Úvod > Eltrans@Sign > Alternativní úložiště certifikátu
TiskUložit do oblíbenýchPošli kamarádovi

Alternativní úložiště certifikátu

Kromě tradičního způsobu úložiště certifikátů ve formě souborů (s koncovkami .p12) na disketě, pevném disku či jiném médiu lze pro certifikáty Eltrans@Sign využít i alternativního úložiště poskytujícího bezpečnou ochranu certifikátů. Tím může být tzv. USB token (USB klíč) nebo čipová karta (dále v textu také jako "zařízení"). Jedná se o malá zařízení určená převážně k uchovávání digitálních certifikátů, privátních / veřejných klíčů apod., která se připojují k počítači pomocí USB portu nebo speciálních čteček. Zařízení je plně mobilní a kombinace toho, že uživatel jej má fyzicky pod kontrolou a certifikáty a privátní klíče jsou bezpečně uložené ve vlastních zařízeních, zvyšuje významně bezpečnost.

USB token nebo čipová karta nabízejí maximální zabezpečení ochrany certifikátů a zvyšují komfort práce s Eltrans@Sign. Výhody vyplývající z funkce zařízení:

  • bezpečné uložení certifikátů a privátních klíčů používaných při digitálním podepisování
  • privátní klíče nelze ze zařízení žádným způsobem zkopírovat nebo je exportovat; mimo toto zařízení nemohou být jakkoliv neoprávněně použité
  • digitální identita uživatele je chráněna dvěma faktory - vlastnictvím zařízení a bezpečným uložením chráněným znalostí kódu PIN (bezpečnostním heslem k tokenu nebo čipové kartě)

Podporované typy zařízení

Pro Eltrans@Sign byly úspěšně vyzkoušené tyto typy zařízení:

  • Aladdin eToken PRO
  • ActivCard Gold (USB key + smart card)
  • Rainbow iKey 2000, 2032

Řešení je však navrženo tak, že lze využít jakýkoli typ zařízení splňující bezpečnostní standard PKCS#11.

Před použitím tokenu nebo čipové karty doporučujeme se seznámit s vlastnostmi zařízení a způsobem využití dle technické dokumentace, dodávané společně se zařízením.

Aktivace zařízení

  1. Než začnete zařízení používat, nainstalujte do počítače tento ovládací prvek (EXE, 5.1 MB). Jedná se o applet, který umožní Eltrans@Sign pracovat s tokeny.
  2. Zajistěte si ovladače odpovídajícího typu zařízení (získáte od dodavatele zařízení).

Získání certifikátů

Před vytvořením certifikátů s úložištěm na USB token nebo čipovou kartu se ujistěte, že máte v počítači nainstalované odpovídající ovladače tokenu / čipové karty (získáte od dodavatele zařízení) a že zařízení je připraveno k použití. Dále zkontrolujte, zda máte nainstalovaný potřebný ovládací applet (EXE, 5.1 MB).

Postup vytvoření certifikátů:

  1. připojte zařízení k počítači
  2. přihlašte se do registrační autority
  3. při generování nového certifikátu zvolte ve formuláři úložiště Smart Card (Obr. 1)

  1. vyplňte označení certifikátu (pojmenování certifikátů usnadní následnou identifikaci certifikátů v Eltrans@Sign)
  2. vyberte typ zařízení, které používáte (můžete také zvolit volbu Jiný... a automaticky vyhledat pomocí tlačítka, které se Vám zobrazí ve formuláři)
  3. zadejte PIN (heslo k bezpečnostní oblasti tokenu / čipové karty)
  4. odešlete vyplněný formulář do banky
  5. v následujícím okně Získání nového certifikátu proveďte aktualizaci souboru, potvrďte znovu PIN a stiskněte tlačítko Uložit

Po vytvoření SSL certifikátu získejte stejným způsobem i podpisový certifikát.

Aktivace certifikátů:

  1. naimportujte SSL certifikát do internetového prohlížeče (registrace do systému) - dle vybraného typu zařízení
  2. přihlašte se do Eltrans@Sign
  3. zaregistrujte podpisový certifikát:
    Eltrans@Sign Profil klienta > Registrace podpisového certifikátu(Obr. 2)
    • zadejte PIN (heslo k bezpečnostní oblasti tokenu / čipové karty)
    • klikněte na Procházet, vyberte podpisový certifikát
    • potvrďte Zaregistrovat

Tímto je Eltans&Sign plně zprovozněna. Zařízení s uloženými certifikáty mějte fyzicky pod dohledem a dbejte základních bezpečnostních pokynů.

Zásady bezpečnosti

  • Zařízení noste stále při sobě nebo uchovávejte na bezpečném místě.
  • Po ukončení práce s Eltrans@Sign vždy zařízení vyjměte. Nenechávejte zařízení připojené k počítači v době Vaší nepřítomnosti u počítače.
  • Rozhodnete-li se zařízení používat jako výhradní úložiště pro Vaše certifikáty, negenerujte žádné nové certifikáty na jiná úložiště a neuchovávejte jiné aktivní certifikáty mimo Váš dosah.
  • Hodláte-li při práci s Eltrans@Sign využívat token nebo čipovou kartu a máte původní aktivní certifikáty uložené ve formě souborů (.P12), vytvořte v registrační autoritě nové certifikáty s uložením na token / čipovou kartu, původní certifikáty zneplatněte (v registrační autoritě - záložka Certifikáty) a soubory smažte.

 

video