Správa certifikátov

Prehlaď certifikátov

Okno Certifikáty (SPRÁVA  Nastavenia aplikácie  Certifikáty) zobrazuje prehľad certifikátov používaných vo FormFlow. Nie sú v ňom zaradené certifikáty používateľa, ale zobrazuje certifikáty pre prihlasovanie k službám, napríklad k službe SecuSign, prípadne certifikáty elektronických značiek pre službu kvalifikovaného uchovania (predtým DDA).

image55

Okno pod príkazom Certifikáty je komplexný prostriedok pre zobrazenie prehľadov o certifikátoch, časových pečiatkach a pečatiach. Konkrétny obsah okna nastavíte pomocou štruktúry položiek v sekcii Typy v ľavej časti okna.

Nie je chcené, aby užívateľ videl vždy všetky položky prehľadu. Vo svojom okne uvidia len tie časti štruktúry, s ktorými má právo pracovať.

V nasledujúcom prehľade sú uvedené operácie, ktoré umožnia prístup k jednotlivým častiam nastavenia.

Zoznam certifikátov

OPER::SETUP_CERTIFICATES, OTYP::ALL,  GRANTREVOKE_PRIV::EXECUTE

Podpisy > Žiadosť

OPER::RSM_SIGNING_ADMINISTRATOR, OTYP::ALL,  GRANTREVOKE_PRIV::EXECUTE

Podpisy > Certifikáty

OPER::RSM_SIGNING_ADMINISTRATOR, OTYP::ALL,  GRANTREVOKE_PRIV::EXECUTE

Podpisy > Operácie s certifikáty

OPER::RSM_SIGNING_ADMINISTRATOR, OTYP::ALL,  GRANTREVOKE_PRIV::EXECUTE

Pečate > Certifikáty pre elektronickú pečať

OPER::SETUP_LTD_AND_MARKS, OTYP::ALL,  GRANTREVOKE_PRIV::EXECUTE

Pečate > Šablóny pre vizualizácie pečatí PDF príloh

OPER::SETUP_LTD_AND_MARKS, OTYP::ALL,  GRANTREVOKE_PRIV::EXECUTE

Časové pečiatky

OPER::RSM_SIGNING_ADMINISTRATOR, OTYP::ALL,  GRANTREVOKE_PRIV::EXECUTE + OPER::SETUP_LTD_AND_MARKS, OTYP::ALL,  GRANTREVOKE_PRIV::EXECUTE

Časové pečiatky > Operácie s pečiatkami

OPER::RSM_SIGNING_ADMINISTRATOR, OTYP::ALL,  GRANTREVOKE_PRIV::EXECUTE + OPER::SETUP_LTD_AND_MARKS, OTYP::ALL,  GRANTREVOKE_PRIV::EXECUTE

Systémové certifikáty > SecuSign

OPER::SETUP_LTD_AND_MARKS, OTYP::ALL,  GRANTREVOKE_PRIV::EXECUTE

Jednotlivé časti štruktúry budú v systéme zobrazené iba vtedy, keď má používateľ pridelené príslušné právo:

  • RSM_SIGNING_ADMINISTRATOR ⇒ Certifikáty / Podpisy – Žiadosti, certifikáty, operácie s certifikátmi

  • RSM_SIGNING_USER ⇒ Moje nastavenia / Podpisové certifikáty

  • SETUP_LTD_AND_MARKS ⇒ Certifikáty / Pečate / Certifikáty pre elektronickú pečať, Šablóny pre vizualizácie pečatí PDF príloh:

  • SETUP_LTD_AND_MARKS + RSM_SIGNING_ADMINISTRATOR ⇒ Certifikáty / časové pečiatky / Operácie s pečiatkami

  • SETUP_LTD_AND_MARKS + XG_IS_LTV_ENABLED z tabuľky XG_LSYS ⇒ Certifikáty / Systémové certifikáty / SecuSign

Prehľad otvorený položkou Všeobecný prehľad má predovšetkým umožniť ľahkú kontrolu platnosti vložených certifikátov. Jednotlivé záznamy sú preto odlíšené farebne:

  • zeleno podfarbené záznamy sú platné certifikáty;

  • oranžovo podfarbené záznamy označujú certifikáty, ktorých platnosť vyprší za menej ako mesiac;

  • červeno podfarbené záznamy sú tie certifikáty, ktorých platnosť už vypršala.

Práva pre certifikáty pre serverové podpisovanie

K podpisovanie dokumentov budú užívatelia často používať serverové (vzdialenej) podpisovania s využitím služieb SignMaster alebo PostSignum. Aby užívateľom mohli byť vydávané certifikáty pre serverové podpisovanie, a aby ich mohli používať, musí byť nastavená určité práva:

  • RSM_SIGNING_ADMINISTRATOR – právo pre administrátora spravovať certifikáty pre vzdialené podpisovanie.

  • RSM_SIGNING_USER – právo pre užívateľov všeobecne používať vzdialenej podpisovanie. Po pridelení tohto práva sa na karte Moje nastavenie objaví tlačidlo Podpisové certifikáty.

  • RSM_SIGNING_USER_POSTSIGNUM – právo pre užívateľov používať technológie PostSignum.

  • RSM_SIGNING_USER_SIGNMASTER – právo pre užívateľov používať technológie SignMaster.

  • RSM_SIGNING_USER_MULTI – právo pre užívateľov o viacročný certifikát PostSignum.

Ak teda má používateľ používať certifikát SignMaster, musí mať právo EXECUTE pre RSM_SIGNING_USER a RSM_SIGNING_USER SIGNMASTER.

Používatelia majúci operáciu RSM_SIGNING_USER_POSTSIGNUM môžu požiadať o vystavenie podpisového certifikátu PostSignum. Operácia je zavedená nanovo – preto:

  • V novej inštalácii dostane k tejto operácii právo EXECUTE skupina Everybody, práva GRANT a REVOKE dostane role Security Administrator. Používateľ ffs_system_account dostane všetky tri práva.

  • Pri aktualizácii existujúcej inštalácie dostane používateľ ffs_system_account všetky tri práva, role Security Administrator dostane práva GRANT a REVOKE a následne sa skopírujú práva nastavené na operáciu RSM_SIGNING_USER.

  • Pri update všetkým používateľom/skupinám majúcich oprávnenie k existujúcej operácii RSM_SIGNING_USER bude pridelené oprávnenie na novú operáciu RSM_SIGNING_USER_POSTSIGNUM.

Práva nastavíte v okne SPRÁVA  Práva k operáciám  Práva na operácie. Práva môžete nastaviť pre jednotlivých užívateľov, prípadne pre ich skupiny. V okne Práva k operáciám pomocou filtra vyhľadajte užívateľa (skupinu) a kliknite na tlačidlo Prideliť právo v pravom hornom rohu okna.

image56
image57

Certifikáty pre serverové podpisovanie

Pre vytvorenie novej funkcionality serverového podpisovania sú dôležité tri podpriečinky v zložke Podpisy: Žiadosti, Certifikáty a Operácie s certifikátmi.

Prehlaď žiadostí o certifikát

Kliknutím na položku Podpisy  Žiadosti v sekcii Typy sa v okne Prehľad žiadostí o certifikát zobrazí prehľad žiadostí od užívateľov, ktorí požiadali o vydanie certifikátu.

image58

V stĺpci Akcia je niekoľko tlačidiel, ktorých pomocou získate bližšie informácie o jednotlivých položkách:

  • image59 Schváliť – tlačidlo pre schválenie žiadosti žiadateľa o certifikát.

  • image60 Zobraziť certifikát – zobrazí údaje o certifikáte v okne Prehľad certifikátov.

  • obnovit Zistiť stav – zobrazí správu o okamžitom stave žiadosti – napríklad Certifikát s ID žiadosti xxx ešte nie je vytvorený u CA.

  • i Informácie o žiadosti – otvorí okienko s popisnými údajmi o žiadosti (kto a kedy žiadal, ID organizácie, aký je stav žiadosti a dátum poslednej zmeny stavu).

  • image63 Zamietnuť – tlačidlo pre zamietnutie žiadosti žiadateľa o certifikát.

Prehlaď vytvorených certifikátov

Kliknutím na položku Podpisy  Certifikáty v sekcii Typy sa otvorí okno s prehľadom certifikátov, ktoré už na základe žiadostí boli vytvorené.

image64

V stĺpci Akcie sú tieto obslužné tlačidlá:

  • image65 Zastaviť platnosť certifikátu alebo image66 Zrušiť zastavenie platnosti certifikátu – umožní pozastaviť platnosť doteraz platného certifikátu a následne opäť jeho platnosť obnoviť.

  • image67 Stiahnuť certifikát – umožní stiahnuť certifikát a uložiť do súboru vo formáte CER.

  • image68 Zneplatniť – otvorí okienko, kde môžete platný certifikát predčasne zneplatniť – napríklad z dôvodu prezradenia kľúčov jeho vlastníka, alebo pretože ho jednoducho už nebudete potrebovať.

    • Pri certifikátoch vydaných internou certifikačnou autoritou SignMaster stačí potvrdiť kontrolnú otázku tlačidlom Áno.

      image69

    • Ak certifikát pochádza od certifikačnej autority PostSignum, použite webový formulár, ktorý nájdete pod odkazom uvedeným v okienku Zneplatniť certifikát. Ďalej je potrebné poznať sériové číslo certifikátu a heslo pre zrušenie. Oba údaje nájdete v protokole o vydanie certifikátu, ktorý si môžete získať kliknutím na odkaz Stiahnuť protokol certifikátu.

      image70

Prehľad operácií s certifikátmi

Kliknutím na položku Podpisy  Operácie s certifikátmi v sekcii Typy sa zobrazí volič pre výber používateľa, ktorého údaje o prácu s certifikátmi chcete vidieť (predvolená hodnota je 100, maximálna 1000).

Pole Používateľ je volič, ktorého pomocou vyberiete používateľa, ktorého certifikátové operácie chcete zobraziť. Pomocou „našepkávača“ vyberte meno používateľa a kliknite na tlačidlo Vybrať.

image71

Otvorí sa okno s prehľadom operácií s certifikátmi – kedy sa s akým certifikátom čo podpísalo, či to bol len samostatný podpis alebo časovú pečiatku, prípadne podpis s časovou pečiatkou.

Prehľad je čisto opisný, nie sú tu žiadne ovládače umožňujúce úpravy údajov. Zobrazené údaje je možné filtrovať podľa dátumu/typu operácie, certifikátu, dokumentu, IP adresy a obsluhovaného subjektu.

image72

Certifikáty pro elektronickú pečať

Certifikáty elektronických pečatí slúži na podpisovanie dokumentov, ktoré majú byť dlhodobo udržiavané, ale nemajú vlastný podpis. Vo FormFlow možno k dokumentom pripojiť aj niekoľko systémových pečatí. Po pridaní sú pečate k dispozícii vo výberových poliach v správe formulára, kde sa volí konkrétny značka pre daný vzor formulára.

Zoznam pečatí

Okno Certifikáty pre elektronickú pečať so zoznamom certifikátov pre elektronické pečatenie otvorte voľbou SPRÁVA  Nastavenia aplikácie  Certifikáty pre elektronickú pečať a kliknutím na položku PečateCertifikáty pre elektronickú pečať.

V okne sú zobrazené všetky systémové pečate vložené do FormFlow. Pomocou tlačidiel v stĺpci Akcia môžete záznamy skontrolovať a zmeniť:

  • Tlačidlom image73 Vyskúšanie podpísania umožní vyskúšať funkciu zapečatenia na testovacom súbore vo formáte PDF. Správa o výsledku testu sa zobrazí v červenom alebo zelenom rámčeku v hornej časti okna.

  • Tlačidlom i Formuláre s pečaťou zobrazíte zoznam formulárových šablón, ktoré danú pečať používajú na pečiatkovanie.

  • Tlačidlom edit Editovať pečať zobrazíte dialóg pre editáciu pečate.

image75
image76

Tlačidlom Pridať novú pečať v okne vpravo hore zobrazíte dialóg pre vyplnenie vlastností novej pečate.

Tlačidlom ozubene umiestneným vpravo nad tabuľkou si zobrazíte dialóg pre nastavenie limitov filtrácie a triedenia pre tento zoznam. Jednotlivé nastavenia podrobnejšie popisuje kapitola Administrácia gridov.

Vytvorenie a editácia pečati

Tlačidlom Pridať novú pečať nad zoznamom pečatí alebo tlačidlom Editovať pečať v stĺpci Akcia pri existujúcej pečate zobrazíte dialóg, v ktorom môžete vyplniť či upraviť vlastnosti pečate. Oba dialógy sú až na nadpis totožné.

Voličom Typ certifikátu je možné si vybrať z troch možností:

  • Certifikát bude uložený v databázovej tabuľke,

  • Certifikát bude uložený na tokenu alebo inom kryptografickom zariadení a

  • Služba vzdialeného pečatenie SecuSign.

V závislosti na vybranej variante sa zobrazí ďalšie pole formulára. Oba varianty sú opísané v nasledujúcich odsekoch.

Certifikát bude uložený v databázovej tabuľke

V poli Súbor s certifikátom elektronickej pečate (pfx, p12) vyhľadajte vybraný certifikát a vyplňte heslo do nasledujúceho poľa Heslo.

image78

Certifikát bude uložený na tokene alebo inom kryptografickom zariadení

Pokiaľ má byť certifikát uložený na tokene alebo podobnom zariadení, zobrazia sa na vyplnenie nasledujúce polia:

  • PIN zariadenia – prístupový PIN k zariadeniu, na ktorom je certifikát uložený.

  • Pkcs11 id certifikátu – názov kontajnera určujúci certifikát v tokenu alebo inom kryptografickom zariadení.

image79

  • Pkcs11 id zariadenia – ID tokenu alebo iného kryptografického zariadenia pre pečatenie v module DDA.

  • Pkcs11 parametre – dodatočné parametre pečatenie v DDA vo formáte kľúč1=hodnota1\nkľúč2=hodnota2\n…\nkľúčM=hodnotaM.

  • Pkcs11 knižnica – celá cesta ku knižnici obsluhujúci kryptografické zariadenie, napr. C:\Windows\System32\bit4xpki.dll alebo napr. c:\ Windows\System32\eTPKCS11.dll. Táto knižnica je súčasťou softvér tretej strany s ovládačmi zariadení.

Bude využitá služba vzdialeného pečatenia cez SecuSign

Pomocou voliča Typ certifikátu vyberte položku Služba vzdialeného pečatenia SecuSign. Služba opatrí dokument zaručenou elektronickou pečaťou s elektronickým časovým pečiatkou z externého zdroja podľa špecifikácie ETSI (European Technical Standards Institute).

V okne Pridať novú pečať je ďalej potrebné zadať identifikáciu pečate, ktorú budete chcieť použiť.

  • PIN pečati – prístupový PIN k pečati.

  • Id certifikátu pečati – identifikačný reťazec charakterizujúce certifikát pečate SecuSign, ktorá má byť použitá pre tento spôsob pečatenia.

image80

Uloženie a kontrola pečati

Zadané údaje potvrďte tlačidlom Uložiť. Pri stlačení tlačidla prebehne kontrola zadaného certifikátu podpísaním testovacieho dokumentu. Výsledný dokument či dokumenty si potom môžete stiahnuť a skontrolovať.

image81

Vzdialené pečatenie pre viac subjektov

Aby bolo možné využívať túto funkcionalitu, je potrebné nastaviť predvolenú DDA konfiguráciu na obsluhovanom subjektu (SPRÁVA  Registratúra  Obsluhované subjekty).

image82

Ak chcete upraviť údaje o už existujúcom obsluhovanom subjektu, potom vyberte požadovaný subjekt a stlačením tlačidla Upraviť otvorte okienko Editácia obsluhovaného subjektu. Tu nastavte voličom Výber existujúcej DDA konfigurácie vhodnú položku a stlačte tlačidlo Upraviť.

image83

Poznamenajme, že nastavenie pre DMS dokument (dokument riadenej dokumentácie) sa berie v poradí týchto priorít:

  • Nastavení v metadátach dokumentu.

  • Ak nie je nastavené metadáto, použije sa nastavenie obsluhovaného subjektu.

  • Ak nie je špecifikované ani metadáto, ani nie je k dispozícii nastavenie obsluhovaného subjektu, je priradené nastavenie z Dlhodobého digitálneho archívu (DDA).

Vizualizácia pečatí príloh vo formáte PDF

Pre väčšiu prehľadnosť je možné elektronický podpis PDF dokumentu zobraziť na stránke ako grafiku (obrázok), prípadne doplnený o vhodnú textovú informáciu (napríklad dátum podpisu či meno podpisujúceho).

V okne Šablóny pre vizualizácie pečatí PDF príloh (SPRÁVA  Nastavenia aplikácie  Certifikáty, v sekcii Typy kliknúť na Pečate a ďalej na Šablóny pre vizualizáciu pečatí PDF príloh) môžete určiť vlastnosti grafického stvárnenia pečatí pre všetkých dlhodobo udržiavané PDF súbory.

image84

Každá šablóna nesie rad údajov o súradniciach umiestnení obrázku s vizualizovanou pečaťou, rozmery obrázku, popisné údaje, doplnková text k obrázku a rôzne premenné dáta.

  • Novú šablónu vytvoríte kliknutím na tlačidlo Pridať novú šablónu.

  • Tlačidlom edit Upraviť šablónu v stĺpci Akcia otvoríte okno k úprave šablóny už vytvorenej.

  • Tlačidlom popelnice Odstrániť šablónu v stĺpci Akcia predtým vytvorenú šablónu vymažete.

image86

Nastavenie slúži na úpravu pozície jednotlivých pečatí v dokumente tak, aby sa ich vizualizácie navzájom neprekrývali. Možno tak napríklad určiť, že druhý podpis bude umiestnený napravo od prvého, tretí pod nimi a pod. V dialógu vyplňte nasledujúce údaje:

  • UID – identifikátor šablóny.

  • Pozícia X vizualizácie (pixelov) – vodorovné umiestenie obrázka pečati (v pixeloch).

  • Pozícia Y vizualizácie (pixelov) – zvislé umiestenie obrázka pečati (v pixeloch).

  • Šírka obrázku, Výška obrázku – rozmery obrázku v pixeloch. Nastavení samotného obrázku je umiestené v pravej časti dialógu.

  • Strana – číslo stránky dokumentu, na ktoré bude obrázok pečati umiestený. Hodnota:
    1 … znamená prvá strana.
    2 … znamená druhá strana atď.
    -1 … znamená posledná strana.
    -2 … predposledná atď.

  • Dôvod – dôvod pečatenia.

  • Lokácia – miesto, kde sa pečatilo.

  • Komentár k vizualizácii – priestor pre ľubovoľný komentár.

V pravej časti dialógu vložíte v sekcii Nový obrázok odkaz na obrázok pečate. Ak údaje upravujete, potom sa v sekcii Aktuálny obrázok zobrazuje aktuálne nastavený obrázok, ktorý sa použije na vizualizáciu podpisu. Nahradiť ho prípadne môžete vybraním nový súbor vo formáte png či jpg v poli Nový obrázok.

V poli Text vizualizácie môžete nastaviť text, ktorý sa zobrazí spolu s obrázkom. V texte môžete použiť aj makrá pre automatické doplnenie niektorých údajov o podpise:

  • Digitálne podpísal: [SigningCertSubject_CN]

  • DN: [SigningCertSubject]

  • Vydavateľ: [SigningCertIssuer]

  • Dôvod: [Reason]

  • Umiestenie: [Location]

  • Kontakt: [Contact]

  • Sériové číslo: [SigningCertSerialDec], hexadecimálně: [SigningCertSerial]

  • Dátum: [DateTime]

  • Viditeľná užívateľská dáta: [UserDataVisible] – reťazec znakov zapísaný do poľa Viditeľná užívateľská dáta.

Tlačidlom Uložiť zmeny vytvorenú alebo upravenú vizualizáciu uložíte.

Časové pečiatky

Časová pečiatka je služba poskytovaná certifikačnou autoritou, ktorá dokladá čas vytvorenia dokumentu. Časovú pečiatku je vhodné použiť pri elektronických dokumentov, kde je nutné preukázať čas ich vzniku, ako sú napríklad účtovné doklady.

Nastavení pre časové pečiatky

Okno Časové pečiatky pre správu časových pečiatok otvorte voľbou SPRÁVA  Nastavenia aplikácie  Certifikáty pre elektronickú pečať a v sekcii Typ kliknite na položku Časové pečiatky.

V okne je prehľad poskytovateľov časových pečiatok, ktoré sú v danom okamihu vo FormFlow k dispozícii.

image87

Pod oknom je dvojica voličov, ktorých pomocou vyberiete, ktorý z uvedených poskytovateľov bude použitý pre časové pečiatky pre dlhodobú údržbu dokumentov a ktorý pre bežné užívateľské pečiatkovanie. Prípadnú zmenu nastavenia potvrďte tlačidlom Uložiť zmeny.

Ak potrebujete pridať poskytovateľa časových pečiatok, kliknite na tlačidlo Nové v pravej hornej časti okna. Otvorí sa okno Pridať poskytovateľa časových pečiatok. Vyplňte požadované údaje, vyberte súbor s certifikátom a kliknite na tlačidlo Uložiť. Údaje aj certifikát vám sprístupní váš externý poskytovateľ časových pečiatok. Údaj do poľa Názov poskytovateľa zapíšte podľa vlastnej voľby.

image88

Ak potrebujete položku niektorého poskytovateľa časových pečiatok upraviť, kliknite v stĺpci Akcia na tlačidlo edit Editovať poskytovateľa časových pečiatok. V okne Editovať poskytovateľa časových pečiatok upravte, čo je potrebné a údaje opäť uložte tlačidlom Uložiť.

image90

Na zmazanie záznamu o poskytovateľovi časových pečiatok kliknite v jeho položke na tlačidlo popelnice Zmazať poskytovateľa časových pečiatok.

Operácie s pečiatkami

Vo FormFlow je možné zobraziť prehľad o pečiatkovanie časovými pečiatkami – kto, kedy a odkiaľ časovú pečiatku pripojil.

Okno Operácie s pečiatkami otvorte voľbou SPRÁVA  Nastavenia aplikácie  Certifikáty pre elektronickú pečať, v sekcii Typ kliknite na položku Časové pečiatky a potom Operácie s pečiatkami.

image92

Prihlásenie do SecuSign

V okne SecuSign môžete nastaviť a neskôr kedykoľvek skontrolovať prihlásení do služby pre overovanie dokumentov opatrených elektronickým podpisom (integrita dokumentu, platnosť certifikátu, kontrola voči aktuálnej verzii listiny zrušených certifikátov, kontrola, či formát podpisu zodpovedá požiadavkám pre dlhodobú údržbu podpisov). Služba na vstupe overuje podpisy založené na kvalifikovaných certifikátoch vydaných akreditovanými certifikačnými autoritami v Českej republike a ďalších krajinách EÚ podľa TSL (zoznam dôveryhodných akreditovaných certifikačných autorít vydávaný EÚ) s jeho priebežnou aktualizáciou.

Okno SecuSign otvorte voľbou SPRÁVA  Nastavenia aplikácie  Certifikáty pre elektronickú pečať, v sekcii Typ kliknite na Systémové certifikátySecuSign.

Ak nie ste ešte SecuSign prihlásení, má okno tvar, ako ukazuje nasledujúci obrázok.

image93

  • Do poľa Klientsky certifikát zadajte prístup k súboru s klientskym certifikátom. Ten musí byť vo formáte P12 alebo PEM a musí obsahovať súkromný kľúč.

  • Do poľa Heslo zapíšte prístupové heslo k tomuto certifikátu.

Nastavenie uložte tlačidlom Uložiť zmeny. Spojenie so službou SecuSign môžete hneď otestovať kliknutím na tlačidlo Skúsiť.

Akonáhle je služba konfigurovaná a funkčné, sú v okne SecuSign vypísané údaje o prihlásenie. Odhlásiť sa je možné odstránením certifikátu kliknutím na tlačidlo popelnice Odstrániť certifikát klienta.

image95

Služba ďalej vykonáva označkované a pečiatkou dokumentovým a archívnym pečiatkou.