Generování žádostí o kvalifikovaný certifikát pro uložení na eop Uživatelská příručka pro prohlížeč Internet Explorer 1 První certifikační autorita, a.s. 5. 1. 2011
Obsah 1. Kvalifikované a komerční certifikáty... 3 1.1. Kvalifikovaný certifikát... 3 1.2. Komerční certifikát... 3 2. Proces generování žádosti o kvalifikovaný certifikát... 3 2.1. Kontrola softwarového vybavení... 3 2.2. Vyplnění údajů o žadateli... 5 2.3. Kontrola zadaných údajů... 6 2.4. Generování žádosti o certifikát... 8 2.5. Uložení žádosti o certifikát... 8 3. Vystavení certifikátu... 9 4. Uložení certifikátu na elektronický občanský průkaz... 10 5. Řešení problémů... 12 2
1. Kvalifikované a komerční certifikáty 1.1. Kvalifikovaný certifikát Kvalifikované certifikáty jsou certifikáty vydané dle zákona č. 227/2000 Sb., o elektronickém podpisu, a používají se výhradně pro elektronický podpis. Při komunikaci v oblasti orgánů veřejné moci lze pro elektronický podpis používat pouze kvalifikované certifikáty. Kvalifikovaný certifikát je jediným typem certifikátu, který lze na základě platných právních předpisů uložit na elektronický občanský průkaz. 1.2. Komerční certifikát Komerční certifikáty se využívají všude tam, kde nelze využít kvalifikované certifikáty - zejména pro autentizaci (např. pro bezpečné přihlášení do informačního systému jako např. do informačního systému datových schránek) a šifrování a dále pak pro použití v uzavřených systémech, kde je mezi účastníky bezpečné komunikace uzavřena smlouva řešící podmínky komunikace. Komerční certifikát na základě platných právních předpisů v současné době uložit na elektronický občanský průkaz nelze. 2. Proces generování žádosti o kvalifikovaný certifikát Postup generování žádosti o prvotní certifikát je rozdělen do několika kroků: Kontrola softwarového vybavení Vyplnění údajů žadatele Kontrola vyplněných údajů Generování žádosti o certifikát Uložení žádosti o certifikát Do Vašeho prohlížeče zadejte adresu generátoru žádosti o certifikát: pro vytvoření žádosti o kvalifikovaný certifikát: https://s.ica.cz/cgi-bin/zadosti/eicqc.cgi Zobrazí se úvodní stránka generátoru žádosti o certifikát. 2.1. Kontrola softwarového vybavení Pro usnadnění kontroly připravenosti Vašeho počítače na generování žádosti je při zahájení generování žádosti zobrazena kontrolní stránka, která ověří přítomnost klíčových softwarových komponent. 3
Kliknutím na tlačítko Zahájit test PC, spustíte test Vašeho počítače. Stránka otestuje počítač. Test může trvat desítky sekund, a ohlásí, zda je vše v pořádku, případně vypíše chybové hlášení. Pokud nejsou detekovány problémy, kliknutím na tlačítko Zahájit tvorbu žádosti o certifikát přejdete k samotné tvorbě žádosti o certifikát. Pokud se při kontrole vyskytne chyba, nelze pokračovat v tvorbě žádosti o certifikát. Nejdříve je potřeba odstranit chybu, která znemožňuje tvorbu žádosti o certifikát. 4
2.2. Vyplnění údajů o žadateli Pokud proces kontroly proběhl bez chyb, stránka zobrazí formulář, do kterého vyplníte své osobní údaje. Položky zdůrazněné tučným písmem a žlutým podbarvením vstupního pole jsou povinné. Například jméno a přímení jsou povinné, tituly povinné nejsou. Typ žadatele Zvolte typ uživatele. Certifikáty pro podnikatele a zaměstnanecké certifikáty umožňují uvedení položek Organizace, Organizační jednotka a Titul. Naplnění těchto položek je nutné doložit relevantními doklady dle certifikační politiky http://www.ica.cz/certifikacni-politika.aspx. Informace o žadateli V informacích o žadateli vyplňte Jméno, Příjmení a E-mail, případně tituly, přejete-li si je mít uvedené v certifikátu. Pokud vyplníte i titul, operátor registrační autority je tento titul povinen ověřit. V případě, že jej máte uvedený v občanském průkazu nebo cestovním pasu, není ho potřeba dokládat zvlášť, pokud však ve výše uvedených dokladech uveden není, je třeba předložit odpovídající diplom. E-mail není povinně požadovanou položkou, ale doporučujeme jej vyplnit, neboť někteří poštovní klienti (např. MS Outlook) jej při podepisování e-mailu vyžadují a v některých případech zároveň kontrolují shodu adresy uvedené v certifikátu a adresu, ze které je podepisovaný e-mail odesílán. Adresa trvalého bydliště 5
Z adresy trvalého bydliště je povinným údajem pouze stát, vyplnění ostatních položek je nepovinné. Pokud se je rozhodnete vyplnit, budou zobrazeny ve vydaném certifikátu, což má dva důsledky, kterých byste si měli být vědomi: každý, kdo obdrží zprávu podepsanou tímto certifikátem, si bude moci tyto údaje zobrazit při změně kteréhokoliv z těchto údajů je nutné certifikát zneplatnit Ostatní nastavení Heslo pro zneplatnění: Pokud dojde během používání certifikátu ke kompromitaci privátního klíče, změně údajů (změna jména, bydliště ) nebo se vyskytnou další důvody, proč by neměl být certifikát dále používán, je Vaší povinností certifikát zneplatnit. U kvalifikovaných certifikátů tato povinnost vyplývá ze zákona. Certifikát lze zneplatnit přes webové rozhraní (http://www.ica.cz/zneplatnit-certifikat.aspx). Při zneplatnění budete vyzváni k zadání hesla pro zneplatnění. Toto heslo pro zneplatnění určujete při generování žádosti o certifikát. Je proto velmi důležité (pamatovat si jej nemusíte, bude vytištěno na protokolu žádosti o certifikát, který obdržíte na Registrační autoritě). Délka hesla pro zneplatnění certifikátu musí být 4 až 32 znaků. Povolena jsou pouze velká a malá písmena bez diakritiky a číslice. Typ úložiště klíče (CSP): U položky Typ úložiště klíče (CSP) je automaticky nabízeno CSP pro elektronický občanský průkaz. Ponechte tedy přednastavenou hodnotu. V posledních dvou zaškrtávácích polích (Certifikát určený pro podpis, Certifikát určený pro šifrování) ponechte přednastavené hodnoty. 2.3. Kontrola zadaných údajů Po stisknutí tlačítka Pokračovat stránka provede kontrolu vámi vyplněných údajů. Pokud některé zadané údaje nesplňují podmínky, budete vyzvání k jejich opravě. Údaje vyžadující změnu nebo doplnění jsou podbarveny červeně. 6
Pokud Vámi zadané údaje splňují podmínky, zobrazí se vám stránka rekapitulující vámi zadané údaje. Na této stránce prosím zkontrolujte vámi zadané údaje. Pokud některé nesouhlasí, je možné se šipkou v prohlížeči vrátit zpět do formuláře a opravit je. Pokud si přejete zaslat vydaný certifikát na e-mail, zadejte e-mailovou adresu, na kterou vám bude certifikát zaslán (Položka Vystavený certifikát a informaci o obnovení certifikátu zaslat na e-mail:). Položku doporučujeme vyplnit jednak pomocí odkazu v e-mailu můžete vydaný certifikát 7
jednoduše registrovat do Windows, jednak Vám 21 a 7 dní před expirací certifikátu přijde od I.CA tzv. echomail, kterým budete upozorněni na blížící se expiraci certifikátu a pomocí odkazu v echomailu budete moci provést vydání následného certifikátu (již bez návštěvy Registrační autority). Pozor: tato emailová adresa není součástí žádosti o certifikát, tudíž nebude uvedena ani v samotném certifikátu. E-mailovou adresu, která bude obsažena v certifikátu, je nutné vyplnit v údajích o žadateli (položka žádosti o certifikát v sekci Informace o žadateli)! Kliknutím na tlačítko Vytvořit žádost spustíte generování žádosti o certifikát. 2.4. Generování žádosti o certifikát Generování klíčového páru na elektronickém občanském průkazu a následné vytvoření žádosti o certifikát vyžaduje zadání PINu k elektronickému občanskému průkazu. V průběhu generování žádosti o certifikát jste dvakrát vyzváni k zadání PINu. V dalším dialogovém okně zvolte Udělit oprávnění. Pokud jste zvolili vysokou úroveň zabezpečení, musíte zadat i heslo. 2.5. Uložení žádosti o certifikát Pokud nedošlo při generování žádosti k chybě, stránka vám zobrazí vygenerovanou žádost ve formátu PKCS10. Kliknutím na tlačítko Uložit žádost na disk bude žádost uložena na váš pevný disk nebo jiné médium, které zvolíte. Kliknutím Zpět na hlavní stránku ukončíte tvorbu žádosti o certifikát a vrátíte na výchozí stránku s nabídkou certifikátů. 8
3. Vystavení certifikátu Poté, co vytvoříte žádost o certifikát, je nutné navštívit některou Registrační autoritu I.CA (seznam zde viz obrázek níže). S sebou na registrační autoritu I.CA přineste žádost, kterou jste vygenerovali (například na USB flash disku), potřebné doklady (http://www.ica.cz/dokumenty-kvalifikovany-certifikat.aspx), případně diplom, pokud jste do žádosti vyplnili titul, který nemáte uvedený v občanském průkazu nebo cestovním pasu. Jako primární doklad je požadován občanský průkaz, nebo cestovní pas. Pro vydání kvalifikovaného certifikátu je dále nutné předložit sekundární osobní doklad. Sekundární osobní doklad musí být vydán orgánem veřejné moci nebo jinou organizací, jejíž existenci lze doložit. 9
Sekundární osobní doklad musí obsahovat celé občanské jméno žadatele a dále nejméně jeden z následujících údajů: 1. fotografie obličeje žadatele 2. datum narození žadatele (nebo rodné číslo u občanů ČR) 3. adresa trvalého pobytu žadatele Údaje požadované v sekundárním osobním dokladu musí být shodné s relevantními údaji v primárním osobním dokladu. O jejich shodě rozhoduje pracovník RA. Pokud žadatel nepředloží dva osobní doklady výše popsané kvality, nebude mu osobní kvalifikovaný certifikát vydán. Příkladem akceptovaného sekundárního osobního dokladu je např.: cestovní pas, řidičský průkaz, služební průkazy státních úřadů, průkaz poslance, zbrojní průkaz, průkaz zdravotního pojištění, průkazka hromadné dopravy, firemní průkazky, studentský průkaz atd. 4. Uložení certifikátu na elektronický občanský průkaz Pokud jste při generování žádosti o certifikát zadali svoji e-mail adresu, obdržíte e-mail následujícího znění, ke kterému je jako příloha přiložen vydaný certifikát. Kliknutím na zvýrazněný odkaz spustíte v internetovém prohlížeči aplikaci, která vám umožní uložení certifikátu na elektronický občanský průkaz. Stisknutím tlačítka Importovat certifikát na kartu zahájíte ukládání. V následující obrazovce stiskněte tlačítko Instalovat. 10
Průběh instalace je vypisován v následující obrazovce. Na konci výpisu je uvedena informace o výsledku instalace. Pokud jste v žádosti neuvedli vaši e-mail adresu použijte k uložení certifikátu na elektronický občanský průkaz aplikaci na adrese http://s.ica.cz/getcert4card.html. 11
5. Řešení problémů V případě vzniku chyby během procesu generování žádosti budete informováni chybovou hláškou. Ve třetím odstavci naleznete popis chyby. Některé chyby mohou být závažnějšího technického rázu. Mohou souviset se stavem hardwarového či softwarového vybavení vašeho počítače. Je důležité opsat, udělat screenshot, nebo jinak uchovat informace z podrobného výpisu chybového hlášení, neboť tyto informace jsou kritické pro rychlé vyřešení problémů s technickou podporou I.CA. Kontakty na technickou podporu I.CA naleznete na http://www.ica.cz/kontakty.aspx. 12