Žádost o pečetící certifikát PostSignum či I.CA

V pohledu Správa certifikátů okna Certifikáty lze vytvořit žádost o kvalifikovaný certifikát pro elektronickou pečeť (vaší organizace) od kvalifikovaného poskytovatele služeb vytvářejících důvěru – PostSignum CA.

Pro vydání pečetícího certifikátu je zapotřebí:

Firma musí mít povolené vzdálené pečetění.
Mít instalovanou aplikaci FSE a vydaný kvalifikovaný certifikát pro podpis Žádosti o pečeť.
Mít vystavený komerční serverový certifikát pro autentizaci.

Uživatel žádající o pečetící certifikát musí být obsazen v roli Správci certifikátů.

Sestavení a odeslání žádosti

K vytvoření žádosti o pečetící certifikát je zapotřebí být obsazen do role Správce certifikátů. Pak ji můžete sestavit v pohledu Správa certifikátů okna Certifikáty po klepnutí na tlačítko + Požádat o pečetící certifikát.

Otevře se stejnojmenné okno pro sestavení žádosti.

Sestavení žádosti o pečetící certifikát

K žádosti budou připojeny vaše kontaktní údaje – (Titul) Jméno, Příjmení a Email. Údaje se převezmou z informací, které máte vyplněny v popisu svého účtu Sofa. Údaje budou při vydání certifikátu ověřeny proti předloženému osobnímu dokladu – pracovníkem České pošty na pobočce České pošty (PostSignum), případně pracovníkem v roli ERA (Externí registrační autority).

Povinně je třeba zadat Název pečeti (CN) a do pole Emailová adresa (E) e-mailovou adresu organizace nebo aplikace, kde se bude pečeť využívat – například v podatelně.

Do pole Organizační jednotka (OU) zadejte číslo nebo popis organizační jednotky, ve které je žadatel zařazen v rámci své organizace.

Pokud nastavíte volič Testovací pečeť na položku Ano, obsah okna se zjednoduší a bude interpretován jako žádost o testovací pečeť SignMaster – viz kapitola Vystavení pečetícího certifikátu SignMaster.

Dále budeme pokračovat pro případ, že žadatel nežádá o testovací pečeť.

Pokud nastavíte volič Dostupné přes Sofa API do polohy Ano, může uživatel vystupující jako žadatel vydanou kvalifikovanou pečeť kdykoliv zpřístupnit přes Sofa API. Pro tento účel se pro přístup k pečeti v HSM přidá autentizační certifikát aplikace Sofa. Aplikace (většinou třetích stran) pak mohou volat Sofa API, kterému pošlou dokument, jenž se jim vrátí pečetěný danou kvalifikovanou pečetí.

Někdy může být ještě zastoupeno pole voliče Vytvořit víceletý certifikát. Vytvoření víceletého certifikátu pečeti je možné, jen pokud má tuto možnost firma sjednanou s příslušnou certifikační autoritou. V opačném případě pole Vytvořit víceletý certifikát není uvedeno a platnost pečetícího certifikátu je vždy jeden rok.

Zadání dvojic hodnot PIN a PUK je povinné. Při autorizaci pomocí autentizačního certifikátu je zapotřebí zadat PIN při zadání, změně nebo odebrání tohoto autentizačního certifikátu.

Hodnota PUK slouží pro reset kódu PIN (např. v případě, že PIN zapomenete).

Zaškrtnutím políčka v dolní části karty potvrďte souhlas s umístěním soukromého klíče do kvalifikovaného prostředku (blíže viz odkaz Podrobnosti).

Autentizace pečetícího certifikátu

Autentizace pečeti může být zajištěna buď pomocí tzv. autentizačního certifikátu nebo pomocí zadaného kódu PIN. Způsob autentizace se nastavuje mimo uživatelské prostředí Sofa.

Pokud je nastavena autentizace certifikátem, je třeba v sekci Autentizační certifikát zvolit soubor s komerčním (nikoliv kvalifikovaným) serverovým certifikátem od kvalifikovaného poskytovatele certifikačních služeb PostSignum nebo I.CA. Stačí vybrat jen veřejnou část certifikátu (CER, CRT, DER).

Certifikát vyberete v dialogu otevřeném tlačítkem + Vybrat soubor s certifikátem.

Jako autentizační nelze použít libovolný certifikát. Musí být vystaven podporovanou certifikační autoritou a být typu komerční serverový, případně komerční osobní.

Odeslání žádosti

Nyní lze žádost tlačítkem Požádat odeslat. V následujícím okénku klepněte na tlačítko Otevřít formulář.

Otevře se formulář agendy Vygenerování a odeslání žádosti o pečetící certifikát. Pole formuláře jsou vyplněné daty vygenerovanými z výše vyplněné žádosti a z popisu uživatele i organizace v Sofa.

Do pole Číslo smlouvy (což je jediné editovatelné pole) se povinně zadává číslo smlouvy, kterou má organizace uzavřenou s PostSignum CA.

Formulář žádosti u certifikační autority I.CA je prakticky shodný s formulářem žádosti u PostSignum, liší se jen názvem v poli Certifikační autorita.

Všimněte si, že v horní části je uveden needitovatelný údaj Typ autentizace.

Pokud je nastavena autentizace certifikátem, je zde oproti autentizaci pomocí PIN navíc trojice polí s údaji o nastaveném certifikátu.

Žadatel údaje zkontroluje a stiskne tlačítko Vygenerovat a podepsat PDF s žádostí.

Následně se mu přes aplikaci FormApps Signing Extension nabídne výběr certifikátu (z úložiště Windows nebo tokenu) pro podpis žádosti. K tomu je zapotřebí mít instalovaný doplněk s touto aplikací. Pokud doplněk není k dispozici (nebo není aktuální), nabídne se průvodce k jeho instalaci.

Po vygenerování a podpisu PDF se žádostí žadatel ve formuláři agendy klepne na tlačítko Odeslat žádost. Ještě před tím si může žádost stáhnout (a vytisknout) klepnutím na tlačítko Stáhnout ().

Žádost je odeslána a formulář agendy je možné uzavřít.

Odeslanou žádost musí posoudit a potvrdit odpovědný operátor ERA (Externí Registrační Autorita) – pokud otevřete v okně Certifikáty pohled Žádosti, vidíte ve sloupci Stav indikaci Čeká na potvrzení ERA.

Smazání žádosti před jejím schválením

Sestavenou, ale dosud neschválenou žádost o pečetící certifikát lze ze seznamu požadavků vymazat. Tato možnost je tedy k dispozici jen tehdy, pokud má položka žádosti ve sloupci Stav indikátor Čeká na potvrzení ERA.

V tomto stavu je u položky žádosti k dispozici tlačítko Odstranit – jak na nástrojové liště, tak v nabídce otevřené tlačítkem se třemi tečkami. Žádost o pečeť je anulována a její položka je odstraněna ze seznamu v pohledu Žádosti.

Přijetí schválené pečeti

Po dobu schvalování žádosti odpovědným ERA operátorem je u její položky v pohledu Žádosti ve sloupci Stav indikátor Čeká na vydání.

Po schválení žádosti je možné vydanou pečeť přijmout. V pohledu Žádosti okna Certifikáty vidíte v položce pečeti připravené na přijetí ve sloupci Stav indikátor Připravený na přijetí. Na horní liště i v nabídce otevřené tlačítkem se třemi tečkami je nyní příkaz Přijmout certifikát.

Klepnutím na příkaz nebo tlačítko budete vyzváni k potvrzení přijetí vydaného certifikátu. Jeho úspěšný import je pak oznámen zprávou s možností zobrazení informací o příslušném certifikátu.

Položka v pohledu Žádosti má od této chvíle ve sloupci Stav indikátor Uzavřený. Položku pečeti připravené k použití lze nadále najít v pohledu Správa certifikátů v okně Certifikáty.

Prodloužení platnosti pečetícího certifikátu

Od verze Sofa 5.4 byl zjednodušen postup žádosti o prodloužení platnosti pečetícího certifikátu. Postup je obdobný prodlužování platnosti podpisových certifikátů.

Předpokládejme, že uživatel má pečeť, která je v jeho vlastnictví, a potřebuje prodloužit její platnost. Pak po označení řádku s touto pečetí v pohledu Certifikáty – Správa certifikátů vidí na nástrojové liště tlačítko Prodloužit.

Klepnutím na toto tlačítko se otevře okno Žádost o následný kvalifikovaný certifikát pro elektronickou pečeť. Okno je v podstatě stejné pro autoritu PostSignum i autoritu I.CA.

Postup sestavení žádosti je podobný jako při žádosti o novou pečeť. Políčko pro souhlas s umístěním soukromého klíče do kvalifikovaného prostředku (HSM) je v tomto případě zaškrtnuto implicitně.

Způsob potvrzování může být buď pomocí kódu PIN pečeti s končící platností (zadává se do pole PIN původního certifikátu) nebo autentizačním certifikátem (pole PIN původního certifikátu chybí, zadá se soubor s certifikátem pro autentizaci).

Po stisku tlačítka Prodloužit je potvrzeno sestavení žádosti a v dialogu Prodloužit klepněte na tlačítko Otevřít formulář.

Tím se spustí agenda pro prodloužení platnosti pečeti. Pokud je vydavatelem pečeti certifikační autorita PostSignum, pokračujte podle kapitoly Agenda pro prodloužení platnosti pečeti od PostSignum.

Agenda pro prodloužení platnosti pečeti od I.CA

Otevře se okno Pečetící certifikát, kde je zobrazen kompletní formulář žádosti o prodloužení certifikátu.

Důležité je do pole Číslo smlouvy správně vyplnit číslo smlouvy, kterou máte uzavřenou s certifikační autoritou.

Stiskněte tlačítko Vygenerovat a podepsat PDF s žádostí. Po podpisu je podepsaný soubor zobrazen v protokolu žádosti.

Podepsaný PDF soubor se žádostí pak můžete zkontrolovat, a je-li vše v pořádku, odeslat.

Po vyřízení žádosti pokračujte podle kapitoly Přijetí pečeti po vyřízení žádosti.

Agenda pro prodloužení platnosti pečeti od PostSignum

Tím otevřete okno Pečetící certifikát, kde je zobrazen kompletní formulář žádosti o prodloužení certifikátu.

Žádost o prodloužení pečeti PostSignum smí být podepsána pouze kvalifikovaným certifikátem vydaným touto autoritou.

Osoba žadatele je totožná s osobou vlastníka pečeti

Je-li osoba žadatele totožná s osobou, pro kterou byla pečeť vydána, vyplňte v okně Pečetící certifikát pouze číslo smlouvy, kterou máte uzavřenou s PostSignum, a pak klepněte na tlačítko Vygenerovat a podepsat žádost.

V následujícím okně vygenerovanou žádost ve formátu PDF podepíše žadatel svým kvalifikovaným elektronickým podpisem PostSignum vybraným pomocí voliče Vybraný certifikát k podpisu.

Dokument se podepíše stiskem tlačítka Podepsat dokumenty.

Přejdete opět do okna Pečetící certifikát, kde můžete podepsaný PDF soubor se žádostí v sekci Protokol o vydání certifikátu pro kvalifikovanou pečeť ke stažení zkontrolovat. K dispozici jsou obvyklé prostředky pro zobrazení dokumentu a náhled na jeho obsah.

Je-li vše v pořádku, žádost odešlete tlačítkem Odeslat žádost.

Žádost se odešle ke zpracování. Pokračujte podle kapitoly Přijetí pečeti po vyřízení žádosti.

Osoba žadatele není totožná s osobou vlastníka pečeti

Může nastat situace, že pečeť byla vydána pro jiného oprávněného uživatele, než je osoba aktuálního žadatele. Navíc tento uživatel může být buď interní (je zaveden v Sofa) nebo externí. V tom případě v okně Pečetící certifikát zaškrtněte políčko Pokud byla vydána pečeť na jiného oprávněného žadatele zvolte prosím tuto možnost.

Ve formuláři otevřeném v okně Pečetící certifikát je v tomto případě potřeba do červeně orámovaných polí doplnit tyto hodnoty:

číslo smlouvy s PostSignum,
IČO,
název organizace,
jméno a příjmení,
kontaktní email (je vyplňován automaticky),

musí být v Sofa shodné s atributy v podepisujícím certifikátu a zároveň se musí shodovat s informacemi v ERA portálu u žádající osoby. Pokud tomu tak není, je zapotřebí upravit informace v popisované agendě o prodloužení pečeti.

Jedná-li se o interního žadatele, vyhledejte jeho jméno pomocí voliče Vyberte žadatele ze seznamu.
Pokud se jedná o externího žadatele, zaškrtněte políčko Externí a do pole Zadejte email žadatele zapište jeho adresu elektronické pošty (bude tam doručena notifikace o prodloužení pečeti).

Vpravo dole stiskněte tlačítko Vygenerovat PDF s žádostí.

Žádost je vygenerována a zobrazena ve formuláři. Dosud nepodepsaný protokol o vydání certifikátu lze v sekci v sekci Protokol o vydání certifikátu pro kvalifikovanou pečeť ke stažení zobrazit i stáhnout.

Protože se jedná o žádost o prodloužení pečeti jiného oprávněného žadatele, je na tlačítku pro další zpracování popis Předat ke zpracování. Žádost musí zpracovat vlastník prodlužované pečeti.

Pokud se jedná o interního uživatele specifikovaného pomocí voliče Vyberte žadatele ze seznamu (tedy vlastníka pečeti):

Dostane elektronickou poštou notifikační zprávu o potřebě zpracování agendy pro prodloužení platnosti pečeti.

Žádost otevře pomocí odkazu v notifikaci nebo přímo v aplikaci Sofa z pohledu Agendy – K vyřízení.

prodlouzeni peceti interni otevreni odkazu

Pokud se jedná o externího uživatele:

Dostane notifikační zprávu stejnou jako dostal výše popsaný interní uživatel.
Po klepnutí na odkaz v notifikaci se v prohlížeči otevře dialog Ověření přístupu, ve kterém klepne na tlačítko Ověřit přístup.

Poté je informován, že mu do schránky elektronické pošty přijde notifikační zpráva s jednorázovým a časově omezeným odkazem pro přístup k agendě pro prodloužení platnosti pečeti.

V notifikační zprávě je odkaz pro otevření agendy. Ten je ještě nutno potvrdit tlačítkem v posledním dotazu.

Další postup je shodný pro interní i externí uživatele.

V sekci Protokol o vydání certifikátu pro kvalifikovanou pečeť ke stažení si může vlastník pečeti prohlédnout (stáhnout) protokol o vydání certifikátu.

Jestliže pečeť z jakéhokoliv důvodu prodloužit nechce, klepnutím na tlačítko Odmítnout celou akci po potvrzení bezpečnostního dotazu nevratně zruší.

Pokud ovšem platnost pečeti prodloužit chce, má dvě možnosti:

Přejde klepnutím na tlačítko Podepsat do obvyklého okna pro podepisování dokumentů, kde žádost potvrdí svým podpisem. Poté se znovu zobrazí celý formulář žádosti, kde si lze znovu prohlédnout nebo stáhnout celou žádost, tentokrát podepsanou.
Zaškrtne políčko Soubor s protokolem o vydání certifikátu byl podepsaným jiným způsobem pomocí kvalifikovaného certifikátu a po stisku tlačítka Vložit podepsaný protokol připojí k žádosti podepsaný PDF dokument s protokolem o vydání certifikátu. Jedná se o protokol zaslaný spolu s novou (nebo naposledy prodlouženou) pečetí.

V obou případech se tlačítkem Odeslat protokol podepsaná žádost pošle k vyřízení.

Přijetí pečeti po vyřízení žádosti

Pečeť s prodlouženou platností po vyřízení žádosti přijmete stejným způsobem jako výchozí (původní) pečeť.

Doba vyřízení žádosti se může lišit podle toho, zda je žádost u certifikační autority vyřizována automaticky (I.CA) nebo manuálně (PostSignum).

Změny v notifikacích od v. 5.4

Pokud uživatel požádá o certifikát, následně administrátorovi přijde elektronickou poštou notifikační zpráva s odkazem.

Klepnutím na odkaz ve zprávě se administrátorovi otevře dialog Zpracovat žádost. V něm rovnou může administrátor žádost schválit nebo zamítnout.

Pokud by administrátor v dialogu klepl na tlačítko Zrušit, uvidí žádost v pohledu Certifikáty – Žádosti s filtrem nastaveným tak, že vidí pouze položku této žádosti.

Zde může žádost obvyklým způsobem zpracovat nebo odstranit. Nakonec filtrování zruší klepnutím na tlačítko Zrušit filtrování zapnuté odkazem.