Osobní certifikát TCS

Každý uživatel LIANE může získat osobní certifikát TCS (TERENA Certification Service). Jedná se o běžný osobní certifikát vhodný pro zabezpečení elektronické pošty (digitální podpis, šifrování zpráv) a pro autentizaci k síťovým službám. Certifikát obsahuje jméno uživatele s plnou diakritikou, název domovské organizace, unikátní identifikátor uživatele přidělený domovskou organizací a až deset emailových adres ověřených domovskou organizací.

Certifikáty vydává certifikační úřad TERENA Personal CA. Má platnost jeden, dva, nebo tři roky. Certifikáty s klíčem délky 1024 bitů mohou být vydány pouze na jeden rok.

Vytvoření certifikátu

Certifikát získáte sami prostřednictvím webového formuláře. Celá procedura trvá přibližně 5 až 10 minut, nelze ji přerušit a později pokračovat, proto si na vytvoření certifikátu rezervujte dostatek času.

Otevřete si webovou stránku CESNET TCS a vyberte na ní Žádost o nový certifikát.

tcs1.png

Jako identity providera zvolte Technickou univerzitu v Liberci a klepněte na tlačítko Vyberte.

tcs2.png

Ocitnete se na naší stránce pro ověření totožnosti. (Pokud jste již využívali některou službu autentizovanou systémem Shibboleth, tento krok odpadá.) Zadejte zde své přihlašovací údaje – přihlašovací jméno a centrální heslo LIANE – a klepněte na tlačítko Login.

tcs3.png

Při nastavení parametrů ponechte výchozí hodnoty – běžný typ certifikátu a žádost v prohlížeči – a stiskněte tlačítko Dále.

tcs4.png

Také ve druhém kroku žádosti ponechte výchozí nastavení: délka klíče 2048 (vysoký stupeň), platnost certifikátu 3 roky a předmět certifikátu s diakritikou (česky). Zkontrolujte si adresy, které budete mít v certifikátu uvedeny, a pokud vše odpovídá, kliknutím na tlačítko Odeslat žádost odešlete.

V ten okamžik váš prohlížeč vygeneruje váš nový privátní klíč. Tento krok je poměrně náročný a chvíli trvá. Mějte prosím strpení. Než aplikace odešle žádost o podpis certifikátu certikační autoritě, ještě jednou požádá o kontrolu údajů. Potvrďte je tlačítkem Souhlasím:

tcs5.png

Z bezpečnostních důvodů se musíte u svého poskytovatele identity znovu ověřit, opakuje se tedy výše popsané zadání uživatelského jména a centrálního hesla do LIANE.

Následuje poměrně zdlouhavé generování certifikátu. Během této doby nezavírejte prohlížeč a vyčkejte na dokončení. Kliknutím na odkaz ve výsledné stránce certifikát instalujte do prohlížeče. O vytvoření certifikátu budete také informováni elektronickou poštou.

Instalace certifikátu bude vyžadovat vaše potvrzení a nastavení případných voleb. V případě MS Windows rozhodně v dialogu pro import zatrhněte volbu Označit tento klíč jako exportovatelný, aby bylo možné pořídit jeho zálohu. To je velmi důležité, protože váš prohlížeč je jediný, kdo zná i soukromý klíč spojený s klíčem v certifikátu. Informace dostupné v záložce Moje certifikáty na stránce CESNET TCS obsahují jen veřejný certifikát.

Používání certifikátu

Po vytvoření je certifikát instalován ve vašem prohlížeči, kde může sloužit pro ověřování vaší identity některými WWW službami. Jako první krok doporučujeme pořídit jeho zálohu.

Export a záloha

Pro účely zálohování (a využívání v jiných aplikací) je třeba jej z prohlížeče nejprve exportovat. Postup se liší v závislosti na použitém prohlížeči:

  • MS Internet Explorer: Z menu Nástroje vyberte Možnosti Internetu. Přejděte na kartu Obsah a v ní klepněte na tlačítko Certifikáty. Zvolte kartu Osobní, na ní vyberte certifikát (je označen jako TERENA personal CA) a klepněte na tlačítko Exportovat. V sekvenci dialogů rozhodně zvolte export včetně privátního klíče a nechte exportovat všechny rozšířené vlastnosti. Vytvořený soubor bude zašifrován heslem, které při jeho vytváření zvolíte.
  • Firefox: Z menu Úpravy vyberte Předvolby. Přejděte na kartu Rozšířené a v ní Šifrování. Stiskněte tlačítko Certifikáty. Zvolte kartu Osobní, vyberte certifikát (najdete jej v sekci TERENA) a stiskněte tlačítko Zálohovat. Budete dotázáni na umístění souboru a heslo, kterým má být certifikát chráněn.

Exportovaný certifikát zálohujte, raději na několika nezávislých médiích.

Podepisování dopisů

Jednou z obvyklých aplikací certifikátu je digitální podepisování dopisů. Způsob nastavení opět závisí na programu, který používáte:

  • Windows Live Mail: Pokud jste si certifikát vytvořili Internet Explorerem, nemusíte se starat o jeho import. Programy firmy Microsoft používají společné systémové úložiště certifikátů a certifikát bude k dispozici. Jestliže jste certifikát vytvořili Firefoxem, musíte jej nejprve importovat. Nejjednodušší cestou je poklepat na soubor s certifikátem a potvrdit následující sekvenci dialogů. Zbývá nastavit jeho využití pro podepisování pošty. Klepněte ve Windows Live Mail pravým tlačítkem myši na název příslušného poštovního účtu vlevo, z kontextového menu vyberte Vlastnosti a přejděte na kratu Zabezpečení. U Podpisového certifikátu klepněte na tlačítko Vybrat a zvolte certifikát. Totéž proveďte i pro Předvolby šifrování.
  • Thunderbird: Z menu Úpravy zvolte Nastavení účtu. Vyberte si svůj poštovní účet a z jeho nabídky vyberte položku Zabezpečení. Nejprve bude třeba certifikát instalovat, klepněte proto na tlačítko Zobrazit certifikáty. Přejděte na kartu Osobní, stiskněte tlačítko Importovat a importujte soubor, který jste exportovali ze svého prohlížeče v předchozím kroku. Nyní lze zavřít správce certifikátů, vrátit se k nastavení účtu a v sekci Elektronický podpis vybrat právě importovaný certifikát (na dotaz potvrďte jeho využití i pro šifrování) a zapnout Elektronicky podepsat zprávy. Vaše dopisy budou nyní opatřeny digitálním podpisem.

Revokace

Certifikát můžete kdykoli prohlásit za neplatný – revokovat jej. Na stránce CESNET TCS vstupte do sekce Moje certifikáty, vyberte příslušný certifikát a stiskněte tlačítko Revokovat.

Kdy jste naposledy četli Provozní řád počítačové sítě LIANE? Už ani nepamatujete? Tak to honem napravte.

Najdete nás

Kancelář 315 Budova A, Hálkova 6 Liberec

liane@tul.cz

Rychlé odkazy

Úřední hodiny

Pondělí a středa 10:00–11:00 a 14:00–15:00,
úterý a čtvrtek 9:00–11:00,
v pátek 10:00–11:00.