cs:tcs-personal-user.html

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze
Předchozí verze
cs:tcs-personal-user.html [2019/09/24 13:24]
dans@cesnet.cz [Podporované prohlížeče]
cs:tcs-personal-user.html [2020/11/03 14:27] (aktuální)
baee97d5d97113913170ad080119406e06532118@einfra.cesnet.cz [Postup vydání nového osobního certifikátu v prohlížečích Chrome, MS Edge nebo novějších verzích Firefoxu (69+)]
Řádek 8: Řádek 8:
 ===== Podporované prohlížeče ===== ===== Podporované prohlížeče =====
  
-Jsou podporovány ​prohlížeče ​Firefox do verze 68 včetně, Safari ​Internet Explorer (nikoliv Edge)Prohlížeč Chrome již nelze k vydání osobního certifikátu použít z důvodu odstranění ístupu k úložišti klíčů ​výrobcem aplikacefirmou Google. Stejný problém je prohlížečů Mozilla Firefox verze 69 a novějších.+Podporované jsou všechny webové ​prohlížeče ​s funkčním interpretem JavaScriptu ​standardem W3C DOMJelikož kód pro nativní generování certifikátů z většiny prohlížečů ​zmizel a pro ty zbývající je těžké udržovat jejich podporu, ​ipravili jsme alternativní metodu, u které je žádost také generována prohlížečem,​ ale na rozdíl od nativního generování jsou na konci procesu certifikát ​jeho privátní ​klíč ​uloženy jako šifrovaný soubor na disk uživatelova počítače. 
 + 
 +V některých případech se může státže v daném prohlížečdíky jeho nastavení nelze certifikát vydat. Dojde-li k tomu, použijte jiný prohlížeč, nebo se poraďte s počítačovou podporou na vašem pracovišti.
  
 ===== Postup vydání nového osobního certifikátu ===== ===== Postup vydání nového osobního certifikátu =====
  
-V menu aplikace klikněte na "​[[https://​tcs.cesnet.cz/​clientrequestform/​form|Žádost o nový certifikát]]"​. Budete vyzvání k přihlášení pomocí účtu na IdP vaší organizace, po úspěšném přihlášení vám TCS portál zobrazí náhled parametrů certifikátu. +Klíče potřebné pro certifikát ​jsou bezpečně generovány ​počítači uživatelepoužit je vlastní kód vytvořený vývojovým týmem CESNET CA, který je součástí portálu TCS. Po vydání ​certifikátu ​jsou privátní klíč i vlastní certifikát uloženy na disk uživatele jako šifrovaný soubor **PKCS12**, který ​lze importovat do téměř jakéhokoliv poštovního klienta ​či webového ​prohlížeče.
- +
-<WRAP picture>​{{:​cs:​vydani-crt1.png|}}\\ +
-Stránka ​pro podání žádosti o osobní ​certifikát ​TCS</​WRAP>​ +
- +
-Zkontrolujlte si emaily, které budete mít certifikátu uvedeny, a pokud vše odpovídá, kliknutím na tlačítko "Pokračovat" ​žádost odešlete. +
-<WRAP info> +
-Pokud máte mezi svými emailovými adresami i takovoukterá není spravována Vaší organizací (doména za zavináčem jí není vlastněna, např. //​gmail.com//,​ //​seznam.cz//​),​ pak je taková adresa automaticky odškrtnuta a je přidáno upozornění na složitější postup instalace certifikátu. Adresu můžete přidat zpět do seznamu, budete ale muset potvrdit její vlastnictví. DigiCert Vám na ni zašle autorizační email z odkazem, který je zapotřebí navštívit,​ aby vydávání ​certifikátu ​mohlo pokračovat (vzor informační stránky, dopisu DigiCertu a jeho autorizační stránky viz níže). +
-</​WRAP>​ +
- +
-<WRAP picture>​{{:​cs:​vydani-crt2.png|}}\\ +
-Stránka pro podání žádosti o osobní certifikát s "​cizí"​ adresou +
-</​WRAP>​ +
- +
-<WRAP picture>​{{:​cs:​autorizace-emailu1.png|}}\\ +
-Upozornění ​na nutnost autorizace "​cizí"​ emailové adresy +
-</​WRAP>​ +
- +
-<WRAP picture>​{{:​cs:​autorizace-emailu2.png|}}\\ +
-Příklad emailu od DigiCertu požadujícího autorizaci emailové adresy +
-</​WRAP>​ +
- +
-<WRAP picture>​{{:​cs:​autorizace-emailu3.png|}}\\ +
-Stránka DigiCertu oznamující úspěšné ověření adres obsažených v žádosti +
-</​WRAP>​ +
- +
-<WRAP picture>​{{:​cs:​tcsp-generovani-privatniho-klice.png|}}\\ +
-Generování privátního klíče pod Firefoxem +
-</​WRAP>​ +
- +
-<WRAP info> +
-Prohlížeč Microsoft Edge (Spartan), který ​bývá hlavním prohlížečem ve operačním systému Windows 10, neumožňuje generovat klíče a žádost o certifikát. Ve většině případů je v systému naštěstí přítomen i Internet Explorer, který tuto funkcionalitu má. Stačí v MS Edge kliknout na menu (třtečky v pravém horním rohu okna prohlížeče) a zvolit položku **Otevřít pomocí Internet Exporeru**. +
-</​WRAP>​ +
- +
-<WRAP picture>​{{:​cs:​tcsp-otevreni-exploreru-ze-spartanu.png|}}\\ +
-Přechod do Internet Exploreru z menu prohlížeče Microsoft Edge +
-</​WRAP>​+
  
-Po odeslání ​žádosti a případném ověření cizích adres Váš prohlížeč ​vygeneruje nový privátní klíčRůzné prohlížeče se během tohoto generování chovají odlišně. Firefox napřinformuje uživatele krátkým zobrazením informačního okna, které nevyžaduje žádnou akci ze strany uživateleInternet Explorer Vás upozorní, že stránka hodlá přistupovat do úložiště ​certifikátůístupem musíte souhlasit, jinak generování certifikátu nebude úspěšně dokončeno.+Pro alternativní generování certifikátu není nutné provádět ​žádné jiné úvodní kroky, ​prohlížeč ​bez vlastního kódu pro generování je automaticky rozpoznánZačněte tedy na portálu [[https://​tcs.cesnet.cz/|tcs.cesnet.cz]] volbou **Osobní ​certifikát** v levém menuPro zahájení generování je i v tomto ípadě nejprve nutné ověření vaší identity přihlášením.
  
-<WRAP picture>​{{:​cs:​tcsp-povoleni-pristupu-do-uloziste-mswin.png|}}\\ +<WRAP picture>​{{:​cs:​tcs-p-alt1.png|}}\\ 
-Povolení přístupu aplikace do úložiště certifikátů Microsoft Windows +//Úvodní stránka generování osobního certifikátu (Chromium)//​ 
-</​WRAP>​+</​WRAP>​\\
  
-Samotné podepsání certifikátu ​certifikační ​autoritou obvykle proběhne do dvou minut od odeslání žádosti. Nezavírejte okno prohlížeče do dobynež Vám bude +Po spuštění generování jsou vytvořeny klíče a odeslány externí ​certifikační ​autoritě, která vydá certifikát. ​Poté je uživatel vyzván k zadání hesla pro zašifrování výsledného souboru. Heslo volte **bezpečné** (kombinace znaků, délka) a zároveň zapamatovatelnéBez jeho znalosti soubor nepůjde dešifrovat. S jednoduchým heslem ​či heslem ​již použitým pro jiné účely naopak ​můžete zpřístupnit ​certifikát případnému útočníkovi.
-certifikát ​vydánAplikace ​pro vydání certifikátu Vás o této skutečnosti bude informovatInstalace certifikátu se opět liší v závislosti na prohlížeči. Zatímco Internet Explorer ​již nebude vyžadovat žádnou Vaši akci, Firefox ​může v rámci automatické instalace certifikátu mezilehlé certifikační autority [[https://​pki.cesnet.cz/​cs/​ch-tcs-p-digicert-crt-crl.html#​terena_escience_personal_ca_3|TERENA eScience Personal CA 3]] požadovat volbu důvěry v tento certifikát ​(pokud v minulosti nebyl nainstalován). V takovém ​ípadě zvolte důvěru pro účely identifikace uživatelů. Pokud certifikát mezilehlé CA již v prohlížeči existuje, Firefox pouze oznámí, že byl již instalován.+
  
-<WRAP picture>​{{:​cs:​crt2.png|}}\\ +<WRAP picture>​{{:​cs:​tcs-p-alt2.png|}}\\ 
-Volba důvěry v mezilehlou CA v prohlížeči Firefox +//Průběh alternativního generování klíčů a zadání hesla k výslednému šifrovanému souboru (Chromium)//​ 
-</​WRAP>​+</​WRAP>​\\
  
-<WRAP picture>​{{:​cs:​crt3.png|}}\\ +Po zadání hesla je certifikát uložen zpravidla do souboru **usercert.p12** ve složce pro **stažené soubory** na vašem počítači. Soubor se může výjimečně jmenovat i **jinak**, záleží na konkrétním ​prohlížeči.
-Úspěšné dokončení instalace certifikátu v prohlížeči ​Firefox +
-</​WRAP>​+
  
-V zápětí Vám z emailové adresy admin@digicert.com přijde anglicky psaný informační email, který má v příloze Váš certifikát ​certifikáty certifikační autority DigiCert a mezilehlé CA. Email obsahuje pouze veřejné informace a můžete jej smazat.+<WRAP picture>​{{:​cs:​tcs-p-alt3.png|}}\\ 
 +//Dokončení generování certifikátu ​jeho uložení do souboru na disk (Chromium)//​ 
 +</​WRAP>​\\
  
-<WRAP picture>​{{:​cs:​crt4.png|}}\\ +V případě potíží nekontaktujte prosím tým CESNET TCS-RA, ale **počítačovou podporu na vašem pracovišti**,​ která vám ochotně poradí s jejich odstraněním.
-Email od DigiCertu informující o vydání certifikátu +
-</​WRAP>​+
  
-<WRAP important>​ 
-V některých případech nemusí instalace certifikátu proběhnout správně, ačkoliv aplikace bude tvrdit, že instalace je dokončena. Zkontrolujte si prosím úložiště certifikátů zda opravdu obsahuje vydaný certifikát. Pokud jej nebudete moci nalézt, obraťte se prosím na své správce, nebo na adresu tcs-ra@cesnet.cz. 
  
-Dobře si svůj nový osobní certifikát zazálohujte přímo z prohlížeče,​ ve kterém jste ho generoval(a). Záloha musí mít takový charakter, aby se k ní nemohl dostat nikdo krom Vás. Bez zálohy nebude možné data zašifrovaná tímto certifikátem obnovit. 
-</​WRAP>​ 
Poslední úprava:: 2019/09/24 13:24