politika podpisových identit (od 9.10.2020)

https://obelisk.cvut.cz/userportal/

1.  Přihlášení do uživatelského portálu

Do Uživatelského portálu má přístup každý zaměstnanec. O přihlašování se stará systém ČVUT Shibboleth SSO (Single-Sign-On), který znáte i z dalších systémů ČVUT např. KOS, AEDO… Přihlásit se můžete z vašeho uživatelského profilu na USERMAP –  https://usermap.cvut.cz -> Uživatelský profil -> karta „Nastavení“ -> odkaz „Správa osobních certifikátů“.
Nebo přímým odkazem https://obelisk.cvut.cz/userportal Pozor, protože systém OBELISK slouží k vytváření celé platformy digitální důvěry, nestačí zadat pouze https://obelisk.cvut.cz ! tím byste se dostali do části, do které nemáte umožněn přístup, ale musíte zadat adresu celou.

Obr. 1  Chybná a správná přihlašovací obrazovka do uživatelského portálu

Pokud vaše přihlašování není úspěšné a končí např. chybou „Chyba přesměrování (access_denied) popis: UnknownSubjectException“, bývá problém v údajích zadaných v systému USERMAP, zejména nevyplněná e-mailová adresa, což je pro práci v Uživatelském portálu podmínka nezbytná.

Kontrolu zda máte vyplněný e-mail proveďte přihlášením na https://usermap.cvut.cz po rozkliknutí „Uživatelský profil“ à v části „kontaktní údaje“.

Obr. 2  Kontrola údajů v systému USERMAP, důležité položky: E-mail, Kvalita identity

2.  Vydání nového certifikátu

2.1. Nutné podmínky pro vydání certifikátu.

Pro vlastnictví certifikátu je nutná ověřená identita tzv. kvality A „Identita plně identifikovaná, údaje ověřené“. Toto ověření údajů, tzv. ztotožnění uživatele, provádí pověření lidé na součástech ČVUT, většinou personální oddělení, nebo Kartové centrum ČVUT.  Kontrolu kvality identity provedete přihlášením na https://usermap.cvut.cz po rozkliknutí „Uživatelský profil“ à v části „údaje o identitě“, viz Obr. 2.

Nárok na podpisový certifikát certifikační autority CESNET CA pro vzdálené podepisování pro interní oběhy ČVUT má každý zaměstnanec s platným pracovněprávním vztahem k ČVUT. V budoucnu nárok na podpisové certifikáty dalších CA závisí na konkrétní business roli zaměstnance.

2.2. Proces vydání certifikátu

2.2.1.  CESNET CA

Po přihlášení je jako první otevřena stránka „Certifikáty pro podpis“ se seznamem certifikátů, pokud máte nárok na vydání certifikátu, uvidíte dostupné tlačítko „+ Nový certifikát (CESNET CA)“. Kliknutím na toto tlačítko zahájíte proces vydávání. Pokud nemáte identitu kvality A, není možné certifikát vydat, tlačítko nebude dostupné nebo proces skončí chybou.

Obr. 3  Nový certifikát – první krok

Pokud máte nárok i na jiný certifikát, např. kvalifikovaný, uvidíte zde i tlačítko pro další certifikační autoritu (např. PostSignum CA)
Tato operace je ověřována pomocí kódu, který je systémem zaslán na uživatelovu primární adresu.

Obr. 4  Nový certifikát – ověření operace ověřovacím kódem

Po ověření tímto kódem, budete vyzváni k zadání nového PIN pro použití tohoto certifikátu. Tento PIN je svázán pevně s vydávaným certifikátem, pokud v budoucnu PIN zapomenete, nebo zadáte opakovaně PIN nesprávně a dojde tak k uzamčení certifikátu, musíte certifikát zneplatnit a vydat si certifikát nový.

Obr. 5  Nový certifikát – zadání PIN k novému certifikátu  a autorizace žádosti o certifikát

Po stisknutí tlačítka autorizovat, je žádost o certifikát (tzv. request) obsahující informace o organizaci (ČVUT) a osobě (jméno, příjmení, osobní číslo, primární e-mail) odeslána na certifikační autoritu a certifikát je vydán. Certifikační autorita si po vygenerování uchovává pouze sériové číslo certifikátu.
Detaily certifikátu si můžete prohlédnout po rozkliknutí ikonky „=“ u tohoto certifikátu.

Obr. 6  Nový certifikát – úspěšné vydání a detail certifikátu

  • Platnost tohoto certifikátu je 390 dní, poté si musíte stejným způsobem požádat o certifikát nový.
  • Certifikát můžete sami zneplatnit v záložce „Certifikáty pro podpis“ tlačítkem „Zneplatnit“ po provedení autorizace operace.
  • automaticky jsou certifikáty zneplatňovány v případě, že přijdete o identitu typu A nebo o vztah k ČVUT
  • U certifikační autority CESNET CA je vydáván v tomto případě certifikát, sloužící pouze pro vnitřní oběh elektronických dokumentů v systému AEDO a pouze pro tento interní systém je uznávaný a důvěryhodný, jiné dokumenty není možné podepsat ani certifikát používat jiným způsobem např. pro šifrování e-mailů.

3. Změna PIN

3.1. CESNET CA

Pokud máte dojem, že došlo k vyzrazení Vašeho PIN, můžete PIN změnit. V detailech certifikátu (viz výše) uvidíte u položky Aktivace podpisu: hsm-pwd tlačítko „Změnit PIN“. Předpokladem je, že si PIN pamatujete.

Obr. 7  Změna PIN – detail certifikátu a tlačítka pro změnu PIN

Obr. 8  Změna PIN – zadání stávajícího a nového PIN

Po zadání platného PIN a nového do obou dvou políček (Nový PIN, Potvrzení PIN) a stisknutí tlačítka „Autorizovat“ bude PIN změněn.

Obr. 9  Změna PIN – úspěšná změna

4. Zneplatnění certifikátu, zablokovaný certifikát, zapomenutý PIN

Pokud máte dojem, že došlo ke kompromitování důvěryhodnosti Vašeho certifikátu, můžete certifikát zneplatnit a stejným postupem výše uvedeným si vydat certifikát nový.  Stejně tak, v případě že certifikát nemůžete používat, z důvodu zapomenutého PIN nebo kvůli zablokování certifikátu po opakovaně nesprávně zadaném PIN. To, že je certifikát blokovaný, se nepropisuje do systému USERMAP a je tedy vidět, na Obr. 2 jako platný, i když níže na Obr. 9 je vidět, že je blokovaný. Proto v případě potíží s podepisováním je na místě kontrola i zde.

Obr. 10  Zneplatnění certifikátu – detail certifikátu a tlačítka pro zneplatnění certifikátu

Obr. 11  Zneplatnění certifikátu – autorizace zneplatnění certifikátu

Obr. 12  Zneplatnění certifikátu – úspěšné zneplatnění

Certifikáty certifikační autority CESNET pro interní oběhy ČVUT jsou zdarma a nemusíte se tedy obávat, ale certifikáty jiných certifikačních autorit bývají zpoplatněny, u nich je na místě opatrnost.

5. Obnova certifikátu

5.1. CESNET CA

CESNET nevydává tzv. následný certifikát, tedy takový, kde by se žádost o další certifikát podepisovala současným platným certifikátem, ale v principu se jedná o vydání nového certifikátu.

Protože můžete vlastnit pouze jeden certifikát CESNET, není vidět tlačítko „+ Nový certifikát (CESNET CA)“ pokud máte stávající certifikát ještě platný.

Postup obnovení certifikátu je tedy dvoufázový.

  1. nejprve musíte současný certifikát zneplatnit (tlačítkem „! Zneplatnit“ vpravo na certifikátu).
  2. Po tomto zneplatnění se vám již na stránce certifikátů objeví tlačítko „+ Nový certifikát (CESNET CA)“ jehož stisknutím si požádáte o nový certifikát podle postupu uvedeného výše.

V případě vypršení platnosti původního certifikátu odpadá bod a) a jedná se o stejný postup jako pro nový certifikát.

6. Použití certifikátu

6.1. CESNET CA – interní oběh dokumentů ČVUT

Certifikát je uložen v zabezpečeném úložišti tzv. HSM modulu, které je certifikováno pro použití v systému eIDAS.

Uživatel se přihlásí do aplikace, která podporuje systém vzdáleného podepisování. Tím je provedeno ověření uživatele. Aplikace dále v případě potřeby podepsání dokumentu odešle požadavek na použití certifikátu a uživatel je přesměrován na podpisovou aplikaci.

Obr. 13  odeslán požadavek na podpis a uživatel byl přesměrován na podpisovou aplikaci

Tento požadavek na použití certifikátu je potřeba autorizovat pomocí PIN patřící k tomuto certifikátu.

Obr. 14  Autorizace použití certifikátu pomocí PIN

Po autorizaci je výsledek podepisování vrácen podpisovou aplikací zpět do aplikace ze které požadavek na podpis vzešel (AEDO…)

7. Záznam událostí

Záznam událostí je možností, jak zjistit případné chyby při použití vzdáleného podpisu. Pokud jste vyloučily běžné chyby, jako je zapomenutý PIN, žádný, neplatný, nebo zablokovaný certifikát, podívejte se do „Záznam událostí“ opište událost nebo udělejte screenshot a kontaktujte přes helpdesk ČVUT podporu VIC.

Obr. 15  Záznam událostí uživatelského portálu systému OBELISK

8. Certifikáty vydané do 9.10.2020

V nové politice podpisových identit je PIN svázán s konkrétním certifikátem. Pokud máte vydaný ještě certifikát podle staré politiky, můžete globálně nastavovat PIN níže uvedeným způsobem. Doporučujeme však raději stávající certifikát zneplatnit a vydat si certifikát nový.

8.1. Změna PIN

8.1.1. CESNET CA

Pokud máte dojem, že došlo k vyzrazení Vašeho PIN, nebo jste PIN zapomněli, můžete PIN změnit.

V záložce „Autorizační PIN“ nastavte váš nový PIN pro použití certifikátu.

Tato operace je ověřována pomocí kódu, který je systémem zaslán na uživatelovu primární adresu.

Po ověření tímto kódem a autorizací operace

je PIN nastaven.

 



Vlastník stránky: VIC - oddělení IS ekonomických a správních agend (81313) , Poslední změna: 29.06.2022 , Štítky: certifikátynávod