Certifikáty TCS-P pro vnitřní oběh dokumentů

Z HelpDesk

Úvod

Certifikáty TCS-P jsou osobní certifikáty vydávané všeobecně uznávanou certifikační autoritou pro účely identifikace akademických uživatelů. Certifikáty jsou vydávány zaměstnancům ZČU zdarma v rámci členství ve sdružení CESNET. TCS-P certifikáty vydává certifikační autorita Sectigo jejíž kořenové certifikáty jsou součástí všech běžných operačních systémů a webových prohlížečů.

Získání certifikátu TCS-P

Certifikát může získat student nebo zaměstnanec ZČU na základě řádného ověření pomocí jména a hesla v systému jednotného přihlášení. Jeden uživatel může získat i několik certifikátů (např. pro každé své zařízení).

Pro nakládání s certifikátem je nutné dodržovat obecné zásady bezpečnosti a práce s citlivými daty. Zejména pak následující pravidla:

  • Certifikát musí být uložený tak aby k němu měl přístup pouze jeho držitel (např. osobní účet chráněný heslem)
  • Certifikát uložený v souboru musí být chráněný dostatečně silným heslem
  • Při uložení certifikátu v systémovém úložišti musí být označen jako neexportovatelný se silnou ochranou, tak aby každé použití certifikátu vyžadovalo dodatečné schválení

Vydání certifikátu na váš počítač

Klikněte a přihlašte se na stránku https://tcs.cesnet.cz/clientrequestform/form . V seznamu institucí vyberte "Západočeská univerzita" a budete vyzváni k zadání jména a hesla, bez ohledu na to zda jste již přihlášeni k jednotnému přihlášení. Títo opatřením si systém ověřuje, že za klávesnicí sedí právě majitel účtu a zná správné heslo. Překontrolujte si, že vaše emailová adresa je správná a klikněte na tlačítko "Vydat certifikát".

Ověření emailové adresy

V tomto okamžiku se spustí generování klíčového páru na straně prohlížeče. Pokud vše dopadne dobře certifikát se vygeneruje a je připraven k exportu. Nyní je nutné si vymyslet dostatečně kvalitní heslo, kterým bude chráněn soubor s certifikátem na vašem počítači. Heslo pro zašifrování vyplňte 2x do formuláře a po stisku tlačítka nastavit "Nastavit" budete vyzváni k uložení souboru.

Vytváření žádosti v prohlížeči

Soubor uložte na bezpečné místo např. na flash disk který budete mít bezpečně uložen. Heslo k certifikátu si zapamatujte, budete ho ještě potřebovat. Pokud heslo zapomenete, musíte si vygenerovat certifikát celý znova.

Uložení certifikátu

Nyní máte certifikát vygenerován a připraven k použití. Aby bylo možné certifikát používat je třeba jej nainstalovat do všech počítačů kde jej budete chtít použít dle postupu uvedeného dále. Tyto certifikáty jsou vhodné také pro podpis pošty, pak je nutné je nainstalovat současně do vašeho poštovního klienta.


Import certifikátu do systémového úložiště

Operační systém Windows umí pracovat pouze s certifikáty uloženými v systémovém úložišti. Certifikát vygenerovaný dle předchozího postupu máte zatím v souboru (chráněný heslem) a je třeba jej uložit do systémového úložiště. Při importu je nutné nastavit bezpečnou ochranu certifikátu, tak aby nebylo možné jej jednoduše zneužít.

Ve vašem počítači nejděte uložený soubor usercert.p12 a poklikejte na něj, tím otevřete dialog importu certifikátu. Ponechte volbu "Aktuální uživatel", která zařídí, že certifikát bude přístupný pouze pod právě přihlášeným uživatelským účtem.

Aktuální uživatel


Další volbu pouze přeskočte.

Import certifikátu

V následujícím kroku je třeba vyplnit heslo k certifikátu které jste zadali při generování certifikátu. Také je nutné zaškrtnout volbu Povolit silnou ochranu privátního klíče ... Tato volba, spolu s nezaškrtnutou možností Označit klíč jako exportovatelný tvoří důležitou ochranu vašeho certifikátu. Při každém použití certifikátu budete systémem upozorněni a nemůže dojít ke zneužití podpisu na pozadí.

Ochrana privátního klíče

Ponechte defaultní volbu "Automaticky vybrat úložiště ..." a pokračujete dalším krokem.

Ochrana privátního klíče

Po stisknutí tlačítkla "Dokončit" systém bude provádět privátního klíče a certifikátu do systémového úložiště.

Dokončení importu

V následujícím kroku můžete ponechat volby tak jak jsou a dokončit import stisknutím tlačítka "OK". Pokud na vašem počítači občas pracuje i někdo jiný doporučuji kliknout na volbu "Nastavit úroveň zabezpečení" a zvolit vysokou úrověň. Budete vyzváni k zadání hesla, které bude vyžadováno při každém podpisu (obdoba kódu PIN).

Import a ochrana privátního klíče

Pokud uvidíte následující box, je vše v pořádku a váš certifikát byl úspěšně uložen do systémového úložiště.

Dokončení

Citováno z „https://helpdesk.zcu.cz/index.php?title=Certifikáty_TCS-P_pro_vnitřní_oběh_dokumentů&oldid=56726