Postup pro vytvoření žádosti o digitální certifikát pro ověřovací a produkční prostředí Základních registrů



Podobné dokumenty
Postup pro vytvoření žádosti o digitální certifikát pro produkční prostředí Základních registrů

Postup pro vytvoření žádosti o digitální certifikát pro přístup k Základním registrům

Postup pro vytvoření žádosti o digitální certifikát pro přístup k Základním registrům

Certifikáty a jejich použití

Získání certifikátu pro přístup do informačního systému základních registrů

Certifikáty a jejich použití

Certifikáty a jejich použití

Certifikáty a jejich použití

Postup pro generování asymetrického klíčového páru pro testovací prostředí Základních registrů

Certifikáty a jejich použití

Certifikáty a jejich použití

Certifikáty a jejich použití Verze 1.11

Michal Kolařík ISZR - Brána k základním registrům

Generování klíčů pro PostSignum QCA v OpenSSL

VITA A ISZR ŠKOLENÍ INFORMATIKŮ

Certifikační autorita EET Modelové postupy vytvoření souboru žádosti o certifikát

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz.

Uživatelská příručka RAZR pro OVM

Certifikační autorita PostSignum

Uživatelská příručka RAZR pro OVM

SPRÁVA ZÁKLADNÍCH REGISTRŮ Již jen 40 dní. RNDr. Renata Novotná

Vystavení certifikátu PostSignum v operačním systému MAC OSx

Generování žádosti o certifikát Uživatelská příručka pro prohlížeč Opera

Manuál pro práci s kontaktním čipem karty ČVUT

Nápověda Webové aplikace CA EET. Verze 1.0,

CESTA K REGISTRŮM. SZR MICHAL PEŠEK Jihlava neděle, 4. března 12

Certifikační autorita EET Modelové postupy instalace certifikátu

Stručný návod pro připojení OVM k základním registrům. Název dokumentu: Příručka pro obce Verze: 1.7

Generování žádosti o kvalifikovaný certifikát pro uložení na eop Uživatelská příručka pro Internet Explorer

Průvodce aplikací. Aplikaci easyeldp spusťte z nabídky Start pomocí ikony KomixFiller, kterou naleznete ve složce Komix.

Podpora šifrovaného spojení HTTPS

Licencování ecscad. Mensch und Maschine Mechatronik GmbH

Testování editačních WS

Postup při registraci (autentizaci) OVM do informačního systému evidence přestupků (ISEP)

Příručka pro správce agendových informačních systémů

Vystavení osobního komerčního certifikátu PostSignum v operačním systému MAC OSx

Jednoduchá evidenční pokladna LICENČNÍ PRŮVODCE

Certifikační autorita EET. Veřejný souhrn certifikační politiky

Postup získání certifikátu pro uživatele WEB aplikací určených pro Sběry dat pro IS VaV

Příručka pro správce agendových informačních systémů

Generování žádostí o kvalifikovaný a komerční certifikát (TWINS) Uživatelská příručka pro prohlížeč Internet Explorer

Přístup do cloudu ESO9 z OS Windows

Certifikační autorita PostSignum

etoken 5110CC IDPrime MD3840 IDPrime MD840 (MD841)

Výměna pokladních certifikátů pro evidenci tržeb

[1] ICAReNewZEP v1.2 Uživatelská příručka

HLÁŠENÍ DODÁVEK LÉČIVÝCH PŘÍPRAVKŮ UVEDENÝCH NA TRH V ČR DRŽITELI ROZHODNUTÍ O REGISTRACI LP - REG13

egov se z vizí pomalu stává realitou

MANUÁL K PROGRAMU EKV verze 1.4

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

Jak přenést program na nový počítač UŽIVATELS KÝ NÁVOD

1 Přesun síťového serveru

Generování žádosti o certifikát Uživatelská příručka

POKYNY PRO DODAVATELE

Návod na využití komunikace se Základními registry v programu ESPI 8

NÁVOD PRO PŘIHLÁŠENÍ DO PORTÁLU PRO ZABEZPEČENÝ PŘÍSTUP

PŘECHOD NA FIREBIRD 3.0 V PROSTŘEDÍ WINDOWS

Nápověda a postupy. Instalace a aktivace PDF-XChange Viewer Pro. Instalace a aktivace software. Nápověda a postupy. 1 z

Instalační příručka Command WorkStation 5.6 se sadou Fiery Extended Applications 4.2

Vytvoření žádosti o certifikát na Windows Serveru 2008/Vista a vyšší a zobrazení MMC konzole pro zálohu privátního klíče

ŠKOLENÍ ELEKTRONICKÝ PODPIS

OpenSSL a certifikáty

Dokumentace. k projektu Czech POINT. Popis použití komerčního a kvalifikovaného certifikátu

1. Instalace MySQL Serveru Konfigurace MySql Serveru Vytvoření struktury databáze...3

Předpoklady správného fungování formulářů

Základní registry ve veřejné správě

Obnova certifikátu Uživatelská příručka pro prohlížeč Internet Explorer

Základní informace pro zprovoznění Aktovky Dozory IS MPP

Konfigurace pracovní stanice pro ISOP-Centrum verze

Generování žádostí o certifikát Uživatelská příručka pro prohlížeč Mozilla Firefox

METODIKA Připojení agendových informačních systémů k základním registrům sdílení připojení

FIREMNÍ CERTIFIKÁT V APLIKACI PŘÍMÝ KANÁL NÁVOD PRO KLIENTY

PŘECHOD NA FIREBIRD 3.0 V PROSTŘEDÍ WINDOWS

Jak zkontrolovat nastavení parametrů volání egon služeb v agendovém informačním systému KEO-X

Postup získání licence programu DesignBuilder v4

Registr práv a povinností

NÁVOD PRO PŘIHLÁŠENÍ DO PORTÁLU PRO ZABEZPEČENÝ PŘÍSTUP

Nápověda pro možnosti Fiery 1.3 (klient)

Sběr informačních povinností regulovaných subjektů. Návod na instalaci certifikátů a nastavení prohlížeče. Verze: 2.1

Příručka pro klientský certifikát

Faxový server společnosti PODA s.r.o.

Příručka pro klientský certifikát

CS OTE. Dokumentace pro externí uživatele

Instalace programu ProGEO

Pokročilá údržba. Import pacientů do aplikace erecept z CSV. Export dat a kartotéky z PC Doktor. Export kartotéky z programu Dr.

Integrační modul REX. pro napojení elektronické spisové služby e-spis LITE k informačnímu systému základních registrů

ČSOB Business Connector Instalační příručka

Postup pro získání elektronického podpisu a podepisování dokumentů v MS2014+

MANUÁL PRO KONTROLU NASTAVENÍ OPRÁVNĚNÍ PŘÍSTUPŮ K ÚDAJŮM ZÁKLADNÍCH REGISTRŮ

Testovací protokol. 1 Informace o testování. 2 Testovací prostředí. 3 Vlastnosti generátoru klíčů. Příloha č. 13

Vytvoření certifikační autority v programu XCA

STATISTICA 9 Postup instalace plovoucí síťové verze na terminálovém serveru a Citrixu

NÁVOD PRO INSTALACI APLIKACE PRIORITY KM HODNOCENÍ PRIORIT PŘI ŘEŠENÍ KONTAMINOVANÝCH MÍST

TokenME Uživatelská příručka

ČSOB Business Connector

Transkript:

Postup pro vytvoření žádosti o digitální certifikát pro ověřovací a produkční prostředí Základních registrů Verze dokumentu: 1.2 Datum vydání: 25.května 2012 Klasifikace: Veřejný dokument

Obsah 1. Žádost o certifikát... 3 2. Postup s OpenSSL v OS Windows... 3 2.1 Příprava konfiguračního souboru pro vygenerování klíčového páru... 3 2.2 Generování klíčového páru... 5 2.3 Vytvoření souboru s žádostí o certifikát... 6 2.4 Spojení certifikátu s privátním klíčem... 7 3. Použití certifikátu... 7 www.szrcr.cz Strana: 2 / 7

1. Žádost o certifikát Certifikáty vydávané Certifikační autoritou SZR slouží k identifikaci a autentizaci AIS vůči Informačnímu systému základních registrů. Používá se ve dvou situacích: AIS navazuje spojení s ISZR. ISZR navazuje spojení s AIS při odpovědi na asynchronní dotaz v aktivním režimu. V obou případech je možné použít stejný certifikát. Vydávání certifikátů Certifikační autoritou SZR se řídí Certifikační politikou SZR. Žádost o certifikát podává OVM pro konkrétní AIS. Podáním žádosti o certifikát se OVM zavazuje dodržovat podmínky Certifikační politiky SZR a Bezpečnostní požadavky na AIS pro připojení k produkčnímu prostředí Základních registrů. Oba dokumenty jsou dostupné na webu SZR. Platí stejná certifikační politika pro ověřovací a produkční prostředí základních registrů. Pro generování dvojice klíčů a žádosti o certifikát doporučujeme používat freeware OpenSSL. Tento software je dostupný pro více operačních systémů, mj. pro MS Windows a Linux. Žádost o certifikát musí být ve formátu PKCS#10. Typ klíče musí být RSA a minimální délka klíče 2048 bitů pro ověřovací a produkční prostředí. 2. Postup s OpenSSL v OS Windows Program je součástí balíčku, který si můžete stáhnout ze stránek SZR http://www.szrcr.cz/vyvojari - pro 32 bitové Windows: openssl-0.9.8e_win32.zip - pro 64 bitové Windows: openssl-0.9.8e_x64.zip Pracovat s OpenSSL budete v příkazové řádce. Příkazovou řádku spusťte příkazem cmd.exe. Pro práci s programem se přepněte do adresáře, kam jste nakopírovali výše stažený soubor, a jeho podadresáře bin příkazem cd \adresar\bin Upozornění: Příkazy v tomto dokumentu nekopírujte, ale přepisujte do příkazové řádky. Některé typy Windows nemusí být schopny toto překopírování správně interpretovat a program OpenSSL pak hlásí chybu příkazu. Základní postup: Připravíte si konfigurační soubor certreq.config, který použijete při generování asymetrického klíčového páru (pro váš server). Vygenerujete klíčový pár, jehož veřejnou část připojíte jako přílohu k formuláři Žádost o umožnění přístupu orgánu veřejné moci ke službám vnějšího rozhraní ISZR. Žádost s přílohou zašlete do datové schránky Správy základních registrů (ID jjqjqih), Certifikační autorita SZR vaši žádost zkontroluje. Pokud je vše v žádosti i ve formuláři správně, vygeneruje certifikát. Pokud je tam chyba, vrátí vám SZR žádost zpět. SZR vám zašle zpět do vaší datové stránky certifikát. Certifikát nainstalujete na svůj server. Na serveru musí být společně certifikát (v něm je veřejný klíč) i váš privátní klíč. 2.1 Příprava konfiguračního souboru pro vygenerování klíčového páru Konfigurační soubor vytvoříte pomocí editoru, např. Notepad. Na webu SZR je připravený soubor CertServer.txt, který upravíte pro vaši potřebu a pojmenujete ho certreq.config. www.szrcr.cz Strana: 3 / 7

Obsah většiny položek konfiguračního souboru je přednastaven a při jeho vyplňování změníte obsah jenom těch položek, které jsou zde zvýrazněny červeně. distinguished_name = req_distinguished_name string_mask = nombstr prompt = no [req_distinguished_name] 0.commonName = ServerName 0.organizationName = ICO organizationalunitname = AIS localityname = Obec=NAZEV1,Ulice=NAZEV2,PSC=PSČ stateorprovincename = NAZEV3 countryname = CZ Do jednotlivých (červeně zvýrazněných) položek uvedete: ServerName Doporučujeme uvádět DNS jméno počítače, který bude přijímat zpětná volání v případě, kdy ISZR vrací odpověď na asynchronní dotaz v aktivním režimu. Pokud bude spojení navazováno v KIVS, mělo by jít o jméno, pod kterým je počítač dosažitelný v síti KIVS. Pokud bude spojení navazováno v Internetu, pak by mělo jít o veřejné DNS jméno. Pokud AIS asynchronní volání v aktivním režimu nebude používat, doporučujeme uvádět DNS jméno AISu v CMS, respektive v Internetu. ISZR v současné době jméno počítače AISu z certifikátu nekontroluje. Maximální délka 64 znaků, např. server.vaseovm.cz nebo server.vaseovm.cms IČO IČO OVM (bez mezer), délka maximálně 8 číslic, lze včetně nul na začátku i bez nich, např. 00345678 nebo 345678. AIS identifikace (číslo) AIS v ISoISVS, doporučujeme doplnit o informaci, zda jde o publikační (-P) nebo editační (-E) AIS a že jde o produkční (/PROD) prostředí, maximální délka 64 znaků, např.: 123-E/PROD 567-P/PROD NAZEV1 Jméno obce (bez diakritiky), např. Hradec Kralove NAZEV2 Jméno ulice (bez diakritiky), např. Milady Horakove PSČ PSČ (bez mezer), např. 11025 Celková maximální délka adresy, tj. znakového řetězce Obec=NAZEV1,Ulice=NAZEV2,PSC=PSČ je 128 znaků NAZEV3 Název OVM (bez diakritiky), maximální délka 128 znaků, např. Sprava zakladnich registru Nejdůležitější položky jsou: 0.organizationName: musí přesně odpovídat IČO OVM, kterou jste uvedli na formuláři organizationalunitname: musí přesně odpovídat označení AIS, které jste uvedli na formuláři Dobře si vše překontrolujte! Certifikační autorita SZR kontroluje obsah zadných položek. Jejich účel je evidenční. SZR zejména požaduje správné IČO a číslo AIS z ISoISVS. Dále kontroluje obsah položek proto, aby bylo možné certifikát vůbec vydat. Tj. je nutné dodržet povolené délky hodnot jednotlivých položek a přípustné znaky. Aplikace ISZR hodnoty položek v certifikátu v současné době nekontroluje. Pro navázání spojení je rozhodující sériové číslo certifikátu, to že certifikát byl vydán Certifikační autoritou SZR a je platný. www.szrcr.cz Strana: 4 / 7

Příklady: Konfigurační soubor uložte v adresáři programu OpenSSL do adresáře \bin pod názvem certreq.config. 2.2 Generování klíčového páru V adresáři \bin programu OpenSSL zadejte příkaz: openssl genrsa -des3 -out Privatekey.key 2048 Po spuštění příkazu budete vyzváni k vytvoření hesla a k jeho následnému ověření. www.szrcr.cz Strana: 5 / 7

Během provedení příkazu dojde k vygenerování souboru Privatekey.key, který obsahuje privátní klíč chráněný heslem, které jste zadali. 2.3 Vytvoření souboru s žádostí o certifikát V adresáři \bin programu OpenSSL zadejte příkaz: openssl req -new -key Privatekey.key -out Mycsr.csr -config certreq.config Po zadání příkazu budete dotázáni na vaše heslo, které jste vytvořili při generování klíčového páru. Výsledkem provedení příkazu je soubor Mycsr.csr obsahující žádost o certifikát (obsahuje mj. veřejnou část klíčového páru) ve formátu PKCS#10. www.szrcr.cz Strana: 6 / 7

Zkopírujte soubor Mycsr.csr do souboru Mycsr_XXXXXXXX_AAAA.txt (XXXXXXXX je IČO a AAAA je číslo AIS v ISoISVS) a pošlete ho v příloze formuláře Žádost o umožnění přístupu orgánu veřejné moci ke službám vnějšího rozhraní ISZR na SZR k certifikaci vašeho veřejného klíče. Pokud bude certifikace úspěšná, obdržíte od SZR do datové schránky certifikát v souboru Mycsr_XXXXXXXX_AAA.cer.txt. Zkopírujte ho do souboru certnew.cer. 2.4 Spojení certifikátu s privátním klíčem Proces musíte dokončit spojením certifikátu s privátním klíčem. Soubor s certifikátem z certifikační autority vložte do podadresáře \bin v OpenSSL adresáři a zadejte v podadresáři \bin následující příkaz: openssl pkcs12 -export -in certnew.cer -inkey privatekey.key out mykey.pfx Po spuštění příkazu budete nejprve dotázáni na heslo, které jste vytvořili při generování klíčového páru. Potom budete vyzváni k vytvoření hesla, kterým bude chráněn privátní klíč a certifikát v souboru mykey.pfx, a k jeho následnému ověření. Výsledkem je privátní klíč a certifikát v souboru mykey.pfx. Privátní klíč je v souboru zašifrován a chráněn heslem. 3. Použití certifikátu Certifikáty vydávané SZR jsou serverové, tj. vydávají se pro počítače, ne pro osoby. Certifikát a privátní klíč nainstalujte na všechny počítače, které budou komunikovat s ISZR. Musí to být počítače, které jsou součástí AIS a splňují všechny bezpečnostní požadavky pro provoz AIS. Při navazování spojení mezi ISZR a AIS se certifikát může použít jednak jako klientský (spojení navazuje AIS) a za druhé jako serverový (spojení navazuje ISZR při odpovědi na asynchronní dotaz v aktivním režimu). V certifikátu je v položce Použití klíče (key usage) hodnota: "Server Authentication + Client Authentication. ISZR ani při jednom směru navazování komunikace s AIS identifikaci systému (Common Name) v certifikátu v současné době nekontroluje. Privátní část klíče chraňte před zneužitím. Certifikát používejte pouze pro ty účely, pro které byl vydán. Je zakázáno ho používat pro jiné AIS. www.szrcr.cz Strana: 7 / 7

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář