Elektronický podpis

Návod na ověření pravosti elektronického podpisu v PDF

Tento návod Vám pomůže s ověřením pravosti elektronického podpisu v programu Acrobat Reader.
V kapitole 1 bude ukázán oveřený kvalifikovaný podpis vystavený ověřenou certifikační autoritou.
V kapitole 2 bude naopak nesprávný elektronický podpis, který si může kdokoliv vygenerovat na vlastním pc, nicméně tento podpis není nijak ověřený a nezaručuje správnou identitu podepisujícího.
Pokud si i tak nebudete jistí pravostí elektronického podpisu, neváhejte kontaktovat Odbor bezpečnosti o radu a pomoc.

Kapitola 1 - kvalifikovaný podpis

a) Otevřete PDF soubor a najděte podpis.

b) Klikněte na elektronický podpis, abyste ověřili pravost.

c) Rozklikněte Vlastnosti podpisu. Zde vidíte zdroj důvěry a že se jedná o kvalifikovaný elektronický podpis dle nařízení EU 910/2014 (Nařízení eIDAS).

d) Pro více informací o podpisu rozklikněte políčko "Zobrazit certifikát autora podpisu".
Zde je důležité všimnout si, kdo podpis vydal. V České republice jsou 3 certifikační autority, od kterých je možné získat kvalifikovaný elektronický podpis.
Je to Postsignum (Česká Pošta), I.CA (První certifikační autorita) a eIdentity.

Kapitola 2 - nesprávný elektronický podpis

a) Otevřete PDF soubor a najděte podpis. V tomto kroku rozdíl od kvalifikovaného elektronického podpisu nerozeznáte.

b) Klikněte na elektronický podpis, abyste ověřili pravost. I zde se Vám zobrazuje, že podpis je pravý. Zde také rozdíl pravosti není patrný.

c) Rozklikněte Vlastnosti podpisu. V tomto kroku již vidíte, že nikde není zmínka o úrovni ani certifikaci elektronického podpisu.

d) Pro více informací o podpisu rozklikněte políčko "Zobrazit certifikát autora podpisu".
Zde v kolonce "Vydal" již nenajdete certifikační autoritu, nicméně pouze jméno účtu, u kterého byl certifikát vygenerován. U tohoto certifikátu není ověřena pravost a nenabývá ŽÁDNÉ právní hodnoty. Vytvoření takového certifikátu není nic složitého a zabere několik minut. Nicméně neříká nic o totožnosti podepisujícího.

Žádost podává vedoucí zaměstnanec na kontaktní email bezpecnost@czu.cz. Obratem Vám bude zaslán dokument pro vyplnění údajů.

Prvotní inicializace USB tokenu

Zasuňte token do USB portu ve Vašem počítači.

Na USB tokenu je nutné před prvním použitím nastavit 2 hesla:

PIN tokenu (je využíván při správě certifikátů)
PIN pro digitální podpis (využíván při podpisování emailů/dokumentů)

Výchozí hodnota obou klíčů je nastavena na 12345678

Pro nastavení je nutné:

A) Spustit aplikace SafeNet Authentication Client Tools (pokud aplikace není v počítači, kontaktujte svého IT správce a požádejte o instalaci).

B) kliknutím na tlačítko otevřít Podrobné zobrazení (Advanced view):

C) V pokročilém nastavení je pak nejprve nutné změnit heslo k tokenu kliknutím na tlačítko . Toto heslo je používáno pro správu zařízení a import certifikátů.

D) A v následném dialogu změnit heslo k tokenu, přičemž současné heslo (Current Token Password) je 12345678

Nově zvolené heslo je nutné zapsat a potvrdit.

E) V pokročilém nastavení je pak nutné změnit heslo k tokenu kliknutím na tlačítko (Change digital signature PIN). Toto heslo je používáno pro vytvoření kvalifikovaného digitálního podpisu. (Může být stejné jako heslo nastavené v předešlém kroku).

F) A v následném dialogu změnit PIN k digitálnímu podpisu, přičemž současné heslo (Current Digital Signature PIN) je nastaveno na: 12345678

Nově zvolené heslo je nutné zapsat a potvrdit v následujícím dialogu:

TOKEN je nyní připraven pro první použití.

Před provedením žádosti je nutné nastavit hesla (PINy) na kvalifikovaném prostředku.

Aby se token správně načetl v počítači, je potřeba software safenet authentication client.

Instalace Softwaru:

Pro stažení programu pokračujte na webové stránky https://www.postsignum.cz/etoken_5110_cc.html . Ve spodní částí zadejte sériové číslo Vašeho tokenu (vyražené číslo ze zadní části Vašeho tokenu), opište kontrolní text a stáhněte ZIP verzi pro Windows / Mac. Nainstalujte pak ve svém počítači.

Pokud nemáte ADMIN práva pro instalace na Vašem zařízení, kontaktujte svého IT technika.

Vystavení nového certifikátu

A) Stáhnout aplikaci iSignum na adrese http://www.postsignum.cz/isignum.html a spustit ji ( instalace od správce není nutná, jedná se o spustitelnou aplikaci)

B) Kliknout na tlačítko „Nový“ a vyplnit průvodce vygenerováním žádosti. POZOR!! V Kroku 2 je nutné vybrat kvalifikováný prostředek, nikoliv Windows. Je-li vše zvoleno správně, na aplikaci se objeví zelený potvrzovací text „Byl vybrán kvalifikovaný prostředek“

C) Kliknout na tlačítko „Odeslat žádost“

D) Bude vyžadováno heslo, které se nastavilo v předchozích krocích.

E) Po odeslání žádosti Vám přijde do emailové schránky zpráva, která v prvním řádku obsahuje vygenerované číslo. Bude nutné ověřit totožnost na pobočce České pošty, kde po Vás budou chtít právě toto vygenerované číslo a průkaz totožnosti.

F) Po ověření totožnosti Vám přijde certifikát na email. Pokračujte na krok IMPORT CERTIFIKÁTU NA TOKEN.

Obnovení stávajícího certifikátu

A) Stáhnout aplikaci iSignum na adrese http://www.postsignum.cz/isignum.html a spustit ji (instalace od správce není nutná, jedná se o spustitelnou aplikaci).

B) Na záložce volba aktuálního certifikátu označit certifikát určený k obnově, kliknout na tlačítko „Obnovit“ a vyplnit průvodce vygenerováním žádosti. POZOR!! V Kroku 2 je nutné vybrat kvalifikováný prostředek, nikoliv Windows. Je-li vše zvoleno správně, na aplikaci se objeví zelený potvrzovací text „Byl vybrán kvalifikovaný prostředek“

C) Kliknout na tlačítko „Odeslat žádost“. (Odeslat žádost = 1letý certifikát, Odeslat žádost o víceletý certifikát = 3letý certifikát). Pro možnost víceletého certifikátu prosím napište na e-mail : vlachynsky@rektorat.czu.cz .

D) Bude vyžadováno heslo, které se nastavilo v předchozích krocích.

E) Zde je možnost, že se Vám v poli Souhrn ukáže chybová hláška : "Odeslání žádosti selhalo: 622" . V tomto případě prosím pokračujte na https://bezpecnost.czu.cz/elektronicky-podpis a záložku "Chyba 622 - Odeslání žádosti selhalo".

F) Přijde Vám email s vystaveným certifikátem. Pokračujte na IMPORT CERTIFIKÁTU NA TOKEN.

Import certifikátu na token

Stažený certifikát je nutné pro použití jako kvalifikovaný podpis nutné importovat na USB token. Toto lze učinit:

A) Najetím na záložku kvalifikovaného zařízení (zelené kolečko před kódem) a následné kliknutí na tlačítko „Stažení certifikátu“ lze aktivovat průvodce stažením certifikátu. Po kliknutí na tlačítko a „Zkontrolovat vydané certifikáty“ lze kliknou na tlačítko „Stáhnout“ a certifikát bude naimportován.

B) kliknutím na tlačítko „Importovat“ v aplikaci iSignum, následně je třeba vybrat stažený certifikát a potvrdit dialog.

Bude vyvolán dialog, který požaduje zadání PINu USB Tokenu (musí být nejprve nastaven), po jeho správném vložení bude certifikát naimportován a je připraven k použití jako kvalifikovaný digitální podpis.

Nastavení MS Outlook pro kvalifikovaný podpis emailu

a) Klinkout na menu „Soubor“, v levém panelu kliknout na „Možnosti“

b) Zde zvolit „Centrum zabezpečení“, a kliknu na jediné tlačítko „Nastavení centra zabezpečení“.

c) V centru zabezpečení v levém menu zvolím záložku „Zabezpečení e-mailu“ .

d) Zde kliknout na tlačítko “Nastavení”, vyplnit název (např. Kvalifikovaný podpis), kliknout na tlačítko „Vybrat“ u pole Podpisový certifikát, je-li k dispozici vícero certifikátů, zvolím záložku „Více“ a vyberu potřebný certifikát.

e) Pro podpis emailu zvolit záložku „Možnosti“ a kliknout na variantu odkaz “Podepsat”.

Chyba 622 (odeslání žádosti selhalo) se může vyskytnou při pokusu o obnovu Vašeho certifikátu.

1) Jedním z důvodů je, že máte na Vašem bezpečnostním prostředku (tokenu) již 2 kvalifikované certifikáty. Jeden z nich, často ten s prošlou expirací, je potřeba odstranit.

Otevřete program Safenet Authentication Client
Klikněte na ozubené kolečko (přejít do nastavení) - č.1
Rozklikněte název daného prostředku a Certifikáty CC - č.2
Najděte si certifikát, který je po expiraci nebo který již nebudete potřebovat (pozor! nesmí se stát, že smažete aktuální certifikát, ze kterého chcete dělat obnovu) - č.3
Klikněte na možnost Odstranit certifikát - č.4

2) Chyba může nastat i po špatně generovaném privátním klíči na token. Postup je podobný jako v prvním případě, nicméně je nutné odstranit osamocený privátní klíč u záložky Osamocené objekty.

Otevřete program Safenet Authentication Client
Klikněte na ozubené kolečko (přejít do nastavení) - č.1
Rozklikněte název daného prostředku a Osamocené objekty (Orphan objects) - č.2
Osamocený privátní klíč by měl mít název #p11**************. Ten je potřeba odstranit. Pravým tlačítkem myši, možnost odstranit.
POZOR! nikdy nemůžete odstranit Servisní klíč! V žádném případě!

Pokud bude potřeba s čímkoliv pomoci, neváhejte nás kontaktovat.

Informační a kybernetická bezpečnost, osobní certifikáty

Masáček Martin

masacek@rektorat.czu.cz
+420 224 382 411

Informační a kybernetická bezpečnost, GDPR

Hanzlík PetrIng. Ph.D.

hanzlikp@pef.czu.cz
+420 224 386 412

Informační a kybernetická bezpečnost, GDPR, osobní certifikáty

Vlachynský PetrIng.

vlachynsky@rektorat.czu.cz
+420 224 386 411

Obnova certifikátu