Jak na Elektronický podpis snadno a rychle (na poště)

Následujíc postup představuje "kuchařku" k dosažení cíle "na první pokus" a popisuje mou osobně prošlapanou cestičku z 15.7.2015. 

poznámky na úvod:

1. existuje více certifikačních autorit (firem), které elektronický podpis zajištují, 
   ale pošta pro mne byla nejjednodušší volbou

2. i když o elektronický podpis lze zažádat na každém poštovním CzechPointu 
   (dle osobní zkušenosti opravdu jen teoreticky), 
   je lépe se vydat na nějakou "hlavní poštu" 
   (v ČB je to pošta 4 "U Družby", kde je kancelář hned vlevo u vchodu do budovy)

3. k dispozici je "kvalifikovaný", "komerční", "systémový" a další a další certifikát, 
   ale pro podepisování běžných el. dokumentů potřebujete "kvalifikovaný" certifikát (= elektronický podpis)

4. následující popis obsahuje pro zjednodušení a srozumitelnost "ne zcela korektní terminologii", 
   ano "poštou" myslím Českou poštu, s.p. 
   (kdo hledá texty odborné a terminologicky korektní, měl by rozhodně využít jiné veřejně dostupné zdroje )




Postup získání certifikátu (elektronického pospisu)

Nejprve je potřeba vyplnit 3 následující dokumenty, které naleznete na webu http://www.postsignum.cz, které představují 4 formuláře a 2x je vytisknout.
(na úvodní stránce hledejte odkaz "Postup pro získání certifikátu" a dále "Stažení formulářů smluv")

  • Smlouva
  • Údaje pro vydání certifikátu
  • Úvodní list

    Než na poštu vyrazíte, stáhněte si program iSignum z http://www.postsignum.cz/isignum.html
    Dole na stránce tlačítko Stáhnout a uložte ho klidně na plochu a spusťte (neinstaluje se).

    Jeho ovládání pro jistotu popíši také, tedy heslovitě:
  • klik na tlačítko "Nový"
  • vyplnit políčka Jméno, Email, nechat oba boxy zaškrtnuté, ponechat volbu Windows
  • klik Odeslat žádost
  • objeví se dialog, klik OK
  • objeví se dialog s výběrem názvu souboru a místa pro zálohování souboru PEM, klik Uložit
  • soubor bude chráněn heslem, zadejte heslo, klik OK
  • objeví se dialog tisku, vytiskněte dokument !!! (ten je součástí žádosti, jinak jdete na poštu znovu)
  • dialog o úspěšnosti, klik OK
  • klik Zavřít

    Nyní ve vašem PC čeká privátní část klíče (ta slouží později k podepisování) na autorizaci systémem pošty, kam byla odeslána elektronická žádost. V tom vygenerovaném PEM souboru je jeho záloha. Ta je ale pro Vás po úspěšné "aktivaci" již prakticky nepotřebná. Funkční certifikát (podpis) lze vyexportovat později do souboru PFX a přenést do jiných PC. Současně tak může být "doma" i v "práci", viz dále. Nyní Vám také přišel na uvedenou mailovou adresu informační mail, nemusíte ho ale ani otevírat, spíše smazat (a proč ne?). Daleko důležitější je ten list papíru (Žádost o certifikát/Certificate request) s pár řádky a ID Vaší žádosti, ten si vytiskněte a vezměte s sebou na poštu !

    Na poštu musí jít statutární zástupce organizace s razítkem a občankou. Výpis z registru společností (důkaz o oprávnění jednat za organizaci) si na poště provedou sami. Jednání trvá cca. 10 minut a právnické osoby neplatí službu v hotovosti, ale přijde jim faktura. Než dojdete zpátky do práce, čeká na Vás mail. Důležitý je ten první dlouhý odkaz v něm.

  • klikněte na onen první dlouhý odkaz v mailu (otevře se web PostSignum s formulářem pro stažení certifikátu)
  • ve formuláři vyberte formát ke stažení "DER"
  • klik na tlačítko Stáhnout
  • soubor uložte opět třeba na plochu
  • poklepejte na uložený soubor s příponou .cer
  • klik Otevřít
  • klik Nainstalovat certifikát
  • zvolit aktuální uživatel, klik Další
  • ponechat volbu automaticky, klik Další
  • klik Dokončit
  • dialog "Import proběhl úspěšně", klik OK
  • klik OK (zavřete se dialog certifikát)

    Je hotovo, nyní lze podepisovat a certifikovat, viz dále !


    EXPORT - ZÁLOHA a přenos podpisu na jiný PC

    Je jistě dobré si udělat zálohu certifikátu (podpisu), která slouží zároveň také pro přenos na další a další PC, třeba domu.
    Export z PC se provede pomocí manažeru certifikátů, to je součást Windows.

  • spusťte program certmgr.msc např. pomocí současného stisku klávesy WIN (s logem Windows) a klávesy "R" a do políčka Otevřít napište certmgr.msc
  • rozklikejte strukturu složek Osobní a v ní Certifikáty, tam je uložen Váš certifikát a objeví se v pravém oknu
  • klik PRAVÝM tlačítkem na Váš certifikát
  • v kontextovém menu klik Všechny úkoly, rozbalí se další roleta v které klik na Exportovat, objeví se okno Průvodce
  • Další
  • zde volba "ANO, exportovat privátní klíč", jinak exportujete jen "veřejný otisk", ten je jen pro porovnávání pravosti stranou příjemce, klik Další
  • ponechte nastavení tak jak jsou a hlavně NEZAŠKRTÁVEJTE "odstranění privátního klíče v případě úspěšného exportu", to by potom nebylo zálohování, ale přesun, klik Další
  • zaškrtněte Heslo a vyplňte je do obou rádek stejně (nezapomeňte ho ! bez něj nelze klíč na jiném PC importovat, je to ochrana proti zneužití, když by někdo neoprávněný získal k souboru přístup), klik Další
  • klik Procházet, v dialogu pro uložení vyplňtre název souboru, v kterém bude vyexportován klíč, tedy třeba "klíč" a uložte si jej třeba na plochu, klik Uložit
  • klik Další
  • klik Dokončit
  • klik OK

    Nyní soubor "klíč.pfx" na ploše je záloha Vašeho certifikátu (elektronického podpisu), uložte si jej na flešku a dejte na bezpečné místo. Soubor "klíč.pfx" potom z plochy můžete smazat, je to jenom vyexportovaný balíček, skutečný podpis Vám v PC zůstane.


    IMPORT

    Pro import certifikátu (el. podpisu) na jiný počítač dvojklikněte na vlastní soubor, např. klíč.pfx na flešce, do kterého jste si certifikát vyexportovali. Můžete také kliknout prvým tlačítkem a v kontextovém menu zvolit Nainstalovat PFX.

  • spustí se průvodce importem
  • volba Aktuální uživatel, klik Další
  • soubor s certifikátem je již vyplněn, klik Další
  • vyplňte heslo, které jste použili při exportu, zaškrtnutí políčka Zobrazit heslo slouží jen nyní ke kontrole při psaní
  • zaškrtněte volbu že "klíč je dále exportovatelný" (bývá to různě pojmenováno), jinak se z Vašeho PC stane "impotentní" stroj, neschopný dalšího exportu klíče a z tohoto PC už klíč nikdy nezazálohujete,
  • ***
  • klik Další
  • klik Další
  • klik Dokončit
  • OK

    Je hotovo, nyní lze podepisovat a certifikovat, viz dále.

    Pro zvýšení bezpečnosti proti neoprávněnému užití Vašeho podpisu z Vašeho PC lze jeho každé budoucí užití podmínit vyzváním k zadání hesla. Toho se docílí užitím následujího postupu, který logicky patří výše, namísto ***

  • zaškrtnout volbu Povolit silnou ochranu privátního klíče
    Následně budete vyzváni dialogem Aplikace vytváří chráněnou složku
  • klik Nastavit úroveň zabezpečení
  • zvolit Vysoká, klik Další
  • vyplnit Heslo a jeho Potvrzení, heslo bude vyžadováno při každém pokusu o jeho použití a také případném budoucím exportu, klik Dokončit
  • klik OK
  • klik OK



    VÝMAZ CERTIFIKÁTU

    Výmaz elektronického podpisu z PC se provede v již známém certmgr.msc označením Vašeho certifikátu a pomocí klávesy DELETE s následným potvrzením ANO. Jedná se o nevratnou operaci, která by šla obnovit z "koše". Pro další používání podpisu je potřeba opět kompletní IMPORT certifikátu, viz výše.


    JAK PODPIS POUŽÍT

    Ověřit použitelnost lze například v MS Wordu 2010 nebo 2013.

  • vytvořte si dokument, uložte jej
  • menu Soubor
  • skupina Informace
  • položka Zamknout dokument
  • akce Přidat digitální podpis (v položce podepisující uživatel je Vaše jméno)
  • můžete vyplnit také okénko "Účel podepsání tohoto dokumentu"
  • klik Podepsat

    Elektronický podpis má široké využití a není na škodu jej využívat i v běžných dokumentech či dopisech.