Spojeni s důvěrou

Spojenie s dôverou

Connected with trust

D. Trust
Certifikačná Autorita a.s.

Spojeni s důvěrou

Spojení s dôverou

Connected with trust

 

Postup získání QWAC certifikátu pro smluvní klienty


Pro získání kvalifikovaného certifikátu pro autentizaci webových stránek (QWAC) je nutné nejdříve uzavřít smlouvu se společností První certifikační autorita, a.s. Dále je uveden postup pro vydávání QWAC certifikátů pro smluvní partnery. 

1. Vytvoření elektronické žádosti

Kvalifikovaný certifikát pro autentizaci internetových stránek (QWAC) – obsahuje ověřitelné údaje o vlastníkovi/organizaci, název domény a dále ověřitelné údaje - položky O, OU, L, St, C, IČ, TO …)

2. Předání elektronické žádosti

Žadatel zasílá e-mailem soubor žádosti ve formátu PKCS#10 (.req) na e-mailovou adresu ssl@ica.cz.

  • V jejím předmětu musí být uvedeno: "Žádost o QWAC certifikát".
  • O vydání QWAC certifikátu může žádat pouze pověřená osoba na základě plné moci, která je součástí smluvního vztahu s I.CA.
  • V těle e-mailu musí být uvedeno: "Já, níže uvedený, tímto prohlašuji, že všechny údaje uvedené v žádosti o QWAC certifikát jsou pravdivé".
  • E-mailová zpráva musí být opatřena kvalifikovaným elektronickým podpisem dle Nařízení EU č.910/2014 - eIDAS.

Žadatel v e-mailu uvede také kontaktní údaje – telefon, e-mail, poštovní adresu subjektu.

3. Ověření žádosti o certifikát

Ověření vlastnictví domény

I.CA ověřuje DNS vlastnictví domény jedním z následujících způsobů:

  • na e-mail uvedený u doménového kontaktu dle WHOIS zašle e-mail žádající schválení vydání SSL certifikátu pro DNS jména obsažená v předložené žádosti a který obsahuje náhodný řetězec, doménový kontakt pošle schválení žádosti obsahující tento řetězec zpět do I.CA (#2), (#číslo) označuje číslo podkapitoly popisující příslušný způsob ověřování v BR,
  • I.CA zašle na jeden z e-mailů admin, administrator, webmaster, hostmaster nebo postmaster @doména zprávu žádající schválení vydání SSL certifikátu pro DNS jména obsažená v předložené žádosti a která bude obsahovat náhodný řetězec; kontaktní osoba pošle schválení žádosti obsahující tento řetězec zpět do I.CA (#4),
  • správce domény vytvoří na serveru pro požadované FQDN adresář /.well-known/pki-validation/, ve kterém vytvoří soubor ica.html a obsahem souboru bude náhodný řetězec, který poskytne I.CA (#6),
  • správce domény pro požadované FQDN vytvoří nový DNS záznam typu CNAME nebo TXT, který bude obsahovat náhodný řetězec, který určí I.CA (#7).

Platnost náhodných řetězců je ve všech případech 30 dní.

Kontrola CAA záznamů1

I.CA provede první kontrolu a:

  • pokud byla nalezena množina CAA záznamů, pak vyčká po dobu větší z hodnot (doba TTL CAA záznamu, 8 hodin),
  • pokud neexistuje CAA záznam, pak vyčká 8 hodin, a poté provede opakovanou kontrolu.

K dalším krokům ověření žádosti a vydání Certifikátu bude pokračováno pouze pokud je při opakované kontrole zjištěno, že:

  • buď žádný CAA záznam neexistuje,
  • nebo je nalezena množina CAA záznamů a současně platí:
    • žádný z množiny CAA záznamů neobsahuje neznámou značku a současně není označen jako kritický,
    • a množina CAA záznamů se značkou "issue" je prázdná nebo obsahem některého záznamu z množiny CAA záznamů se značkou "issue" je „ica.cz“.

V opačných případech je žádost odmítnuta.

4. vydání certifikátu

Po provedení všech výše uvedených kontrol předané elektronické žádosti o certifikát, je vydán QWAC certifikát a předán žadateli elektronickou cestou prostřednictvím e-mailové zprávy.

5. Obnovení – vydání následného certifikátu

Při požadavku na obnovu certifikátu je vždy nutné zaslat novou žádost o certifikát QWAC. U certifikátů QWAC není možné provést elektronickou obnovu, certifikáty QWAC se vždy vydávají pouze prvotní. Informace z elektronické žádosti o QWAC certifikát je nutné vždy znovu ověřit.

K ověření je možné použít stejné doklady, pokud jsou aktuální a nejsou starší než 13 měsíců.

6. Zneplatnění certifikátu

Zneplatnění je možné provádět obvyklým způsobem (web + heslo pro zneplatnění, e-mail + heslo pro zneplatnění, podepsaný e-mail, doporučená zásilka + heslo pro zneplatnění).



1 CAA záznamy – specifikují certifikační autority, které mohou pro uvedenou doménu vydávat SSL certifikáty.

Registrační autority

v

 
separator
separator