> Produkty > Kvalifikované certifikáty > Kvalifikovaný certifikát pro PSD2 > Získat kvalifikovaný certifikát pro PSD2

Postup získání QWAC certifikátu pro PSD2

Pro získání kvalifikovaného certifikátu pro autentizaci internetových stránek PSD2 (QWAC PSD2) je nutné nejdříve uzavřít smlouvu se společností První certifikační autorita, a.s. Dále je uveden postup pro vydávání QWAC PSD2 certifikátů pro smluvní klienty.

1. Vytvoření elektronické žádosti

Kvalifikovaný certifikát pro autentizaci internetových stránek PSD2 – obsahuje ověřitelné údaje o vlastníkovi/organizaci, název domény a dále ověřitelné údaje - položky O, OU, L, St, C, IČ, TO …)

2. Předání elektronické žádosti

Žadatel zasílá e-mailem soubor žádosti ve formátu PKCS#10 (.req) na e-mailovou adresu ssl@ica.cz.

V jejím předmětu musí být uvedeno: "Žádost o QWAC certifikát".
V těle e-mailu musí být uvedeno:

buď žádný CAA záznam neexistuje,
nebo je nalezena množina CAA záznamů a současně platí:
- "Já, níže uvedený, tímto prohlašuji, že všechny údaje uvedené v žádosti o QWAC certifikát jsou pravdivé",
- informace o poskytovateli platebních služeb, tj. identifikace národního vydavatele (NCA),
- číslo licence, seznam rolí PSD2, které klient požaduje vložit do příslušného QWAC PSD2 certifikátu.
E-mailová zpráva musí být opatřena kvalifikovaným elektronickým podpisem dle Nařízení EU č.910/2014 - eIDAS

Žadatel v e-mailu uvede také kontaktní údaje – telefon, e-mail, poštovní adresu subjektu.

Žadatel bere na vědomí, že proces ověřování a vydání certifikátu, může trvat min. 3 pracovní dny.

3. Ověření žádosti o certifikát

Ověření vlastnictví domény

I.CA ověřuje DNS vlastnictví domény jedním z následujících způsobů:

na e-mail uvedený u doménového kontaktu dle WHOIS zašle e-mail žádající schválení vydání SSL certifikátu pro DNS jména obsažená v předložené žádosti a který obsahuje náhodný řetězec, doménový kontakt pošle schválení žádosti obsahující tento řetězec zpět do I.CA (#2), (#číslo) označuje číslo podkapitoly popisující příslušný způsob ověřování v BR.
I.CA zašle na jeden z e-mailů admin, administrator, webmaster, hostmaster nebo postmaster @doména zprávu žádající schválení vydání SSL certifikátu pro DNS jména obsažená v předložené žádosti a která bude obsahovat náhodný řetězec; kontaktní osoba pošle schválení žádosti obsahující tento řetězec zpět do I.CA (#4),
správce domény vytvoří na serveru pro požadované FQDN adresář /.well-known/pki-validation/, ve kterém vytvoří soubor ica.html a obsahem souboru bude náhodný řetězec, který poskytne I.CA (#6),
správce domény pro požadované FQDN vytvoří nový DNS záznam typu CNAME nebo TXT, který bude obsahovat náhodný řetězec, který určí I.CA (#7).

Platnost náhodných řetězců je ve všech případech 30 dní.

Kontrola CAA záznamů

I.CA provede první kontrolu a:

pokud byla nalezena množina CAA záznamů, pak vyčká po dobu větší z hodnot (doba TTL CAA záznamu, 8 hodin),
pokud neexistuje CAA záznam, pak vyčká 8 hodin, a poté provede opakovanou kontrolu.

K dalším krokům ověření žádosti a vydání Certifikátu bude pokračováno pouze pokud je při opakované kontrole zjištěno, že:

buď žádný CAA záznam neexistuje,
nebo je nalezena množina CAA záznamů a současně platí:
- žádný z množiny CAA záznamů neobsahuje neznámou značku a současně není označen jako kritický,
- a množina CAA záznamů se značkou "issue" je prázdná nebo obsahem některého záznamu z množiny CAA záznamů se značkou "issue" je „ica.cz“.

V opačných případech je žádost odmítnuta.

4. Vydání certifikátu

Po provedení všech výše uvedených kontrol předané elektronické žádosti o certifikát, je vydán QWAC certifikát a předán žadateli elektronickou cestou prostřednictvím e-mailové zprávy.

5. Obnovení – vydání následného certifikátu

Při požadavku na obnovu certifikátu je vždy nutné zaslat novou žádost o certifikát QWAC. U certifikátů QWAC není možné provést elektronickou obnovu, certifikáty QWAC se vždy vydávají pouze prvotní. Informace z elektronické žádosti o QWAC certifikát je nutné vždy znovu ověřit.

K ověření je možné použít stejné doklady, pokud jsou aktuální a nejsou starší než 13 měsíců.

6. Zneplatnění certifikátu

Zneplatnění je možné provádět obvyklým způsobem (web + heslo pro zneplatnění, e-mail + heslo pro zneplatnění, podepsaný e-mail, doporučená zásilka + heslo pro zneplatnění).