CERTIFIKAČNÍ POLITIKA (CA)

Transkript

1 CERTIFIKAČNÍ POLITIKA (CA) verze: 1.4 Ministerstv financí České republiky

2 Histrie dkumentu Verze Datum Prvedená změna Prvedl Platnst CP d Pre-verze předkládaná MF ČR k připmínkám RNDr. Petr Tesař, Assec CR První připmínky Ing. Jiří Samec, MF ČR 0, Zapracvání připmínek z verze 0.92 RNDr. Petr Tesař, Assec CR Připmínky z sbní prady RNDr. Petr Tesař, Assec CR Připmínky z druhé sbní prady RNDr. Petr Tesař, Assec CR Zapracvání připmínek z verze 0.95 RNDr. Mirslav Šedivý, TO2 CR Úprava prblematiky testvací RA RNDr. Mirslav Šedivý, TO Změna v kapitlách a 9.17, rzšíření tét tabulky RNDr. Mirslav Šedivý, TO Rzšíření pužití certifikátů RNDr. Mirslav pr mbilní zařízení Šedivý, TO Dplnění CA GFŘ, úprava RNDr. Mirslav pstupu zneplatnění Šedivý, TO /67 CP_CA_v1-4

3 OBSAH 1 Úvd Obecný přehled Identifikace dkumentu Účastné strany Navazující autrity (certifikační cesta) Registrační autrity Uživatelé Spléhající strany Ostatní účastníci Typy a pužitelnst certifikátu Pvlená pužití certifikátů Zakázaná pužití certifikátů Typy vydávaných certifikátů Administrace dkumentu Řízení a specifikace CP Kntaktní adresy Osba určující shdu CP s dpvídající CPS Schvalvání CP Definice a pjmy Uveřejňvání a uchvání infrmací Sklady Zveřejňvání certifikačních infrmací Frekvence zveřejňvání Způsby přístupu k ulženým infrmacím Identifikace a autentizace Jmenné knvence Typy jmen Věcná správnst jmen Pužití pseudnymů Pravidla interpretace různých frem jmen Jednznačnst jmen Uznávání, autentizace a rle chranných známek Prvtní identifikace žadatele Metdy dkazvání vlastnictví privátníh klíče /67 CP_CA_v1-4

4 3.2.2 Ověření rganizační identity Ověření identity fyzické sby Neprvěřvané údaje žadatele Ověření právnění Identifikace při PKI sučinnsti Identifikace a autentizace při vydávání následnéh certifikátu Identifikace a autentizace při standardním vydání následnéh certifikátu Identifikace a autentizace p zneplatnění certifikátu Identifikace a autentizace při žádsti zneplatnění certifikátu Operační pžadavky živtníh cyklu certifikátu Žádst certifikát Žadatelé certifikát Registrační prces Zpracvání žádsti certifikát Identifikační a autentizační prces Schválení a dmítnutí žádsti vydání certifikátu Lhůty vyřízení žádsti certifikát Vydání certifikátu Pstup CA při vydání certifikátu Zpráva vydání certifikátu žádající sbě Akceptvání certifikátu Pstup žadatele při akceptaci certifikátu Zveřejňvání vydaných certifikátů CA Zpráva CA vydání certifikátů dalším stranám Párvé klíče a pužitelnst certifikátu Privátní klíč pdepisujícíh subjektu a užití certifikátu Veřejný klíč a spléhající se strana Prdlužení platnsti certifikátu Následný certifikát Oklnsti pr vydání následnéh certifikátu Žádst vydání následnéh certifikátu Prces vydání následnéh certifikátu Zpráva vydání následnéh certifikátu žadateli Pstup žadatele při akceptaci následnéh certifikátu Zveřejňvání vydaných následných certifikátů CA /67 CP_CA_v1-4

5 4.7.7 Zpráva CA vydání následných certifikátů dalším stranám Mdifikace certifikátu Zrušení a zneplatnění certifikátu Oklnsti pr zneplatnění Kd může žádat zneplatnění Prcedura žádsti zneplatnění Lhůta pr pdání žádsti zneplatnění Lhůta pr prvedení zneplatnění CA Pžadavky na věřvání CRL Četnst vydávání CRL Maximální zpždění CRL mezi vydáním a zveřejněním Přístupnst n-line věřvání statutu certifikátu Pžadavky na n-line věřvání statutu certifikátu Další mžnsti zneplatnění certifikátů Speciální pžadavky při zneplatnění certifikátu jak důsledku kmprmitaci privátníh klíče Oklnsti veducí k pzastavení platnsti Služby spjené se statutem certifikátu Operační charakteristiky Dstupnst služeb Vlitelné vlastnsti Uknčení využívání služeb CA Úschva a bnvení privátníh klíče Plitika úschvy Plitika bnvení privátníh klíče Fyzické, prcedurální a persnální bezpečnstní mechanismy Fyzická bezpečnst Umístění a knstrukce Fyzický přístup Klimatizace a přívd elektrické energie Ohržení vdními zdrji Pžární chrana Uchvání datvých médií Kancelářský dpad Vnější ulžení zálh Prcedurální bezpečnst /67 CP_CA_v1-4

6 5.2.1 Důvěryhdné rle Pčty sb pr prvádění úlh Identifikace a autentizace pr každu rli Neslučitelné rle Persnální bezpečnst Pžadavky na kvalifikaci, zkušensti a prvěření Ověřvání znalstí Pžadavky na zašklení Pravidelnst šklení a příslušné pžadavky Pžadavky na změny rlí Sankce při neautrizvaných činnstech Pžadavky na pracvníky třetích stran Dkumentace pskytvaná persnálu Prcedury auditu lgvání událstí Typy zaznamenávaných událstí Četnst zpracvání auditních záznamů Uschvací bdbí pr auditní záznamy Zabezpečení auditních záznamů Audit lg archivace Systém shrmažďvání auditních záznamů Hlášení vzhledem k subjektu událstí Hdncení zranitelnsti Archivace záznamů Typy zaznamenávaných událstí Uschvací bdbí pr archivaci Ochrana archivu Archivační prcedury Pžadavky vzhledem k časvým razítkům Systém sběru archivace (interní či externí) Prcedury k věřvání archivvané infrmace Výměna klíče Odhalení kmprmitací a nehd Zneplatnění certifikátu CA Pškzení výpčetních zdrjů, sftwaru, dat Pstup při kmprmitaci privátníh klíče Obnvení činnsti p mimřádných událstech /67 CP_CA_v1-4

7 5.8 Uknčení činnsti CA Technická bezpečnst Genervání párvých klíčů a instalace Genervání párvých klíčů Dručení privátníh klíče jeh vlastníku Dručení veřejnéh klíče k CA Dručení veřejnéh klíče CA uživatelům Velikst klíčů Tvrba parametrů pr PKI klíče Mžná pužití veřejnéh klíče Ochrana privátních klíčů CA Další pžadavky na správu párvých klíčů Archivace veřejných klíčů Obdbí živtnstí párvých klíčů Aktivační data Bezpečnst pčítačvéh vybavení Technické pdmínky v dbě živtnsti Pdmínky bezpečnsti pčítačvé sítě Časvá razítka Certifikační prfily a prfily CRL Prfil certifikátu Čísla verzí Plžky certifikátů Identifikátry algritmů Frmy jmen Omezující pravidla na jména Identifikátry CP Pužití rzšíření pr mezení plitiky Syntaxe a sémantika pr kvalifikátry plitiky Sémantika pr rzhdující rzšíření vztahující se k CP Prfil CRL Čísla verzí CRL a rzšíření plžek CRL Prfil OCSP Audit Ostatní bchdní a právní záležitsti /67 CP_CA_v1-4

8 9.1 Pplatky Finanční dpvědnst Důvěrnst bchdních infrmací Důvěrnst sbních infrmací Systém chrany sbních údajů Typy chráněných sbních infrmací Typy sbních infrmací nepvažvaných za citlivé Odpvědnst za chranu sbních údajů Případy zpřístupnění sbních údajů Zpřístupnění sbních údajů rgánům činným v trestním řízení Ostatní klnsti zpřístupnění sbních údajů Duševní vlastnictví Zajištění a záruky Zajištění a záruky CA Zajištění a záruky RA Zajištění a záruky vlastníků certifikátů Zajištění a záruky spléhající strany Zajištění a záruky statních účastníků Zmcněnecké vztahy Limity záruk Kmpenzace ze strany vlastníků certifikátů a uživatelů Lhůty a zánik platnsti CP Lhůty platnsti Zánik platnsti Důsledky zániku platnsti Zásady kmunikace s účastníky Změny v CP Pstup prvádění změn Pstup zveřejnění změn Oklnsti za kterých se mění OID Řešení případných neshd Právní výkn Sulad s platnými zákny Různá smluvní ustanvení Integrační dlžka /67 CP_CA_v1-4

9 Dlžka převditelnsti práv a pvinnstí Dlžka ddělitelnsti jedntlivých článků smluvy Dlžka sudním řešení sprů Dlžka pr případy vzniklé půsbením vyšší mci Závěrečné ustanvení /67 CP_CA_v1-4

10 1 Úvd Tent dkument představuje Certifikační plitiku (dále jen CP ) platnu pr resrtní certifikační autritu Ministerstva financí ČR (dále jen CA MF ČR ). Tut CP se CA MF ČR řídí při pskytvání služeb spjených s vydáváním certifikátů a seznamů zneplatněných certifikátů (dále jen CRL ). CP je závazná v plném rzsahu pr všechny výknné a administrativní slžky CA MF ČR, v určeném rzsahu pak i pr uživatele a splupracující strany. Pr snazší rientaci uživatelů sbních certifikátů jsu části plitiky týkající se především nadřízených certifikačních autrit vymezeny vdrvnými čarami, případně čaru a kncem kapitly. Tyt části jsu pr uživatele sbních certifikátů infrmativní. 1.1 Obecný přehled CP dpvídá pžadavkům stanveným v RFC 3647, s přihlédnutím k dpručením rgánů EU a k legislativě ČR v daném bru. CP představuje suhrn závazných pstupů při vydávání, následné správě a zneplatňvání certifikátů CA MF ČR včetně pstupů při technické realizaci knkrétních patření. 1.2 Identifikace dkumentu Název: Certifikační plitika resrtní Certifikační autrity Ministerstva financí ČR Organizace: Certifikační autrita Ministerstva financí ČR Schválil: Ředitel dbru 33 MF ČR Schválen: Dnem zveřejnění na webvých stránkách CA resrtu MF ČR 1.3 Účastné strany Navazující autrity (certifikační cesta) V rámci resrtu MF ČR je zavedena hierarchická struktura certifikačních autrit. Pd pjmem CA MF ČR se rzumí celá tat hierarchická struktura certifikačních autrit. Na vrchlu hierarchie stjí křenvá certifikační autrita (dále jen CA_Rt ), která služí jak vrchl strmu důvěry. Tat autrita vydává puze svůj křenvý nadřízený certifikát a nadřízený certifikát pr mezilehlu certifikační autritu (dále jen CA_Intermediate ) a příslušné CRL. CA_Intermediate služí pr vydávání nadřízených certifikátů pdřízeným vydávacím certifikačním autritám (dále jen CA_Lcal ). CA_Intermediate vydává dále nadřízené certifikáty pr resrtní autritu časvéh razítka MF ČR 10/67 CP_CA_v1-4

11 (dále jen TSA ). Pkud je pužit termín certifikační autrita (neb puze CA) má se za t, že jde libvlnu z CA_Rt, CA_Intermediate, CA_Lcal. D struktury certifikačních autrit MF ČR je rvněž zařazena testvací certifikační autrita (CA Test). Tat certifikační autrita je na stejné úrvni jak CA_Lcal, prt veškerá ustanvení tét certifikační plitiky platná pr CA_Lcal platí i pr CA Test, pkud není výslvně stanven jinak Registrační autrity U každé CA_Lcal se zřizuje jedna neb více registračních autrit (dále jen RA ). RA nese dpvědnst za správné vyřízení žádstí pskytvání certifikačních služeb. RA nesmí kladně vyřídit žádst, pkud uživatel hdnvěrným způsbem neprkázal svji ttžnst neb dmítá ptřebné údaje sdělit. RA dále zdpvídá za včasné vyřízení právněných žádstí zneplatnění certifikátů. RA je základním místem styku žadatelů a uživatelů certifikačních služeb s pskytvatelem těcht služeb a dpvídá za vyřizvání připmínek a stížnstí uživatelů. V půsbnsti veducíh CA MF ČR je pr ptřeby vývje a věření prvzní funkčnsti ICT u CA Test zřízena samstatná RA pr přijímání a vyřizvání žádstí pskytvání testvacích certifikátů. CA_Rt a CA_Intermediate vydávají puze nadřízené certifikáty. Vzhledem k tmu se bejdu bez služeb RA. Žádsti vystavení nadřízenéh certifikátu pdávají přím správci CA_Lcal neb ředitelé rganizačních slžky. Nadřízené certifikáty pr CA_Rt a CA_Intermediate jsu přím v režii veducíh CA MF ČR Uživatelé Uživatelem sbníh certifikátu může být puze fyzická sba, která je právněná k právním úknům dle příslušné legislativní nrmy a je v pracvně právním vztahu s rganizační slžku MF ČR, která prvzuje danu CA_Lcal neb za přesně stanvených pdmínek, pracvníci třetích stran, kteří s tut slžku splupracují neb jí pskytují služby. Uživatelem u CA_Rt a CA_Intermediate jsu fakticky puze pdřízené certifikační autrity. CA_Intermediate vydává a zneplatňuje ještě nadřízené certifikáty pr TSA. Žadatelem vydání nadřízenéh certifikátu neb jeh zneplatnění, může být puze fyzická sba. 11/67 CP_CA_v1-4

12 1.3.4 Spléhající strany Jsu fyzické sby, technická zařízení. prcesy a pdřízené certifikační autrity, které se při své činnsti spléhají na platnst příslušnéh digitálníh pdpisu věřvanu veřejným klíčem bsaženým v certifikátu vydaném CA MF ČR Ostatní účastníci Další subjekty, které se pdílí na službách rientvaných d infrastruktury veřejných klíčů (dále jen PKI ), jak ddavatelé specializvanéh hardware, sftware, čipvých karet, zabezpečvací techniky atp. 1.4 Typy a pužitelnst certifikátu Pvlená pužití certifikátů Certifikáty, které vydávají jedntlivé CA mhu být pužívány v aplikacích pr následující účely: zajištění integrity dat zajištění nedmítnutelnsti dpvědnsti zajištění důvěrnsti dat ustanvení sdílenéh tajemství (klíče) v rámci prtklu pr bezpečnu výměnu dat přímé šifrvání a dešifrvání dat pdepisvání a věření certifikátů pdepisvání a věřvání CRL pdepisvání a věřvání časvých razítek V případech pužití certifikátu (resp. privátníh klíče s ním spjenéh) pr tyt účely se vlastní pužití řídí příslušnými standardy. Pr certifikáty vydané testvací certifikační autritu CA Test (dále také jen testvací certifikáty ) platí následující mezení: certifikáty nesmějí být v žádném případě pužity pr pdepisvání a věření certifikátů pdepisvání a věřvání CRL pdepisvání a věřvání časvých razítek certifikáty mhu být pužity výhradně v testvacím prstředí 12/67 CP_CA_v1-4

13 1.4.2 Zakázaná pužití certifikátů Certifikáty vydané pdle tét CP a s nimi spjené privátní klíče nelze pužívat pr jiné účely než-li uvedené v dstavci Typy vydávaných certifikátů CA MF ČR vydává následující typy certifikátů. 1. Nadřízené certifikáty - nadřízené certifikáty pr vydávání a věřvání certifikátů a CRL - nadřízené certifikáty pr vydávání a věřvání časvých razítek Nadřízené certifikáty a k nim příslušné párvé klíče služí výhradně k pdepisvání a věřvání certifikátů, CRL a časvých razítek. 2. Osbní certifikáty - certifikáty pr autentizaci a pdepisvání - certifikáty pr šifrvání - certifikáty pr věřvání sftwarvéh kódu Certifikáty pr autentizaci a pdepisvání a k nim příslušné párvé klíče služí při autentizaci fyzických sb například vůči vstupním kntrlním systémům, při přihlašvání k sbním účtům v pčítači, při přihlašvání d aplikací (jak např. ADIS) atp. Tyt certifikáty a k nim příslušné párvé klíče se rvněž pužijí při vytváření a věřvání elektrnických pdpisů. Certifikáty pr šifrvání a k nim příslušné párvé klíče služí pr zajištění důvěrnsti dat, například při šifrvání/dešifrvání vých zpráv, při zabezpečení ulžených dat na pevném disku pčítače v subrvém systému EFS firmy Micrsft atp. Certifikáty pr věřvání sftwarvéh kódu a k nim příslušné párvé klíče jsu vydávány určeným pracvníkům, kteří pmcí příslušnéh privátníh klíče zajišťují autenticitu určenéh sftware. 3. Certifikáty pr aplikace - certifikáty pr dménvé řadiče - certifikáty pr servery - certifikáty pr knkrétní určenu aplikaci Certifikáty pr aplikace a k nim příslušné párvé klíče jsu pužívány autmatickými prcesy pr účely uvedené v dstavci vyjma pdepisvání a věření certifikátů, pdepisvání a věřvání CRL a pdepisvání a věřvání časvých razítek. 4. Testvací certifikáty 13/67 CP_CA_v1-4

14 - testvací certifikáty sbní - testvací certifikáty pr aplikace Testvací certifikáty vydává certifikační autrita CA Test, která je na úrvni CA_Lcal. Testvací certifikáty mhu být všech typů, které vydává CA_Lcal, vyjma certifikátu pr dménvý řadič. Nadřízené certifikáty prt nemhu být vydávány v testvací verzi. Všechny prcesy suvisející s živtním cyklem testvacíh certifikátu jak identifikace žadatele, žádst vydání, vydání, expirace, následný certifikát, zneplatnění atd., jsu (až na výjimky uvedené dále v příslušných ustanveních) stejné jak u jeh řádnéh ekvivalentu. Testvací certifikáty lze pužívat puze pr testvací, technlgické účely. Jejich pužití v strém prvzu je zakázán. 1.5 Administrace dkumentu Řízení a specifikace CP Pužití certifikátů vydaných CA MF ČR se řídí tut CP, kteru vydává MF ČR. Tut CP zveřejňuje CA MF ČR na webvých stránkách MF ČR. Veškeré dtazy týkající se interpretace CP je nutn směřvat na kntaktní adresu, která služí pr kntakt uživatele s CA MF ČR (článek ) Kntaktní adresy Kntaktní adresa: certifikacniautrita@mfcr.cz Osba určující shdu CP s dpvídající CPS Veducíh CA MF ČR, který určuje shdu příslušné certifikační prváděcí směrnice (dále jen CPS ) s tut CP, určuje ředitel dbru 33 MF ČR. Puze veducí CA MF ČR je právněn prvádět změny v CPS při změně či dplnění CP Schvalvání CP CP CA MF ČR schvaluje ředitel dbru 33 MF ČR. 1.6 Definice a pjmy Pjem Autentizace Význam Je prces věření a tím i ustavení identity (uživatele, prcesu neb jiné entity) s pžadvanu míru záruky. 14/67 CP_CA_v1-4

15 Pjem Autrizace Certifikační autrita (v blasti PKI) Certifikát (v blasti PKI) CRL Časvé razítk (time stamp) Digitální pdpis Důvěrnst Elektrnický pdpis Expirvaný certifikát Hashvací funkce Identifikace Křenvý nadřízený certifikát Mbilní zařízení Význam Je udělení určitých práv a určení pvlených aktivit. Pskytvatel certifikačních služeb zaměřený zejména na vydávání certifikátů a jejich správu. V mnha případech se certifikační autrita (dále též. CA) chápe jak synnymum pr termín pskytvatel certifikačních služeb. Je datvá zpráva, která je vydána pskytvatelem certifikačních služeb, spjuje veřejný klíč (=data pr věřvání elektrnických pdpisů) s pdepisující sbu a umžňuje věřit její identitu. Seznam zneplatněných certifikátů Je datvá zpráva, kteru vydal pskytvatel certifikačních služeb a která důvěryhdným způsbem spjuje.data v elektrnické pdbě s časvým kamžikem, a zaručuje, že uvedená data v elektrnické pdbě existvala před daným časvým kamžikem Jsu údaje v elektrnické pdbě, které jsu připjené k datvé zprávě neb jsu s ní lgicky spjené, a které umžňují jednznačné věření identity pdepsanéh subjektu ve vztahu k datvé zprávě Znamená skutečnst, že infrmace není przrazena neprávněným stranám. Jsu údaje v elektrnické pdbě, které jsu připjené k datvé zprávě neb jsu s ní lgicky spjené, a které umžňují jednznačné věření identity pdepsané sby ve vztahu k datvé zprávě Certifikát p sknčení dby platnsti uvedené v tmt certifikátu. Je funkce, která přiřazuje libvlně dluhé zprávě M, kratší než-li stanvená maximální délka, tisk (=hash) H pevné délky. Tat funkce musí dále splňvat: 1. Pr danu M je snadné spčítat H. 2. Pr dané H je velmi těžké spčítat příslušnu M. 3. Pr danu M a její H je velmi těžké zjistit jinu M takvu, že má stejnu hash H. Prces prhlášení identity danu entitu (fyzicku sbu, serverem apd.). Nadřízený certifikát, který je pdepsán privátním klíčem příslušným veřejnému klíči uvedenému v tmt certifikátu (angl. self-signed). Je na vrchlu hierarchie důvěry. V rámci CA MF ČR je puze u CA_Rt. PDA, Smartphne, i-phne, mbilní telefny s OS umžňujícím vzdálený přístup d sítě MF ČR 15/67 CP_CA_v1-4

16 Pjem MSCA Nadřízený certifikát Následný certifikát Neppíratelnst (nnrepudiatin) Otisk Párvé klíče Pzastavený certifikát Pdepisující sba PKI Privátní klíč Služba (service) Služební identifikační čísl Význam Služba servervéh peračníh systému firmy Micrsft zajišťující funkce certifikační autrity v rámci PKI. Certifikát, s nímž spjené párvé klíče služí k pdepisvání a věřvání certifikátů neb časvých razítek. Certifikát, který byl v suladu s platnu certifikační plitiku vydán držiteli v dbě platnsti již vydanéh certifikátu a který má stejné údaje uvedené v tmt certifikátu, a liší se ve veřejném klíči a sérivém čísle certifikátu. Představuje vlastnst získanu na základě kryptgrafických metd, kdy je jedntlivým stranám zabráněn ppřít, že uskutečnily určitu akci týkající se dat (jak například mechanismy k - zabránění ppření autrství, - k dkázání pvinnsti, záměru neb závazku neb - dkázání vlastnictví) Výstup hashvací funkce. Vzájemně svázaná dvjice klíčů pr vytváření digitálních pdpisů ( privátní klíč) a pr věřvání digitálních pdpisů (veřejný klíč). Veřejné klíče jsu vesměs publikvány v certifikátech splu s dalšími údaji zejména identitě pdepisujícíh subjektu. Certifikát ve stavu, kdy jej nelze pužívat pr věřvání digitálních pdpisů a příslušný privátní klíč nelze pužívat pr vytváření digitálních pdpisů, nicméně vydávající certifikační autrita jej může učinit znvu platným. Fyzická sba, která je držitelem prstředku pr vytváření digitálních pdpisů a jedná svým jménem neb jménem jiné fyzické či právnické sby. Infrastruktura veřejných klíčů subr technlgií zalžených na asymetrických šifrách. Jiný výraz pr data pr vytváření digitálních pdpisů. Suhrn úlh, které tvří z phledu pskytvatele služby i žadatele služby jeden celek. Jednznačný bezvýznamvý identifikátr, kterým je sbní čísl zaměstnance, identifikační čísl externíh pracvníka apd., které je zpravidla autmaticky přidělván persnálním infrmačním systémem neb jinu věřenu databází 16/67 CP_CA_v1-4

17 Pjem Význam Spléhající se strana Subjekt spléhající se při své činnsti na vydaný certifikát. Statut certifikátu Stav ve kterém se certifikát nachází, tj. platný, zneplatněný, zablkvaný, pzastavený, expirvaný. Subjekt Systém správy klíčů Systém správy čipvých karet (CMS) Uživatel Veřejný klíč Zablkvaný certifikát Zneplatněný certifikát Fyzická sba, právnická sba neb sftwarvý mdul s nedmítnutelnu dpvědnstí knkrétní fyzické sby. Představuje systém pr genervání, ukládání, distribuci, dvlání, zrušení, archivvání, ničení, certifikaci neb aplikaci kryptgrafických klíčů. Představuje systém pr genervání bsahu, ptisk, ukládání, distribuci, zrušení, mazaní bsahu a ničení čipvých karet. Držitel, spléhající se strana, žadatel, ppř. subjekt, rzhdující se využívání pskytvané certifikační služby. Jiný výraz pr data pr věřvání digitálníh pdpisu. Stav ve kterém se certifikát nachází d kamžiku, kdy jej pskytvatel certifikačních služeb, který jej vydal, zneplatnil d dby, kdy tent pskytvatel certifikačních služeb zveřejnil CRL, ve kterém je tent certifikát pprvé zařazen. Certifikát, který byl pskytvatelem certifikačních služeb, který jej vydal, zneplatněn bez mžnsti bnvení platnsti. 17/67 CP_CA_v1-4

18 2 Uveřejňvání a uchvání infrmací 2.1 Sklady CA MF ČR zřizuje za účelem pskytvání certifikačních služeb sklady certifikátů. Sklady jsu zřízeny u CA_Intermediate a CA_Lcal. CA MF ČR zveřejňuje následující infrmace certifikátech: infrmace vydaných certifikátech včetně dkazů, na nichž lze pžadvaný certifikát získat. infrmace zneplatněných certifikátech včetně dkazů, na nichž je mžné získat aktuální neb archivní CRL. 2.2 Zveřejňvání certifikačních infrmací CA MF ČR pskytne infrmace tét CP všem právněným subjektům v ptřebném rzsahu. CA MF ČR zveřejňuje své vlastní nadřízené certifikáty, tak aby byly k dispzici všem uživatelům. CA MF ČR rvněž zveřejňuje statut svých vlastních nadřízených certifikátů. 2.3 Frekvence zveřejňvání CA_Lcal peridicky aktualizuje seznam vydaných certifikátů, dba d vydání certifikátu d jeh zveřejnění nesmí přesáhnut 8 hdin. CA_Lcal peridicky aktualizuje CRL. Za tímt účelem CA_Lcal vydává aktuální CRL jednu za 48 hdin (2 dny), takt vydané CRL platí 96 hdin (4 dny). CA_Rt a CA_Intermediate aktualizují seznam jimi vydaných nadřízených certifikátů puze v případě, že vydaly nvý nadřízený certifikát. Dba d vydání nadřízenéh certifikátu d jeh zveřejnění nesmí přesáhnut 8 hdin. CA_Intermediate rvněž peridicky aktualizuje CRL, Za tímt účelem CA_Intermediate vydává aktuální CRL jednu za 30 kalendářních dní. V případě, že dšl k zneplatnění nadřízenéh certifikátu, který CA_Intermediate vydala, je CRL vydán bezprstředně. CA_Rt aktualizují CRL puze v případě, že zneplatní nějaký nadřízený certifikát, který vydala. V takvém případě vydává CRL bez zbytečných průtahů nejpzději však d 2 hdin p zneplatnění takvéh nadřízenéh certifikátu. Vlastní nadřízené certifikáty zveřejňují všechny certifikační autrity na webvých stránkách MF ČR nejméně 24 hdin před nabytím jejich platnsti. Jsu rvněž pvinné bezpečnu cestu předat tyt certifikáty RA nejméně 24 hdin předem před nabytím jejich platnsti. 18/67 CP_CA_v1-4

19 Při změně statutu svých nadřízených certifikátů znamují tut skutečnst neprdleně prstřednictvím webvých stránek MF ČR, nejpzději však d 2 hdin. 2.4 Způsby přístupu k ulženým infrmacím K ulženým infrmacím tj. seznamu vydaných certifikátů, CRL, tét CP, CPS a vlastním nadřízeným certifikátům lze přistupvat vzdáleným přístupem přes lkální síť a Internet. Přístupvé adresy jsu uvedeny i ve vydaných certifikátech. 19/67 CP_CA_v1-4

20 3 Identifikace a autentizace 3.1 Jmenné knvence Typy jmen CA_Lcal přijímá žádsti vydání certifikátů ve frmátu X.509. V suladu s pžadavky nrem řady X.500. pvinnými plžkami jsu: V případě certifikátů pr aplikace: Obecné Jmén (CN) musí být shdné se jménem aplikace země (C) V případě sbních certifikátů umístěných na čipvé kartě: Obecné Jmén (CN) Organizace (O): MFCR Organizační jedntka (OU): dle zařazení Title (T) je pužit (sbní) služební identifikační čísl Alternativní jmén předmětu země (C) UPN uživatele pr přihlášení d sítě MF ČR (UPN) vá adresa (E) V případě sbních certifikátů pr autentizaci a elektrnické pdepisvání umístěných v mbilním zařízení: Obecné Jmén (CN)Organizace (O): MFCR Organizační jedntka (OU): dle zařazení Title (T) je pužit (sbní) služební identifikační čísl Alternativní jmén předmětu země (C) UPN uživatele pr přihlášení d sítě MF ČR (UPN) vá adresa (E) V případě sbních certifikátů pr autentizaci d VPN umístěných v mbilním zařízení: Obecné Jmén (CN) - je pužit (sbní) služební identifikační čísl Organizace (O): MFCR Organizační jedntka (OU): dle zařazení Alternativní jmén předmětu UPN uživatele pr přihlášení d sítě MF ČR (UPN) vá adresa (E) 20/67 CP_CA_v1-4

21 země (C) Pr testvací certifikáty sbní platí stejné zásady jak pr sbní certifikáty, puze plžka CN musí být dplněna (zaknčena) řetězcem (TEST!). CA_Intermediate přijímá žádsti vydání certifikátů ve frmátu X.509. V suladu s pžadavky nrem řady X.500. pvinnými plžkami jsu: V případě nadřízených certifikátů pr CA_Lcal: Obecné Jmén (CN): Ministerstv financi - CA /*název lkality*/ země (C) : CZ rganizace (O): MFCR V případě nadřízených certifikátů pr TSA: Obecné Jmén (CN): Ministerstv financi - TSA země (C) : CZ rganizace (O): MFCR CA_Rt přijímá žádsti vydání certifikátů ve frmátu X.509. V suladu s pžadavky nrem řady X.500. pvinnými plžkami jsu: V případě křenvých nadřízených certifikátů pr CA_Rt: Obecné Jmén (CN): Ministerstv financi - CA Rt země (C) : CZ rganizace (O): MFCR V případě nadřízených certifikátů pr CA_Intermediate: Obecné Jmén (CN): Ministerstv financi - CA IM země (C) : CZ rganizace (O): MFCR Věcná správnst jmen V případě sbních certifikátů se rvněž kntrluje přítmnst nepvlených znaků. V případě, že se nepvlené znaky vyskytnu, žádst se nepřijme. Dále se kntrluje přítmnst všech pvinných plžek. Pkud některá z pvinných plžek není vyplněna, žádst se nepřijme. Dále se kntrluje věcná správnst jmen. Obecné Jmén (CN) - musí dpvídat některému z ficiálních jmen sby neb rganizace. Přípustné hdnty jsu pr fyzické sby jmén a příjmení, v případě certifikátů pr autentizaci d VPN umístěných v mbilním zařízení sbní čísl uživatele. V případě certifikátů vydávaných testvací certifikační autritu CA Test se na knec dplní řetězec (TEST!), 21/67 CP_CA_v1-4

22 Elektrnická adresa (E) žadatel je pvinen uvést dpvídající služební elektrnicku adresu. Pkud je mžné věřit, že žadatel je vlastníkem neb uživatelem předmětné elektrnické adresy, musí tak být učiněn. Pkud tt není mžné, musí být tat skutečnst zahrnuta d žádsti a je nutn pžadvat p žadateli písemné ptvrzení správnsti. Název země (státu) (C) může bsahvat puze kód CZ Česká republika. Organizace (O) může bsahvat puze řetězec MFCR. Organizační jedntka (OU) může bsahvat puze kód příslušné rganizační jedntky. Plžka Title (T) musí bsahvat sbní (služební) identifikační čísl. Hlavní jmén uživatele (UPN) musí bsahvat jmén uživatele pr přihlášení d sítě MF ČR V případě certifikátů pr aplikaci se rvněž kntrluje přítmnst nepvlených znaků. V případě, že se nepvlené znaky vyskytnu, žádst se nepřijme. Dále se kntrluje přítmnst všech pvinných plžek. Pkud některá z pvinných plžek není vyplněna, žádst se nepřijme. Dále se kntrluje věcná správnst jmen. Název (CN) zpravidla by měl bsahvat název aplikace. Pkud tak tmu není, musí být skutečnsti v názvu uváděné věřeny, pkud se jedná skutečnsti, které věření vyžadují. V případě certifikátů vydávaných testvací certifikační autritu CA Test se na knec dplní řetězec (TEST!) Název země (státu) (C) může bsahvat puze kód CZ Česká republika. Pr nadřízené certifikáty se rvněž kntrluje věcná správnst jmen, kde jediná přípustná jména jsu uvedena v plžkách v dstavci Pužití pseudnymů CA MF ČR nepdpruje pužívání pseudnymů ve vydávaných certifikátech Pravidla interpretace různých frem jmen Pkud je pužit alternativní jmén, je nutn rvněž věřit skutečnsti v něm uváděné, pkud se jedná skutečnsti vyžadující věření. Jak sučást alternativníh jména se připuští: elektrnická adresa identifikátr zdrje v Internetu (URI) jmén dménvéh serveru IP adresa EDI jmén registrvaný identifikátr (OID) 22/67 CP_CA_v1-4

23 3.1.5 Jednznačnst jmen V případě sbníh certifikátu musí jednznačnst jména zajišťvat plžky CN (Obecné Jmén), E (elektrnická adresa), T (sbní/služební identifikační čísl) a C (země / stát). RA je pvinna zjistit, zda žadatelem uvedené jmén nebyl v rámci vydaných certifikátů již pužit. V případě, že žadatelv jmén je již bsažen ve vydaném certifikátu, RA vyzve příslušné persnální ddělení ke změně, případně dplnění jména. Úpravu klidujícíh jména je pvinn zajistit persnální ddělení. Žádst s klidujícím jménem musí RA dmítnut. Pkud přes veškerá patření djde ke klizi jmen, je v sučinnsti s příslušným persnálním ddělením prvedena změna jména uživatel, který vydání certifikátu s klidujícím jménem pžádal jak pslední. Uživatelův certifikát je zneplatněn. P vyřešení klize a sjednání nápravy je pr tht uživatele vyžádán a vydán nvý certifikát. V případě certifikátu pr aplikaci musí jednznačnst jména zajišťvat plžky CN (Obecné Jmén) a C (země / stát). RA je pvinna zjistit, zda žadatelem uvedené jmén nebyl v rámci vydaných certifikátů již pužit. V případě, že žadatelv jmén je již bsažen ve vydaném certifikátu, RA vyzve žadatele ke změně jména. Žadatel je pvinen pdat nvu žádst s upraveným neklidujícím jménem. Žádst s klidujícím jménem musí RA dmítnut. U vydávaných nadřízených certifikátů pkud je ddržen dstavec je zárveň zajištěna jednznačnst jmen Uznávání, autentizace a rle chranných známek Tyt skutečnsti nejsu relevantní pr tut CP. 3.2 Prvtní identifikace žadatele Metdy dkazvání vlastnictví privátníh klíče Žadatel je pvinen prkázat vlastnictví privátníh klíče, pkud pžaduje vystavení certifikátu, jehž sučástí je dpvídající veřejný klíč. Pkud je privátní klíč generván a ulžen na čipvé kartě, která bude předána žadateli, má se vlastnictví privátníh klíče za prkázané. V statních případech je tent privátní klíč pužit k pdpisu digitální žádsti vydání certifikátu, která bsahuje i jemu příslušný veřejný klíč. Pkud je pdpis žádsti certifikát úspěšně věřen, má se vlastnictví privátníh klíče za prkázané. V případě žádsti certifikát aplikace (např. serveru) jsu párvé klíče genervány správci těcht aplikací pmcí administrátrských nástrjů dané aplikace. Privátní klíč certifikátu aplikace zůstává ulžen na serveru, kde byly párvé klíče genervány. Veřejný klíč se stává sučástí digitální žádsti certifikát, která je genervána splu s párvými klíčí a která je privátním klíčem 23/67 CP_CA_v1-4

24 digitálně pdepsána. Ověřením platnsti tht digitálníh pdpisu si RA neb CA (u certifikátů pr dménvé řadiče) věřuje vlastnictví privátníh klíče. V případě vystavení nadřízenéh certifikátu pr pdřízené autrity se vlastnictví privátníh klíče dkladuje digitálním pdpisem žádsti vystavení certifikátu pr takvu autritu Ověření rganizační identity Příslušnst žadatele k rganizační jedntce v rámci které žádá vydání certifikátu si věřuje pracvník RA na základě údajů z persnálníh IS. Tyt skutečnsti jsu relevantní puze pr CA_Lcal Ověření identity fyzické sby Individuální žadatel je pvinen pracvníkvi RA prkázat svu identitu při registraci žádsti vydání certifikátu na první neb nvé čipvé kartě neb při registraci žádsti vydání certifikátu aplikace. Svji identitu je žadatel rvněž pvinen prkázat při sbním převzetí první neb nvé čipvé karty neb při převzetí certifikátu aplikace Neprvěřvané údaje žadatele RA nezdpvídá za správnst statních atributů certifikátu vyjma CN, C, T, E a případně AN Ověření právnění Pkud žadatel žádá vydání certifikátu, který zajišťuje speciální právnění, např. právnění pr perátra CA, musí předlžit písemný dkument/dkumenty vlastnručně pdepsané dpvědným řídícím pracvníkem, na základě kterých bude mci pracvník RA tyt skutečnsti věrhdně věřit. Pkud žadatel žádá vydání certifikátu u CA Test, musí rvněž předlžit písemný dkument/dkumenty vlastnručně pdepsané dpvědným řídícím pracvníkem, na základě kterých bude mci pracvník RA právněnst žádsti věrhdně věřit. Žadatelé vydání nadřízených certifikátů, pkud nejsu přím veducím CA MF ČR musí hdnvěrným způsbem prkázat, že jsu právněni žádat vydání nadřízených certifikátů Identifikace při PKI sučinnsti CA_Lcal nesplupracují s jinými certifikačními autritami a nejsu právněné vydávat křížvé certifikáty. 24/67 CP_CA_v1-4

25 CA_Intermediate nesplupracuje s jinými certifikačními autritami a není právněna vydávat křížvé certifikáty. CA_Rt nesplupracuje s jinými certifikačními autritami a není právněna vydávat křížvé certifikáty. 3.3 Identifikace a autentizace při vydávání následnéh certifikátu Identifikace a autentizace při standardním vydání následnéh certifikátu Při standardním pstupu žádsti vydání následnéh certifikátu se identifikace a autentizace žadatele zajišťuje pmcí digitálníh pdpisu vytvřenéh žadatelvým ještě platným privátním klíčem Identifikace a autentizace p zneplatnění certifikátu Pkud byl certifikát zneplatněn, prvede se identifikaci a autentizaci žadatele následný certifikát jak v případě, kdy žadatel žádá vydání nvéh certifikátu. V případě že byl zneplatněn nadřízený certifikát prvede CA, která jej vydala, identifikaci a autentizaci žadatele následný nadřízený certifikát jak v případě, kdy se žádá vydání nvéh nadřízenéh certifikátu. 3.4 Identifikace a autentizace při žádsti zneplatnění certifikátu Osba žádající zneplatnění certifikátu může žádst pdat buď fyzicky na RA, pmcí vzdálenéh přístupu neb přes službu Helpdesk. V případě přímé žádsti na RA je žadatel pvinen prkázat svji ttžnst. Pkud nejde přím držitele certifikátu, musí být tat sba na seznamu právněných sb právněných zneplatňvat předmětný certifikát, který má pracvník RA k dispzici. V případě žádsti pdávané pmcí vzdálenéh přístupu se žadatel zneplatnění identifikuje a autentizuje pužitím elektrnickéh pdpisu vytvřenéh jeh privátním klíčem. V případě žádsti pdané přes Helpdesk se nejdříve identifikuje perátrvi Helpdesku pmcí stanvenéh pstupu, a pté pdá žádst zneplatnění certifikátu. Vydaný certifikát je mžné rvněž zneplatnit autmaticky bez žádsti na základě zjištění, že sba, která je držitelem certifikátu, již není v pracvním pměru neb jsu zjištěny jiné závažné nedstatky (duplicity certifikátů apd.) a přitm nebyla pdána žádst standardním způsbem, ačkliv být pdána měla. 25/67 CP_CA_v1-4

26 O zneplatnění nadřízenéh certifikátu vydanéh CA_Rt může žádst pdat puze ředitel dbru 33 MF ČR neb veducí CA MF ČR. O zneplatnění certifikátu vydanéh CA_Intermediate může žádst pdat puze ředitel příslušné rganizační slžky neb správce příslušné pdřízené CA. V případě, že pužije vzdálený přístup identifikuje a autentizuje se pužitím elektrnickéh pdpisu vytvřenéh svým sbním privátním klíčem na žádsti zneplatnění a sučasně musí být žádst zneplatnění certifikátu věřena telefnickým hvrem mezi žadatelem a veducím CA MF ČR. Žádst zneplatnění certifikátu vydanéh CA_Intermediate nelze pdávat pmcí Helpdesku. 26/67 CP_CA_v1-4

27 4 Operační pžadavky živtníh cyklu certifikátu Osbní certifikát pr autentizaci a pdepisvání je vydáván na čipvu kartu která služí i jak vstupní průkaz a prt má ptřebné vizuální identifikační data. Pužívání čipvé karty pr přihlašvání je pvinnst. Žadateli může být na základě jeh žádsti vydán také certifikát pr pužití v mbilním zařízení. 4.1 Žádst certifikát Žadatelé certifikát Žadatelem vydání certifikátu může být puze fyzická sba, která v dbě žádsti splňuje pdmínky dst Ptvrzení pdepisuje veducí rganizační sučásti pr kteru je daný typ certifikátu validní neb jím ustanvený zástupce. Žadatelem vydání nadřízenéh certifikátu může být puze fyzická sba, která je v dbě žádsti prkazatelně ředitelem příslušné rganizační slžky neb je ve funkci správce CA respektive veducíh CA MF ČR. Žadatelem vydání certifikátu pr dménvý řadič je sám dménvý řadič, který v kamžiku, kdy se dinstaluje, vyhledá MSCA, která je v jeh dméně a u ní si nechá (pdle příslušné šablny) vystavit prvtní certifikát Registrační prces Registrační prces se skládá z vypracvání návrhu žádsti vystavení certifikátu, schválení tht návrhu příslušným pracvníkem a vyřizváním tét žádsti příslušnu registrační autritu. V případě nadřízených certifikátů se registrační prces skládá z vypracvání návrhu žádsti vystavení certifikátu a schválení tht návrhu ředitelem dbru 33 MF ČR. V případě certifikátu dménvéh řadiče prbíhá registrační prces autmaticky mezi MSCA a dménvým řadičem na základě prtklů servervéh peračníh systému firmy Micrsft. 4.2 Zpracvání žádsti certifikát Identifikační a autentizační prces Identifikační a autentizační prces, vyjma případ dménvéh řadiče, prvádí příslušná RA pdle pstupů pdrbněji ppsaných v dstavci /67 CP_CA_v1-4

28 Identifikační a autentizační prces v případě dménvéh řadiče prbíhá autmaticky na základě prtklů servervéh peračníh systému firmy Micrsft Schválení a dmítnutí žádsti vydání certifikátu Pracvník RA dmítne žádst vydání certifikátu pkud žadatel není zaveden v persnálním infrmačním systému neb jiné věřené databázi, ppřípadě nepředlží platný bčanský průkaz žadatel nepředlží pdepsaný dkument pdle a vyžaduje vydání certifikátu, jehž vydání je na takvý dkument vázán žadatel žádá vydání certifikátu, který není CA_Lcal pdprván žádst nebsahuje pvinné plžky a žadatel dmítne neb není schpen tyt dplnit V statních případech pracvník RA žádst schválí. Schválení neb dmítnutí žádsti vydáni nadřízenéh certifikátu je plně v pravmci ředitele dbru 33 MF ČR. Tent pstup není relevantní pr certifikát dménvéh řadiče Lhůty vyřízení žádsti certifikát Lhůta k vyřízení žádsti certifikát je jeden pracvní den. V případě žádsti u CA_Intermediate jsu t 3 pracvní dny. 4.3 Vydání certifikátu Pstup CA při vydání certifikátu Při prvtním výdeji sbníh certifikátu, generuje certifikát CA_Lcal na základě pžadavků přijatých d RA. Pstup závisí na zařízení, které bude pr uchvávání a práci s certifikáty pužíván. Čipvá karta Párvé klíče uživatele určené pr autentizaci a pdepisvání jsu vždy genervány v čipvé kartě, pr statní pužití jsu buď genervány v čipvé kartě neb jsu d ní nahrány. Privátní klíč pr autentizaci a pdepisvání nikdy nepustí čipvu kartu, všechny perace s ním se budu prvádět v čipvé kartě p zadání přístupvéh hesla - PIN (Persnal Identificatin Number). K příslušnému veřejnému klíči a údajům z žádsti vystaví CA_Lcal certifikát, který je rvněž nahrán na čipvu kartu. Mbilní zařízení 28/67 CP_CA_v1-4

29 Párvé klíče jsu genervány buď v samtném zařízení neb na lkální stanici umístěné v lkální síti uživatele. V případě generace mim zařízení musí být zajištěn, aby byl mžné certifikát i s privátním klíčem d zařízení imprtvat. CA_Lcal vystaví k příslušnému veřejnému klíči a údajům z žádsti certifikát, který je mžné d zařízení imprtvat. Při prvtním výdeji certifikátu pr aplikaci, vyjma dménvéh řadiče, digitálně pdepisuje CA_Lcal tent certifikát na základě pžadavku přijatéh d RA. Certifikát aplikace splu s platnými nadřízenými certifikáty je žadateli sbně předán na RA na externím médiu. Při vydání křenvéh nadřízenéh certifikátu CA_Rt je tent certifikát digitálně pdepsán privátním klíčem příslušným k veřejnému klíči uvedenému v certifikátu CA_Rt. Nadřízený certifikát pr CA_Intermediate je rvněž pdepsán privátním klíčem CA_Rt. Nadřízený certifikát pr CA_Lcal a TSA je při vydání digitálně pdepsán privátním klíčem CA_Intermediate. Žádst dménvéh řadiče je příslušnu MSCA zpracvána a vyřízena v rámci prcesů servervéh peračníh sytému firmy Micrsft Zpráva vydání certifikátu žádající sbě Zpráva vydání certifikátu je splečně s vydaným certifikátem zaslána na e- mailvu adresu žadatele. 4.4 Akceptvání certifikátu Pstup žadatele při akceptaci certifikátu Při vydání certifikátu na nvé čipvé kartě vyjádří žadatel akceptaci certifikátu vlastnručním pdpisem dkumentu předání čipvé karty na RA. Pkud dmítne certifikát akceptvat, vyznačí pracvník tut skutečnst na dkumentu předání čipvé karty a pžádá CA_Lcal zneplatnění tht certifikátu. V případě vydání certifikátu pr mbilní zařízení se akceptace prvádí prstřednictvím elektrnickéh ptvrzení přijetí certifikátu s pužitím čipvé karty uživatele. Řádně vydané nadřízené certifikáty musí být akceptvány Zveřejňvání vydaných certifikátů CA Certifikáty, které vydala CA MF ČR jsu přístupné na webvých stránkách MF ČR a na webvé stránce CA_Intermediate. 29/67 CP_CA_v1-4

30 4.4.3 Zpráva CA vydání certifikátů dalším stranám CA MF ČR nezasílá jiným stranám infrmaci vydání certifikátů, není-li ve zvláštních dhdách neb smluvách uveden jinak. 4.5 Párvé klíče a pužitelnst certifikátu Privátní klíč pdepisujícíh subjektu a užití certifikátu Privátní klíč pdepisujícíh subjektu lze pužívat výhradně k vytváření digitálních pdpisů. Tyt digitální pdpisy jsu pužitelné pr účely, které dpvídají pvlenému pužití příslušnéh privátníh klíče, tak jak je uvedené v atributu Key Usage a Extended Key Usage Veřejný klíč a spléhající se strana Spléhající se strana pužije veřejný klíč z certifikátu k verifikvání příslušnéh digitálníh pdpisu. V případě platnsti digitálníh pdpisu a platnsti certifikátu může spléhající strana předpkládat, že předmětný digitální pdpis vytvřila entita, která je uvedena v tmt certifikátu. Spléhající strana je pvinna rvněž zkntrlvat bsah plžky CN, zda nebsahuje řetězec (TEST!) tyt certifikáty jsu určeny výhradně pr testvání a pdle th je nutné s nimi nakládat. 4.6 Prdlužení platnsti certifikátu Certifikátům vydaným pdle tét CP nelze prdlužvat dbu platnsti. 4.7 Následný certifikát Následným certifikátem se rzumí certifikát, který byl v suladu s platnu CP vydán držiteli v dbě platnsti již vydanéh certifikátu a který má stejné kntrlvané údaje uvedené v tmt certifikátu, a liší se ve veřejném klíči a sérivém čísle certifikátu. V případě sbních certifikátů je za následný certifikát pvažván i takvý, který může mít změny v některých kntrlvaných údajích, které jsu d certifikátu autmaticky dplňvány z důvěryhdné databáze persnálníh ddělení. Tat výjimka se netýká údaje CN. 30/67 CP_CA_v1-4

31 4.7.1 Oklnsti pr vydání následnéh certifikátu Držitel certifikátu vydanéh CA, jehž expirační dba vyprší a který i p tét dbě bude mít práv držet certifikát stejnéh typu, bude vyzván k pdání žádsti vystavení následnéh certifikátu Žádst vydání následnéh certifikátu Při tvrbě následnéh sbníh certifikátu, který je ulžen na čipvé kartě, si uživatel generuje nvé párvé klíče v čipvé kartě. V statních případech prbíhá generace nvých párvých klíčů s využitím prgramu Micrsft Internet Explrer, na k tmut účelu připravené webvé stránce veřejnéh rzhraní CA_Lcal. Přístup prbíhá prtklem https, uživatel se autentizuje čipvu kartu s pmcí stávajících klíčů a certifikátů. Žádst následný certifikát digitálně pdepisuje jak stávajícím, tak i nvým privátním klíčem, čímž umžňuje dkázat vlastnictví privátních klíčů. Při tvrbě následnéh nadřízenéh certifikátu se vygenerují nvé párvé klíče na stejných zařízeních jak v případě prvníh certifikátu tj. na přensném pčítači na kterém je realizvána CA_Rt, na speciálním kryptgrafickém mdulu HSM, který je určen k pdepisvání nadřízených certifikátů a CRL vydávaných CA_Intermediate neb na pčítači na kterém je realizvána CA_Lcal respektive TSA. Žádst vydání následnéh certifikátu v elektrnické pdbě je v případě vydávání následnéh certifikátu pr CA_Intermediate, CA_Lcal a TSA Prces vydání následnéh certifikátu Žádst vystavení následnéh certifikátu je věřvána pmcí staréh i nvéh veřejnéh klíče. Pkud jsu ba digitální pdpisy platné je pr nvý veřejný klíč vydán nvý certifikát. V pačném případě je žádst zamítnuta. Pkud je žádst vydání následnéh certifikátu zamítnuta je tat skutečnst žadateli sdělena na jeh vu adresu. Žádst vystavení následnéh nadřízenéh certifikátu je věřvána pmcí staréh i nvéh veřejnéh klíče. Pkud jsu ba digitální pdpisy platné je pr nvý veřejný klíč vydán nvý nadřízený certifikát. Pkud tmu tak není je žádst vydání následnéh nadřízenéh certifikátu zamítnuta a tat skutečnst je žadateli sdělena na příslušnu vu adresu správce CA_Lcal neb veducíh CA MF ČR v případě CA_Rt, CA_Intermediate a TSA Zpráva vydání následnéh certifikátu žadateli Zpráva vydání následnéh certifikátu je splečně s vydaným certifikátem zaslána na vu adresu žadatele. 31/67 CP_CA_v1-4

32 4.7.5 Pstup žadatele při akceptaci následnéh certifikátu Všechny následné certifikáty vydané pdle tét CP musí být akceptvány Zveřejňvání vydaných následných certifikátů CA Následné certifikáty vydané CA jsu přístupné na webvých stránkách MF ČR a na webvé stránce CA_Intermediate Zpráva CA vydání následných certifikátů dalším stranám CA MF ČR nezasílá jiným stranám infrmaci vydání následných certifikátů neníli ve zvláštních dhdách neb smluvách uveden jinak. 4.8 Mdifikace certifikátu CA MF ČR nepdpruje žádné vystavení dalšíh nvéh certifikátu na párvé klíče, které příslušely již jednu vystavenému certifikátu. 4.9 Zrušení a zneplatnění certifikátu Oklnsti pr zneplatnění Certifikát může být zneplatněn puze na základě následujících klnstí: držitel certifikátu neb jím právněná sba pžádá jeh zneplatnění na základě uživatelva sdělení se věcný bsah certifikátu stane neplatným na základě zjištění CA_Lcal neb splupracujících subjektů se věcný bsah certifikátu stane neplatným držitel certifikátu byl usvědčen ze závažnéh prušení pracvních pvinnstí neb pvinnstí vyplývajících z CP je důvdné pdezření, že dšl ke kmprmitaci privátníh klíče držitele certifikátu djde ke kmprmitaci privátníh klíče CA_Lcal, který certifikát vydal držitel certifikátu uknčil pracvně právní vztah, neb v případě pracvníků třetích stran dšl ke změně dhdnutých pdmínek Testvací certifikát musí být zneplatněn bezprstředně pté, c pminula nutnst jeh pužívání v prcesu testvání, zneplatnění žádá vlastník certifikátu neb správce aplikace pr niž byl testvací certifikát vydán. Nadřízený certifikát může být zneplatněn puze na základě následujících klnstí: 32/67 CP_CA_v1-4

33 správce příslušné pdřízené CA neb ředitel rganizační slžky ve které je příslušná CA_Lcal zařazena pžádá jeh zneplatnění ředitel dbru 33 MF ČR neb veducí CA MF ČR pžádá jeh zneplatnění na základě zjištění CA MF ČR se věcný bsah nadřízenéh certifikátu stane neplatným je důvdné pdezření, že dšl ke kmprmitaci privátníh klíče příslušnéh k tmut nadřízenému certifikátu djde ke kmprmitaci privátníh klíče CA_Rt neb CA_Intermediate Kd může žádat zneplatnění O zneplatnění certifikátu může pžádat: držitel certifikátu veducí zaměstnanec, který je právněn vydání certifikátu pvlit RA, jejímž prstřednictvím byl pžádán jeh vydání CA_Lcal, která certifikát vydala O zneplatnění nadřízenéh certifikátu může pžádat: ředitel dbru 33 MF ČR neb veducí CA MF ČR správce pdřízené CA neb ředitel rganizační slžky u které je příslušná CA_Lcal zařazena Prcedura žádsti zneplatnění Vlastník certifikátu neb právněný veducí zaměstnanec musí zaslat neb sbně předat žádst zneplatnění certifikátu způsbem uvedeným v článku 3.4. V případě, že zneplatnění se uskutečňuje z iniciativy RA neb CA_Lcal, je příslušný pracvník RA neb CA_Lcal pvinen zaznamenat tut skutečnst d prtklu včetně důvdů tht rzhdnutí. Výše uvedené neplatí, pkud se jedná autmatické zneplatnění sbníh certifikátu na základě skutečnsti, že s dtyčnu sbu byl uknčen pracvní pměr a vydané certifikáty jí dsud nebyly zneplatněny. Pžadvaný záznam je nahrazen v tmt případě záznamem příslušné aplikace. Žádst zneplatnění nadřízenéh certifikátu se prtklárně předlží veducímu CA MF ČR, který ní rzhdne s definitivní platnstí. 33/67 CP_CA_v1-4