Žádost o pečetící certifikát PostSignum či I.CA

V pohledu Správa certifikátů okna Certifikáty lze vytvořit žádost o kvalifikovaný certifikát pro elektronickou pečeť (vaší organizace) od kvalifikovaného poskytovatele služeb vytvářejících důvěru – PostSignum CA.

Pro vydání pečetícího certifikátu je zapotřebí:

  • Firma musí mít povolené vzdálené pečetění.

  • Mít instalovanou aplikaci FSE a vydaný kvalifikovaný certifikát pro podpis Žádosti o pečeť.

  • Mít vystavený komerční serverový certifikát pro autentizaci.

Uživatel žádající o pečetící certifikát musí být obsazen v roli Správci certifikátů.

Sestavení a odeslání žádosti

K vytvoření žádosti o pečetící certifikát je zapotřebí být obsazen do role Správce certifikátů. Pak ji můžete sestavit v pohledu Správa certifikátů okna Certifikáty po klepnutí na tlačítko + Požádat o pečetící certifikát.

image78

Otevře se stejnojmenné okno pro sestavení žádosti.

Sestavení žádosti o pečetící certifikát

K žádosti budou připojeny vaše kontaktní údaje – (Titul) Jméno, Příjmení a Email. Údaje se převezmou z informací, které máte vyplněny v popisu svého účtu Sofa. Údaje budou při vydání certifikátu ověřeny proti předloženému osobnímu dokladu – pracovníkem České pošty na pobočce České pošty (PostSignum), případně pracovníkem v roli ERA (Externí registrační autority).

Povinně je třeba zadat Název pečeti (CN) a do pole Emailová adresa (E) e-mailovou adresu organizace nebo aplikace, kde se bude pečeť využívat – například v podatelně.

Do pole Organizační jednotka (OU) zadejte číslo nebo popis organizační jednotky, ve které je žadatel zařazen v rámci své organizace.

Pokud nastavíte volič Testovací pečeť na položku Ano, obsah okna se zjednoduší a bude interpretován jako žádost o testovací pečeť SignMaster – viz kapitola Vystavení pečetícího certifikátu SignMaster.

image79

Dále budeme pokračovat pro případ, že žadatel nežádá o testovací pečeť.

Pokud nastavíte volič Dostupné přes Sofa API do polohy Ano, může uživatel vystupující jako žadatel vydanou kvalifikovanou pečeť kdykoliv zpřístupnit přes Sofa API. Pro tento účel se pro přístup k pečeti v HSM přidá autentizační certifikát aplikace Sofa. Aplikace (většinou třetích stran) pak mohou volat Sofa API, kterému pošlou dokument, jenž se jim vrátí pečetěný danou kvalifikovanou pečetí.

Někdy může být ještě zastoupeno pole voliče Vytvořit víceletý certifikát. Vytvoření víceletého certifikátu pečeti je možné, jen pokud má tuto možnost firma sjednanou s příslušnou certifikační autoritou. V opačném případě pole Vytvořit víceletý certifikát není uvedeno a platnost pečetícího certifikátu je vždy jeden rok.

Zadání dvojic hodnot PIN a PUK je povinné. Při autorizaci pomocí autentizačního certifikátu je zapotřebí zadat PIN při zadání, změně nebo odebrání tohoto autentizačního certifikátu.

Hodnota PUK slouží pro reset kódu PIN (např. v případě, že PIN zapomenete).

Autentizace pečetícího certifikátu

Autentizace pečeti může být zajištěna buď pomocí tzv. autentizačního certifikátu nebo pomocí zadaného kódu PIN. Způsob autentizace se nastavuje mimo uživatelské prostředí Sofa.

Pokud je nastavena autentizace certifikátem, je třeba v sekci Autentizační certifikát zvolit soubor s komerčním (nikoliv kvalifikovaným) serverovým certifikátem od kvalifikovaného poskytovatele certifikačních služeb PostSignum nebo I.CA. Stačí vybrat jen veřejnou část certifikátu (CER, CRT, DER).

Certifikát vyberete v dialogu otevřeném tlačítkem + Vybrat soubor s certifikátem.

image81
Jako autentizační nelze použít libovolný certifikát. Musí být vystaven podporovanou certifikační autoritou a být typu komerční serverový, případně komerční osobní.

Odeslání žádosti

Nyní lze žádost tlačítkem Požádat odeslat. V následujícím okénku klepněte na tlačítko Otevřít formulář.

image83

Otevře se formulář agendy Vygenerování a odeslání žádosti o pečetící certifikát. Pole formuláře jsou vyplněné daty vygenerovanými z výše vyplněné žádosti a z popisu uživatele i organizace v Sofa.

Do pole Číslo smlouvy (což je jediné editovatelné pole) se povinně zadává číslo smlouvy, kterou má organizace uzavřenou s PostSignum CA.

Formulář žádosti u certifikační autority I.CA je prakticky shodný s formulářem žádosti u PostSignum, liší se jen názvem v poli Certifikační autorita.

image84

Všimněte si, že v horní části je uveden needitovatelný údaj Typ autentizace.

Pokud je nastavena autentizace certifikátem, je zde oproti autentizaci pomocí PIN navíc trojice polí s údaji o nastaveném certifikátu.

image85

Žadatel údaje zkontroluje a stiskne tlačítko Vygenerovat a podepsat PDF s žádostí.

Následně se mu přes aplikaci FormApps Signing Extensions nabídne výběr certifikátu (z úložiště Windows nebo tokenu) pro podpis žádosti. K tomu je zapotřebí mít instalovaný doplněk s touto aplikací. Pokud doplněk není k dispozici (nebo není aktuální), nabídne se průvodce k jeho instalaci.

image86

Po vygenerování a podpisu PDF se žádostí žadatel ve formuláři agendy klepne na tlačítko Odeslat žádost. Ještě před tím si může žádost stáhnout (a vytisknout) klepnutím na tlačítko Stáhnout (image87).

image88

Žádost je odeslána a formulář agendy je možné uzavřít.

image89

Odeslanou žádost musí posoudit a potvrdit odpovědný operátor ERA (Externí Registrační Autorita) – pokud otevřete v okně Certifikáty pohled Žádosti, vidíte ve sloupci Stav indikaci Čeká na potvrzení ERA.

Smazání žádosti před jejím schválením

Sestavenou, ale dosud neschválenou žádost o pečetící certifikát lze ze seznamu požadavků vymazat. Tato možnost je tedy k dispozici jen tehdy, pokud má položka žádosti ve sloupci Stav indikátor Čeká na potvrzení ERA.

image90

V tomto stavu je u položky žádosti k dispozici tlačítko Odstranit – jak na nástrojové liště, tak v nabídce otevřené tlačítkem se třemi tečkami. Žádost o pečeť je anulována a její položka je odstraněna ze seznamu v pohledu Žádosti.

Přijetí schválené pečeti

Po dobu schvalování žádosti odpovědným ERA operátorem je u její položky v pohledu Žádosti ve sloupci Stav indikátor Čeká na vydání.

image91

Po schválení žádosti je možné vydanou pečeť přijmout. V pohledu Žádosti okna Certifikáty vidíte v položce pečeti připravené na přijetí ve sloupci Stav indikátor Připravený na přijetí. Na horní liště i v nabídce otevřené tlačítkem se třemi tečkami je nyní příkaz Přijmout certifikát.

image92

Klepnutím na příkaz nebo tlačítko budete vyzváni k potvrzení přijetí vydaného certifikátu. Jeho úspěšný import je pak oznámen zprávou s možností zobrazení informací o příslušném certifikátu.

image93 image94

Položka v pohledu Žádosti má od této chvíle ve sloupci Stav indikátor Uzavřený. Položku pečeti připravené k použití lze nadále najít v pohledu Správa certifikátů v okně Certifikáty.

image95

Prodloužení platnosti pečeti

Od verze Sofa 5.4 byl zjednodušen postup žádosti o prodloužení platnosti pečeti. Postup je obdobný prodlužování platnosti podpisových certifikátů.

Předpokládejme, že uživatel má pečeť, která je v jeho vlastnictví, a potřebuje prodloužit její platnost. Pak po označení řádku s touto pečetí v pohledu CertifikátySpráva certifikátů vidí na nástrojové liště tlačítko Prodloužit.

prodlouzeni peceti9

Klepnutím na toto tlačítko se otevře okno Žádost o následný elektronický certifikát pro následnou pečeť.

Postup je podobný jako při žádosti o novou pečeť.

prodlouzeni peceti0

Způsob potvrzování může být buď pomocí kódu PIN (zadává se do pole PIN původního certifikátu) nebo autentizačním certifikátem (pole PIN původního certifikátu chybí, zadá se soubor s certifikátem pro autentizaci).

Po stisku tlačítka Prodloužit se spustí agenda pro prodloužení platnosti pečeti. Je potvrzeno sestavení žádosti a v dialogu s dotazem, zda chcete platnost pečeti opravdu prodloužit, klepněte na tlačítko Otevřít formulář.

prodlouzeni peceti1

Tím otevřete okno Pečetící certifikát, kde je zobrazen kompletní formulář žádosti o prodloužení certifikátu.

prodlouzeni peceti2

Důležité je do pole Číslo smlouvy správně vyplnit číslo smlouvy, kterou máte uzavřenou s certifikační autoritou.

Stiskněte tlačítko Vygenerovat a podepsat PDF s žádostí.

prodlouzeni peceti3

Podepsaný PDF soubor se žádostí pak můžete zkontrolovat, a je-li vše v pořádku, odeslat.

Žádost o prodloužení pečeti musí být podepsána pouze podpisem od autority, která je shodná s autoritou pečeti, o kterou žádáte. To znamená, že žádáte-li o pečeť od PostSignum, je třeba žádost podepsat kvalifikovaným certifikátem vydaným autoritou PostSignum; žádáte-li o pečeť od I.CA, je nutné podepsat podpisem vydaným I.CA.

Prodlouženou pečeť pak po vyřízení žádosti přijmete stejným způsobem jako výchozí (původní) pečeť.

prodlouzeni peceti4
Doba vyřízení žádosti se může lišit podle toho, zda je žádost u certifikační autority vyřizována automaticky (I.CA) nebo manuálně (PostSignum).

Změny v notifikacích od v. 5.4

Pokud uživatel požádá o certifikát, následně administrátorovi přijde elektronickou poštou notifikační zpráva s odkazem.

notifikace545

Klepnutím na odkaz ve zprávě se administrátorovi otevře dialog Zpracovat žádost. V něm rovnou může administrátor žádost schválit nebo zamítnout.

notifikace546

Pokud by administrátor v dialogu klepl na tlačítko Zrušit, uvidí žádost v pohledu CertifikátyŽádosti s filtrem nastaveným tak, že vidí pouze položku této žádosti.

notifikace547

Zde může žádost obvyklým způsobem zpracovat nebo odstranit. Nakonec filtrování zruší klepnutím na tlačítko Zrušit filtrování zapnuté odkazem.