Návod k vygenerování certifikátu PKI-O2CZ-AUTENTIZACE Certifikát slouží pro autentizaci uživatele zejména pro vzdálený přístup VPN klientem Cisco nebo vzdálenou plochu CAG/Citrix a do dalších aplikací. Tento certifikát není určen k šifrování, pro severy ani jiné specifické účely návody pro takovéto certifikáty naleznete na http://ca.cz.o2.com/ V případě, že chcete certifikát použít při autentizaci v aplikaci RAS (vzdálený přístup) nebo CITRIX, musíte mít vzdálený přístup v rámci sady, role nebo oprávnění také schváleny. Přehled postupu generování certifikátu O2CZ pro silnou autentizaci: 1. Příprava aktivačních kódů 1.2. Připravte si obě části aktivačního kódu. i. První část tohoto kódu XXXX naleznete v horní části emailu, který jste obdrželi od certifikační autority. ii. Druhou část tohoto kódu YYYY-ZZZZ naleznete v SMS zaslané na Váš kontaktní mobil nebo na mobil nadřízeného 2. Příprava zařízení a jeho operačního systému 2.1. Nainstalování O2CZ kořenového certifikátu do důvěryhodných certifikačních autorit 2.2. Nainstalování O2CZ kořenového certifikátu do důvěryhodných vydavatelů 2.3. Přidání webu certifikační autority O2CZ mezi Důvěryhodné weby 2.4. Povolení Active X 2.5. Odstranění nepotřebných/zastaralých certifikátů 2.6. Nastavení kompatibilního zobrazení 3. Generování osobního autentizačního certifikátu O2CZ 3.1. Na webové stránce uvedené v emailu s první částí kódu v sekci pro externisty a nestandardní konfigurace (http://ca.cz.o2.com/cda-cgi/clientcgi?action=browsercert): i. pole [Reference number] mělo být předvyplněné. ii. do pole [Authorization code] zadejte obě části kódů ve tvaru XXXX-YYYY-ZZZZ iii. v poli [CSP type] ponechte hodnotu RSA full iv. v poli [CSP] ponechte hodnotu Microsoft Enhanced Cryptographic Provider v1.0 Pro zahájení generování certifikátu stiskněte tlačítko Submit request. 3.2. V okně Program vytváří nový klíč RSA pro výměnu potvrďte tlačítkem OK střední úroveň zabezpečení. 3.3. V okně Potvrzení přístupu k webu potvrďte volbu tlačítkem ANO
1 Příprava aktivačních kódů 1.1 Připravte si obě části aktivačního kódu. Po schválení oprávnění PKI-O2CZ-AUTENTIZACE v IAM (schvaluje pouze nadřízený uživatele) Vám byl certifikační autoritou zaslán Email s první půlkou autorizačního kódu a SMS zprávu s druhou půlkou autorizačního kódu. V případě, že v SAP/Telefonním seznamu není uveden Váš mobilní telefon, je SMS zpráva zaslána nadřízenému. Aktivační kódy budete potřebovat při generování certifikátu. Aktivační kódy jsou platné 30 dní od jejich zaslání. Pokud uplyne doba jejich platnosti, lze vyžádat zaslání nových aktivačních kódů: Standardně v aplikaci SSP v sekci Moje přístupy pro oblast Vzdálený přístup formulářem Opakované vydání aktivačních kódů Všechny incidenty a problémy (včetně náhrady propadlých kódů) zadávejte nejprve jako SSP! V případě problému s SSP žádostí kontaktujte první stupeň podpory (IT HelpDesk) na telefonním čísle 800 150 101 Výhradně pro urgentní řešení provozních problémů kontaktujte druhý stupeň podpory (Centrum bezpečnostního provozu) na +420 2714 67146 Na operátory druhé a třetí úrovně se obracejte přímo pouze v odůvodněných případech. i. První část aktivačního kódu XXXX naleznete v úvodní části emailu od certifikační autority: ii. Druhou část tohoto kódu YYYY-ZZZZ naleznete v SMS zaslané na Váš kontaktní mobil nebo na mobil nadřízeného
2 Příprava zařízení a jeho operačního systému Bezproblémovou aktivaci a instalaci PKI-O2CZ-Autentizačního certifikátu podle tohoto návodu provedete pouze v Internetovém prohlížeči Internet Explorer nikoliv v prohlížečích Google Chrome (nelze), Firefox (jiný složitější postup), Opera apod. 2.1) Nainstalování O2CZ kořenového certifikátu do důvěryhodných certifikačních autorit Pro řádné využívání osobních certifikátů vydaných certifikační autoritou O2CZ je nezbytné nejdříve importovat certifikát této certifikační autority do úložiště Důvěryhodné certifikační autority. Postup pro provedení tohoto importu: 1) V prohlížeči Internet Explorer 11 otevřete stránku http://ca.cz.o2.com/cda-cgi/clientcgi?action=cacert nebo http://ca.cz.o2.com/static/policy/ca_cz_der.cer 2) Stáhněte soubor s certifikátem tak,že ve spodní části okna prohlížeče zvolte Uložit čímž se certifikát uloží do složky kterou máte nastavenou jako výchozí pro ukládání stahovaných souborů. 3) Pro otevření a nalezení certifikátu ve složce, do které jste certifikát uložili, zvolte Otevřít složku 4) Otevřete soubor s certifikátem 5) Volbu Otevřít potvrďte 6) Zvolte možnost Nainstalovat certifikát 7) V následujícím okně zvolte možnost Aktuální uživatel 8) Pokračujte v instalaci stisknutím tlačítka Další 9) Zvolte možnost Všechny certifikáty umístit v následujícím úložišti 10) Stiskněte tlačítko: Procházet 11) V okně Vybrat úložiště certifikátů vyberte složku Důvěryhodné kořenové certifikační autority (složka se modře podbarví) 12) Pokračujte v instalaci stisknutím tlačítka OK (okno Vybrat úložiště certifikátů se zavře) 13) V okně Průvodce importem certifikátu pokračujte v instalaci stisknutím tlačítka Další 14) Import certifikátu dokončete stisknutím tlačítka Dokončit 15) Zobrazí se informace o nainstalování kořenového certifikátu do důvěryhodných certifikačních autorit, kterou potvrďte tlačítkem OK
2.2 Nainstalování O2CZ kořenového certifikátu do důvěryhodných vydavatelů Pro řádné využívání osobních certifikátů vydaných certifikační autoritou O2CZ je v některých situacích (zejména ve Windows 10) nezbytné nejdříve importovat certifikát této certifikační autority do úložiště Důvěryhodní vydavatelé. 1) Znovu otevřete soubor s certifikátem staženým v předchozím postupu a stiskněte Volbu Otevřít 2) Potvrďte tlačítko Nainstalovat certifikát 3) V následujícím okně zvolte možnost Aktuální uživatel 4) Pokračujte v instalaci stisknutím tlačítka Další 5) Zvolte možnost Všechny certifikáty umístit v následujícím úložišti 6) Stiskněte tlačítko: Procházet 7) V okně Vybrat úložiště certifikátů vyberte složku Důvěryhodní vydavatelé (složka se modře podbarví) 8) Pokračujte v instalaci stisknutím tlačítka OK (okno Vybrat úložiště certifikátů se zavře) 9) V okně Průvodce importem certifikátu pokračujte v instalaci stisknutím tlačítka Další 10) Import certifikátu dokončete stisknutím tlačítka Dokončit 11) Zobrazí se informace o nainstalování kořenového certifikátu do důvěryhodných vydavatelů, kterou potvrďte tlačítkem OK
2.3 Přidání webu certifikační autority O2CZ mezi Důvěryhodné weby Pro řádné vygenerování osobního certifikátu je nezbytné, aby měl prohlížeč povoleno použití potřebných akcí ze stránky certifikační autority. Protože operace s certifikáty jsou bezpečnostně citlivé, jsou obvykle příslušné akce v prohlížeči IE11 povoleny pouze vybraným důvěryhodným serverům. Pro řádnou funkčnost stránky generující O2CZ autentizační certifikáty je tedy nezbytné zařadit příslušný web O2CZ mezi Důvěryhodné servery následujícím postupem: 1) Otevřete internetový prohlížeč Internet Explorer a v něm menu Nastavení (ozubené kolo v pravém horním rohu) 2) Klikněte na položku Možnosti Internetu 3) V okně Možnosti Internetu zobrazte záložku Zabezpečení 4) Klikněte na zelenou ikonu Důvěryhodné weby 5) Klikněte na tlačítko Weby 6) V okně Důvěryhodné weby do políčka [Přidat tento web k zóně] vepište adresu http://ca.cz.o2.com/ 7) Odškrtněte/nechte prázdné políčko [Požadovat ověření všech webů v této zóně serverem (https:)] 8) Klikněte na tlačítko Přidat 9) Okno Důvěryhodné weby opustíte tlačítkem Zavřít 10) V okně Možnosti Internetu stisknete tlačítko OK
2.4 Povolení Active X Pro řádné vygenerování osobního certifikátu na stránkách certifikační autority O2CZ je nezbytné, aby měl Internet Explorer 11 povoleno použití technologie Active X následujícím postupem: 1) Otevřete internetový prohlížeč Internet Explorer a v něm menu Nastavení (ozubené kolo v pravém horním rohu) 2) Klikněte na položku Možnosti Internetu 3) V okně Možnosti Internetu zobrazte záložku Zabezpečení 4) Klikněte na zelenou ikonu Důvěryhodné weby 5) Klikněte na tlačítko Vlastní úroveň 6) Zaškrtněte možnost Ovládací prvky ActiveX inicializace a skriptu nejsou označeny jako bezpečné pro skriptování 7) Vyberte možnost Dotázat se nebo Povolit 8) Uložení změny nastavení zahajte tlačítkem OK 9) Změnu nastavení pro tuto zónu potvrďte tlačítkem Ano 10) V okně Možnosti Internetu stisknete tlačítko OK
2.5 Odstranění nepotřebných/zastaralých certifikátů Nepotřebné a propadlé certifikáty jsou ty, které mají uvedeno datum ukončení platnosti nižší než je aktuální datum. Propadlé a nepotřebné certifikáty zbytečně komplikují výběr certifikátu při konfiguraci VPN klienta. Postup pro odstranění nepotřebných certifikátů: 1) Otevřete internetový prohlížeč Internet Explorer a v něm menu Nastavení (ozubené kolo v pravém horním rohu) 2) Otevřete obrazovku Možnosti Internetu 3) Zobrazte záložku Obsah 4) Otevřete obrazovku Certifikáty 5) V seznamu vyhledejte nepoužívané a propadlé certifikáty (datum ukončení platnosti nižší než je aktuální datum). 5) Levým klikem myši onačte certifikát, který chcete smazat.(řádek s certifikátem se zmodrá) 6) Stiskněte tlačítko Odebrat 7) Okno uzavřete tlačítkem Zavřít
2.6 Nastavení kompatibilního zobrazení Postup pro nastavení kompatibilního zobrazení : 1) Otevřete internetový prohlížeč Internet Explorer a v něm menu Nastavení (ozubené kolo v pravém horním rohu) 2) Otevřete obrazovku Nastavení kompatibilního zobrazení 3) Do textového pole Přidat tento web napište o2.com 4) Stiskněte tlačítko Přidat 5) Stiskněte tlačítko Zavřít
3) Generování osobního autentizačního certifikátu O2CZ 3.1) V Internet Exploreru 11 otevřete na webové stránce uvedené v emailu s první částí kódu v sekci pro externisty a nestandardní konfigurace (http://ca.cz.o2.com/cda-cgi/clientcgi?action=browsercert) Po otevření výše uvedené stránky se může zobrazit okno upozorňující na požadavek povolení AcitiveX. Tento požadavek schvalte tlačítkem OK. i. pole [Reference number] mělo být předvyplněné. Pokud jste použili odkaz z emailu od certifikační autority, tak se zobrazí stránka Browser Certificate Request s předvyplněným polem [Reference Number]. Pokud jste použili jiný odkaz a/nebo toto pole není předvyplněné, zadejte do něj referenční z emailu. ii. do pole [Authorization code] zadejte obě části kódů ve tvaru XXXX-YYYY-ZZZZ Do textového pole Authorization code zadejte platný kód ve formátu: XXXX-YYYY-ZZZZ.Kde XXXX je první část kódu, který jste obdrželi v emailu od certifikační autority. Druhou část (YYYY-ZZZZ) jste obdrželi od certifikační autority v SMS zprávě. iii. V poli [CSP type] ponechte hodnotu RSA full iv. V poli [CSP] ponechte hodnotu Microsoft Enhanced Cryptographic Provider v1.0 Pro zahájení generování certifikátu stiskněte tlačítko Submit request.
3.2) V okně Program vytváří nový klíč RSA pro výměnu je doporučeno potvrdit tlačítkem OK střední úroveň zabezpečení. 3.3) V okně Potvrzení přístupu k webu potvrďte volbu tlačítkem ANO Zobrazí se stránka s oznámením o úspěšném dokončení generování a importu osobního autentizačního certifikátu O2CZ. Nakonec se zobrazí stránka: Microsoft Internet Explorer Certificate která vás informuje o úspěšném vygenerování a aktivování O2CZ certifikátu hlášením: You have successfully retrieved your browser certificate into Internet Explorer.This certificate can be used to securely identify yourself to our web servers, and to conduct private,encrypted communication over the internet. Tímto byla dokončena aktivace a generování O2CZ certifikátu. Nyní je certifikát připraven k použití a k činnostem, ke kterým byl vygenerován zejména k vzdálenému přístupu do sítě O2 pomocí VPN klienta Cisco AnyConnect Secure Mobility. Pokud VPN klienta Cisco AnyConnect Secure Mobility nemáte nainstalovaného můžete si ho na O2 počítačích sami nainstalovat přes katalog volitelných aplikací. Návod pro instalaci naleznete zde Návod pro instalaci Cisco VPN klienta pro externí zaměstnance nebo na nestandardních PC naleznete na zde