Osobní certifikát TCS

Každý uživatel LIANE může získat osobní certifikát TCS (Trusted Certificate Service). Jedná se o běžný osobní certifikát vhodný pro zabezpečení elektronické pošty (digitální podpis, šifrování zpráv) a pro autentizaci k síťovým službám. Certifikát obsahuje jméno uživatele s plnou diakritikou, název domovské organizace a unikátní identifikátor uživatele přidělený domovskou organizací.

Části návodu

  1. Proč používat certifikáty TCS?
  2. Vytvoření certifikátu
  3. Používání certifikátu - emailový klient Thunderbird

1. Proč používat certifikáty TCS?

Možná si kladete otázku, k čemu jsou Vám certifikáty TCS vlastně dobré. Odpověď má dvě části:

  1. digitální podpis umožní ověřit, že jste emailovou zprávu poslali Vy a že její obsah nebyl změněn,
  2. certifikát může být použit i pro šifrování zprávy.

Zabezpečení komunikace prostřednictvím šifrování by mělo být používáno při zasílání zpráv obsahujících osobní nebo citlivé údaje (hesla, rodná čísla, zdravotní údaje apod.).

Certifikáty TCS zprostředkovává CESNET v rámci projektu Trusted Certificate Service. Aktuálně je vydavatelem těchto certifikátů společnost HARICA, jejímž kořenovým certifikátům implicitně důvěřuje většina běžných internetových prohlížečů a většina klientů elektronické pošty. Platnost vystaveného certifikátu je tři roky.

Pokud přijímáte školní poštu na více počítačích, generujete certifikát pouze jednou. Tento certifikát pak importujete (podrobněji níže) do emailových klientů na veškerých svých zařízeních. Tím zajistíte možnost podepisování a šifrování stejným klíčem (resp. čtení podepsané a šifrované pošty) na všech svých počítačích.

2. Vytvoření certifikátu

Certifikát získáte sami prostřednictvím webového formuláře. Celá procedura trvá přibližně 2 minuty.

Otevřete si webovou stránku CESNET TCS a vyberte na ní Osobní certifikát.

Webová stránka CESNET TCS

Jako identity providera zvolte Technickou univerzitu v Liberci.

Přihlášení do TCS

Ocitnete se na naší stránce pro ověření totožnosti. (Pokud jste již využívali některou službu autentizovanou systémem Shibboleth, tento krok odpadá.) Zadejte zde své přihlašovací údaje – přihlašovací jméno a centrální heslo LIANE – a klepněte na tlačítko Přihlášení.

Přihlášení k TCS - Shibboleth

Zkontrolujte si adresu, kterou budete mít v certifikátu uvedenu, a pokud vše odpovídá, kliknutím na tlačítko Vydat certifikát žádost odešlete.

Žádost o vydání certifikátu

Následuje generování certifikátu. Během této doby nezavírejte prohlížeč a vyčkejte na dokončení.

Generování certifikátu TCS

Vygenerovaný certifikát včetně vašeho soukromého klíče bude v následném kroku uložen do vašeho počítače. Pro zabezpečení soukromého klíče je nutné soubor zašifrovat. Zvolte si dostatečně silné heslo, zadejte ho do formuláře a klikněte na tlačítko Nastavit. Heslo si zapamatujte!

Zabezpečení certifikátu heslem

Certifikát je nyní uložen v souboru usercert.p12 ve složce pro stažené soubory. Použitím hesla zadaného v předchozím kroku si ho můžete nainstalovat do svých aplikací.

3. Používání certifikátu

Jako první krok doporučujeme pořídit jeho zálohu. Uložte si kopii souboru nejlépe na několik nezávislých médií.

Nejčastější použití certifikátu je digitální podepisování elektronické pošty. Způsob nastavení závisí na programu, který používáte; následuje stručný návod na instalaci, podepisování a uchovávání certifikátu v poštovním programu Thunderbird.

Instalace certifikátu

Z menu Nástroje zvolte Předvolby (v nejnovější verzi Thunderbirdu se Předvolby změnily na Nastavení). V levé části vyberte Soukromí a zabezpečení a v hlavní části okna zcela dole klikněte na tlačítko Spravovat certifikáty.

Karta Soukromí a zabezpečení

V kartě Osobní tlačítkem Importovat importujte soubor s certifikátem a zadejte heslo, které jste použili pro jeho zabezpečení. Nyní lze správce certifikátů zavřít.

Karta Správce certifikátů

Z menu Nástroje zvolte Nastavení účtu a v levé části vyberte Koncové šifrování u svého TUL účtu. V sekci S/MIME pomocí tlačítka Vybrat zvolte svůj certifikát importovaný v předchozím kroku, a to jak pro podpis, tak i pro šifrování. Nezapomeňte zapnout volbu Standardně připojit můj elektronický podpis (v nejnovější verzi Thunderbirdu se volba nachází na stejném místě, ale jmenuje Podepisovat nešifrované zprávy). Vaše dopisy budou nyní opatřeny digitálním podpisem.

Nabídka výběru Koncového šifrování

Podepisování emailů

Jak vypadá vlastní podepisování odchozí pošty? Vlastně úplně jednoduše. Se zapnutou volbou Standardně připojit můj elektronický podpis (vizte výše) se zprávy podepisují automaticky a není třeba nic jiného měnit. Kontrolu a případnou změnu nastavení pro aktuální zprávu můžete provést kliknutím na Zabezpečení.

TCS podpis v praxi

Na straně příjemce potom vypadá podepsaná zpráva následovně. Kartu s podrobnostmi Zabezpečení zprávy - S/MIME získáte po kliknutí na ikonu S/MIME v pravém dolním rohu pole se záhlavím zprávy.

TCS podepsaný dopis

Uchovávání certifikátů

Platnost certifikátů TCS je 3 roky. Co dělat s certifikáty, jejichž platnost vypršela? Rozhodně je nevyhazujte. Je vhodné je uchovávat v Thunderbirdu mezi S/MIME osobními certifikáty pro el. podpis. Jen tak budete schopní dešifrovat starší emailové zprávy, tímto certifikátem zašifrované.