cs:tcs-personal-user.html

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze
Předchozí verze
Následující verze Obě strany příští revize
cs:tcs-personal-user.html [2018/08/01 11:39]
chvojka@cesnet.cz
cs:tcs-personal-user.html [2020/05/11 12:54]
jan.chvojka@cesnet.cz
Řádek 8: Řádek 8:
 ===== Podporované prohlížeče ===== ===== Podporované prohlížeče =====
  
-Jsou podporovány ​prohlížeče Firefox ​Safari. ​Prohlížeč Chrome již nelze k vydání osobního certifikátu použít z důvodu odstranění přístupu k úložišti klíčů výrobcem aplikacefirmou Google. Na podpoře ​prohlížeče ​Internet Expolorer pracujeme.+Podporované jsou všechny webové ​prohlížeče, které obsahují podporu JavaScriptu. V prohlížečích ​Firefox ​do verze 68 včetně, ​Safari ​a v Internet Exploreru (nikoliv Edge) se osobní certifikáty generují pomocí nativního kódu přímo v prohlížečiV ostatních prohlížečích chybí kód pro generování ​žádostí a následné uložení klíčů a certifikátu do úložiště. Pro tyto prohlížeče jsme připravili alternativní metodu generování osobních certifikátů, u které je žádost také generována ​prohlížečem, ale na rozdíl od nativního generování jsou na konci procesu certifikát i jeho privátní klíč uloženy jako šifrovaný soubor na disk uživatelova počítače.
  
-===== Postup vydání nového osobního certifikátu =====+V některých případech se může stát, že v daném prohlížeči díky jeho nastavení nelze certifikát vydat žádným způsobem. Stát se to může např. u Internet Exploreru, pokud je nastaveno příliš restriktivní zabezpečení v //​Možnostech Internetu//​. V takovém případě dočasně nastavte nejnižší úroveň, proces zopakujte a po vydání certifikátu vraťte nastavení zpět. Můžete také použít jiný prohlížeč,​ nebo se poradit s počítačovou podporou na vašem pracovišti. 
 + 
 +===== Postup vydání nového osobního certifikátu v prohlížečích Chrome, MS Edge nebo novějších verzích Firefoxu (69+) ===== 
 + 
 +Klíče potřebné pro certifikát jsou bezpečně generovány v počítači uživatele, použit je vlastní kód vytvořený vývojovým týmem CESNET CA, který je součástí portálu TCS. Po vydání certifikátu jsou privátní klíč i vlastní certifikát uloženy na disk uživatele jako šifrovaný soubor **PKCS12**, který lze importovat do téměř jakéhokoliv poštovního klienta či webového prohlížeče. 
 + 
 +Pro alternativní generování certifikátu není nutné provádět žádné jiné úvodní kroky, prohlížeč bez vlastního kódu pro generování je automaticky rozpoznán. Začněte tedy na portálu [[https://​tcs.cesnet.cz/​|tcs.cesnet.cz]] volbou **Osobní certifikát** v levém menu. Pro zahájení generování je i v tomto případě nejprve nutné ověření vaší identity přihlášením. 
 + 
 +<WRAP picture>​{{:​cs:​tcs-p-alt1.png|}}\\ 
 +//Úvodní stránka generování osobního certifikátu (Chromium)//​ 
 +</​WRAP>​\\ 
 + 
 +Po spuštění generování jsou vytvořeny klíče a odeslány externí certifikační autoritě, která vydá certifikát. Poté je uživatel vyzván k zadání hesla pro zašifrování výsledného souboru. Heslo volte **bezpečné** (kombinace znaků, délka) a zároveň zapamatovatelné. Bez jeho znalosti soubor nepůjde dešifrovat. S jednoduchým heslem či heslem již použitým pro jiné účely naopak můžete zpřístupnit certifikát případnému útočníkovi. 
 + 
 +<WRAP picture>​{{:​cs:​tcs-p-alt2.png|}}\\ 
 +//Průběh alternativního generování klíčů a zadání hesla k výslednému šifrovanému souboru (Chromium)//​ 
 +</​WRAP>​\\ 
 + 
 +Po zadání hesla je certifikát uložen zpravidla do souboru **usercert.p12** ve složce pro **stažené soubory** na vašem počítači. Soubor se může výjimečně jmenovat i **jinak**, záleží na konkrétním prohlížeči. 
 + 
 +<WRAP picture>​{{:​cs:​tcs-p-alt3.png|}}\\ 
 +//​Dokončení generování certifikátu a jeho uložení do souboru na disk (Chromium)//​ 
 +</​WRAP>​\\ 
 + 
 +V případě potíží nekontaktujte prosím tým CESNET TCS-RA, ale **počítačovou podporu na vašem pracovišti**,​ která vám ochotně poradí s jejich odstraněním. 
 + 
 +===== Postup vydání nového osobního certifikátu ​v prohlížečích Chrome, Internet Explorer, Safari nebo starších verzích Firefoxu (do verze 68 včetně) ​=====
  
 V menu aplikace klikněte na "​[[https://​tcs.cesnet.cz/​clientrequestform/​form|Žádost o nový certifikát]]"​. Budete vyzvání k přihlášení pomocí účtu na IdP vaší organizace, po úspěšném přihlášení vám TCS portál zobrazí náhled parametrů certifikátu. V menu aplikace klikněte na "​[[https://​tcs.cesnet.cz/​clientrequestform/​form|Žádost o nový certifikát]]"​. Budete vyzvání k přihlášení pomocí účtu na IdP vaší organizace, po úspěšném přihlášení vám TCS portál zobrazí náhled parametrů certifikátu.
Řádek 18: Řádek 44:
  
 Zkontrolujlte si emaily, které budete mít v certifikátu uvedeny, a pokud vše odpovídá, kliknutím na tlačítko "​Pokračovat"​ žádost odešlete. Zkontrolujlte si emaily, které budete mít v certifikátu uvedeny, a pokud vše odpovídá, kliknutím na tlačítko "​Pokračovat"​ žádost odešlete.
-<WRAP info> 
-Pokud máte mezi svými emailovými adresami i takovou, která není spravována Vaší organizací (doména za zavináčem jí není vlastněna, např. //​gmail.com//,​ //​seznam.cz//​),​ pak je taková adresa automaticky odškrtnuta a je přidáno upozornění na složitější postup instalace certifikátu. Adresu můžete přidat zpět do seznamu, budete ale muset potvrdit její vlastnictví. DigiCert Vám na ni zašle autorizační email z odkazem, který je zapotřebí navštívit,​ aby vydávání certifikátu mohlo pokračovat (vzor informační stránky, dopisu DigiCertu a jeho autorizační stránky viz níže). 
-</​WRAP>​ 
- 
-<WRAP picture>​{{:​cs:​vydani-crt2.png|}}\\ 
-Stránka pro podání žádosti o osobní certifikát s "​cizí"​ adresou 
-</​WRAP>​ 
  
 <WRAP picture>​{{:​cs:​autorizace-emailu1.png|}}\\ <WRAP picture>​{{:​cs:​autorizace-emailu1.png|}}\\
 Upozornění na nutnost autorizace "​cizí"​ emailové adresy Upozornění na nutnost autorizace "​cizí"​ emailové adresy
-</​WRAP>​ 
- 
-<WRAP picture>​{{:​cs:​autorizace-emailu2.png|}}\\ 
-Příklad emailu od DigiCertu požadujícího autorizaci emailové adresy 
-</​WRAP>​ 
- 
-<WRAP picture>​{{:​cs:​autorizace-emailu3.png|}}\\ 
-Stránka DigiCertu oznamující úspěšné ověření adres obsažených v žádosti 
 </​WRAP>​ </​WRAP>​
  
Řádek 42: Řádek 53:
 </​WRAP>​ </​WRAP>​
  
-Po odeslání žádosti ​a případném ověření cizích adres Váš prohlížeč vygeneruje nový privátní klíč. Různé prohlížeče se během tohoto generování chovají odlišně. Firefox např. informuje uživatele krátkým zobrazením informačního okna, které nevyžaduje žádnou akci ze strany uživatele.+Po odeslání žádosti Váš prohlížeč vygeneruje nový privátní klíč. Různé prohlížeče se během tohoto generování chovají odlišně. Firefox např. informuje uživatele krátkým zobrazením informačního okna, které nevyžaduje žádnou akci ze strany uživatele. Internet Explorer Vás upozorní, že stránka hodlá přistupovat do úložiště certifikátů. S přístupem musíte souhlasit, jinak generování certifikátu nebude úspěšně dokončeno.
  
-Samotné podepsání certifikátu certifikační autoritou obvykle proběhne do dvou minut od odeslání žádosti. Nezavírejte okno prohlížeče do doby, než Vám bude +<WRAP picture>​{{:​cs:​tcsp-povoleni-pristupu-do-uloziste-mswin.png|}}\\ 
-certifikát vydán. Aplikace pro vydání certifikátu Vás o této skutečnosti bude informovat. Instalace certifikátu se opět liší v závislosti na prohlížeči. Firefox může v rámci automatické instalace certifikátu mezilehlé certifikační autority [[https://​pki.cesnet.cz/​cs/​ch-tcs-p-digicert-crt-crl.html#​terena_escience_personal_ca_3|TERENA eScience Personal CA 3]] požadovat volbu důvěry v tento certifikát (pokud v minulosti nebyl nainstalován). V takovém případě zvolte důvěru pro účely identifikace uživatelů. Pokud certifikát mezilehlé CA již v prohlížeči existuje, Firefox pouze oznámí, že byl již instalován.+Povolení přístupu aplikace do úložiště certifikátů Microsoft Windows 
 +</​WRAP>​ 
 + 
 +Samotné podepsání certifikátu certifikační autoritou obvykle proběhne do dvou minut od odeslání žádosti. Nezavírejte okno prohlížeče do doby, než Vám bude certifikát vydán. Aplikace pro vydání certifikátu Vás o této skutečnosti bude informovat. Instalace certifikátu se opět liší v závislosti na prohlížeči. ​Zatímco Internet Explorer již nebude vyžadovat žádnou Vaši akci, Firefox může v rámci automatické instalace certifikátu mezilehlé certifikační autority [[https://​pki.cesnet.cz/​cs/​ch-tcs-p-digicert-crt-crl.html#​terena_escience_personal_ca_4|TERENA eScience Personal CA 4]] požadovat volbu důvěry v tento certifikát (pokud v minulosti nebyl nainstalován). V takovém případě zvolte důvěru pro účely identifikace uživatelů. Pokud certifikát mezilehlé CA již v prohlížeči existuje, Firefox pouze oznámí, že byl již instalován.
  
 <WRAP picture>​{{:​cs:​crt2.png|}}\\ <WRAP picture>​{{:​cs:​crt2.png|}}\\
Řádek 53: Řádek 67:
 <WRAP picture>​{{:​cs:​crt3.png|}}\\ <WRAP picture>​{{:​cs:​crt3.png|}}\\
 Úspěšné dokončení instalace certifikátu v prohlížeči Firefox Úspěšné dokončení instalace certifikátu v prohlížeči Firefox
-</​WRAP>​ 
- 
-V zápětí Vám z emailové adresy admin@digicert.com přijde anglicky psaný informační email, který má v příloze Váš certifikát a certifikáty certifikační autority DigiCert a mezilehlé CA. Email obsahuje pouze veřejné informace a můžete jej smazat. 
- 
-<WRAP picture>​{{:​cs:​crt4.png|}}\\ 
-Email od DigiCertu informující o vydání certifikátu 
 </​WRAP>​ </​WRAP>​
  
Poslední úprava:: 2020/11/03 14:27