Obnova certifikátu Před vypršením platnosti certifikátů si musí uživatelé ProID+ esign požádat o nový certifikát. Otázky, spojené s obnovou, a postup obnovy certifikátu na kartě ProID+ esign jsou uvedeny v následujícím textu. Úvod Proč obnovit certifikát? Každý elektronický certifikát má nastavenou dobu platnosti. Certifikáty, vydávané certifikační autoritou PostSignum České pošty, mají platnost 1 rok. Před vypršením platnosti je nutno certifikát obnovit - vydat nový certifikát, na další rok. (Certifikáty s vypršenou platností nelze nadále používat pro elektronické podepisování či pro přihlašování k informačním systémům.) Kdy obnovit certifikát? Pokud se obnova certifikátu provádí ještě v době, kdy je předchozí certifikát platný, lze obnovu provést elektronicky - přes internet. Není nutno navštěvovat pobočku České pošty. Aby bylo možné certifikát obnovit přes internet, je třeba s obnovou začít včas - dokud je stávající certifikát platný. Na blížící se konec platnosti certifikátů upozorňuje autorita PostSignum e-mailem na adresu, uvedenou při vydání certifikátu. Pokud držitel certifikátu obdrží e-mail s informací o blížícím se konci platnosti certifikátu, měl by začít s jeho obnovou. Které certifikáty obnovit? Obnovit je třeba všechny certifikáty, které uživatel potřebuje i nadále používat. Certifikační autorita PostSignum vydává dva druhy certifkátů: kvalifikované - pro elektronické podepisování komerční - pro přihlašování do systémů a pro šifrování Pokud uživatel používá jen jeden z uvedených certifikátů, obnovuje jen jeden. Pokud uživatel používá oba typy certifikátů, musí obnovit oba. V takovém případě je třeba níže popsaný postup obnovy provést dvakrát - pro každý druh certifikátů jednou. Jak obnovit certifikát na kartě ProID+ esign? Nejjednodušší cestou obnovy certifikátu je využití průvodce, který je k dispozici na internetových stránkách PostSignum. Průvodce slouží k vytvoření žádosti o následný certifikát a k odeslání žádosti o certifikát do certifikační autority PostSignum. On-line průvodce je navržen pro operační systémy MS Windows a pro prohlížeč MS Internet Explorer. V jiném prohlížeči nelze použít průvodce obnovou certifikátu. Podrobný postup obnovy certifikátu pomocí průvodce je uveden níže v textu. Pokud uživatel nepoužívá MS Internet Explorer, je možno žádost o vydání následného certifikátu odeslat pomocí elektronicky podepsaného e-mailu:
Nejprve vytvoří žádost o certifikát, nástrojem pstoolplus, uvedeným na http://www.postsignum.cz/offline_generovani_zadosti.html Poté odešle vytvořenou žádost do certifikační autority elektronicky podepsaným e- mailem. Postup je uveden na: http://www.postsignum.cz/zadost_o_vydani_nasledneho_certifikatu_pomoci_podepsane ho_mailu.html. Platí se za obnovu certifikátu? Kolik, a jakým způsobem? Obnova certifikátu je placená služba. PostSignum zpoplatňuje obnovu podle ceníku, uvedeného na adrese: http://www.postsignum.cz/certifikaty.html Poplatek je účtován za vydání každého certifikátu. Právnické osoby (instituce, firmy, organizace) obdrží od České pošty fakturu pro bezhotovostní formu úhrady poplatku. Nepodnikající fyzická osoba za za vydání následného certifikátu (prostřednictvím elektronické Podatelny PostSignum), platít předem poukázáním příslušné částky na účet České pošty. Informace o platbě jsou zasílány e-mailem.
Postup obnovy certifikátu pomocí průvodce PostSignum V následujících podkapitolách je uveden postup obnovy certifikátu na ProID+ esign, pomocí průvodce, provozovaného na internetových stránkách PostSignum. Celý postup obnovy certifikátu probíhá ve dvou samostatných - časově oddělených - fázích: 1. příprava a odeslání žádosti o certifikát 2. stažení a instalace nového certifikátu Mezi oběma fázemi je časová prodleva, pro zpracování žádosti v certifikační autoritě PostSignum. Prodleva mezi oběma fázemi může být několik hodin, až několik (pracovních) dnů. Obvykle je nový certifikát vydán do následujícího pracovního dne. 1. Příprava a odeslání žádosti o certifikát Pro obnovu certifikátu je si připravte: počítač s operačním systémem MS Windows, připojený k internetu bezpečnostní předmět ProID+ esign, buď ve formě kompaktního tokenu, anebo ve formě čtečky a karty čipem Krok 1 - připojení ProID+ esign k počítači Připojte do USB portu počítače bezpečnostní token.máte-li čtečku s kartou ProID+ esign, vložte kartu do čtečky. Přihlašte se do operačního systému - obvyklým způsobem. Krok 2 - spuštění webového prohlížeče a zobrazení stránky pro obnovu certifikátu Spusťte webový prohlížeč MS Internet Explorer - např. kliknutím na odkaz http://www.postsignum.cz/obnova_certifikatu.html Spustí se stránka Obnova certifikátů PostSignum. Uživatelé, kteří nemají nastaven MS Internet Explorer nastaven jako výchozí prohlížeč, musí spustit MS Internet Explorer ručně, a poté zadat adresu http://www.postsignum.cz/obnova_certifikatu.html a přejít tím na stránku pro obnovu certifikátů.
Krok 3 - Výběr typu certifikátu Na zobrazené stránce Obnova certifikátů PostSignum najděte sekci Obnova osobního certifikátu a v ní klikněte na odkaz průvodce vydáním následného certifikátu.
Krok 4 - Odsouhlasení práce s certifikátem Po kliknutí na odkaz se prohlížeč dotáže, zda souhlasíte, aby byly provedeny operace s Vašimi certifikáty. Potvrďte souhlas stiskem tlačítka Ano (Yes). Krok 5 - Instalace a spuštění podpory pro přípravu žádosti o certifikát Webové stránky používají pro přípravu žádosti podporu CAPICOM. Knihovnu CAPICOM je třeba instalovat, resp. spustit (pokud je již instalována). Pokud již máte CAPICOM instalován, zobrazí prohlížeč dotaz, zda může podporu spustit:
Pro odsouhlasení použití podpory je nutno stisknout Yes (Ano). Pokud podpora práce s certifikáty není dosud instalována, je třeba ji instalovat. Webový prohlížeč nabídne instalaci CAPICOM: Instalaci CAPICOM je nutno povolit stiskem tlačítka Povolit.
Pokud se nezobrazil žádný dotaz k potvrzení, může být podpora pro práci s certifikáty poškozená anebo nesprávně instalovaná. Podporu práce s certifikáty lze stáhnout a znova nainstalovat z webové stránky PostSignum: Potřebná knihovna pro podepisování Capicom (exe, 375 kb) Spusťte stažený soubor Projděte průvodce instalací, na všechny dotazy stiskněte tlačítko "Next" Během instalace zvolte že souhlasíte s instalací bezpečnostního balíčku (I accept...) Touto instalací nainstalujete bezpečnostní balíček KB931906 k operačnímu systému Windows. Balíček je vydaný společností Microsoft. Informace o instalovaném balíčku Po instalaci podpory práce s certifikáty (CAPICOM) proveďte opakované načtení stránky, stiskněte např. klávesu F5.
Krok 6 - Výběr certifikátu k obnově Pokud se úspěšně inicializovala podpora pro práci s certifikáty, zobrazí se stránka Osobní certifikáty PostSignum. V tomto okně by měly být zobrazeny Vaše certifikáty, vydané z PostSignum. (Pokud zobrazeny nejsou, nemáte správně vložen bezpečnostní předmět ProID+ esign, anebo nebyla korektně inicializována podpora práce s certifikáty. Opakujte provedení předchozích kroků a ujistěte se, že byly provedeny korektně.) V okně s certifikáty označte požadovaný certifikát a pokračujte ke generování žádosti o certifikát - stiskněte tlačítko Pokračovat ke generování žádosti o certifikát.
Pozn.: V případě, že máte na kartě více certifikátů, například kvalifikovaný a komerční, je nutno celý proces obnovy provést pro každý samostatně. Krok 7 - Vytvoření žádosti o certifikát Po výběru certifikátu k obnově se zobrazí stránka Osobní certifikáty PostSignum pro vytvoření a odeslání žádosti o certifikát: Na stránce si překontrolujte údaje o certifikátu. Ponechte Velikost klíče na hodnotě 2048 bitů. V položce Umístění soukromého klíče vyberte hodnotu eop s čipem (Microsoft Base Smart Card Crypto Provider). (Tato hodnota umožní vytvořit žádost pomocí ProID+ esign.)
Jsou-li údaje správně nastaveny, stiskněte tlačítko Vygenerovat a odeslat žádost o certifikát. Potvrďte pokyny pro generování žádosti a vygenerujte a odešlete žádost o certifikát. Po stisku tlačítka začne proces generování žádosti na ProID+ esign. Budete požádání o zadání hodnoty PIN pro Váš bezpečnostní předmět ProID+ esign: Upozornění: generování žádosti může trvat několik desítek sekund (ne však více, než 1 minutu). Vyčkejte na dokončení přípravy žádosti, ponechte ProID+ esign připojen k počítači. Po vytvoření je žádost automaticky odeslána do certifikační autority PostSignum:
Krok 8 - Čekání na vydání certifikátu Po odeslání žádosti je třeba vyčkat na zpracování v certifikační autoritě. Zpracování žádosti je obvykle řešeno do následujícího pracovního dne. Pokud potřebujete obnovit další certifikát, opakujte postup obnovy pro jiný certifikát. Stávající certifikáty nejsou odesláním žádosti ovlivněny, jsou stále platné a lze je používat - tak jako dosud. Práci na počítači lze nyní přerušit, lze odpojit ProID+ esign. O vydání nového certifikátu Vás bude autorita PostSignum informovat zasláním e-mailové zprávy. Po přijetí e-mailu pokračujte v instalaci nově vydaného certifikátu na ProID+ esign.
2. Stažení a instalace nového certifikátu Krok 1 - Příprava na stažení a instalaci nového certifikátu Pro obnovu certifikátu je si připravte: počítač s operačním systémem MS Windows, připojený k internetu s nainstalovanou aplikací ProID+ esign bezpečnostní předmět ProID+ esign, buď ve formě kompaktního tokenu, anebo ve formě čtečky a karty čipem Krok 2 - Přijetí e-mailové zprávy o vydání nového certiikátu Autorita PostSignum informuje klienty o vydání nového certifikátu e-mailovou zprávou. Po obdržení upozornění na vydaný certifikát otevřete internetový prohlížeč, kliknutím na odkaz v přijaté e-mailové zprávě. Krok 3 - Otevření internetového prohlížeče a formální přijetí certifikátu Kliknutím na odkaz v e-mailové zprávě se otevře internetový prohlížeč, na stránce Nabídka vydaného certifikátu. Měly by být zobrazeny údaje nově vydaného (požadovaného) certifikátu. Na stránce zkontrolujte údaje o certifikátu a tlačítkem Přijmout pokračujte na stažení certifikátu.
Krok 4 - Stažení certifikátu do souboru Po (formálním) přijetí nově vydaného certifikátu se obsah stránky Nabídka vydaného certifikátu změní. Zobrazí se tlačítko Stáhnout. V položce Formát ke stažení ponechte základní hodnotu DER a tlačítkem Stáhnout stáhněte nový certifikát do počítače a uložte jej do souboru.
Pro uložení certifikátu můžete zvolit libovolný adresář i název souboru. Cestu k uloženému souboru si zapamatujte, bude využita v dalších krocích. Krok 5 - Připojení ProID+ esign k počítači Připojte do USB portu počítače bezpečnostní token. Máte-li čtečku s kartou ProID+ esign, připojte čtečku a vložte do ní kartu. Krok 6 - Spuštění Správce karty Stažený certifikát je nutno importovat do ProID+ esign. Import se provede pomocí aplikace Správce karty ProID+, která je součástí instalace ProID+ esign. Správce karty můžete spustit například z nabídky Start - Všechny programy - ProID+ - Správce karty ProID+ nebo ji spustit ze složky C:\Program Files\CryptoPlus\ProID+\ProID+.exe (na 64 bitových operačních systémech C:\Program Files (x86)\cryptoplus\proid+\proid+.exe).
Po úspěšném spuštění programu by se mělo zobrazit okno Správce karty:
Krok 7 - Import certifikátu ze souboru na ProID+ esign Po spuštění aplikace Správce karty ProID+ překontrolujte zda máte vloženo ProID+ esign a klikněte na tlačítko Obnovit. Dojde k načtení obsahu ProID+ esign. Seznam datových položek, uložených v ProID+ esign se zobrazí v levé části okna Správce karty. V zobrazením seznamu položek je třeba najít tu, v níž (zatím) chybí certifikát. Hledanou položku lze v seznamu rozpoznat podle symbolu:. Pozn.: Pokud jste podali žádost o komerční i kvalifikovaný certifikát, budou v seznamu 2 položky, kterým chybí certifikát. V takovém případě je třeba vyzkoušet import do jedné z položek. Pokud se import nezdaří, Správce karty Vás bude informovat zprávou: Certifikát nelze importovat. Veřejné části klíčů jsou rozdílné. V takovém případě je třeba provést import certifikátu do druhé z položek bez certifikátu. Po načtení obsahu karty vyberte (označte) v levé části menu položku s klíčem části okna klikněte na volbu Import Certifikátu. a v pravé
Po kliknutí na Imort certifikátu se zobrazí okno pro načtení nově vydaného certifikátu ze souboru. (Soubor s certifikátem byl uložen v předchozím kroku č. 4 pracovního postupu.) V okně pro otevření souboru zvolte vpravo dole volbu Všechny soubory, vyhledejte soubor se staženým certifikátem a otevřete jej kliknutím na tlačítko Otevřít. Po otevření souboru započne import certifikátu na ProID+ esign. Budete vyzváni na vložení PINu a po jeho zadání bude certifikát uložen do ProID+ esign.
Průvodce importem certifikátu vás vyzve k registraci certifikátu do Windows: Právě naimportovaný certifikát není zaregistrován ve Windows. Přejete si jej zaregistrovat? Zvolte možnost Ano: Nyní je proces instalace certifikátu na čipovou kartu dokončen.
Krok 8 - Dokončení a kontrola obnovy certifikátu Po zaregistrování certifikátu do Windows proběhne automaticky znovunačtení obsahu karty. V levé části menu se původní ikona s klíčem změní na ikonu s certifikátem. V pravé části obrazovky pak přibude tabulka Certifikát, vydaný k danému klíči a tlačítko Více informací. Pro kontrolu obnovy certifikátu klikněte na tlačítko Více informací, aplikace načte informace z čipové karty a připraví přehledný sumář o obnoveném certifikátu. Překontrolujte zda byly všechny operace správně dokončeny. Cesta k certifikátu ověřena. Certifikát je uložen na kartě. Certifikát je zaregistrován v systému Windows, lze ho odregistrovat. Rozšíření certifikátu (operace ke kterým je certifikát určený).
Nyní můžete aplikaci Správce karty ukončit a začít používat nový certifikát standardním způsobem. Závěr Úspěšně jste dokončili obnovu certifikátu. Platnost nového certifikátu je 1 rok. Po dobu platnosti původního certifikátu bude možné v aplikacích vybrat oba certifikáty jak nový, tak starý. Po uplynutí doby platnosti původního certifikátu budou aplikace automaticky nabízet už jen nový (obnovený) certifikát.