RemSig - centralizované řešení pro správu certifikátů

Části návodu

1. Co je RemSig
2. Získání certifikátu
   • Elektronická žádost o certifikát
   • Osobní návštěva pobočky pošty
3. Stažení certifikátu
4. Používání RemSig
   • Podepsání dokumentu
   • Oveření podpisu

1. Co je RemSig?

RemSig je centralizované řešení pro správu certifikátů. V této službě je možné

• požádat o
• vydat
• využívat
• obnovovat

kvalifikované elektronické podpisy vydávané certifikační autoritou Postsignum. Certifikát (elektronický podpis) můžete využívat v některých informačních systémech TUL (výhledově též STAG) a také soukromě, např. pro komunikaci se státní správou.

Vysvětlení toho, co jsou Kvalifikované certifikáty, najdete na stránkách certifikační autority PostSignum, se kterou TUL spolupracuje.

2. Získání certifikátu

Získání certifikátu má dvě fáze. Nejprve si požádáte elektronicky o vydání certifikátu. Po schválení vyplněné žádosti Vaším nadřízeným Vám přijde emailem ID žádosti, se kterým následně dojdete na pobočku pošty, kde dojde k ověření Vaší identity. Vedle ID žádosti budete tedy pro návštěvu pošty potřebovat i průkaz totožnosti (OP či pas).

2.1 Elektronická žádost o certifikát

Žádost o kvalifikovaný elektronický podpis spočívá ve vyplnění formuláře na stránce remsig.cesnet.cz/home. Nejprve je třeba se autentizovat (zelené tlačítko Přihlásit).

V adresném rozsahu školy, jakož i při použití VPN odjinud, je Vám automaticky nabídnuta volba Technická univerzita v Liberci. Pokud se tak nestane, vyberte tuto volbu z nabídky vysokých škol, k níž se dostanete po kliknutí na pole Jiný účet.

Nyní dojde k ověření Vašich přihlašovacích údajů prostřednictvím známé služby Shibboleth (pro případné zájemce stručné představení Shibbolethu).

Zdárný průběh autentizace je završený stránkou Úspěšné přihlášení, která má v záhlaví volby Domů, Moje certifikáty, Podepsat dokument a také Vaše jméno a příjmení.

Po kliknutí na odkaz Domů v záhlaví se otevře menu se třemi možnostmi, a to Podepsat dokument, Zkontrolovat podpis dokumentu a Moje certifikáty. Zajímat Vás bude poslední zmíněná volba, tedy Moje certifikáty.

Po kliknutí na Moje certifikáty se otevře stránka, na níž je dostupný pouze jeden aktivní prvek, a to tlačítko Nový certifikát. Ostatní volby (Osobní certifikáty a Neplatné certifikáty) jsou Vám zatím zapovězeny.

Kliknutí na zelené tlačítko Nový certifikát otevře stránku s formulářem, který je třeba vyplnit. V prvním poli je nutné vybrat středisko, kam náležíte, resp. které bude hradit náklady spojené s výrobou a udržováním Vašeho certifikátu.

Do zbylých polí formuláře vyplníte své jméno, příjmení, školní emailovou adresu a rodné číslo. Pozor! Do polí Titul před jménem a Titul za jménem pište pouze ty tituly, které máte uvedené ve svém občanském průkaze. (Nemáte-li v OP uvedené žádné tituly, neuvádějte je ani do této žádosti.)

Na konci stránky s formulářem se nacházejí Další možnosti certifikátu, a to Vložit MPSV a Prodloužit platnost certifikátu na 3 roky. Zaškrtněte obě a formulář odešlete prostřednictvím zeleného tlačítka Odeslat.

Ač by se zdálo, že registrace je odesláním formuláře u konce, není tomu tak. Nyní je třeba se znovu přihlásit, tedy znovu vybrat z roletky TUL, pokud se Vám nevybere sama. Shibboleth Vás opět autentizuje jako uživatele Technické univerzity.

Nyní je třeba zadat heslo k Vašemu certifikátu. Zadáváte dvakrát stejné heslo.
Zde pozor: heslo by mělo být dostatečně silné, ale také zapamatovatelné, protože se neukládá do prohlížeče, jak jste možná zvyklí.

Vedle hesla, jež jste zadali v předchozím kroku, máte k dispozici ještě systémem vygenerovaný kód PUK, který Vám umožní přístup k certifikátu v případě, že zapomenete heslo. PUK si bezpečně uložte...

... resp. vytiskněte. A papír s vytištěným PUK taktéž bezpečně uložte.

Teprve po odeslání PUK na tiskárnu je možné zaškrtnout políčko Potvrzuji, že mám PUK bezpečně zaznamenaný.

Tím se uzavírá první, elektronická, část žádosti o certifikát. Nyní je třeba vyčkat na schválení žádosti Vaším nadřízeným.

K dalšímu kroku, tedy k osobní návštěvě pobočky pošty, můžete přistoupit až v okamžiku, kdy budete mít ve své poštovní schránce zprávu s předmětem RemSig: Schválení žádosti o vydání certifikátu / Your certificate request has been approved. Zásadní pro Vás bude ID žádosti, v této zprávě obsažené.

Na návštěvu pošty a vystavení certifikátu máte 30 dní.

2.2 Osobní návštěva pobočky pošty

Proces vytvoření a aktivace certifikátu zakončí cesta na poštu, přesněji na pobočku pošty, která je vybavená službami Czech POINT. Doporučujeme hlavní poštu na nám. Dr. E. Beneše 559/28 (otevírací doba), kde již mají s vystavováním certifikátů zkušenost.

S sebou si vezměte průkaz totožnosti (OP nebo cestovní pas) a ID žádosti, které Vám dorazilo do emailové schránky z adresy eidas@cesnet.cz.

Po ověření Vaší totožnosti dostanete k vyplnění Žádost o přihlášení identifikátoru klienta MPSV (v případě, že jste v procesu vyplňování el. žádosti o vystavení certifikátu nezaškrtli možnost Vložit MPSV, tento dokument vyplňovat nebudete). Jméno, příjmení a rodné číslo jsou předtištěny, na Vás je vyplnění sekce Adresa pobytu, která zahrnuje očekávaná pole Obec, Ulice a PSČ. Práci s dokumentem, který zůstává na poště, dokončíte svým podpisem. S sebou si nicméně odnesete dvoustránkový dokument Žádost o vydání certifikátu, který obsahuje jak údaje o žadateli o certifikát (tedy o Vás), tak údaje o certifikátu. Ty zahrnují obecné informace (popis a doba platnosti certifikátu), technické údaje (SHA-1 otisk veřejného klíče aj.), jakož i heslo pro zneplatnění certifikátu.

3. Stažení certifikátu

Po návštěvě pošty a vystavení certifikátu najdete ve své školní emailové schránce email s předmětem Upozorneni na pripraveny certifikat, odeslaný z adresy podatelna.postsignum@cpost.cz. Zpráva obsahuje adresu, z níž si stáhnete vystavený certifikát. Na jeho stažení máte 59 dní; pokud soubor nestáhnete, je po uplynutí této doby ze serveru automaticky smazán.

Stránka České pošty PostSignum, na niž vede odkaz z obdrženého emailu, vypadá následovně:

Certifikát ke stažení je dostupný ve dvou formátech:

• DER, určený pro OS Windows a macOS
• PEM, určený pro OS Linux a ostatní OS

Při ukládání souboru do systému Windows můžete narazit na jisté obtíže způsobené nastavenou bezpečnostní politikou. Upozornění vypadá následovně

Zbavíte se jej kliknutím na tlačítko Uložit, čímž dojde i ke stažení certifikátu do Vašeho počítače (typicky do složky Stažené soubory).

Instalace řešení, jež umožňuje lokální podepisování, je komplikovaná a nad rámec tohoto návodu. Podepisování a ověřování digitálních podpisů online můžete jednoduše realizovat prostřednictvím služby RemSig (popis následuje), pokud dáváte přednost integraci digitálního podpisu do Vámi používaného software, obraťte se na pracovníka, který se stará o hardware a software na Vaší fakultě.

4. Používání RemSig

Do služby RemSig není třeba certifikát nahrávat, objeví se v ní v okamžiku svého vystavení na pobočce ČP. Vedle uchovávání (resp. žádosti o prodloužení platnosti) certifikátu umožňuje služba RemSig podepsání dokumentu a kontrolu podpisu na el. dokumentu. Na tyto dvě funkcionality se v následujícím textu podíváme blíže.

4.1 Podepsání dokumentu kvalifikovaným el. podpisem

Podepisování dokumentů se odehrává na stránce Podepsat dokument a je dostupné pouze pro soubory typu PDF.

Po vybrání souboru na disku Vašeho počítače máte dostupných několik možností, jak dokument podepsat. V případě, že disponujete více kvalifikovanými el. podpisy, vybíráte v roletce Vybrat certifikát ten, jehož prostřednictvím chcete dokument podepsat.

Další volbou při podpisu dokumentu je možnost vložení viditelného vodoznaku, resp. volba umístění tohoto označení v rámci dokumentu. Dostupné možnosti jsou:

• vlevo nahoře
• vpravo nahoře
• vlevo dolů
• vpravo dolů

Podepsaný dokument s vodoznakem umístěným vlevo nahoře vypadá následovně. Obrázek ukazuje podepsaný, následně stažený soubor prohlížený pomocí Adobe Acrobatu DC:

Pro přístup k certifikátu, jímž budete dokument podepisovat, je třeba znát heslo, které jste zadávali v průběhu vyplňování el. žádosti o certifikát. V případě, že jste heslo zapomněli, je možné jej změnit prostřednictvím PUK, který jste si uložili (vytiskli) v průběhu vyplňování žádosti.

Po zadání odpovídajícího hesla k certifikátu se na pár okamžiků objeví stránka...

... která Váš prohlížeč přesměruje na stránku s možností stáhnout si podepsaný dokument - zelené tlačítko Stáhnout podepsaný dokument.

Podepsaný dokument (ve formátu PDF) najde ve složce Stažené soubory. Název podepsaného souboru bude obsahovat signed-. Jak vypadá soubor s vodoznakem, je ukázáno výše, následující obrázek ukazuje jednak oveření platnosti podpisu (Podepsáno a všechny podpisy jsou platné) a také charakteristiky platného podpisu.

4.2 Zkontrolovat podpis dokumentu

Ověření platnosti el. podpisu na dokumentu (PDF) provedeme na stránce Zkontrolovat podpis dokumentu. Po kliknutí na tuto volbu, která Váš prohlížeč přesměruje na stránku validator.eidas.cesnet.cz/validation, je opět vyžadována autorizace (Shibboleth).

Ověření platnosti podpisu proběhne po vybrání podepsaného souboru (tlačítko Vybrat soubor) na Vašem disku a úrovně validace (doporučujeme ponechat vybranou volbu Validation process for Signature with Archival Data).

V případě, že je dokument vybavený platným podpisem, vrátí stránka optimisticky zelené hlášení Dokument je platný. V záložkách Jednoduchá zpráva, Detailní zpráva a Diagnostická data se můžete v různé úrovni podrobností dozvědět informace o podepsaném dokumentu, použitém kvalifikovaném podpisu a stavebních blocích certifikátu.

Zajímavější situace nastane, když je dokumet podepsaný více podpisy a některé z nich nejsou kvalifikované (týká se např. certifikátů vystavených prostřednictvím GEANT Personal CA 4). Obrazovka s validací podpisů vypadá následovně:

Záložka s podrobnostmi potom odhalí problémy s nevyhovujícím podpisem. V následujícím případě se jedná o podpis, který je sice platný, ale není kvalifikovaný. O jeho důvěryhodnosti si můžete udělat závěr sami v závislosti na účelu, k němuž podepsaný dokument plánujete použít.