Osobní certifikát TCS

Každý uživatel LIANE může získat osobní certifikát TCS (TERENA Certification Service). Jedná se o běžný osobní certifikát vhodný pro zabezpečení elektronické pošty (digitální podpis, šifrování zpráv) a pro autentizaci k síťovým službám. Certifikát obsahuje jméno uživatele s plnou diakritikou, název domovské organizace a unikátní identifikátor uživatele přidělený domovskou organizací.

Části návodu

  1. Proč používat certifikáty TCS?
  2. Vytvoření certifikátu
  3. Používání certifikátu

1. Proč používat certifikáty TCS?

Možná si kladete otázku, k čemu jsou Vám certifikáty TCS vlastně dobré. Odpověď má dvě části:

  1. digitální podpis umožní ověřit, že jste emailovou zprávu poslali vy a že její obsah nebyl změněn,
  2. certifikát může být použit i pro šifrování zprávy.

Zabezpečení komunikace prostřednictvím šifrování by mělo být používáno při zasílání zpráv obsahujících osobní nebo citlivé údaje (hesla, rodná čísla, zdravotní údaje apod.).

Certifikáty TCS zprostředkovává CESNET v rámci projektu Trusted Certificate Service. Aktuálně je vydavatelem těchto certifikátů společnost Sectigo, jejímž kořenovým certifikátům implicitně důvěřuje většina běžných internetových prohlížečů a většina klientů elektronické pošty. Platnost vystaveného certifikátu je tři roky.

Pokud přijímáte školní poštu na více počítačích, generujete certifikát pouze jednou. Tento certifikát pak importujete (podrobněji níže) do emailových klientů na veškerých svých zařízeních. Tím zajistíte možnost podepisování a šifrování stejným klíčem (resp. čtení podepsané a šifrované pošty) na všech svých počítačích.

2. Vytvoření certifikátu

Certifikát získáte sami prostřednictvím webového formuláře. Celá procedura trvá přibližně 2 minuty.

Otevřete si webovou stránku CESNET TCS a vyberte na ní Osobní certifikát.

tcs1.png

Jako identity providera zvolte Technickou univerzitu v Liberci.

tcs2.png

Ocitnete se na naší stránce pro ověření totožnosti. (Pokud jste již využívali některou službu autentizovanou systémem Shibboleth, tento krok odpadá.) Zadejte zde své přihlašovací údaje – přihlašovací jméno a centrální heslo LIANE – a klepněte na tlačítko Přihlášení.

tcs3.png

Zkontrolujte si adresu, kterou budete mít v certifikátu uvedenu, a pokud vše odpovídá, kliknutím na tlačítko Vydat certifikát žádost odešlete.

tcs4.png

Následuje generování certifikátu. Během této doby nezavírejte prohlížeč a vyčkejte na dokončení.

tcs5.png

Vygenerovaný certifikát včetně vašeho soukromého klíče bude v následném kroku uložen do vašeho počítače. Pro zabezpečení soukromého klíče je nutné soubor zašifrovat. Zvolte si dostatečně silné heslo, zadejte ho do formuláře a klikněte na tlačítko Nastavit. Heslo si zapamatujte!

tcs6.png

Certifikát je nyní uložen v souboru usercert.p12 ve složce pro stažené soubory. Použitím hesla zadaného v předchozím kroku si ho můžete nainstalovat do svých aplikací.

3. Používání certifikátu

Jako první krok doporučujeme pořídit jeho zálohu. Uložte si kopii souboru nejlépe na několik nezávislých médií.

3.1 Podepisování dopisů

Jednou z obvyklých aplikací certifikátu je digitální podepisování dopisů. Způsob nastavení opět závisí na programu, který používáte:

Thunderbird

Instalace certifikátu

Z menu Nástroje zvolte Předvolby (v nejnovější verzi Thunderbirdu se Předvolby změnily na Nastavení). V levé části vyberte Soukromí a zapezpečení a v hlavní části okna zcela dole klikněte na tlačítko Spravovat certifikáty. V kartě Osobní tlačítkem Importovat importujte soubor s certifikátem a zadejte heslo, které jste použili pro jeho zabezpečení. Nyní lze správce certifikátů zavřít.

tcs7.png

Z menu Nástroje zvolte Nastavení účtu a v levé části vyberte Koncové šifrování u svého TUL účtu. V sekci S/MIME pomocí tlačítka Vybrat zvolte svůj certifikát importovaný v předchozím kroku, a to jak pro podpis, tak i pro šifrování. Nezapomeňte zapnout volbu Standardně připojit můj elektronický podpis (v nejnovější verzi Thunderbirdu se volba nachází na stejném místě, ale jmenuje Podepisovat nešifrované zprávy). Vaše dopisy budou nyní opatřeny digitálním podpisem.

tcs8.png

Podepisování

Jak vypadá vlastní podepisování odchozí pošty? Vlastně úplně jednoduše. Se zapnutou volbou Standardně připojit můj elektronický podpis (vizte výše) se zprávy podepisují automaticky a není třeba nic jiného měnit. Kontrolu a případnou změnu nastavení pro aktuální zprávu můžete provést kliknutím na Zabezpečení.

TCS podpis

Na straně příjemce potom vypadá podepsaná zpráva následovně. Kartu s podrobnostmi Zabezpečení zprávy - S/MIME získáte po kliknutí na ikonu S/MIME v pravém dolním rohu pole se záhlavím zprávy.

TCS podepsaný dopis

Uchovávání certifikátů

Platnost certifikátů TCS je 3 roky. Co dělat s certifikáty, jejichž platnost vypršela? Rozhodně je nevyhazujte. Je vhodné je uchovávat v Thunderbirdu mezi S/MIME osobními certifikáty pro el. podpis. Jen tak budete schopní dešifrovat starší emailové zprávy, tímto certifikátem zašifrované.