https://obelisk.cvut.cz/userportal/

1.  Přihlášení do uživatelského portálu

Do Uživatelského portálu má přístup každý zaměstnanec. O přihlašování se stará systém ČVUT Shibboleth SSO (Single-Sign-On), který znáte i z dalších systémů ČVUT např. KOS, AEDO… Přihlásit se můžete z vašeho uživatelského profilu na USERMAP –  https://usermap.cvut.cz -> Uživatelský profil -> karta „Nastavení“ -> odkaz „Správa osobních certifikátů“.
Nebo přímým odkazem https://obelisk.cvut.cz/userportal.

Obr. 1  Chybná a správná přihlašovací obrazovka do uživatelského portálu

Pokud vaše přihlašování není úspěšné a končí např. chybou „Chyba přesměrování (access_denied) popis: UnknownSubjectException“, bývá problém v údajích zadaných v systému USERMAP, zejména nevyplněná e-mailová adresa, což je pro práci v Uživatelském portálu podmínka nezbytná.

Kontrolu zda máte vyplněný e-mail proveďte přihlášením na https://usermap.cvut.cz po rozkliknutí „Uživatelský profil“ à v části „kontaktní údaje“.

Obr. 2  Kontrola údajů v systému USERMAP, důležité položky: E-mail, Kvalita identity

2.  Vydání nového certifikátu

2.1. Nutné podmínky pro vydání certifikátu.

Pro vlastnictví certifikátu je nutná ověřená identita tzv. kvality A „Identita plně identifikovaná, údaje ověřené“. Toto ověření údajů, tzv. ztotožnění uživatele, provádí pověření lidé na součástech ČVUT, většinou personální oddělení, nebo Kartové centrum ČVUT.  Kontrolu kvality identity provedete přihlášením na https://usermap.cvut.cz po rozkliknutí „Uživatelský profil“ à v části „údaje o identitě“, viz Obr. 2.

Nárok na podpisový certifikát certifikační autority CESNET CA pro vzdálené podepisování pro interní oběhy ČVUT má každý zaměstnanec s platným pracovněprávním vztahem k ČVUT. V budoucnu nárok na podpisové certifikáty dalších CA závisí na konkrétní business roli zaměstnance.

2.2. Proces vydání certifikátu

2.2.1.  CESNET CA

Po přihlášení je jako první otevřena stránka „Certifikáty pro podpis“ se seznamem certifikátů, pokud máte nárok na vydání certifikátu, uvidíte dostupné tlačítko „+ Nový certifikát (CESNET CA)“. Kliknutím na toto tlačítko zahájíte proces vydávání. Pokud nemáte identitu kvality A, není možné certifikát vydat, tlačítko nebude dostupné nebo proces skončí chybou.

Obr. 3  Nový certifikát – první krok

Pokud máte nárok i na jiný certifikát, např. kvalifikovaný, uvidíte zde i tlačítko pro další certifikační autoritu (např. PostSignum CA)
Tato operace je ověřována pomocí kódu, který je systémem zaslán na uživatelovu primární adresu.

Obr. 4  Nový certifikát – ověření operace ověřovacím kódem

Po ověření tímto kódem, budete vyzváni k zadání nového PIN pro použití tohoto certifikátu. Tento PIN je svázán pevně s vydávaným certifikátem, pokud v budoucnu PIN zapomenete, nebo zadáte opakovaně PIN nesprávně a dojde tak k uzamčení certifikátu, musíte certifikát zneplatnit a vydat si certifikát nový.

Obr. 5  Nový certifikát – zadání PIN k novému certifikátu  a autorizace žádosti o certifikát

Po stisknutí tlačítka autorizovat, je žádost o certifikát (tzv. request) obsahující informace o organizaci (ČVUT) a osobě (jméno, příjmení, osobní číslo, primární e-mail) odeslána na certifikační autoritu a certifikát je vydán. Certifikační autorita si po vygenerování uchovává pouze sériové číslo certifikátu.
Detaily certifikátu si můžete prohlédnout po rozkliknutí ikonky „=“ u tohoto certifikátu.

Obr. 6  Nový certifikát – úspěšné vydání a detail certifikátu

  • Platnost tohoto certifikátu je 390 dní, poté si musíte stejným způsobem požádat o certifikát nový.
  • Certifikát můžete sami zneplatnit v záložce „Certifikáty pro podpis“ tlačítkem „Zneplatnit“ po provedení autorizace operace.
  • automaticky jsou certifikáty zneplatňovány v případě, že přijdete o identitu typu A nebo o vztah k ČVUT
  • U certifikační autority CESNET CA je vydáván v tomto případě certifikát, sloužící pouze pro vnitřní oběh elektronických dokumentů v systému AEDO a pouze pro tento interní systém je uznávaný a důvěryhodný, jiné dokumenty není možné podepsat ani certifikát používat jiným způsobem např. pro šifrování e-mailů.

3. Změna PIN

3.1. CESNET CA

Pokud máte dojem, že došlo k vyzrazení Vašeho PIN, můžete PIN změnit. V detailech certifikátu (viz výše) uvidíte u položky Aktivace podpisu: hsm-pwd tlačítko „Změnit PIN“. Předpokladem je, že si PIN pamatujete.

Obr. 7  Změna PIN – detail certifikátu a tlačítka pro změnu PIN

Obr. 8  Změna PIN – zadání stávajícího a nového PIN

Po zadání platného PIN a nového do obou dvou políček (Nový PIN, Potvrzení PIN) a stisknutí tlačítka „Autorizovat“ bude PIN změněn.

Obr. 9  Změna PIN – úspěšná změna

4. Zneplatnění certifikátu, zablokovaný certifikát, zapomenutý PIN

Pokud máte dojem, že došlo ke kompromitování důvěryhodnosti Vašeho certifikátu, můžete certifikát zneplatnit a stejným postupem výše uvedeným si vydat certifikát nový.  Stejně tak, v případě že certifikát nemůžete používat, z důvodu zapomenutého PIN nebo kvůli zablokování certifikátu po opakovaně nesprávně zadaném PIN. To, že je certifikát blokovaný, se nepropisuje do systému USERMAP a je tedy vidět, na Obr. 2 jako platný, i když níže na Obr. 9 je vidět, že je blokovaný. Proto v případě potíží s podepisováním je na místě kontrola i zde.

Obr. 10  Zneplatnění certifikátu – detail certifikátu a tlačítka pro zneplatnění certifikátu

Obr. 11  Zneplatnění certifikátu – autorizace zneplatnění certifikátu

Obr. 12  Zneplatnění certifikátu – úspěšné zneplatnění

Certifikáty certifikační autority CESNET pro interní oběhy ČVUT jsou zdarma a nemusíte se tedy obávat, ale certifikáty jiných certifikačních autorit bývají zpoplatněny, u nich je na místě opatrnost.

5. Obnova certifikátu

5.1. CESNET CA

14 dni pred skončením platnosti Vašeho stávajícího certifikátu se v sekci „Certifikáty pro podpis“ u tohoto certifikátu, objeví nové tlačítko  „Vydat následný“.

 

Postup je dále stejný jako při vydání certifikátu nového, s tím rozdílem, že tento končící certifikát bude pro podepisování zablokovaný, ale bude platný až do uplynutí doby platnosti, podepisovat od této chvíle, budete již nově vydaným certifikátem.

6. Použití certifikátu

6.1. CESNET CA – interní oběh dokumentů ČVUT

Certifikát je uložen v zabezpečeném úložišti tzv. HSM modulu, které je certifikováno pro použití v systému eIDAS.

Uživatel se přihlásí do aplikace, která podporuje systém vzdáleného podepisování. Tím je provedeno ověření uživatele. Aplikace dále v případě potřeby podepsání dokumentu odešle požadavek na použití certifikátu a uživatel je přesměrován na podpisovou aplikaci.

Obr. 13  odeslán požadavek na podpis a uživatel byl přesměrován na podpisovou aplikaci

Tento požadavek na použití certifikátu je potřeba autorizovat pomocí PIN patřící k tomuto certifikátu.

Obr. 14  Autorizace použití certifikátu pomocí PIN

Po autorizaci je výsledek podepisování vrácen podpisovou aplikací zpět do aplikace ze které požadavek na podpis vzešel (AEDO…)

7. Záznam událostí

Záznam událostí je možností, jak zjistit případné chyby při použití vzdáleného podpisu. Pokud jste vyloučily běžné chyby, jako je zapomenutý PIN, žádný, neplatný, nebo zablokovaný certifikát, podívejte se do „Záznam událostí“ opište událost nebo udělejte screenshot a kontaktujte přes helpdesk ČVUT podporu VIC.

Obr. 15  Záznam událostí uživatelského portálu systému OBELISK

 



Vlastník stránky: VIC - oddělení IT podpory administrativy I (81313) , Poslední změna: 17.02.2023 , Štítky: certifikátynávod