Nový šifrovací certifikát platný do 27.10.2015

Po stažení ze stránky ČSSZ nebo přímo zde a nainstalování šifrovacího certifikátu (soubor DISCSSZ2015.cer) do Windows je nutné certifikát nastavit i v aplikaci Atilla. Je nutné mít také nainstalované odpovídající certifikáty certifikační autority.

  1. Nejprve otevřete Nástroje - Nastavení a dále vyberte Internet - Portál a stiskněte tlačítko Šifrovací certifikát.

  2. Zobrazí se dialogové okno s původním šifrovacím certifikátem:
    Starý certifikát
  3. Dále stiskněte tlačítko Vybrat (přepínač Pouze platné certifikáty, vystavené pro ČSSZ nechte zatržený).

  4. Pokud máte nový šifrovací certifikát správně nainstalován, bude viditelný v zobrazeném seznamu certifikátů. Vyberte jej (na obrázku označen modře s textem DIS.CSSZ.2012) a stiskněte OK:
    Výběr certifikátu

  5. Vrátíte zpět do aplikace Atilla a v dialogovém okně bude již nový šifrovací certifikát:
    Nový certifikát
  6. Pokračujte stiskem OK a Uložit.

  7. Pokud je certifikát platný a nedošlo k žádné chybě, bude na tlačítku pro výběr šifrovacího certifikátu zelená značka:
    Kontrola

 

  • Kvalifikovaný certifikát je nutné před prvním použitím nahlásit ČSSZ. Postup najdete na stránkách ČSSZ.
  • Obdržený vygenerovaný certifikát instalujte do stejného PC, na kterém byla vygenerována žádost. Certifikát se musí objevit v úložišti Osobní (Ovládací panely - Možnosti Internetu - záložka Osobní - tlačítko Certifikáty). Instalaci lze provést poklepáním na soubor certifikátu a volbou Nainstalovat certifikát.
  • Mezi vygenerováním žádosti a instalací certifikátu se nesmí změnit konfigurace systému (uživatel, práva, hardware, záplaty OS, struktura sítě - namapované síťové disky), je proto vhodné dodržet co nejktraší dobu mezi vytvořením žádosti a instalací certifikátu.
  • Pokud se instalace certifikátu podaří (je v úložišti Osobní a ve vlastnostech je vidět soukromý klíč, viz níže), důrazně doporučujeme certifikát ihned vyexportovat včetně soukromého klíče do formátu PFX. Takto vyexportovaný certifikát lze pak už nainstalovat na jakýkoli PC, kde se bude pak používat, protože již obsahuje soukromý klíč, chráněný heslem. Postup exportu viz níže.
  • Pokud se instalace certifikátu ve formátu CER nepovede, nemá smysl ji dále zkoušet s tím samým certifikátem, systém ho již vždy odmítne. Stejně tak nelze znovu nainstalovat certifikát, který byl odebrán po předchozím úspěšném nainstalování. V těchto případech je nutné znovu vygenerovat žádost a nechat vytvořit nový certifikát. Musí se vygenerovat nová žádost, nestačí použít starou. Vše uvedené platí pro formát CER.
  • Asi nejvhodnější způsob pro případ více podniků je vygenerovat na rozumně konfigurovaném PC (viz výše) všechny žádosti najednou, ihned je odnést na OSSZ a obdržené certifikáty co nejdříve na tom samém PC ve stejné konfiguraci podle uvedeného postupu nainstalovat.
  • Pro každý z nainstalovaných certifikátů pak provést export do formátu PFX včetně soukromého klíče.

Správný podpisový certifikát musí mít soukromý klíč (viz vyznačený text v obrázku). Pokud jej nemá, nelze ho použít:

Soukromý klíč

Po obdržení certifikátu od certifikační autority (soubor cer) je mimořádně doporučeníhodné si tento certifikát zazálohovat včetně soukromého klíče. Za tím účelem je vhodné certifikát cer normálně nainstalovat a pak jej vyexportovat do souboru včetně soukromého klíče, viz obrázek:

cert-kop

Stiskem Kopírovat do souboru se spustí průvodce exportem, ve kterém je důležité zvolit exportovat soukromý klíč, viz obrázek:

cert-exp1

Dalším krokem je nastavení formátu a vlastností exportu. Vyberte formát PFX podle obrázku:

cert-exp2

V dalším průběhu exportu bude vyžadováno zadání hesla a jména souboru. Heslo bude potřeba pro každou další případnou instalaci tohoto certifikátu kdykoli v budoucnosti, takže dobře uschovat.

 

Import šifrovacího certifikátu
(vydaného autoritou PostSignum pro DIS.CSSZ.2016)


Postup popisuje instalaci šifrovacího certifikátu ČSSZ, vydaného certifikační autoritou PostSignum, do české verze Windows 7 uživatelem s omezenými právy (postup obdobně platí i pro Windows XP).
Šifrovací certifikát stáhnete ze stránky ČSSZ nebo přímo zde a rozbalíte do vhodné dočasné složky obsah staženého archívu. Archív obsahuje tři soubory (certifikáty): DISCSSZ2016.cerPostSingum_Root_QCA_2.cer a PostSingum_Public_CA_2.cer. Pokud již máte certifikáty autority PostSignum nainstalovány (ověření viz kroky 9 a 12), nemusíte je znovu instalovat a pokračujte krokem 13.

  1. Nejprve otevřete Ovládací panely, vyhledejte Možnosti Internetu, přejděte na záložku Obsah a stiskněte tlačítko Certifikáty. V dialogovém okně, které se objeví, stiskněte tlačítko Importovat..., čímž se spustí Průvodce importem certifikátu:
    krok 1

  2. Pokračujte stiskem tlačítka Další. Stiskem tlačítka Procházet... vyhledejte složku s rozbalenými certifikáty, vyberte PostSingum_Root_QCA_2.cer a stiskněte tlačítko Otevřít.
    krok 2
  3. V průvodci stiskněte tlačítko Další a dostanete se na stránku s výběrem úložiště. Zde klepněte na Všechny certifikáty umístit v následujícím úložišti a stiskněte tlačítko Procházet.:
    krok 3
  4. V dialogovém okně pro výběr úložiště vyberte Důvěryhodné kořenové certifikační úřady a stiskněte OK:
    krok 4
  5. V průvodci importem stiskněte Další.

  6. a Dokončit:
    krok 6
  7. Na Windows XP se může objevit poněkud matoucí dialogové okno bez popisu, v tom případě stiskněte tlačítko Ano:
    chyba
  8. Pokud vše proběhlo v pořádku, objeví se zpráva o úspěšném importu certifikátu:
    krok 8
  9. Úspěšný import certifikátu ověříte v okně Certifikáty, kde v seznamu na záložce Důvěryhodné kořenové certifikační úřady musí být ve sloupci Vystaveno pro položka PostSignum Root QCA 2:
    krok 9
  10. Dalším krokem bude import certifikátu PostSingum_Public_CA_2.cer - postup je stejný jako v bodě 2, jen vyberete uvedený soubor certifikátu.
     
  11. Opět je nutné explicitně vybrat úložiště certifikátu, tentokrát Zprostředkující certifikační autority:
    krok 11
  12. Po úspěšném importu musí být v seznamu okna certifikátů na záložce Zprostředkující certifikační autority položka PostSignum Public CA 2:
    krok 12
  13. A jako poslední naimportujete vlastní šifrovací certifikát (vydaný certifikační autoritou PostSignum Public CA 2 pro DIS.CSSZ.2016):
    krok 13

  14. Jako úložiště certifikátů vyberte Ostatní uživatelé:
    krok 14

  15. Po úspěšném importu musí být v seznamu okna certifikátů na záložce Ostatní uživatelé položka DIS.CSSZ.2016:
    krok 15

  16. Poklepáním na certifikát (nebo stiskem tlačítka Zobrazit) zobrazíte informace o cetifikátu:
    krok 16

  17. Pro kontrolu správnosti celého postupu musí být na záložce Cesta k certifikátu třístupňová struktura a poznámka Tento certifikát je v pořádku:
    cesta k certifikátu

  18. Pak už jen v aplikaci Atilla vyberete správný šifrovací certifikát:
    výběr certifikátu

  19. Pokud je vše v pořádku a certifikát je platný, pak v je na tlačítku pro výběr šifrovacího certifikátu zelená značka:
    kontrola