Certifikáty

Certifikáty se v CAAIS používají jednak jako druhý faktor při autentizaci uživatele prostřednictvím CAAIS IdP, jednak pro zabezpečení komunikace mezi připojeným AIS a CAAIS.

Uživatel

Pokud uživatel využívá CAAIS IdP a potřebuje se přihlašovat na úrovni záruky značná, musí mít v CAAIS IdP registrovaný autentizační certifikát vydaný podporovanou certifikační autoritou. Z důvodu bezpečnosti a certifikačních politik nelze k autentizaci používat certifikát pro kvalifikovaný podpis.

Připojený AIS

Podle zvoleného protokolu jsou využívány certifikáty AIS následujícím způsobem:

Tabulka 1: Využití certifikátů autentizačními protokoly

Protokol

Typ certifikátu

Využití

Poznámka

OIDC

autentizační

autentizace AIS v rámci mTLS spojení

  • alespoň jeden platný certifikát

SAML 2.0

podepisovací

podpis požadavku

  • právě jeden platný certifikát

  • může být shodný s šifrovacím

SAML 2.0

šifrovací

zašifrování atributů v odpovědi

  • právě jeden platný certifikát

  • může být shodný s podepisovacím

JIP/KAAS

autentizační

identifikace a autentizace AIS v rámci mTLS spojení

  • alespoň jeden platný certifikát

  • certifikát nesmí být registrován v jiné konfiguraci AIS

editační WS 1.1

autentizační

autentizace IdM v rámci mTLS spojení

  • alespoň jeden platný certifikát

  • postačuje certifikát v libovolné konfiguraci AIS

Postup vydání certifikátu pro AIS

Na vydání certifikátu pro AIS spolupracuje obvykle několika stran a ne všichni musí být s tímto procesem dokonale seznámeni. Přinášíme proto stručný postup.

  1. Vytvoření páru klíčů – soukromého a veřejného. Jelikož soukromý klíč nesmí opustit bezpečné prostředí, tuto činnost zpravidla provádí poskytovatel služby (správce běhového prostředí). Použité kryptografické algoritmy musí vyhovovat certifikační politice zvolené certifikační autority a doporučení NÚKIB (RSA 3072, RSA 4096, P-256, P-384 atp.).

  2. Vytvoření žádosti o vydání certifikátu – Certificate Signing Request (CSR). Žádost připraví opět poskytovatel služby, neboť musí být podepsána soukromým klíčem. Žádost obsahuje hodnoty několika atributů. Atribut Common Name je vždy povinný a další atributy uvedené v tabulce níže jsou doporučené. Vyžadované a povolené atributy pak plynou z politiky zvolené certifikační autority. Hodnoty atributů sdělí poskytovateli služby technický správce AIS.

Tabulka 2: Atributy certifikátu a žádosti o certifikát

Atribut

Popis

CN (Common Name)

Identifikace klientského systému. Měl by to být název připojovaného AIS, případně jeho zkratka či doménové jméno, pod kterým je AIS provozován. CAAIS tuto hodnotu (zatím) nevyužívá.

O (Organization)

Žadatel o certifikát. Obvykle provozovatel AIS, například příslušné ministerstvo.

OU (Organization Unit)

Dle zvyklostí provozovatele, například odbor technického správce AIS. Volitelné.

C (Country)

CZ

Samotná žádost již neobsahuje žádné citlivé informace a lze ji dále předat otevřeným kanálem žadateli o certifikát.

  1. Vydání certifikátu. Žadatel o certifikát převezme žádost o certifikát, zkontroluje ji (včetně otisku veřejného klíče) a v souladu s rámcovou smlouvou, kterou má jeho instituce uzavřena s vybranou certifikační autoritou, jí žádost postoupí.

  2. Instalace certifikátu. Po získání certifikátu jej žadatel o certifikát předá poskytovateli služby, aby jej mohl instalovat do běhového prostředí AIS, a správci konfigurace AIS v CAAIS, aby jej mohl zaregistrovat. Certifikát neobsahuje citlivé informace, a lze jej tak předat otevřeným kanálem.

Typ certifikátu

AIS potřebuje klientský certifikát pro server. U certifikačních autorit se lze setkat s pojmenováním komerční serverový certifikát. Není nutné pořizovat doménový certifikát.

Podporované certifikační autority

Pro všechny účely lze v CAAIS používat jen certifikáty vydané certifikační autoritou uznávanou v rámci eIDAS. Aktuálně jsou v CAAIS registrovány certifikáty následujících certifikačních autorit:

  • eIdentity

  • I. CA

  • Národní certifikační autorita

  • Postsignum

Další certifikační autority uznávané v rámci eIDAS přidáme na žádost dle potřeby. Self-signed certifikáty, certifikáty vydané interní certifikační autoritou úřadu či správou základních registrů nelze použít.

Pro integrační testování v prostředí test-ext lze navíc používat i testovací certifikáty, pokud je některá výše uvedená certifikační autorita nabízí. Další možností je nechat si vystavit testovací certifikáty interní certifikační autoritou CAAIS na základě Certificate Signing Request (CSR), který nám zašlete.

Certifikáty na straně CAAIS

Při navázání TLS spojení k CAAIS vyžadujeme, aby AIS ověřoval platnost certifikátu CAAIS včetně ověření důvěryhodnosti certifikační autority proti uložišti důvěryhodných certifikátů (trust store). Certifikační autorita se liší podle rozhraní, ke kterému se připojujete. Na Internetovém rozhraní gov.cz jsou využívány certifikáty vydané DigiCert Inc., respektive Let's Encrypt, na rozhraní CMS cms2.cz certifikáty I. CA.

U protokolu SAML 2.0 vyžadujeme, aby AIS ověřoval platnost certifikátu v podpisu response včetně ověření důvěryhodnosti certifikační autority proti uložišti důvěryhodných certifikátů (trust store). CAAIS inzeruje používaný certifikát v autokonfiguraci.

Podrobnosti v tabulce níže.

Tabulka 3: Certifikační autority využívané CAAIS pro TLS spojení

Rozhraní

Účel

Rok

Certifikační autorita

Typ certifikátu

gov.cz

autentizace

≥ 2026

Let's Encrypt

E7, E8, R12, R13

gov.cz

autentizace

≤ 2026

DigiCert Inc.

GeoTrust EV RSA CA G2

gov.cz

podpis

I. CA

I.CA TLS DV/OV CA/RSA 06/2022

cms2.cz
autentizace
podpis

I. CA

I.CA TLS DV/OV CA/RSA 06/2022

Často řešené potíže

1. Chyba nezabezpečeného spojení v CMS

Při přístupu k CAAIS v síti CMS (https://caais.cms2.cz či https://caais-edu.cms2.cz) dostávám chybu nezabezpečeného spojení – neznámé certifikační autority.

Na rozhraní do sítě CMS využívá CAAIS TLS certifikáty od I.CA, která bohužel není obsažena ve výchozím trust store webových prohlížečů. Výjimkou je prohlížeč Microsoft Edge, který využívá certifikáty Microsoft Trusted Root Certificate Program, kde I.CA zařazena je. Je tedy nutné použít webový prohlížeč Microsoft Edge, anebo do trust store prohlížeče přidat příslušný kořenový certifikát I.CA (údaje platné k 2026/02).

2. Autentizace kvalifikovaným certifikátem

Zkoušel jsem přidat certifikát QCA k uživateli a při tom jsem zjistil, že seznam certifikačních autorit v CAAIS je neúplný. Chybí v něm certifikační autorita pro QCA certifikáty PostSignum – CN=PostSignum QCA 4. Proč tato certifikační autorita v CAAIS chybí?

Kvalifikované certifikáty nelze pro autentizaci uživatelů použít, jsou určeny výhradně pro kvalifikovaný podpis dle eIDAS. Kvalifikované certifikáty neobsahují hodnotu Client Authentication (OID 1.3.6.1.5.5.7.3.2) v atributu Extended Key Usage (EKU). Toto omezení dané certifikační politikou brání zneužití kvalifikovaného podpisu. Je nutné použít certifikáty vydané jako komerční; v případě Postsignum se jedná o certifikáty podepsané mezilehlým certifikátem CN=PostSignum Public CA 4 či CN=PostSignum Public CA 5 (údaj platný k 2025/12). Tyto mezilehlé certifikáty CAAIS rozpoznává.