Generovanie žiadosti o následný certifikát

Požiadavky na softvér

Počítač, na ktorom sa bude generovať žiadosť o certifikát, musí spĺňať nasledujúce požiadavky:

• nainštalovaný a spustený operačný systém :
  Windows 10
  Windows 11
  MacOS
• podporované prehliadače sú:
  Microsoft Edge
  Chrome
  Firefox
  Opera
• V prehliadači je povolená podpora skriptovania Javascript, podpora ukladania súborov cookie
• nainštalovaná súčasť a rozšírenie I.CA PKIServicehost
• I.CA SecureStore Card Manager (len v prípade generovania žiadosti o čipovú kartu)

Proces generovania žiadosti o následný certifikát

Proces generovania žiadosti o následný certifikát je rozdelený do niekoľkých krokov:

1. Test systému
2. Výber certifikátu
3. Kontrola údajov
4. Generovanie žiadosti
5. Dokončenie

Kontrola softvérového vybavenia

Na pomoc pri kontrole, či je váš počítač pripravený na generovanie požiadavky, sa pri spustení generovania požiadavky zobrazí kontrolná stránka na overenie prítomnosti kľúčových softvérových komponentov.

Image

V prípade neprítomnosti komponentu a rozšírenia I.CA PKIServiceHost sa zobrazí chybové hlásenie, pozri nižšie

Image

Kliknutím na zvýraznený I.CA PKIServiceHost a rozšírenie stiahnite a následne nainštalujte potrebné komponenty na generovanie žiadosti do počítača. Po úspešnej inštalácii reštartujte prehliadač.

Stránka otestuje počítač, ak sa nezistia žiadne problémy, prejdite na samotné generovanie následnej žiadosti o certifikát.

Ak sa počas kontroly zistí chyba, nemôžete pokračovať v generovaní následnej žiadosti o certifikát. Najprv musíte odstrániť chybu, ktorá bráni vytvoreniu žiadosti o certifikát. Význam chybových hlásení je uvedený v nasledujúcich častiach.

• Nepodporovaný operačný systém
  Na vytvorenie žiadosti musíte použiť jeden z uvedených operačných systémov.
• Nepodporovaný internetový prehliadač
  Na vygenerovanie žiadosti musíte použiť jednu z verzií prehliadača uvedených vyššie.
• Podpora JavaScriptu
  Stránky použité na vygenerovanie žiadosti o certifikát vyžadujú podporu skriptov JavaScript. Ak táto kontrola zlyhá, s najväčšou pravdepodobnosťou to znamená, že podpora skriptovania je v nastaveniach prehliadača vypnutá. Povoľte v prehliadači podporu skriptovania JavaScript.
• I.CA PKIService Hostiteľ
  Stránky vyžadujú na fungovanie nainštalovanú zložku I.CA PKIService Host. Uistite sa, že ju máte nainštalovanú. Po inštalácii musíte reštartovať prehliadač.
• Rozšírenie I.CA PKIService Host (doplnok)
  Toto rozšírenie musíte mať nainštalované a povolené aj v prehliadači. Kliknutím na zvýraznený názov rozšírenia budete presmerovaní do nastavení, kde nájdete a nainštalujete rozšírenie, po inštalácii je potrebné obnoviť stránku.
• Ukladanie súborov cookie
  Aby stránky generovania aplikácií fungovali správne, musí váš prehliadač povoliť ukladanie súborov cookie na stránku. Ak ste ukladanie súborov cookie zakázali, povoľte ich.

Výber certifikátu na vytvorenie žiadosti o následný certifikát

Ak proces skenovania prebehol bez chýb, na stránke sa zobrazí formulár, v ktorom vyberiete platný certifikát, pre ktorý chcete vystaviť následný certifikát.

Image

Image

Ak je certifikát uložený v úložisku systému Windows, ponechajte vybratú možnosť Osobné úložisko certifikátov systému Windows. Ak je váš certifikát uložený na čipovej karte I.CA, vyberte možnosť I.CA smart card (Other storage).

Ak je certifikát uložený v úložisku MACOS, vyberte možnosť MACOS keychain (Kľúčenka MACOS).

Image

V závislosti od predchádzajúceho výberu sa vám ponúkne zoznam certifikátov, pre ktoré je možné vystaviť následný certifikát. Ak ste vybrali možnosť I.CA Čipová karta, musíte mať pripojenú čítačku a vloženú čipovú kartu.

Následný certifikát môžete vystaviť len pre certifikáty, ktorých platnosť nevypršala a ktoré nie sú na zozname CRL (Certificate Revocation List)!

Ak dostanete e-mail s oznámením, že platnosť vášho certifikátu vypršala, e-mail obsahuje adresu URL, na ktorej môžete vytvoriť žiadosť o vydanie následného certifikátu. Adresa URL obsahuje aj sériové číslo certifikátu.

Ak túto adresu URL zadáte do prehliadača, certifikát sa automaticky vyberie.

Kontrola údajov

Image

Ak sú údaje v certifikáte aktuálne, pokračujte kliknutím na tlačidlo"ÁNO, pokračovať", čím sa spustí generovanie žiadosti o certifikát. Podrobnejšie údaje si môžete zobraziť rozbalením možnosti"Iné údaje".

Image

V časti"CERTIFICATE PROPERTIES" (Vlastnosti certifikátu) sa zobrazujú nastavenia existujúceho certifikátu, napríklad sériové číslo certifikátu alebo typ uloženia.

Ak sa niektoré položky certifikátu zmenili, pokračujte kliknutím na položku"Upraviteľné údaje"a prejdite na časť Pridanie a zmena niektorých údajov.

Doplnenie a zmena niektorých údajov

V časti"ÚDAJE NA ÚPRAVU"môžete ovplyvniť niektoré údaje, ktoré budú uvedené vo vašom následnom certifikáte.

Image

Heslo na zneplatnenie:

Ak počas používania certifikátu dôjde ku kompromitácii súkromného kľúča, zmene údajov (zmena mena, bydliska...) alebo existujú iné dôvody, pre ktoré by sa certifikát nemal ďalej používať, je potrebné certifikát zneplatniť.

Certifikát je možné zneplatniť prostredníctvom webového rozhrania. Pri zneplatnení certifikátu budete vyzvaní na zadanie hesla na zneplatnenie.

Ak heslo nezadáte, ako heslo na zneplatnenie certifikátu sa použije heslo nastavené pre existujúci certifikát.

Ak sa rozhodnete zadať iné heslo, musí mať dĺžku 4 až 32 znakov. Povolené sú len veľké a malé písmená bez diakritiky a číslice.

Typ úložiska kľúčov (CSP):

Pre typ úložiska kľúčov (CSP ) vyberte z ponuky modul Cryptographic Service Provider (CSP), ktorý bude generovať váš súkromný kľúč. Všetky tu uvedené moduly CSP sú nainštalované vo vašom počítači.

Exportovanie vášho súkromného kľúča:

Ak zvolený typ úložiska kľúčov (CSP) podporuje export súkromného kľúča, ponúkne sa vám možnosť zapnúť export súkromného kľúča. Táto možnosť vám umožní exportovať certifikát vrátane súkromného kľúča. To vám umožní prenášať súkromný kľúč medzi úložiskami. Správa kľúčov si v tomto prípade vyžaduje zvýšenú pozornosť z dôvodu vyššieho rizika krádeže/zneužitia kľúča.

Silná ochrana súkromného kľúča:

Ak zvolený typ úložiska kľúčov (CSP) podporuje silnú ochranu súkromného kľúča, ponúkne sa vám možnosť zapnúť silnú ochranu súkromného kľúča. Pred každým použitím vášho kľúča budete upozornení, že sa váš kľúč používa.

Potom máte možnosť vybrať si medzi týmito možnosťami:
Stredný - vždy budete upozornení len informačnou správou.
Silná - pred každým použitím budete vyzvaní na zadanie hesla.

Upraviť e-mail:

Ak je e-mail zahrnutý v existujúcom certifikáte, máte tu možnosť odstrániť ho z nasledujúcich certifikátov. Vo väčšine prípadov ho nie je možné zmeniť, v takom prípade požiadajte o nový certifikát s opravenými údajmi.

Neautorizovaný obsah certifikátu:

V niektorých výnimočných prípadoch môže váš certifikát obsahovať rozšírené spôsoby použitia kľúčov a alternatívne názvy predmetov, ktoré sa už podľa politiky certifikátov nesmú v certifikáte vyskytovať.

V takom prípade sa zobrazí upozornenie a pred pokračovaním musíte tieto rozšírenia odstrániť.

Generovanie žiadosti o certifikát

Nasledujúci postup sa mierne líši pre každý typ úložiska kľúčov (CSP):

• CA Smart Card Key Storage\ I.CA SecureStore PKCS11# Library
  Ak pri vypĺňaní údajov o žiadateľovi vyberiete ako typ úložiska kľúčov Microsoft Smart Card Key Storage, postup generovania žiadosti je nasledujúci:
  Najprv sa zobrazí nasledujúce dialógové okno. V tomto okamihu sa vygeneruje váš súkromný kľúč. Generovanie súkromného kľúča môže trvať niekoľko desiatok sekúnd.

  Image

  

  
  Po vytvorení súkromného kľúča sa zobrazí výzva na zadanie kódu PIN pre vašu kartu.

  Image

  

  
  Inteligentná karta I.CA môže používať aj typ úložiska Microsoft Base Smart Card Crypto Provider.
  V prípade vytvárania aplikácie v systéme macOS je vybraným úložiskom knižnica I.CA SecureStore PKCS11#.

• Microsoft Enhanced RSA and AES Cryptographic Provider (operačný systém Windows) so silnou ochranou súkromných kľúčov.
  Ak pri vypĺňaní informácií o žiadateľovi vyberiete ako typ úložiska kľúčov Microsoft Enhanced RSA and AES Cryptographic Provider (alebo Microsoft Enhanced RSA and AES Cryptographic Provider /prototyp/) a zaškrtnete možnosť Zapnúť silnú ochranu kľúčov, postup pri vytváraní žiadosti je nasledovný:

  Image

  

  
  Ak kliknete na tlačidlo Nastaviť úroveň zabezpečenia, budete môcť zmeniť úroveň zabezpečenia.

  Image

  

  
  Ak vyberiete vysokú úroveň zabezpečenia, zobrazí sa výzva na zadanie hesla. (Toto heslo budete musieť zadať vždy, keď budete používať vydaný certifikát).

  Image

  

  
  Po kliknutí na tlačidlo Dokončiť sa úroveň zabezpečenia zmení. Teraz kliknite na tlačidlo OK.
  V ďalšom dialógovom okne udeľte oprávnenia kliknutím na tlačidlo Povoliť. Ak ste vybrali vysokú úroveň zabezpečenia, musíte zadať aj heslo.

  Image

  

• Kľúčenka založená na súboroch systému MacOS
  Ak v systéme MacOS vytvárame žiadosť o certifikát, ktorý je uložený v počítači, vybraný typ úložiska bude MacOS File-Based Keychain. Pri generovaní kľúča pre kľúčenku sa zobrazí výzva na zadanie hesla pre kľúčenku. Ak nie je žiaduce vyžadovať heslo pri každom použití certifikátu, je možné vybrať možnosť vždy povoliť.

  Image

  

Podpísanie a odoslanie žiadosti o následný certifikát

Po kliknutí na tlačidlo Odoslať žiadosť na spracovanie sa zobrazí dialógové okno obsahujúce vašu žiadosť o následný certifikát. Táto žiadosť musí byť podpísaná certifikátom, pre ktorý žiadate o následný certifikát.

Image

Žiadosť je potrebné podpísať kliknutím na tlačidloOK.

Ak je žiadosť vygenerovaná pre čipovú kartu, je potrebné ju podpísať zadaním PIN kódu čipovej karty.

Ak žiadate o následný certifikát TWINS, musíte podpísať žiadosť o následný kvalifikovaný certifikát aj žiadosť o komerčný certifikát.

Image

Po úspešnom odoslaní žiadosti sa zobrazí nasledujúca stránka:

Image

Riešenie problémov

Ak sa počas procesu generovania aplikácie vyskytne chyba, budete o tom informovaní chybovou správou.

Niektoré chyby môžu byť vážnejšieho technického charakteru. Môžu súvisieť so stavom hardvéru alebo softvéru vášho počítača. V takom prípade odporúčame kontaktovať technickú podporu I.CA.