Podpisové certifikáty

Podpisové certifikáty - důležité upozornění

Podle sdělení České správy sociálního zabezpečení přestává ČSSZ s účinností od 1.2.2006 vydávat podpisové certifikáty. Již vydané certifikáty zůstávají v platnosti. Noví pověření pracovníci mohou být zaregistrováni k elektronickému podávání pouze po pořízení kvalifikovaného certifikátu (Česká pošta, I.CA).

Kvalifikovaný certifikát je nutné před prvním použitím nahlásit ČSSZ. Postup najdete na stránkách ČSSZ.

Protože se stále vyskytují problémy s nepoužitelnými podpisovými certifikáty, vydanými ČSSZ, uvádíme zde několik rad, jak postupovat při generování žádostí a následné instalaci a zálohování podpisových certifikátů.

Žádost je nutné generovat programem CertReq od ČSSZ.
Obdržený vygenerovaný certifikát poté instalujte do stejného PC, na kterém se vytvořila žádost. Certifikát se musí objevit v úložišti Osobní. Instalaci je nutné provést rovněž aplikací CertReq, na Win2000 a vyšších lze i přímo poklepáním na soubor certifikátu a volbou Nainstalovat certifikát.
Mezi vygenerováním žádosti a instalací certifikátu se nesmí změnit konfigurace systému (uživatel, práva, hardware, záplaty OS, struktura sítě - namapované síťové disky), je proto vhodné dodržet co nejktraší dobu mezi vytvořením žádosti a instalací certifikátu.
Pokud se instalace certifikátu podaří (je v úložišti Osobní a ve vlastnostech je vidět soukromý klíč, viz níže), důrazně doporučujeme certifikát ihned vyexportovat včetně soukromého klíče do formátu PFX. Takto vyexportovaný certifikát lze pak už nainstalovat na jakýkoli PC, kde se bude pak používat, protože již obsahuje soukromý klíč, chráněný heslem. Postup exportu viz níže.
Pokud se instalace certifikátu ve formátu CER nepovede, nemá smysl ji dále zkoušet s tím samým certifikátem, systém ho již vždy odmítne. Stejně tak nelze znovu nainstalovat certifikát, který byl odebrán po předchozím úspěšném nainstalování. V těchto případech je nutné znovu vygenerovat žádost a nechat vytvořit nový certifikát. Musí se vygenerovat nová žádost, nestačí použít starou. Vše uvedené platí pro formát CER.
Asi nejvhodnější způsob pro případ více podniků je vygenerovat na rozumně konfigurovaném PC (viz výše) všechny žádosti najednou, ihned je odnést na OSSZ a obdržené certifikáty co nejdříve na tom samém PC ve stejné konfiguraci podle uvedeného postupu nainstalovat. Pro každý z nainstalovaných certifikátů pak provést export do formátu PFX včetně soukromého klíče.

Správný podpisový certifikát musí mít soukromý klíč (viz vyznačený text v obrázku). Pokud jej nemá, nelze ho použít:

Žádost o vydání podpisového certifikátu musí být vygenerována programem CertReq.

Po obdržení certifikátu od SSZ (soubor *.cer) je mimořádně doporučeníhodné si tento certifikát zazálohovat včetně soukromého klíče. Za tím účelem je vhodné certifikát *.cer normálně nainstalovat a pak jej vyexportovat do souboru včetně soukromého klíče, viz obrázek:

Stiskem Kopírovat do souboru se spustí průvodce exportem, ve kterém je důležité zvolit exportovat soukromý klíč, viz obrázek:

V dalším průběhu exportu bude vyžadováno zadání hesla a jména souboru, ostatní volby lze nechat jak jsou. Heslo bude potřeba pro každou další případnou instalaci tohoto certifikátu kdykoli v budoucnosti, takže dobře uschovat.

Připomínky a dotazy adresujte na alexoft(a)alexoft.cz.