či JPG v poli Nový obrázek.

V poli Text vizualizace můžete nastavit text, který se zobrazí spolu s obrázkem. V textu můžete použít i makra pro automatické doplnění některých údajů o podpisu:

  • Digitálně podepsal: [SigningCertSubject_CN]

  • DN: [SigningCertSubject]

  • Vydavatel: [SigningCertIssuer]

  • Důvod: [Reason]

  • Umístění: [Location]

  • Kontakt: [Contact]

  • Sériové číslo: [SigningCertSerialDec], hexadecimálně: [SigningCertSerial]

  • Datum: [DateTime]

  • Viditelná uživatelská data: [UserDataVisible] – řetězec znaků zapsaný do pole Viditelná uživatelská data.

Tlačítkem Uložit změny vytvořenou nebo upravenou vizualizaci uložíte.

Časová razítka

Časové razítko je služba poskytovaná certifikační autoritou, která dokládá čas vytvoření dokumentu. Časové razítko je vhodné použít u elektronických dokumentů, kde je nutné prokázat čas jejich vzniku, jako jsou například účetní doklady.

Nastavení pro časová razítka

Okno Časová razítka pro správu časových razítek otevřete volbou SPRÁVA  Nastavení aplikace  Certifikáty a v sekci Typ klepněte na položku Časová razítka.

V okně je přehled poskytovatelů časových razítek, která jsou v daném okamžiku ve FormFlow k dispozici.

image88

Pod oknem je dvojice voličů, jejichž pomocí vyberete, který z uvedených poskytovatelů bude použit pro časová razítka pro dlouhodobou údržbu dokumentů a který pro běžné uživatelské razítkování. Případnou změnu nastavení potvrďte tlačítkem Uložit změny.

Pokud potřebujete přidat poskytovatele časových razítek, klepněte na tlačítko Nový v pravé horní části okna. Otevře se okno Přidat poskytovatele časových razítek. Vyplňte požadované údaje, vyberte soubor s certifikátem a klepněte na tlačítko Uložit. Údaje i certifikát vám zpřístupní váš externí poskytovatel časových razítek. Údaj do pole Název poskytovatele zapište podle vlastní volby.

image89

Pokud potřebujete položku některého poskytovatele časových razítek upravit, klepněte ve sloupci Akce na tlačítko edit Editovat poskytovatele časových razítek. V okně Editovat poskytovatele časových razítek upravte, co je potřeba a údaje opět uložte tlačítkem Uložit.

image91

Ke smazání záznamu o poskytovateli časových razítek klepněte v jeho položce na tlačítko popelnice Smazat poskytovatele časových razítek.

Operace s razítky

Ve FormFlow je možné zobrazit přehled o razítkování časovými razítky – kdo, kdy a odkud časové razítko připojil.

Okno Operace s razítky otevřete volbou SPRÁVA  Nastavení aplikace  Certifikáty, v sekci Typ klepněte na položku Časová razítka a poté Operace s razítky.

image93

Přihlášení do SecuSign

V okně SecuSign můžete nastavit a později kdykoliv zkontrolovat přihlášení do služby pro ověřování dokumentů opatřených elektronickým podpisem (integrita dokumentu, platnost certifikátu, kontrola vůči aktuální verzi listiny zneplatněných certifikátů, kontrola, zda formát podpisu odpovídá požadavkům pro dlouhodobou údržbu podpisů). Služba na vstupu ověřuje podpisy založené na kvalifikovaných certifikátech vydaných akreditovanými certifikačními autoritami v České republice a dalších zemích EU podle TSL (seznam důvěryhodných akreditovaných certifikačních autorit vydávaný EU) s jeho průběžnou aktualizací.

Okno SecuSign otevřete volbou SPRÁVA  Nastavení aplikace  Certifikáty, v sekci Typ klepněte na položku Systémové certifikáty – SecuSign.

Pokud nejste dosud k SecuSign přihlášeni, má okno tvar, jak ukazuje následující obrázek.

image94

  • Do pole Klientský certifikát zadejte přístup k souboru s klientským certifikátem. Ten musí být ve formátu P12 nebo PEM a musí obsahovat soukromý klíč.

  • Do pole Heslo zapište přístupové heslo k tomuto certifikátu.

Nastavení uložte tlačítkem Uložit změny. Spojení se službou SecuSign můžete hned otestovat klepnutím na tlačítko Zkusit.

Jakmile je služba konfigurována a funkční, jsou v okně SecuSign vypsány údaje o přihlášení. Odhlásit se je možné odstraněním certifikátu klepnutím na tlačítko popelnice Odstranit klientský certifikát.

image96

Služba dále provádí označkování a oražení dokumentovým a archivním razítkem.