Žádost o pečetící certifikát PostSignum

V pohledu Správa certifikátů okna Certifikáty lze vytvořit žádost o kvalifikovaný certifikát pro elektronickou pečeť (vaší organizace) od kvalifikovaného poskytovatele služeb vytvářejících důvěru – PostSignum CA.

Pro vydání pečetícího certifikátu je zapotřebí:

Firma musí mít povolené vzdálené pečetění.
Mít instalovanou aplikaci FSE a vydaný kvalifikovaný certifikát pro podpis Žádosti o pečeť.
Mít vystavený komerční serverový certifikát pro autentizaci.

Uživatel žádající o pečetící certifikát musí být obsazen v roli Správci certifikátů.

Sestavení a odeslání žádosti

K vytvoření žádosti o pečetící certifikát je zapotřebí být obsazen do role Správce certifikátů. Pak ji můžete sestavit v pohledu Správa certifikátů okna Certifikáty po klepnutí na tlačítko Nový pečetící certifikát.

Otevře se stejnojmenné okno pro sestavení žádosti.

Sestavení žádosti o pečetící certifikát

K žádosti budou připojeny vaše kontaktní údaje – (Titul) Jméno, Příjmení a Email. Údaje se převezmou z informací, které máte vyplněny v popisu svého účtu Sofa. Údaje budou při vydání certifikátu ověřeny proti předloženému osobnímu dokladu – pracovníkem České pošty na pobočce České pošty (PostSignum), případně pracovníkem v roli ERA (Externí registrační autority).

Povinně je třeba zadat Název pečeti (CN) a do pole Emailová adresa (E) e-mailovou adresu organizace nebo aplikace, kde se bude pečeť využívat – například v podatelně.

Do pole Organizační jednotka (OU) zadejte číslo nebo popis organizační jednotky, ve které je žadatel zařazen v rámci své organizace.

Pokud nastavíte volič Testovací pečeť na položku Ano, obsah okna se zjednoduší a bude interpretován jako žádost o testovací pečeť SignMaster – viz kapitola Žádost o pečetící certifikát SignMaster.

Pokud nastavíte volič Dostupné přes Sofa API do polohy Ano, může uživatel vystupující jako žadatel vydanou kvalifikovanou pečeť kdykoliv zpřístupnit přes Sofa API. Pro tento účel se pro přístup k pečeti v HSM přidá autentizační certifikát aplikace Sofa. Aplikace (většinou třetích stran) pak mohou volat Sofa API, kterému pošlou dokument, jenž se jim vrátí pečetěný danou kvalifikovanou pečetí.

Někdy může být ještě zastoupeno pole voliče Vytvořit víceletý certifikát. Vytvoření víceletého certifikátu pečeti je možné, jen pokud má tuto možnost firma sjednanou s příslušnou certifikační autoritou. V opačném případě pole Vytvořit víceletý certifikát není uvedeno a platnost pečetícího certifikátu je vždy jeden rok.

Zadání dvojic hodnot PIN a PUK je povinné. Při autorizaci pomocí autentizačního certifikátu je zapotřebí zadat PIN při zadání, změně nebo odebrání tohoto autentizačního certifikátu.

Hodnota PUK slouží pro reset kódu PIN (např. v případě, že PIN zapomenete).

Zaškrtnutím políčka v dolní části karty potvrďte souhlas s umístěním soukromého klíče do kvalifikovaného prostředku (blíže viz odkaz Podrobnosti).

Autentizace pomocí certifikátu

Autentizace pečeti může být vedle kódu PIN ještě nepovinně zajištěna pomocí tzv. autentizačního certifikátu. Tato možnost se zpřístupňuje mimo uživatelské prostředí Sofa.

Pokud je povolena autentizace certifikátem, je třeba v sekci Autentizační certifikát zvolit soubor s komerčním (nikoliv kvalifikovaným) serverovým certifikátem od kvalifikovaného poskytovatele certifikačních služeb PostSignum. Stačí vybrat jen veřejnou část certifikátu (CER, CRT, DER).

Certifikát vyberete pomocí standardního systémového dialogu pro výběr souborů v poli Autentizační certifikát.

Ještě jednou zdůrazněme, že jako autentizační nelze použít libovolný certifikát. Musí být vystaven podporovanou certifikační autoritou a být typu komerční serverový, případně komerční osobní.

Odeslání žádosti

Nyní lze žádost tlačítkem Požádat odeslat. V následujícím okénku klepněte na tlačítko Otevřít formulář.

Otevře se formulář Pečetící certifikát. Pole formuláře jsou vyplněné daty vygenerovanými z výše vyplněné žádosti a z popisu uživatele i organizace v Sofa.

Do pole Číslo smlouvy (což je jediné editovatelné pole) se povinně zadává číslo smlouvy, kterou má organizace uzavřenou s PostSignum CA.

Všimněte si, že v horní části je uveden needitovatelný údaj Typ autentizace.

Pokud je nastavena autentizace certifikátem, je zde navíc trojice polí s údaji o vybraném certifikátu.

Žadatel údaje zkontroluje a stiskne tlačítko Vygenerovat a podepsat PDF s žádostí.

Po vygenerování dokumentu se žádostí je zapotřebí tento dokument podepsat. K tomu použijete okno analogické tomu, které se používá při podepisování v agendě SignPoint.

K podpisu můžete využít libovolný z dostupných certifikátů – lze jej nastavit v pravé části okna v sekci Vybraný certifikát k podpisu.

Pokud mezi certifikáty nevidíte své lokální certifikáty, klepněte na odkaz zde pod polem pro výběr certifikátu.

V levé části okna je umístěn „placeholder“, který ukazuje, kam bude umístěna vizualizace podpisu. Pokud chcete vzhled vizualizace změnit (a je to v rámci organizace povoleno), klepněte na odkaz zde v pravé části okna pod obrázkem vizualizovaného podpisu. Změněný obrázek je potřeba aktualizovat v levé části okna s náhledem na dokument žádosti.

Klepněte na tlačítko Podepsat dokumenty. Vrátíte se do formuláře Pečetící certifikát. Na jeho konci přibyla položka podepsané žádosti; můžete si ji prohlédnout (klepnutím a název souboru nebo tlačítkem Náhled a případně i stáhnout jako soubor do počítače. Tlačítkem Odeslat žádost formulář odešlete ke zpracování.

Odeslanou žádost musí posoudit a potvrdit odpovědný operátor ERA (Externí Registrační Autorita) – pokud otevřete v okně Certifikáty pohled Žádosti, vidíte ve sloupci Stav indikaci Čeká na potvrzení ERA.

Smazání žádosti před jejím schválením

Sestavenou, ale dosud neschválenou žádost o pečetící certifikát lze ze seznamu požadavků vymazat. Tato možnost je tedy k dispozici jen tehdy, dokud má položka žádosti ve sloupci Stav indikátor Čeká na potvrzení ERA.

V tomto stavu je u položky žádosti k dispozici tlačítko Odstranit – jak na nástrojové liště, tak v nabídce otevřené tlačítkem se třemi tečkami. Žádost o pečeť je anulována a její položka je odstraněna z pohledu Žádosti.

Po dobu schvalování žádosti odpovědným ERA operátorem je u její položky v pohledu Žádosti ve sloupci Stav indikátor Čeká na potvrzení ERA.

Přijetí žádosti certifikační autoritou

Jakmile je žádost o vystavení pečetícího certifikátu přijata certifikační autoritou, dostanete o tom notifikační zprávu elektronickou poštou.

Součástí zprávy je rozepsaný postup, jak vydání certifikátu dokončit.

Přijetí schválené pečeti

Po schválení žádosti je možné vydanou pečeť přijmout. V pohledu Žádosti okna Certifikáty vidíte v položce pečeti připravené na přijetí ve sloupci Stav indikátor Připravený na přijetí. Na horní liště i v nabídce otevřené tlačítkem se třemi tečkami je nyní příkaz Přijmout certifikát.

Klepnutím na příkaz nebo tlačítko budete vyzváni k potvrzení přijetí vydaného certifikátu. Jeho úspěšný import je pak oznámen zprávou s možností zobrazení informací o příslušném certifikátu.

Položka v pohledu Žádosti má od této chvíle ve sloupci Stav indikátor Uzavřený. Položku pečeti připravené k použití lze nadále najít v pohledu Správa certifikátů v okně Certifikáty.

Prodloužení platnosti pečetícího certifikátu

Od verze Sofa 5.4 byl zjednodušen postup žádosti o prodloužení platnosti pečetícího certifikátu. Postup je obdobný prodlužování platnosti podpisových certifikátů.

Předpokládejme, že uživatel má pečeť, která je v jeho vlastnictví, a potřebuje prodloužit její platnost. Pak po označení řádku s touto pečetí v pohledu Certifikáty – Správa certifikátů vidí na nástrojové liště tlačítko Prodloužit.

Klepnutím na toto tlačítko se otevře okno Žádost o následný kvalifikovaný certifikát pro elektronickou pečeť.

Postup sestavení žádosti je podobný jako při žádosti o novou pečeť. Políčko pro souhlas s umístěním soukromého klíče do kvalifikovaného prostředku (HSM) je v tomto případě zaškrtnuto implicitně.

Způsob potvrzování může být buď pomocí kódu PIN pečeti s končící platností (zadává se do pole PIN původního certifikátu) nebo autentizačním certifikátem (pole PIN původního certifikátu chybí, zadá se soubor s certifikátem pro autentizaci).

Po stisku tlačítka Prodloužit je potvrzeno sestavení žádosti a v dialogu Prodloužit klepněte na tlačítko Otevřít formulář.

Tím se spustí agenda pro prodloužení platnosti pečeti.

Agenda pro prodloužení platnosti pečeti od PostSignum

Tím otevřete okno Pečetící certifikát, kde je zobrazen kompletní formulář žádosti o prodloužení certifikátu.

Žádost o prodloužení pečeti PostSignum smí být podepsána pouze kvalifikovaným certifikátem vydaným touto autoritou.

Osoba žadatele je totožná s osobou vlastníka pečeti

Je-li osoba žadatele totožná s osobou, pro kterou byla pečeť vydána, vyplňte v okně Pečetící certifikát pouze číslo smlouvy, kterou máte uzavřenou s PostSignum, a pak klepněte na tlačítko Vygenerovat a podepsat žádost.

V následujícím okně vygenerovanou žádost ve formátu PDF podepíše žadatel svým kvalifikovaným elektronickým podpisem PostSignum vybraným pomocí voliče Vybraný certifikát k podpisu.

Dokument se podepíše stiskem tlačítka Podepsat dokumenty.

Přejdete opět do okna Pečetící certifikát, kde můžete podepsaný PDF soubor se žádostí v sekci Protokol o vydání certifikátu pro kvalifikovanou pečeť ke stažení zkontrolovat. K dispozici jsou obvyklé prostředky pro zobrazení dokumentu a náhled na jeho obsah.

Je-li vše v pořádku, žádost odešlete tlačítkem Odeslat žádost.

Žádost se odešle ke zpracování. Pokračujte podle kapitoly Přijetí pečeti po vyřízení žádosti.

Osoba žadatele není totožná s osobou vlastníka pečeti

Může nastat situace, že pečeť byla vydána pro jiného oprávněného uživatele, než je osoba aktuálního žadatele. Navíc tento uživatel může být buď interní (je zaveden v Sofa) nebo externí. V tom případě v okně Pečetící certifikát zaškrtněte políčko Pokud byla vydána pečeť na jiného oprávněného žadatele zvolte prosím tuto možnost.

Ve formuláři otevřeném v okně Pečetící certifikát je v tomto případě potřeba do červeně orámovaných polí doplnit tyto hodnoty:

číslo smlouvy s PostSignum,
IČO,
název organizace,
jméno a příjmení,
kontaktní email (je vyplňován automaticky),

musí být v Sofa shodné s atributy v podepisujícím certifikátu a zároveň se musí shodovat s informacemi v ERA portálu u žádající osoby. Pokud tomu tak není, je zapotřebí upravit informace v popisované agendě o prodloužení pečeti.

Jedná-li se o interního žadatele, vyhledejte jeho jméno pomocí voliče Vyberte žadatele ze seznamu.
Pokud se jedná o externího žadatele, zaškrtněte políčko Externí a do pole Zadejte email žadatele zapište jeho adresu elektronické pošty (bude tam doručena notifikace o prodloužení pečeti).

Vpravo dole stiskněte tlačítko Vygenerovat PDF s žádostí.

Žádost je vygenerována a zobrazena ve formuláři. Dosud nepodepsaný protokol o vydání certifikátu lze v sekci v sekci Protokol o vydání certifikátu pro kvalifikovanou pečeť ke stažení zobrazit i stáhnout.

Protože se jedná o žádost o prodloužení pečeti jiného oprávněného žadatele, je na tlačítku pro další zpracování popis Předat ke zpracování. Žádost musí zpracovat vlastník prodlužované pečeti.

Pokud se jedná o interního uživatele specifikovaného pomocí voliče Vyberte žadatele ze seznamu (tedy vlastníka pečeti):

Dostane elektronickou poštou notifikační zprávu o potřebě zpracování agendy pro prodloužení platnosti pečeti.

Žádost otevře pomocí odkazu v notifikaci nebo přímo v aplikaci Sofa z pohledu Agendy – K vyřízení.

prodlouzeni peceti interni otevreni odkazu

Pokud se jedná o externího uživatele:

Dostane notifikační zprávu stejnou jako dostal výše popsaný interní uživatel.
Po klepnutí na odkaz v notifikaci se v prohlížeči otevře dialog Ověření přístupu, ve kterém klepne na tlačítko Ověřit přístup.

Poté je informován, že mu do schránky elektronické pošty přijde notifikační zpráva s jednorázovým a časově omezeným odkazem pro přístup k agendě pro prodloužení platnosti pečeti.

V notifikační zprávě je odkaz pro otevření agendy. Ten je ještě nutno potvrdit tlačítkem v posledním dotazu.

Další postup je shodný pro interní i externí uživatele.

V sekci Protokol o vydání certifikátu pro kvalifikovanou pečeť ke stažení si může vlastník pečeti prohlédnout (stáhnout) protokol o vydání certifikátu.

Jestliže pečeť z jakéhokoliv důvodu prodloužit nechce, klepnutím na tlačítko Odmítnout celou akci po potvrzení bezpečnostního dotazu nevratně zruší.

Pokud ovšem platnost pečeti prodloužit chce, má dvě možnosti:

Přejde klepnutím na tlačítko Podepsat do obvyklého okna pro podepisování dokumentů, kde žádost potvrdí svým podpisem. Poté se znovu zobrazí celý formulář žádosti, kde si lze znovu prohlédnout nebo stáhnout celou žádost, tentokrát podepsanou.
Zaškrtne políčko Soubor s protokolem o vydání certifikátu byl podepsaným jiným způsobem pomocí kvalifikovaného certifikátu a po stisku tlačítka Vložit podepsaný protokol připojí k žádosti podepsaný PDF dokument s protokolem o vydání certifikátu. Jedná se o protokol zaslaný spolu s novou (nebo naposledy prodlouženou) pečetí.

V obou případech se tlačítkem Odeslat protokol podepsaná žádost pošle k vyřízení.

Přijetí pečeti po vyřízení žádosti

Pečeť s prodlouženou platností po vyřízení žádosti přijmete stejným způsobem jako výchozí (původní) pečeť.

Doba vyřízení žádosti se může lišit podle toho, jak rychle je žádost u certifikační autority zpracována.

Změny v notifikacích od v. 5.4

Pokud uživatel požádá o certifikát, následně správci certifikátů přijde elektronickou poštou notifikační zpráva s odkazem.

Klepnutím na odkaz ve zprávě se otevře pohled Certifikáty – Žádosti s vyfiltrovanou položkou této žádosti. Zároveň se otevře dialog Zpracovat žádost. V něm může správce certifikátů žádost schválit nebo zamítnout.

Schválení se docílí nastavením možnosti v poli Schválit na hodnotu Ano.
Žádost zamítne nastavením na hodnotu Ne a připojením poznámky zdůvodňující tuto volbu.

V obou případech se volba potvrdí tlačítkem Zpracovat žádost.

Pokud by správce certifikátů v dialogu klepl na tlačítko Zrušit, přejde do pohledu Certifikáty – Žádosti s filtrem stále nastaveným tak, aby byla viditelná pouze položka této žádosti.

Zde může žádost zpracovat nebo i odstranit. Filtrování zruší klepnutím na tlačítko Zrušit filtrování zapnuté odkazem.