Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:tcs-zprovozneni.html [2015/10/06 15:02] semik@cesnet.cz |
cs:tcs-zprovozneni.html [2017/03/01 14:49] jop@cesnet.cz oprava nadpisů -- první písmeno velké |
||
---|---|---|---|
Řádek 3: | Řádek 3: | ||
Po doručení jmenovacího formuláře na CESNET je zkontrolována jeho formální správnost, častým nedostatkem je chybějící podpis některého z jmenovaných zástupců anebo razítko organizace. | Po doručení jmenovacího formuláře na CESNET je zkontrolována jeho formální správnost, častým nedostatkem je chybějící podpis některého z jmenovaných zástupců anebo razítko organizace. | ||
- | Pokud je vše vpořádku, jsou kontakty administrátorů a organizace samotná aktivována na portálu DigiCertu. Všem administrativním kontaktům je odeslán email s informacemi o procesu aktivace služby. Paraleně s informacemi od CESNETu se aktivuje proces ověření hlaního administrativního kontaktu a organizace samotné. | + | Pokud je vše v pořádku, jsou kontakty administrátorů a organizace samotná aktivována na portálu DigiCertu. Všem administrativním kontaktům je odeslán email s informacemi o procesu aktivace služby. Paraleně s informacemi od CESNETu se u DigiCertu aktivuje proces ověření hlavního administrativního kontaktu a organizace samotné. |
- | ===== Aktivace účtu hlavního administrátora ===== | + | Další dokumentace je rozdělena do několika dokumentů: |
- | + | * [[cs::tcs-zprovozneni-aktivace.html|Aktivace účtů adminů]] | |
- | Hlavní administrativní kontakt obdrží email ve znění: | + | * [[cs::tcs-zprovozneni-vereni.html|Ověření organizace]] |
- | + | * [[cs::tcs-zprovozneni-dreg.html|Registrace domén]] | |
- | <code> | + | * [[cs::tcs-zprovozneni-schval.html|Schvalování žádostí]] |
- | From: DigiCert <admin@digicert.com> | + | * [[cs::tcs-zprovozneni-sprava.html|Správa certifikátů]] |
- | Subject: DigiCert User Account Created - Action Required | + | * [[cs::tcs-zprovozneni-sprava.html#revokace|Revokace certifikátů]] |
- | + | ||
- | Your new DigiCert user account has been created. | + | |
- | + | ||
- | Your username is: user@domain.cz | + | |
- | + | ||
- | Please complete the process by following the link below to set your password and configure your account. | + | |
- | + | ||
- | https://www.digicert.com/link/pass.php?t=xxxx&h=yyyy | + | |
- | + | ||
- | After completing the new user creation process you can log into your account here. | + | |
- | + | ||
- | Thanks! | + | |
- | + | ||
- | The DigiCert Team | + | |
- | + | ||
- | Phone: 1-801-701-9600 | + | |
- | Email: support@digicert.com | + | |
- | Live Chat: www.digicert.com | + | |
- | </code> | + | |
- | + | ||
- | Je třeba, aby se administrátor přihlásil a nastavil si heslo k portálu DigiCertu. **Neprovádějte žádné změny v nastavení na portálu DigiCertu.** | + | |
- | + | ||
- | Nastavením hesla administrátor aktivuje proces svého ověření. V rámci ověřování bude DigiCert telefonovat a velmi pravděpodobně nepoužije číslo uvedené na jmenování, ale telefonní číslo z veřejných seznamů. Smyslem tohoto kroku je ověřit, že dotyčný člověk na organizaci skutečně pracuje a že pracuje na pozici "Certificate Approver". Hovor bude veden v angličtině. | + | |
- | + | ||
- | ===== Ověření organizace ===== | + | |
- | + | ||
- | Následujícím krokem ze strany DigiCertu je ověření všech tří (česky, cesky, anglicky) názvů organizace. DigiCert každý jeden název chápe jako samostatnou organizaci a ověřování probíhá nezávisle na sobě. | + | |
- | + | ||
- | V některých případech úředníci provádějící ověření vystačí s veřejně dohledatelnými informacemi. V jiných komunikují emailem anebo telefonem (tentokrát na číslo uvedené ve jmenování) přímo s jmenovaným hlavním administrativním zástupcem organizace a vyžádají si další info, aby mohli aktivovat všechny dostupné typy certifikátů. | + | |
- | + | ||
- | Jsou prováděny tyto stupně ověření: | + | |
- | + | ||
- | ?? OV | + | |
- | :: Základní ověření organizace. Většinou naskočí po ověření, že administrativní kontakt existuje a pracuje na organizaci. Je prováděno pro všechny tři varianty názvu organizace. | + | |
- | !! | + | |
- | + | ||
- | ?? EV | + | |
- | :: Rozšířené ověření organizace. DigiCert využívá věřejné oficiální i neoficiální rejstříky organizací. Případně si může vyžádat zakládající listiny dokazující existenci organizace. Ověření se provádí pro všechny tři varianty názvu organizace. | + | |
- | !! | + | |
- | + | ||
- | ?? Grid | + | |
- | :: Ověření organizace pro gridová prostředí. Proces je obdobný EV ověření. | + | |
- | + | ||
- | Toto ověření se provádí pouze pro anglický název organizace. **Je nezbytné pro zprovoznění osobních certifikátů.** | + | |
- | !! | + | |
- | + | ||
- | Stav procesu ověřování organizace je vidět na portálu DigiCertu pod Account->Organization Validation. Proces schvalování můžete urychlit mimo jiné požádáním o příslušný typ certifikátu. Žádosti o certifikát jako ostatní operace provádějte pouze prostřednictvím portálu CESNETu - https://tcs.cesnet.cz/ | + | |
- | + | ||
- | <WRAP picture>{{:cs:tcs-validace-org.png|Ukázka stavu validace organizace}} | + | |
- | Ukázka stavu validace organizace. | + | |
- | </WRAP> | + | |
- | + | ||
- | ===== Registrace domén ===== | + | |
- | + | ||
- | Registrace domén slouží k ověření vlastnictví domény organizací a bez toho není možné použít doménové jméno v certifikátech. Má smysl registrovat pouze domény registrované pod TLD, tj. vrámci ČR pouze domény druhé úrovně. | + | |
- | + | ||
- | Registraci domén proveďte pomocí formuláře na portálu [[https://tcs.cesnet.cz/domainregistration/form|tcs.cesnet.cz]]. Pokud je administrátor jmenován za několik organizací, musí dát pozor, aby nepožádal o registraci pod jinou organizací. | + | |
- | + | ||
- | <WRAP picture>{{:cs:tcs-registrace-domen.png|Ukázka registrace domén}} | + | |
- | + | ||
- | Ukázka registrace domén. | + | |
- | </WRAP> | + | |
- | + | ||
- | Po odeslání požadavku na registraci domén je doména prověřena DigiCertem a následně je odeslán všem kontaktům udvedeným v příslušném registru email: | + | |
- | + | ||
- | <code> | + | |
- | Subject: Please validate ownership of your domain eduroam.cz (#) | + | |
- | From: DigiCert <admin@digicert.com> | + | |
- | + | ||
- | As part of the DigiCert domain validation process, we need you to | + | |
- | approve the domain eduroam.cz so that you can obtain SSL Certificates | + | |
- | for it. This requires you to verify domain control and authorization. | + | |
- | + | ||
- | Please approve or reject this domain by visiting the following link: | + | |
- | https://www.digicert.com/link/approve.php?t=xxxx | + | |
- | + | ||
- | If you do not approve this request for domain validation, or if you | + | |
- | have any questions or concerns, please contact us directly. | + | |
- | ------------------------- | + | |
- | Thanks! | + | |
- | The DigiCert Team | + | |
- | + | ||
- | Phone: 1-801-701-9600 | + | |
- | Email: support@digicert.com [mailto:support@digicert.com] | + | |
- | Live Chat: www.digicert.com [https://www.digicert.com/] | + | |
- | </code> | + | |
- | + | ||
- | Někdo z příjemců emailu musí kliknout na vložený link, na stránce vyplnit své jméno a odsouhlasit vlastnictví domény. Následně je možné registrovanou doménu používat v certifikátech po dobu 3 let. Pak bude nutné proces opakovat. | + | |
- | + | ||
- | ===== Schvalování žádostí ===== | + | |
- | + | ||
- | [[https://tcs.cesnet.cz/requestform/form|Formulář]] pro podání žádosti na tcs.cesnet.cz umožní žádost o certifikát podat jakémukoliv uživateli, který má účet v eduID.cz anebo v Hostelu. Proto je velmi vhodné, aby všechna IdP uvolňovala telefon žadatele. Všechny administrativní kontakty jsou o nové žádosti okamžitě informovány prostřednictvím emailu od DigiCertu: | + | |
- | + | ||
- | <code> | + | |
- | From: DigiCert <admin@digicert.com> | + | |
- | Subject: A certificate has been requested for xyz.qwerty.cz | + | |
- | + | ||
- | A certificate has been requested for xyz.qwerty.cz. | + | |
- | + | ||
- | Common Name: xyz.qwerty.cz | + | |
- | Validity Years: 3 | + | |
- | Requested by: CESNET TCS RA tcs-ra@cesnet.cz | + | |
- | + | ||
- | + | ||
- | To review and approve this request, please visit | + | |
- | https://www.digicert.com/secure/requests/00000 | + | |
- | + | ||
- | Thanks! | + | |
- | + | ||
- | The DigiCert Team | + | |
- | + | ||
- | Phone: 1-801-701-9600 | + | |
- | Email: support@digicert.com | + | |
- | Live Chat: www.digicert.com | + | |
- | </code> | + | |
- | + | ||
- | Namísto schvalování pomocí uvedeného linku použijte [[https://tcs.cesnet.cz/requestadministration/form|aplikaci na tcs.cesnet.cz]] | + | |
- | + | ||
- | <WRAP picture> | + | |
- | {{:cs:schvalovani-zadosti.png|Vzhled rozhraní pro schvalování žádostí.}} | + | |
- | + | ||
- | Vzhled rozhraní pro schvalování žádostí. | + | |
- | </WRAP> | + | |
- | + | ||
- | Rozhraní umožnuje schválení řady žádostí pomocí přepínačů na tzv. "semaforu". Modrá poloha je neutrální a s žádostí se nijak nenaloží. Červená poloha způsobí zamítnutí žádosti a administrátor by měl vyplnit důvod zamítnutí, aby žadatel věděl, co bylo špatně. | + | |
- | + | ||
- | Při přepnutí do zelené polohy dojde ke schválení žádosti. To ještě nemusí znamenat, že se certifikát povede vydat. Ještě je nutné, aby všechny domény, které obsahuje, byly registrovány. | + | |
- | + | ||
- | ===== Přehled a správa certifikátů ===== | + | |
- | + | ||
- | Přehled vydaných certifikátů je pro administrátory z připojených organizací k dispozici pod položkou "[[https://tcs.cesnet.cz/certificatelist/form|Přehled certifikátů]]" v menu TCS portálu. Aplikace nabizi bohate moznosti filtrovani certifikátů příslušících k organizaci. | + | |
- | + | ||
- | <WRAP picture>{{:cs:prehled-filtr.png|Ukázka filtrování vydaných certifikátu}} | + | |
- | + | ||
- | Ukázka filtrování vydaných certifikátu. | + | |
- | </WRAP> | + | |
- | + | ||
- | Krom běžných stavů: //platný//, //expirovaný//, //revokaný//, //zamítnutý// se certifikát může vyskytovat ještě ve stavu //zpracovávaný// což znamená krom toho že certifikát zpracovává DigiCert i to že si ho uživatel zatím nevyzvedl. | + | |
- | + | ||
- | ==== Revokace ==== | + | |
- | + | ||
- | Revokace, odvolání anebo zneplatnění - oprávádí se kliknutím na nástroj "Odvolání" vpravo v seznamu Nástrojů: | + | |
- | + | ||
- | <WRAP picture>{{:cs:seznam.png|Příklad certifikátu k odvolání}} | + | |
- | + | ||
- | Příklad certifikátu k odvolání. | + | |
- | </WRAP> | + | |
- | + | ||
- | po zobrazení nového okna/záložky v prohlížeči jsou správci nabídnuty detailni informace o certifikátu a po kliknutí na tlačítko "Odvolat" a potvrzení je certifikát odvolán a okno/záložka zavřeno. | + | |
- | + | ||
- | <WRAP picture>{{:cs:revokace.png|Příklad certifikátu k odvolání}} | + | |
- | + | ||
- | Příklad certifikátu k odvolání. | + | |
- | </WRAP> | + | |