Správa certifikátů administrátorem

Uložení přehledu certifikátů

V mnoha případech, zejména pro administrativní účely správce certifikátů, může být užitečné si obsah některého z pohledů okna Certifikáty (Správa certifikátů, Žádosti a Zpracované žádosti) uložit do souboru, a ten potom třeba archivovat, vytisknout a podobně. K tomuto účelu máte k dispozici příkaz Uložit jako, který u každého pohledu najdete vpravo od tlačítek filtru.

Pomocí tlačítka otevřete nabídku několika formátů souboru, kam bude obsah souboru uložen.

image119

Klepnutím na položku s názvem formátu se příslušný soubor vytvoří a uloží ve složce se staženými soubory (Downloads). Jméno souboru je identické s názvem složky – například Sprava_certifikatu.pdf.

Vlastnosti certifikátu

Potřebujete-li se podívat na kompletní výpis vlastností určitého certifikátu, přejděte v okně Certifikáty na pohled Správa certifikátů. Klepnutím na položku požadovaného certifikátu se na horní liště i v nabídce pod tlačítkem se třemi tečkami zobrazí položka Vlastnosti.

image120

Klepnutím na tuto položku se otevře okno Vlastnosti certifikátu.

Vlastnosti podpisového / přístupového certifikátu

V okně jsou uvedeny všechny parametry příslušného certifikátu.

image121

V dolní části okna jsou až čtyři aktivní ovládací prvky; jejich zastoupení je dáno charakterem přihlášeného uživatele.

  • Do pole Popis lze zapsat poznámkový text, který bude uloženy spolu s certifikátem. Text bude vypisován v pohledu Správa certifikátů u položky certifikátu ve sloupci Poznámka. Pole je dostupné pouze uživateli, který je vlastníkem (nebo žadatelem) certifikátu.

  • Do pole Poznámka správce může poznámkový text napsat uživatel v roli správce certifikátů. Pole je dostupné pouze pro uživatele v roli Správce certifikátů bez ohledu na Typ certifikátu.

  • V sekci Příloha je tlačítko Přidat přílohu.

    image122

    To je zde proto, aby si uživatel (pouze vlastník certifikátu) mohl k certifikátu připojit v podstatě libovolný soubor jako přílohu, např. šifrovaný dokument s protokolem k odvolání certifikátu nebo popisem k čemu takový certifikát slouží; případně si může nahrát veřejnou část certifikátu v DER formátu (CER/CRT) apod.

    image123

    Tlačítkem Nahradit přílohu lze soubor s přílohou nahradit za jiný.

    Tlačítkem Smazat přílohu soubor s přílohou odeberete.

    Popis, poznámka správce a název souboru s přílohou budou vypisovány v pohledu Správa certifikátů u položky certifikátu ve sloupcích Popis, Poznámka správce a Příloha.

    image124

  • Tlačítkem Stáhnout v sekci Protokol o vydání certifikátu lze načíst protokol, který byl uživateli dodán při převzetí nového certifikátu. Je dostupné pouze uživateli, který je vlastníkem (nebo žadatelem) certifikátu typu HSM, jehož vystavitelem je PostSignum Qualified CA (pro kvalifikovaný podpis, resp. kvalifikovanou pečeť).

Případné změny a doplňky uložíte klepnutím na tlačítko Uložit.

Autentizační certifikáty u pečetícího certifikátu

Pokud se jedná o elektronickou pečeť autentizovanou certifikátem, obsahuje okno Vlastnosti certifikátu ještě druhou kartu – Autentizační certifikáty.

Na této kartě jsou údaje o certifikátu, který byl nastaven pro autentizaci pečeti. Zároveň máte možnost tlačítkem + Přidat autentizační certifikát připojit specifikaci dalšího autentizačního certifikátu.

Pokud je zapotřebí, například po vypršení platnosti certifikátu, je možné daný certifikát tlačítkem Smazat autentizační certifikát odebrat.

image125

U nových pečetí od verze 5.3 se povinně zadává PIN pro povolení manipulací s certifikáty. Je to především z důvodu bezpečnosti a zamezení odstranění autentizačního certifikátu nepovolanou osobou. Starších verzí se toto opatření netýká, ale při nejbližší obnově certifikátu bude již PIN nutno zadat.

autentizacni certifikat

Bez zadání PIN nelze požadovat volbu souboru s certifikátem pomocí tlačítka Vybrat certifikát.

Ani zde nelze jako autentizační přidat libovolný certifikát. Musí být vystaven podporovanou certifikační autoritou a být typu komerční serverový, případně komerční osobní.

Změna a reset kódu PIN

Potřebujete-li změnit nebo resetovat PIN určený k přístupu k určitému certifikátu, přejděte v okně Certifikáty na pohled Správa certifikátů. Klepnutím na položku požadovaného certifikátu se na horní liště i v nabídce pod tlačítkem se třemi tečkami zobrazí tlačítka Změnit PIN a Resetovat PIN.

Zmíněná dvě tlačítka se zobrazí, pouze pokud je nastaven způsob potvrzování pomocí PIN, nikoliv pomocí 602Key.
PIN lze resetovat výhradně na základě znalosti kódu PUK.
image126

Změna PINu

Příkazem Změnit PIN se otevře stejnojmenný dialog.

V něm do prvního pole zapíšete původní PIN a do dvou dalších polí nový PIN a nový PIN pro kontrolu. PIN se nahradí novým po stisku tlačítka Změnit PIN.

Dříve byla maximální délka PIN nebo PUK 15 znaků, nově je 64 znaků – splňuje tak Vyhlášku č. 82/2018 Sb. o kybernetické bezpečnosti.
image127

Reset PINu pomocí kódu PUK

Příkazem Resetovat PIN se otevře okno Resetovat PIN. Resetováním se rozumí vytvoření nového PIN kódu při jeho ztrátě za pomoci kódu PUK, který jste zadali pro tyto nouzové situace v žádosti o certifikát.

image128

V okně do prvního pole zapíšete kód PUK a do dvou dalších polí nový PIN a nový PIN pro kontrolu. PIN se resetuje po stisku tlačítka Resetovat PIN.

Změna způsobu potvrzování

Základní způsob potvrzování (autorizace) certifikátů je přes jejich PIN. To lze ale změnit tak, že si uživatel vyžádá potvrzování prostřednictvím aplikace 602Key v mobilním telefonu.

Podrobné informace o aplikaci 602Key – její instalaci a obsluze – najdete v kapitole Aplikace 602Key.

Metodu potvrzování lze změnit pomocí tlačítka Způsob potvrzování na nástrojové liště nebo stejnojmenného příkazu z nabídky otevřené tlačítkem se třemi tečkami.

image129

Pokud je třeba změnit potvrzování z PIN na 602Key, je zapotřebí zadat stávající hodnotu PIN.

image130

Po stisku tlačítka Změnit přijde po malé chvíli na mobilní telefon požadavek, abyste potvrdili změnu způsobu potvrzování operací na 602Key. Klepněte na tlačítko Přijmout.

image131

Změna způsobu potvrzování je operací je poté ohlášena zprávou Způsob potvrzování použití byl změněn v pohledu Správa certifikátů.

image132

Jestliže se budete chtít později vrátit k potvrzování pomocí kódu PIN, opět u položky certifikátu klepněte na tlačítko nebo příkaz Způsob potvrzování.

V dialogu Způsob potvrzování použití dvojmo zadejte novou hodnotu PIN pro přístup k certifikátu. Tato hodnota bude zcela nová a nemá žádnou spojitost s hodnotou, kterou jste zadávali při žádosti o nový certifikát nebo při žádosti o jeho prodloužení.

image133

Také zde je zapotřebí změnu potvrzování potvrdit na mobilním telefonu.

image134

Změna způsobu potvrzování je i zde ohlášena zprávou v zeleném rámečku.

image135

Export certifikátu

Potřebujete-li některý z certifikátů exportovat, přejděte v okně Certifikáty na pohled Správa certifikátů. Klepnutím na položku požadovaného certifikátu se na horní liště i v nabídce pod tlačítkem se třemi tečkami zobrazí položka Exportovat.

image136

Příkaz umožňuje exportovat veřejnou část certifikátu uloženého v HSM do souboru s příponou CER/CRT (formát DER). Lze tak např. nahrát do Portálu občana pro potřeby zápisu do ROB a následné právní domněnky fikce úředně ověřeného elektronického podpisu. Tím je splněn § 6 odst. 2 zákona č. 12/2020 Sb. o právu na digitální služby.

image137

Po stisku tlačítka Exportovat se veřejná část certifikátu exportuje a uloží do složky Stažené soubory (Downloads).

Import certifikátu

Do Sofa lze importovat certifikáty stojící mimo její systém HSM, tedy ze samostatných souborů. Importovaný certifikát se pak uloží na kvalifikovaný prostředek pod správou HSM systému Sofa.

Importovat lze pouze certifikáty obsahující privátní klíč (PFX, P12). Importovaný certifikát lze následně spravovat jako ostatní certifikáty v HSM a použít (dle typu) např. pro podepisování dokumentů, autentizaci k webovým stránkám nebo šifrování emailové zprávy.

Tato funkcionalita je k dispozici jen tehdy, pokud má vaše organizace povoleno importovat a zálohovat certifikáty
Importovaný kvalifikovaný podpis (např. od I.CA) může být hodnocen jako zaručený podpis založený na kvalifikovaném certifikátu. Postačuje pro běžný úřední styk.

V okně Certifikáty otevřete pohled Správa certifikátů. Na horní liště klepněte na tlačítko Importovat certifikát a v následně otevřené nabídce příkaz Importovat certifikát. Pokud není uživatel obsazen v roli Správce certifikátů, nabídka chybí a stačí jen klepnout na tlačítko na liště.

image138

V okně Importovat certifikát vyberte tlačítkem + Vybrat soubor s certifikátem požadovaný soubor certifikátu s privátním klíčem (přípona souboru .PFX nebo P12), který chcete importovat do kvalifikovaného prostředku služby a zaznamenat do seznamu certifikátů v Sofa.

image139

Abyste mohli vybraný certifikát importovat, musíte znát a zapsat do příslušných polí:

  • Heslo k privátnímu klíči importovaného certifikátu.

  • PIN certifikátu, který bude mít po importu.

  • PUK certifikátu, který bude mít po importu.

Certifikát se importuje včetně privátního klíče. Prostřednictvím voliče Umožnit pozdější export privátního klíče lze nastavením na Ano povolit, aby z importovaného certifikátu mohl být později proveden export včetně tohoto privátního klíče.

Úspěšný import certifikátu je oznámen zprávou v dialogu Importovat certifikát. Zde je také k dispozici tlačítko Zobrazit certifikát, jehož pomocí otevřete okno Vlastnosti.

image140

Položka zálohovaného certifikátu je od této chvíle viditelná v pohledu Správa certifikátů s indikací Importovaný ve sloupci Evidence.

image141

V okně Vlastnosti certifikátu nyní můžete voličem Typ nastavit popisný údaj, o jaký typ certifikátu se bude jednat.

image142

Zálohování certifikátu

Certifikáty uložené v souborech PFX, P12, CER či CRT lze zálohovat na kvalifikovaný prostředek do HSM systému Sofa. Zálohované certifikáty se zobrazují v seznamu ostatních certifikátů v Sofa; tam s nimi lze pracovat jako s jinými certifikáty.

Tato funkcionalita je k dispozici jen tehdy, pokud má vaše organizace povoleno importovat a zálohovat certifikáty. K jejímu využití musí být pak uživatel obsazen do role Správci certifikátů.

Potřebujete-li některý z certifikátů zálohovat, přejděte v okně Certifikáty na pohled Správa certifikátů. Na nástrojové liště klepněte na položku Importovat certifikát a v následně otevřené nabídce spusťte příkaz Zálohovat certifikát.

image143

Otevře se stejnojmenný dialog, ve kterém klepnutím na tlačítko Vybrat soubor s certifikátem vyhledejte soubor s certifikátem, který chcete zálohovat.

Pokud certifikát obsahuje privátní klíč, je třeba do pole Heslo k privátnímu klíči toto heslo zadat. V opačném případě pole zobrazeno není. Klepněte na tlačítko Zálohovat certifikát.

image144 image145

Úspěšné vytvoření zálohy je oznámeno zprávou Certifikát byl zálohován v dialogu Zálohovat certifikát.

image146

Tlačítkem Zobrazit certifikát se otevře okno Vlastnosti certifikátu (blíže viz kapitola Vlastnosti certifikátu).

Položka zálohovaného certifikátu je od této chvíle viditelná v pohledu Správa certifikátů s indikací Zálohovaný v HSM ve sloupci Evidence.

image147

Evidence certifikátu

Tato funkcionalita má sloužit v zásadě jen jako textová evidence certifikátů organizace, bez jakéhokoliv jejich fyzického vložení. Může to být užitečné třeba pro to, aby správce IT měl přehled, jaké má ve firmě certifikáty, kdo je vystavil, a především kdy expirují.

K využití této funkce musí být uživatel obsazen do role Správci certifikátů.

Potřebujete-li zaevidovat nějaký certifikát, přejděte v okně Certifikáty na pohled Správa certifikátů. Na horní liště klepněte na položku Importovat certifikát a v následně otevřené nabídce příkaz Evidovat certifikát.

image148

V dialogu Evidovat certifikát klepněte na tlačítko + Vybrat soubor s certifikátem a vyhledejte požadovaný certifikát, který chcete zaevidovat. Pokud certifikát obsahuje privátní klíč, je třeba ho zapsat do pole Heslo k privátnímu klíči. V opačném případě není pole zobrazeno.

Po výběru souboru v dialogu klepněte na tlačítko Evidovat certifikát.

image149 image150

Úspěšné zaevidování je oznámeno zprávou v dialogu. K dispozici máte i zde tlačítko Zobrazit certifikát, kterým můžete otevřít okno Vlastnosti certifikátu s popisem daného certifikátu.

image151

Certifikát bude v pohledu Správa certifikátů s indikací Evidovaný ve sloupci Evidence.

image152

U zaevidovaného certifikátu lze v okně Vlastnosti certifikátu dodatečně upravovat popis, poznámku správce, počet dní pro upozornění před vypršením certifikátu (poprvé a podruhé) a přílohu. Předchozí příloha se nahráním nové přílohy nevratně smaže.

Deaktivace a aktivace certifikátu

Platný a aktivní certifikát lze dočasně nebo trvale deaktivovat (například když jeho uživatel odejde z firmy). Klepnutím na položku požadovaného certifikátu se na nástrojové liště i v nabídce pod tlačítkem se třemi tečkami zobrazí položka Deaktivovat.

image153

Spuštěním příkazu se zobrazí dialog s dotazem, zda opravdu chcete certifikát deaktivovat. Pokud ano, klepněte na tlačítko Deaktivovat.

image154

Po deaktivaci se zobrazí rámeček se zprávou o úspěšně provedené akci.

Deaktivovaný certifikát má ve sloupci Stav indikaci Neaktivní. Příkaz a tlačítko Deaktivovat se změnily na Aktivovat.

image155

Pokud neaktivní certifikát chcete znovu aktivovat, klepněte na toto tlačítko nebo příkaz.

image156

Po potvrzení dotazu v dialogu Aktivovat je certifikát novu aktivován. Ve sloupci Stav je znovu indikátor Platný.

Uživatelé obsazení v roli administrátorů mohou deaktivovat (nebo aktivovat) i několik vybraných certifikátů najednou.

image157

Odstranění certifikátu

Přímo vymazat lze pouze importované, zálohované nebo evidované certifikáty. Lze rovněž vymazat HSM certifikáty, které mají stav Vypršelý.

Certifikát může vymazat pouze jeho vlastník.

K vymazání certifikátu je na nástrojové liště nebo v příkazové nabídce pohledu Správa certifikátů pod tlačítkem se třemi tečkami k dispozici položka Odstranit.

image158

Další postup záleží na tom, jaký má certifikát nastavený způsob potvrzování.

  • Pro způsob potvrzování PIN je pro odstranění certifikátu zapotřebí zadat příslušný PIN. Ten zapíšete do vstupního pole v dialogu Odstranit a stisknete stejnojmenné tlačítko.

  • Pro způsob potvrzování 602Key je pro odstranění certifikátu zapotřebí mít správně instalovanou a nastavenou aplikaci 602key. Po stisku tlačítka Odstranit ve stejnojmenném dialogu potvrdíte v této aplikaci svůj požadavek a certifikát bude vymazán.

image159 image160

Úspěšné odstranění certifikátu je oznámeno zprávou Certifikát byl odstraněn.

image161

Smazat lze rovněž certifikáty uživatele, které byly vytvořeny v systému (HSM). Ty bylo možné dosud pouze deaktivovat.

Ale i před vymazáním je nutné certifikát deaktivovat.

image162

Teprve pak se na nástrojové liště (mimo tlačítka Aktivovat) zobrazí tlačítko Odstranit.

image163

Vymazaný certifikát je v seznamu nyní veden s indikátorem Odstraněný ve sloupci Stav. S certifikátem nelze již dále nijak manipulovat ani jej nelze obnovit. Položky vymazaných certifikátů zůstávají stále zobrazené kvůli evidenci. Lze je „zneviditelnit“ nastavením vhodného filtru.

image164

Odvolání certifikátu

Certifikáty autorit PostSignum a I.CA lze, pokud je to zapotřebí, odvolat (revokovat). Certifikát může odvolat pouze jeho vlastník na základě znalosti sériového čísla a hesla pro zneplatnění (jsou součástí Protokolu o vydání certifikátu).

K odvolání certifikátů je k dispozici tlačítko Odvolat na nástrojové liště nebo stejnojmenné tlačítko v nabídce otevřené tlačítkem se třemi tečkami v položce certifikátu.

image165

Stiskem tlačítka nebo klepnutím na položku příkazu se otevře dialog Odvolat.

image166

Po stisku tlačítka Otevřít budete přesměrování na stránky příslušné certifikační autority. Zde postupujte podle zobrazených pokynů.

U odvolaného certifikátu se status ve sloupci Stav změní na Odvolaný a s certifikátem nelze již dále manipulovat.