Obsah

Domácí úkol

Cílem je ověřit schopnost použít osobní certifikát pro podepisování a šifrování el. pošty a podepisování dokumentů. Volitelně i označení dokumentu časovou značkou (time stamp).

Předpokladem je, že nejdříve získáte osobní certifikát pro svoji školní e-mailovou adresu.

Tři části domácího úkolu

Domácí úkol se skládá z následujících částí:

  1. Vy mi pošlete podepsaný e-mail na moji školní e-mailovou adresu.
  2. Pošlu Vám zašifrovanou zprávu, ve které dostanete úkol (viz dále).
  3. Vy mi pošlete zašifrovanou odpověď - obvykle s odkazem na stažení podepsaného a zašifrovaného souboru a s heslem k souboru.

Příklady úkolu v zašifrované zprávě:

Pro splnění si musíte nakonfigurovat poštovního klienta, nahrát do něho svůj certifikát. Pokud použijete jinou než školní e-mailovou adresu (@vse.cz), tak Vám strhnu jeden bod. Neznamená to, že musíte školní poštu číst na některém ze školních poštovních serverů – gmail, seznam a i další umožňují přijímat/odesílat poštu pod jinou identitou. S poštovním klientem se tato variabilita ještě výrazně rozšiřuje.

Získání osobního certifikátu

Osobní certifikát, tj. certifikát pro podepisování a šifrování pošty (standard S/MIME) či pro podepisování dokumentů, lze pro školní e-mailovou adresu získat:

  1. přes CESNET, základní volba,
  2. bezplatný od Actalis.com - nelze použít pro přihlášení do VPN,
  3. bezplatný přes https://acme.castle.cloud - kořenová CA není mezi důvěryhodnými v operačním systému, nelze použít pro přihlášení do VPN,

od 14. května 2025 lze opět získat osobní certifikáty přes CESNET

Postup pro CESNET:

  1. nejdříve musíte zajít na helpdesk Centra informatiky (SB 22), aby Vám povolili vydání osobního certifikátu (stačí jednou za studium).
  2. URL: https://tcs.cesnet.cz/clientrequestform/

Privátní a veřejný klíč se vygeneruje v prohlížeči (tj. CA nemá možnost získat privátní klíč). Po generování je privátní klíč a certifikát v prohlížeči - je potřeba ho exportovat včetně privátního klíče. Informační e-maily s případným certifikátem můžete smazat, jsou k ničemu. Potřebujete privátní klíč a certifikát.

Postup pro Actalis:

  1. na https://www.actalis.com/s-mime-certificates zvolíte, že chcete bezplatný S/MIME certifikát,
  2. založíte si účet se školní e-mailovou adresou,
  3. po založení lze ihned pokračovat v získání certifikátu - opět zadáte školní e-mailovou adresu, přijde Vám další e-mail s potvrzovacím odkazem,
  4. dorazí e-mail se heslem k privátnímu klíči (po několika minutách),
  5. po dalších několika minutách (odhadem 10 minut) lze stáhnout privátní klíč a certifikát (soubor .p12) ze stránek actalis.com

Tj. ověření je jen na základě přístupu k e-mailové schránce. CA vygenerovala dvojici privátní a veřejný klíč.

Dříve nešlo vydat nový certifikát v době platnosti již existujícího. Nevím jak nyní.

https://acme.castle.cloud/ používá protokol ACME pro získání certifikátu:

  1. klient vygeneruje privátní+veřejný klíč, pošle žádost na CA,
  2. do poštovní schránky dorazí kód,
  3. ten klient podepíše a odpověď odešlete ze schránky na adresu serveru,
  4. klient stáhne certifikát platný 90 dnů,
  5. postup lze automatizovat podobně jako získání certifikátu pro server, klient potřebuje poté přístup k poštovní schránce,

Postup pro https://acme.castle.cloud/

  1. např. na svůj server si stáhněte aplikaci z https://github.com/polhenarejos/acme_email a nainstalujte dle návodu (tři kroky, obvykle chybí i některé balíčky v debianu),
  2. vytvořte adresářovou strukturu v domovském adresáři 
         cert
     cert/logs
     cert/tmp
     cert/conf
  3. zadejte příkaz ./cli.py -e pavlicek@vse.cz –logs-dir ../cert/logs/ –config-dir ../cert/conf/ –work-dir ../cert/tmp cert a postupujte dle pokynů,
  4. na konci najdete v adresáři cert/conf/live soubor .pfx s privátním klíčem a certifikátem,
  5. pro použití potřebujete stáhnout i kořenový certifikát z https://acme.castle.cloud/documentation/chain-of-trust/

Podepisování a šifrování el. pošty

Základní pravidla:

Použití Outlooku - Existuje více aplikací označovaných jako Outlook – Outlook přes webový prohlížeč, nový Outlook pro Windows (a asi i pro MacOS), Outlook classic a Outlook pro mobilní telefony. Ve webovém Outlooku či v novém Outlooku nelze vybrat certifikát, který se použije pro podepisování e-mailů. Nový Outlook někdy zobrazí chybu
Při odesílání této zprávy S/MIME došlo k chybě. Certifikát, kterým se podepsala tato zpráva, není pro vaši organizaci důvěryhodný
a e-mail se nepošle. Řešením je přejít na Outlook classic či jiného klienta, např. Thunderbird.

Zašifrování PDF

PDF soubor lze zašifrovat sdíleným heslem či pomocí veřejných klíčů příjemců. Druhá možnost je neobvyklá, nebudu dále popisovat (lze zašifrovat v aplikaci JSignPDF, vyzkoušejte kde zobrazíte).

Rozlišují se dvě hesla - heslo pro otevření a heslo pro vybrané operace (např. pro úpravu PDF). V domácím úkolu nastavte první.

Bezplatná verze Adobe Acrobat Reader nepodporuje šifrování souboru. Jaké jsou možnosti?

  1. Použít nějakou on-line službu pro zašifrování PDF, na google/bing/… vyhledejte „PDF online encrypt“. Jednoduché, najdete přibližně 10 různých služeb. Není bezpečné - provozovatel online služby získá nezašifrovanou verzi!!! Pro účely domácího úkolu stačí.
  2. Windows - nainstalujte např. PDFencrypt (snadné použití, pouze šifrování), JSignPDF (zašifruje i digitálně podepíše), PDF24 Creator (mnoho nástrojů včetně šifrování),
  3. macOS - při tisku souboru do PDF můžete zadat heslo, hledejte na google/bing/…,
  4. Linux - zkuste qpdf či pdftk, popis viz https://gock.net/blog/2021/encrypting-pdf-files-with-free-command-line-tools/,
  5. Word - při exportu do PDF můžete zadat heslo,

Časové značky

Časové značky/časová razítka - PDF soubor by měl být podepsán včetně časové značky od časové autority (TimeStamp Authority). Cesnet poskytuje bezplatnou službu TSA, popis je na https://pki.cesnet.cz/cs/tsa-overview. Použijte první URL, tj. http://tsa.cesnet.cz:3161/tsa

Další časový server je FreeTSA, popis na https://www.freetsa.org/, URL serveru TSA: https://freetsa.org/tsr

Další bezplatné TSA servery (URL pro získání časové značky):

URL dalších bezplatných TSA lze nalézt na

Lze použít i bezplatné kvalifikované servery časových razítek (viz EUTL list či Kvalifikovaná časová razítka zdarma):

Název URL Poznámka Certifikát do
Ministero della Difesa (Itálie) http://tsapkiff.difesa.it/tsa ? 13.2.2035
Sectigo qualified http://timestamp.sectigo.com/qualified doporučení 15 vteřin mezi podpisy 3.8.2034
RIA (Estonsko) https://eid-dd.ria.ee/ts personal use only 1.4.2030
Helenic State CA (Řecko) https://timestamp.aped.gov.gr/qtss ? 12.12.2029
BalTstamp QTSA http://tsa.baltstamp.lt bez přihlášení 100 požadavků za měsíc 3.6.2029
IRN (Portugalsko] http://ts.cartaodecidadao.pt/tsa/server max 20 požadavků za 20 minut 27.4.2029
Docusign (Francie) http://kstamp.keynectis.com/KSign/ 15.3.2029
ACCV (Španělsko) http://tss.accv.es:8318/tsa free of charge for personal use 25.2.2029
belgium.be (Belgie) http://tsa.belgium.be/connect ? 9.12.2028
SEP (Bulharsko) http://tsa.sep.bg ? 25.11.2027
Monaco https://time.mconnect.mc uživatel by měl být autorizován od TSA 27.3.2027
Digicert + QuoVadis http://ts.quovadisglobal.com/eu asi volně , nefunguje v Acrobat Readeru 8.8.2026
IZENPE http://tsa.izenpe.com/ v politice je odkaz na ceník, vlastní služba je dostupná bez autentizace 30.10.2025

Platnost certifikátů TSA byla ověřena 20.2.2025. Velmi pravděpodobně budou průběžně prodlužovat platnost - za rok může být u některých TSA nový certifikát s delší platností. Doporučuji používat TSA s delší platností, vhodné 5 a více roků.

Informace najdete též na https://en.wikipedia.org/wiki/Trusted_timestamping