Krátce zde popíši postup zřízení elektronického (digitálního) podpisu v případně OSVČ přes certifikační autoritu PostSignum. Kvalifikované certifikáty pro elektronický podpis platný 1 rok vás vyjde cca na 400 Kč.
Celkem slušné základní informace najdete také na BusinessInfo.cz: Elektronický podpis a jeho využití.
U nás vydávají elektronický podpis tři certifikační autority:
- První certifikační autorita, a. s.
- eIdentity, a. s.
- PostSignum (služba České pošty, s. p.)
Pokud jste OSVČ a chcete elektronicky komunikovat s úřady, využívat zaručený elektronický podpis (kvalifikovaný osobní certifikát v počítači), tak budete potřebovat kvalifikovaný certifikát QCA. Certifikát se uloží do souboru a nainstaluje do PC. U tohoto certifikátu je nutné, abyste požádali o přidělení identifikátoru klienta MPSV. Pokud zároveň využijete kvalifikované prostředky pro vytváření elektronických podpisů jako je např. USB token, který samotný stojí kolem 650 Kč, budete moci nejenom komunikovat s úřady, ale i elektronicky podepisovat dokumenty tzv. kvalifikovaným elektronickým podpisem dle eIDAS. Zde se budeme zabývat pouze běžným elektronickým podpisem, instalací kvalifikovaného certifikátu do PC a nikoli variantou s USB tokenem. Poznamenávám, že můj návod byl psán v roce 2011, proto může být již lehce neaktuální či nepřesný, ačkoli jsem se snažila dodatečně odkazy i návody zaktualizovat k roku 2019.
Celkově musíte dodržet určitý postup pro podnikatele (OSVČ):
Smlouva o poskytování certifikačních služeb
Vydání certifikátu na pobočkách České pošty se službou Czech POINT
Instalace vydaného certifikátu
Pro pochopení, jak vše funguje, je celkem klíčová příručka pro zákazníky - právnické osoby. OSVČ, protože má IČ, tak je pro vydání certifikátu braná jako právnická osoba.
Instalace certifikátů certifikačních autorit
Prvně si musíte nainstalovat certifikát certifikační autority. Máte na výběr z automatické instalace, instalace pomocí instalačního balíčku a ruční instalace. Já bych doporučila instalaci pomocí instalačního balíčku CA_postsignum.exe. Pokud používáte Windows Vista nebo Windows 7, tak certifikáty instalovat nemusíte, měly by být v systému Windows automaticky.
Smlouva o poskytování certifikačních služeb
O certifikát si musíte požádat. Je třeba vyplnit pár formulářů. PostSignum sice umožňuje vyplnit formuláře i elektronicky ve formě pdf, ale tuto volbu "Vytvoření formulářů do pdf souboru" nedoporučuji, protože jednak si formuláře pořádně nemůžete uložit a třeba dodatečně upravit a pak tyto formuláře jsou zjednodušené a některé věci tam oproti tištěné verzi dokonce chybí. Ale na druhou stranu není špatné si nejprve zkusit vyplnit tyto elektronické formuláře, protože oni vás lépe vedou a jsou interaktivní, a třeba následně vyplnit standardní formuláře ve formě *.doc. Pro vyplnění raději doporučuji si formuláře stáhnout "Stažení formulářů" ve formě wordovských dokumentů a vyplnit. Můžete si je pak uložit a v případě změny jen doplnit.
Jako OSVČ budete potřebovat vyplnit:
- smlouvu včetně přílohy seznamu pověřených osob
- úvodní list - seznam žadatelů
- údaje pro vydání certifikátu.
Dále musíte poště doložit:
- živnostenský list
- občanský průkaz.
Pak musíte mít s sebou elektronicky vygenerovanou žádost o certifikát:
- soubor cert_sign.req. Ten získáte následovně:
Vydání certifikátů
Generování klíčů a žádostí o certifikát
Dále bude potřebovat vygenerovat klíče a žádost o vydání certifikátu. Doporučuji raději "Off-Line generování" oproti "On-Line generování". Při Off-Line generování žádosti o vydání certifikátu si stáhnete a nainstalujete program PostSignum Tool Plus. Opět klíčová může být pro vás příručka k programu PostSignum Tool Plus.
Program PostSignum Tool Plus je určen pro generování párových klíčů a elektronických žádostí o certifikát do souborů na disku nebo na čipové kartě/USB tokenu. Upozornění: při generování žádosti o kvalifikovaný certifikát (QCA) v aplikaci Postsignum Tool nebo Postsignum Tool Plus je nutno vždy vybrat délku klíče 2048 bitů. Kvalifikovaný certifikát (QCA) o velikostí klíče 1024 bitů nelze od 1.1.2010 vystavit. Program PostSignumToolPlus se standardně nainstaluje do Program Files. Dle manuálu instalace musí probíhat s administrátorskými právy (nestačí spuštění pomocí funkce Spustit jako správce). Bohužel se objevuje chybová hláška "PSCrypto.log (Přístup byl odepřen)", ale program funguje.
Po instalaci si necháte programem vygenerovat žádost o certifikát. Doporučuji pročíst si příručku. Po spuštění programu zadáváte adresář a přístupy k němu, kde budou vaše klíče uloženy. Následně si do tohoto adresáře necháte vygenerovat klíče a žádost o certifikát. Vyberete volbu "Nový", "Certifikát fyzické osoby". Zadáte požadované údaje jako stát, jméno, příjmení, email apod. V žádosti o certifikát: podpis SHA256 délka klíče 2048 typ PEM. Vyberete místo pro uložení klíčů (adresář Keys).
Program vám vygeneruje elektronickou žádost - soubor cert_sign.req. Tento soubor si uložíte třeba na flash disk a půjdete s ním na poštu - na CzechPoint. Doporučuji si rovnou na flash dát případně i soubory: PO_PFO_smlouva.doc, PO_PFO_udaje_pro_crt.doc, PO_PFO_uvodni_list.doc, což jsou smlouvy popsané výše. Ty si samozřejmě musíte doma vytisknout a vzít s sebou.
Vydání certifikátů na pobočkách České pošty se službou Czech POINT
Zde je znova popsáno, co vše potřebujete. Obrňte se trpělivostí, protože na poštách příliš zkušeností s vydáváním certifikátu nemají - zvláště na malých poštách.
Když vše zdárně dopadne, tak vám digitální podpis pošlou poštou (což je prakticky nezabezpečený kanál). Poslaný certifikát máte poslaný v souboru formátu *.crt, např. QCA1000001.crt. Ještě s vámi kromě smluv sepíšou žádost o certifikát a protokol o vydání certifikátu.
Instalace vydaného certifikátu
Jakmile vám certifikát přijde, zbývá poslední krok, a to instalace vydaného certifikátu do PC. Pak vydaný certifikát nainstalujete dle pokynů v příručce kapitola 6 a uděláte export klíčů dle kapitoly 7.
Digitální podpis dokumentů
Bohužel veškeré podrobné návody tímto skoro končí. Certifikační autority se v návodech zaměřují převážně pouze na zřízení elektronického podpisu (tj. smlouvy, vydání a instalaci certifikátu). Bohužel už skoro nikde nenajdete další návody, jak s certifikátem zacházet a jak ho dále používat.
Ještě na PostSignum najdete návod, jak zprovoznit elektronický podpis v poštovních klientech a další základní postupy pro manipulaci s certifikáty.
Chtěla bych zde poznamenat, že návod pro Outlook 2007 je trochu chybný. Pří klikání na "Nastavení" se mi nezobrazilo okno "Změnit nastavení zabezpečení". Bylo to z důvodu, že certifikát nebyl ještě nahraný v centrálním úložišti Windows. Po nahrání certifikátu do centrálního úložiště Windows již tato volba přístupná je. Je možné, že to bylo vlivem použitím aplikace PostSignum Tool Plus, tzn. že jsem vydaný certifikát nebyl instalován přímo podle návodu, ale přes aplikaci PostSignum Tool Plus. Nicméně Outlook 2007 umí sám o sobě certifikát nahrát přímo do centrálního úložiště Windows. Pokud byste Outlook 2007 neměli, tak zkuste přímou instalaci certifikátu dle návodu.
Nahrání digitálního certifikátu do centrálního úložiště Windows přes Outlook 2007
Volba: MS Outlook > "Nástroje" > "Centrum zabezpečení" > "Zabezpečení emailu" > "Digitální ID (certifikáty)" > "Importovat/exportovat"... Zadáte importovat soubor - načtete soubor vzniklý exportem certifikátu a soukromého klíče (pár) cert_sign.p12. Zadáte heslo pro export/import. Máme možnost zvolit úroveň zabezpečení. Doporučuji zvolit vysokou úroveň zabezpečení. Při použití vysoké úrovně zabezpečení budete aplikacemi vyzváni k zadávání hesla CryptoAPI, což doporučuji. Zabráníte tak tomu, že by si někdo mohl sednou k vašemu PC a bez vašeho vědomí odeslat vámi digitálně podepsaný email. Při použití certifikátu aplikacemi bude vyžadováno právě toto heslo. Bohužel volba této položky nelze následně změnit. Pokud byste volby při nahrávání certifikátu chtěli následně upravit (třeba změnit úroveň zabezpečení), tak musíte certifikát z centrálního úložiště smáznout a naimportovat znova... Ale to není problém. Při opětovném nahrávání certifikátu do centrálního úložiště Windows je zapotřebí opět heslo pro export/import.
Přímá instalace certifikátu do centrálního úložiště windows je možná prostým poklepáním na soubor cert_sign.p12. Automaticky se vyvolá průvodce a certifikát si systém Windows uloží do úložiště certifikátů, se kterým pracují pak skoro veškeré programy...
Heslo pro přístup aplikací CryptoAPI používají následně aplikace MS Office i všechny jiné aplikace, které umí využívat datové úložiště certifikátů Windows...
Teprve po nahrání certifikátu do úložiště Windows (importu certifikátu) byla přístupná volba "Nastavení" >"Změnit nastavení zabezpečení" dle návodu pro Outlook 2007.
Nastavení Outlook 2007 pro šifrovaný email
Volba: MS Outlook > "Centrum zabezpečení" > "Zabezpečení emailu" > "Šifrovaný e-mail" > "Nastavení" >"Změnit nastavení zabezpečení". Tento dialog "Změnit nastavení zabezpečení" byl již automaticky byl vyplněn. Jen jsem změnila šifrovací algoritmus z AES 256 na 3DES, ale to asi není podstatné. Certifikát je vidět i ve volbě: MS Outlook > "Nástroje" > "Centrum zabezpečení" > "Šifrovaný e-mail" > "Nastavení" > "Certifikáty a algoritmy" > "Vybrat". Jinak jdou opravdu posílat digitálně podepsané emaily pouze z adresy, kterou jste zadávali při žádosti o certifikát.
Digitální podpis emailu, souboru a pdf
Jak digitálně podepsat email, jak vytvořit digitálně podepsaný wordovský či excelovský dokument či pdf, to najdete v mém článku: Digitální podpis dokumentu.
Závěr
Celá procedura vydání a instalace certifikátu je celkem zdlouhavá a náročná. Pokud byste si na to netroufli, tak jsou firmy (např. digitalni-podpis.cz), které se zabývají čistě poradenstvím ohledně digitálních podpisů - udělali si z toho živnost. Není divu, proces je pro neznalce dosti komplikovaný.