Technická podpora

V případě jakýchkoli dotazů či potíží máte možnost nás kontaktovat elektronickou poštou na adrese info@eidentity.cz

FAQ

Podporujete počítače Apple?

Počítače Apple s operačním systémem MacOS bohužel aktuálně NEPODPORUJEME. Vývoj doplňku je v procesu, ale aktuálně není k dispozici. Žádost je tedy nutné vytvořit na zařízení s Windows nebo ve virtualizovaném prostředí s Windows.

Jak vyřízení probíhá?

Žadatel o certifikát se zaregistruje na stránkách eIdentity a.s. Ve svém účtu si vytvoří žádost o požadovanou službu, až k vygenerování privátních klíčů, dostaví se osobně na Registrační místo, kde dojde k ověření totožnosti žadatele, podpisu dokumentů a vydání certifikátu. Certifikát je vydán do účtu žadatele, odkud si jej může žadatel nainstalovat do prostředí, kde generoval privátní klíče.

Jaké prohlížeče jsou podporovány?

Aktuálně je podporován Internet Explorer od verze 8 výše a prohlížeč Mozilla Firefox do verze 32.0.3. Systém MacOS již nepodporuje spouštění starší verze prohlížeče Firefox, tedy není možné na počítačích Apple provést generování klíčů a instalaci .

Nově je k dispozici doplněk pro použití v Google Chrome a MS Edge, který si můžete nainstalovat dle návodu, který je k dispozici ZDE.

Co mám dělat, když nemám Internet Explorer?

Pokud Vám systém Windows neumožňuje spustit prohlížeč Internet Explorer, můžete použít prohlížeč Edge v režimu Internet Explorer. Postup nastavení prohlížeče je k dispozici ZDE.

Nedaří se mi přihlásit, co mám dělat?

Znáte-li své uživatelské jméno, ale nepamatujete si přihlašovací heslo, tak si jej nechte vygenerovat na stránce www.eidentity.cz/LostPassword.html.
Neznáte-li uživatelské jméno, tak zašlete žádost o sdělení přihlašovacího jména na adresu info@eidentity.cz z Vaší registrované e-mailové adresy.

Jaká je moje registrovaná e-mailová adresa a k čemu slouží?

Registrovanou e-mailovou adresu poznáte tak, že Vám na ní chodí upozornění o blížící se expiraci certifikátů a jiná upozornění. Tato e-mailová adresa je použita pro komunikaci s autoritou a je podle ní vyhledáván Váš profil.

Mám nové osobní údaje, kde je mohu zadat nebo upravit?

Jedná-li se o Vaše osobní údaje (jméno, adresa, čísla dokladů atd.), tak je zašlete ze své registrované e-mailové adresy na info@eidentity.cz a my Vám je v systému opravíme. Změna údajů posléze vyžaduje osobní návštěvu na registračním místě k ověření těchto nových informací.

Při pokusu o přihlášení či prohlížení Vašich stránek mi prohlížeč hlásí nebezpečné stránky, co mám dělat?

Pravděpodobně nemáte nainstalovány certifikáty certifikační autority eIdentity. Pro odstranění hlášení si certifikáty nainstalujte ze stránky Certifikáty certifikačních autorit, eIdentity a.s.

Certifikáty autority jsem nainstaloval, ale systém stále hlásí nebezpečné stránky, co mám dělat?

Překontrolujte, jestli jste certifikáty autority nainstalovali správně a to hlavně certifikát kořenové certifikační autority. Ten by měl být nainstalován (v případě systému Windows a prohlížeče Internet Explorer) v úložišti Důvěryhodné kořenové certifikační autority.

Mám žádat o prodloužení certifikátu nebo o nový certifikát?

Pokud nepotřebujete měnit jakékoliv viditelné údaje v certifikátu, tak žádejte o prodloužení. Máte-li změnu v údajích, které jsou viditelné v certifikátu, tak musíte žádat o nový certifikát.

Nedaří se mi v Internet Exploreru podepsat prohlášení o platnosti údajů, co mám dělat?

Překontrolujte, že máte nainstalovaný platný kvalifikovaný certifikát autority eIdentity, a že jej vybíráte k podpisu. Pro vytvoření podpisu na stránkách eIdentity je využíván doplněk CAPICOM, který musí být správně nainstalován a povolen v prohlížeči Internet Explorer. Pokud si nejste jistí, přeinstalujte doplněk Security Update for CAPICOM (KB931906)

Nedaří se mi v Internet Exploreru podepsat dokument, i když jsem překontroloval vše z výše uvedeného. Co mám dělat?

Překontrolujte, jakou verzi prohlížeče Internet Explorer používáte. Máte-li verzi 9, zapněte Nástroje pro vývojáře (klávesa F12) a ve vrchní části zobrazeného okna rozklikněte položku Režim prohlížeče, zde vyberte Kompatibilní zobrazení aplikace Internet Explorer. Nyní zkuste podepsat dokument znovu.

Nedaří se mi v Internet Exploreru generovat klíče, co mám dělat?

Překontrolujte, jestli máte políčko Výběr providera vyplněno textem (např. Microsoft Enhanced RSA…). Pokud ne, je nutné nastavit prohlížeč dle nápovědy.

Nedaří se mi v Internet Exploreru nainstalovat certifikát, co mám dělat?

Překontrolujte, jestli se snažíte o instalaci v prohlížeči a počítači, kde byly generovány privátní klíče. Překontrolujte, jestli máte správně nainstalovány všechny certifikáty certifikačních autorit (ZDE). Pokud jsou tyto podmínky splněny a stále se nedaří certifikát nainstalovat a zároveň máte jistotu, že jsou v systému stále přítomny vygenerované privátní klíče, zkuste certifikáty nainstalovat „ručně“ stažením a importem jejich veřejných částí z Vašeho účtu. Ve svém účtu si otevřete záložku Certifikáty a najděte žádost, kterou se snažíte nainstalovat. U této žádosti máte možnost stáhnout certifikát ve formátu DER. Tento soubor otevřete a pomocí průvodce importem certifikátu zkuste naimportovat do systému. Máte-li v systému privátní klíče k instalované veřejné části, instalace se podaří a certifikát se vytvoří. Pokud v systému privátní klíče nejsou, certifikát se nevytvoří a veřejná část certifikátu se naimportuje do uložiště Ostatní uživatelé.

Aktualizace nebo jiná aplikace mi smazala privátní klíče a certifikát nejde nainstalovat, co mám dělat?

Pokud ztratíte privátní část certifikátu, tak není možnost jakékoliv obnovy a je nutné podat novou žádost o certifikát.

Proč mi nefunguje certifikát, který jsem uložil z Vašich stránek?

Pravděpodobně se jedná pouze o veřejnou část certifikátu, kterou nelze použít k vytváření podpisů.

Platnost certifikátu mi vypršela, co mohu dělat?

Vypršela-li platnost Vašeho kvalifikovaného certifikátu, tak můžete podat žádost o prodloužení, ale je nutné počítat s nutností osobní návštěvy na registračním místě, kde bude nutné podepsat dokumenty v papírové podobě.

Snažím se importovat certifikát z mé zálohy, ale je vyžadováno heslo. Jaké je to heslo?

Jedná se o heslo, které si uživatel volil sám při exportu certifikátu. Toto heslo nemá s autoritou žádnou spojitost a nemůže Vám jej jakkoliv sdělit.

Obnovení certifikátů

Obnova certifikátu je možná v době jeho platnosti na stránkách Vašeho účtu u eIdentity. Obnova představuje vydání nových certifikátů nad původními údaji. Pokud stihnete obnovu certifikátu ještě v době platnosti původního kvalifikovaného certifikátu, celý proces se pak dá vyřídit elektronicky a nemusíte nikam chodit. Podmínkou elektronické obnovy však je, že se vaše evidované údaje nezměnily a jsou nadále platné. Také je nutné projít celým procesem v době platnosti původních certifikátů, včetně převzetí nových certifikátů, které se podepisuje původním platným certifikátem.

V případě, že se změnil jakýkoliv z Vámi uvedených údajů, je nutné změnu údaje písemně oznámit na emailovou adresu info@eidentity.cz a teprve po promítnutí změny do systému požádat o nový certifikát. Vzhledem k nutnosti ověřit nový údaj je však nutné v závěru procesu navštívit registrační místo

Postup žádosti o obnovu certifikátu:

Přihlaste se do svého účtu na našich webových stránkách https://www.eidentity.cz
Přihlášení je možné provést nainstalovaným platným komerčním certifikátem. Komerční certifikát poznáte podle jeho vydavatele (CCAeID2.1 – Commercial Certificate Authority). Při zvolení možnosti „Přihlásit certifikátem“ Vám prohlížeč nabídne všechny nainstalované certifikáty a Vy zvolíte komerční certifikát. V případě, že nevlastníte komerční certifikát, přihlaste se přihlašovacím jménem a heslem. Jako přihlašovací jméno uveďte jméno, které jste si zvolili při registraci účtu. Toto jméno Vám sdělíme na základě Vašeho požadavku na e-mailové adrese info@eidentity.cz. Pokud heslo neznáte, můžete si požádat o zaslání nového hesla: ZDE. Bude Vám zasláno na emailovou adresu, kterou jste uvedli při registraci účtu.
Po přihlášení do účtu zvolte na záložce „Služby“ možnost „Požádat o prodloužení platnosti kvalifikovaného certifikátu/balíčku kvalifikovaného a komerčního certifikátu“, klikněte na možnost „k certifikátu č. XXX …./balíčku č. XXX .... „
Při zobrazení více čísel, zvolte hodnotově největší číslo. Otevře se formulář „Žádost o vydání kvalifikovaného certifikátu/kvalifikovaného a komerčního certifikátu“. Zde vyplňte položku „Název požadavku“ a „Bezpečnostní opatření (heslo pro zneplatnění)“, zaškrtněte, že souhlasíte s návrhem smlouvy a žádost uložte. Pokud používáte prohlížeč Internet Explorer verzi 9 a vyšší, je potřeba před podpisem zapnout „Kompatibilní zobrazení“. Je to ikona roztrženého papírku v adresním řádku, kde je uvedeno www.eidentity.cz. Po zapnutí tohoto zobrazení papírek zmodrá.
Pro úspěšné podání žádosti je potřeba podepsat „Prohlášení o platnosti údajů“. Překontrolujte údaje uvedené v prohlášení. Pokud souhlasí, zvolte možnost „Přijmout certifikátem“ a podepište prohlášení platným kvalifikovaným certifikátem. Vydavatelem je ACAeID2.1. Sledujte, prosím, horní nebo spodní okraj prohlížeče, zpravidla budete vyzváni k souhlasu s instalací komponenty CAPICOM od Microsoftu, která rozšíří vlastnosti prohlížeče o možnost vytvářet elektronické podpisy. Tato komponenta není standardní součástí instalace Windows a musí se instalovat až při prvním použití. Podle aktuálního nastavení vašeho počítače můžete být vyzváni k souhlasu s instalací komponenty i několikrát po sobě. Povolte spuštění a instalaci komponenty. Komponentu lze ručně stáhnout ze stránek eIdentity. Pokud nemáte v počítači administrátorská práva a nemůžete nic instalovat, obraťte se na svého správce sítě/PC. Informaci o aktuálním stavu žádosti najdete v záložce „Rozpracované“ vedle informační značky (modré kolečko s písmenem „i“).
Po odsouhlasení prohlášení a uhrazení poplatku si vytvoříte pár klíčů stiskem tlačítka „Vytvořit klíče“. Objeví se tabulka s parametry klíče. Nastavení ponechte a zvolte možnost „Generovat klíče". Pokud stránka nereaguje a pole „Výběr providera“ je prázdné, klikněte ve větě uvedené níže na stránce na slovíčko „nápovědy“ a zobrazí se návod, jak upravit nastavení Internet Exploreru, aby generování proběhlo. Potom si vygenerujte klíče.
Nyní se čeká na vydání certifikátu operátorem registračního místa. O vydání certifikátu jste informování emailovou zprávou. Po vydání si ve svém účtu na záložce „Certifikáty“ převezmete certifikát stiskem tlačítka „Podepsat dokumenty“, tento úkon stvrdíte opět dosud platným kvalifikovaným certifikátem. Pokud bylo nutné při podepisování Prohlášení o platnosti údajů zapnout režim kompatibility, zapněte ho před podpisem opět stejným způsobem. Nemáte-li v době převzetí nového kvalifikovaného certifikátu žádný dosud platný kvalifikovaný certifikát, je nutné se telefonicky domluvit na dalším postupu.
V záložce „Certifikáty“ poté uvidíte nově vystavené certifikátu spolu s tlačítkem „Instalovat certifikát“.
Po jeho stisknutí vyberte tlačítko „Instalovat“.
Podle zobrazeného návodu si zkontrolujte, zda instalace proběhla v pořádku a odsouhlaste ji tlačítkem „Potvrzuji, že instalace proběhla v pořádku“.
Zálohu soukromých klíčů s certifikáty můžete provést exportem z prohlížeče.

V případě jakýchkoliv potíží kontaktujte, prosím, naši technickou podporu na telefonu +420 222 866 150 nebo na emailu info@eidentity.cz.

Slovník zkratek

Certifikační autorita (CA)

je nezávislý subjekt, který vydává certifikáty a poskytuje služby související s jejich používáním. Pokud komunikující strany mají důvěru v CA, mohou se spolehnout, že osoba na druhé straně je opravdu tou, za kterou se vydává. Podobně to platí i u serverů či aplikací.

Certifikát

je digitální potvrzení svazující reálný subjekt s jeho veřejným klíčem. Základními údaji uvedenými v certifikátu jsou tedy veřejný klíč a identifikace subjektu. Kromě toho certifikát obsahuje rovněž jedinečné sériové číslo certifikátu, dobu platnosti certifikátu, identifikaci vydavatele certifikátu a další údaje. Certifikát je digitálně podepsán certifikační autoritou.

CRL (Certification Revocation List)

seznam zneplatněných certifikátů. Seznam je pravidelně aktualizován a je on-line dostupný. Jsou v něm uvedeny certifikáty, které byly zneplatněny na žádost jejich držitele či jiného subjektu. Žádosti o zneplatnění se podávají např. z důvodu, kdy došlo k prozrazení soukromého klíče.

Systémy s asymetrickými klíči

kryptografické techniky pro šifrování dat a digitální podpisy, které používají dvojice klíčů. Jeden z klíčů slouží k šifrování dat či k ověření pravosti digitálního podpisu a druhý k dešifrování dat či k vytvoření digitálního podpisu. Pouze jeden z klíčů (soukromý klíč) se uchovává v tajnosti, zatímco druhý klíč (veřejný klíč) se zveřejňuje pomocí papírových a elektronických médií (např. prostřednictvím certifikátů).

Digitální podpis/Elektronický podpis

krátká digitální datová položka pevné délky, vytvořená pomocí kryptografické transformace z digitální zprávy nebo datového souboru a ze soukromého klíče podepisujícího subjektu.

Informace k přechodu k bezpečnějším kryptografickým algoritmům v oblasti elektronického podpisu

Zákonem o elektronickém podpisu je implementována směrnice Evropského parlamentu a Rady 1999/93/ES ze dne 13. prosince 1999 o zásadách Společenství pro elektronické podpisy (dále jen „Směrnice“). Pro praktickou část implementace Směrnice jsou orgánem k tomu Komisí určeném, tj. Evropským ústavem pro telekomunikační normy (European Telecommunications Standards Institute, ETSI) vydávány dokumenty typu „technical specification (TS)“. Jedním z nich je ETSI TS 102 176-1 V2.0.0 (dále jen „ALGO Paper“), který stanoví přípustné algoritmy a jejich parametry pro elektronické podpisy a kvalifikované certifikáty, které jsou vydávány v souladu se Směrnicí. Ministerstvo vnitra se při zveřejňování kryptografických algoritmů a jejich parametrů řídí tímto dokumentem. ALGO Paper stanoví pro jednotlivé algoritmy dobu, po kterou lze předpokládat, že budou považovány za bezpečné.

S rozvojem kryptoanalytických metod a dostupností potřebné výpočetní techniky (síly) je nezbytné vzít na vědomí skutečnost, že u žádného algoritmu nelze předpokládat, jeho používání v horizontu desítek let. Například algoritmus MD5 (Message-Digest Algorithm) byl poprvé zpochybněn v roce 2004, prolomení algoritmu SHA-0 (Secure Hash Algorithm) bylo oznámeno v roce 2004, první indicie o prolomení algoritmu SHA-1 pocházejí z roku 2005. Nic nenasvědčuje tomu, že by se tento trend v blízké budoucnosti změnil a že nové a „silnější“ algoritmy by měly předpoklad výrazně delší doby životnosti. Předpokládá se, že hashovací funkce z rodiny SHA-2 budou bezpečné do roku 2015.

Hashovací funkce používané pro elektronický podpis se bezprostředně dotýkají zejména kvalifikovaných poskytovatelů certifikačních služeb při vydávání kvalifikovaných certifikátů a kvalifikovaných systémových certifikátů, podepisujících osob při vytváření elektronického podpisu, zaměstnavatelů, kteří dávají svým zaměstnancům k dispozici nástroje pro používání elektronického podpisu, resp. nakupují příslušné produkty, tvůrců produktů (aplikací), ve kterých je elektronický podpis používán, subjektů, které si tyto aplikace nechávají zhotovit a poskytovatelů certifikačních služeb při vydávání kvalifikovaných časových razítek a „odběratelů“ kvalifikovaných časových razítek.

Požadavek na přechod k algoritmu SHA-2 souvisí rovněž s povinností uznávat kvalifikované certifikáty v rámci EU bez ohledu na stát, ve kterém byly vydány. Pokud by byl elektronický podpis založený na kvalifikovaném certifikátu vytvořen pomocí hashovací funkce SHA-1, lze předpokládat, že by nemusel být akceptován. Pro přeshraniční komunikaci lze doporučit používat při vytváření elektronického podpisu hashovací funkci SHA-2.

Používání SHA-2 se doporučuje rovněž při vydávání kvalifikovaných časových razítek. Odběratelům časových razítek se doporučuje, aby se řídili pokyny poskytovatelů certifikačních služeb, kteří je vydávají. Rovněž pro elektronické značky, které jsou z technologického hlediska digitálním (elektronickým) podpisem, se doporučuje používání SHA-2.

Možné komplikace

Validace (ověření) certifikátů SHA-2 je podporováno ve Windows XP Service Pack 3, Windows Vista, Windows Server 2008 SP1 a Windows Server 2003 SP2 + speciální hotfix. Pod pojmem validace certifikátu Microsoft rozumí možnost ověřit podepsaný certifikát či řetězec certifikátů, které jsou například použity v rámci https relace.

Microsoft považuje za nutné zdůraznit fakt, že validace certifikátu není v žádném případě hashování, podepisování, kódování nebo dekódování binárních dat, v tomto případě za využití CAPI 2.0 (SHA-2 rodina, AES).

Komplexní implementace CAPI 2.0, umožňující plné použití algoritmů SHA-2, je součástí produktů Windows Vista a Windows Serveru 2008 SP1. Z tohoto důvodu je nutné pro plné aktivní používání (hashování , podepisování, kódování nebo dekódování binárních dat) SHA-2 pro SMIME provést upgrade operačního system na prodávaný os Windows Vista nebo později na Windows 7. Stále velice často využívaný serverový operační systém Windows Server 2003 neobsahuje plnou implementaci CAPI2.0 a proto Certifikační autorita vybudována na této platformě algoritmy SHA-2 nepodporuje a podporovat nebude.

Alternativní řešení

Další možnou alternativou je používat produkty třetích stran, např. Mozilla, Thunderbird, Safari apod. Tyto produkty nepracují s úložištěm Windows, případně pracují v jiných operačních systémech (Linux, MacOS apod.).

Soubory ke stažení

V rámci testování procesů ACAeID došlo z technických důvodů před spuštěním veřejného provozu k zneplatnění certifikátů RCA a QCA a vytvoření nových kvalifiovaných systémových certifikátů pro obě certifikační autority. Zneplatněné kvalifikované systémové certifikáty (s dobou platnosti RCA do 22.08.2017 a QCA do 22.08.2011 a jejichž otisky jsou v souboru digests.old) je nutné ze systému odstranit, pokud jste je již nainstalovali před spuštením služeb eIdentity a.s.

CRL

Stáhnout seznam CRL kořenové certifikační autority (RCA)