NASES
Domov
Služby
Integrácie
Autentifikačný certifikát

Autentifikačný certifikát

Autentifikačný certifikát je elektronický dokument, ktorý preukazuje elektronickú identitu toho, komu bol vydaný a používa sa na účely identifikácie a autentifikácie pri automatizovanom prístupe k informačnému systému alebo elektronickej komunikácii, ktoré súvisia s výkonom verejnej moci, alebo na účely automatizovaného prístupu do elektronickej schránky alebo disponovanie s elektronickou schránkou.

Spôsob ako vygenerovať autentifikačný certifikát

Vytvorenie certifikátu je v réžii žiadateľa. Certifikát môže byť vydaný samotným žiadateľom (tzv. self-signed certifikát). V prípade certifikátu vydaného certifikačnou autoritou nie je potrebné údaje o tejto autorite vydávajúcej certifikát zasielať do NASES. Podmienkou použitia je úspešné zapísanie platného autentifikačného certifikátu do registra autentifikačných certifikátov (RAC) na Ústrednom portáli verejnej správy (ÚPVS).

Autentifikačný certifikát akceptovaný ÚPVS je možné vytvoriť prostredníctvom aplikácie OpenSSL pomocou sekvencie nasledovných príkazov:

openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 730 -out certificate.pem -subj /CN=ico-12345678 -addext basicConstraints=CA:FALSE

openssl x509 -outform der -in certificate.pem -out certificate.cer

openssl pkcs12 -export -out key.p12 -inkey key.pem -in certificate.pem

(zvýraznená hodnota v atribute CN musí byť ico-identifikačné číslo organizácie _ suffix príklad: ico-12345678 alebo ico-12345678_10001, v prípade fyzickej osoby rodné číslo rc-1874841234)

 

Požiadavky na autentifikačný certifikát

  • Certifikát typu CA („Basic Constraint“ s hodnotou „Subject Type=CA“) nie je možné do IAM zaregistrovať.
  • Pri enkódovaní do Base64 je potrebné použiť aj padding („Base64 with padding“)
  • Platnosť: odporúčaná 2 roky (môže byť maximálne 731 dní, minimálne 30 dní)
  • Atribút Subject môže obsahovať výlučne Common name (CN) a nesmie obsahovať žiadne ďalšie údaje
  • Common name (CN):
    • v prípade fyzickej osoby: rc-rodné číslo (príklad: rc-8001011234 ),
    • v prípade právnickej osoby: ico-identifikačné číslo organizácie _ sufix (príklad: ico12345678 alebo ico-12345678_10001 alebo o ico-123456789012 )
  • Dĺžka kľúča: 2048 bit
  • Formát certifikátu je X.509 v kódovaní DER podľa ISO/IEC 8825-1 (obvyklá prípona súboru: „.cer“)
  • Algoritmus: Public Key Algorithm: RSA, Signature Algorithm - jedna z možností: sha256WithRSAEncryption, sha512WithRSAEncryption, SHA256withRSA SHA512withRSA
  • V autentifikačnom certifikáte sa nesmú používať Bag attributes, napríklad:
    • localKeyID: 01 00 00 00 o 1.3.6.1.4.1.311.17.3.20: 29 CC 46 17 EC 05 BD 24 13 BD A9 0F 34 15 EF C7 F3 C5 1A 2C o 1.3.6.1.4.1.311.17.3.71: 45 00 44 00 46 00 43 00 41 00 44 00 4E 00 30 00 31 00 30 00 2E 00 65 00 64 00 65 00 6D 00 66 00 69 00 78 00 2E 00 6C 00 6F 00 63 00 61 00 6C 00 00 00
    • friendlyName: tech.edov.upvsfix.ext.rvk.fix.edemo.sk
  • Register akceptuje certifikáty v PEM aj v DER forme, avšak pre obe formy vyžaduje digitálny odtlačok z DER formy. Preto v prípade, ak po odoslaní žiadosti o registráciu certifikátu dostanete chybovú hlášku o nesprávnom digitálnom odtlačku, si prosím skontrolujte formát certifikátu napríklad otvorením v textovom editore. Ak sa jedná o formu PEM uvidíte ---BEGIN CERTIFICATE--- a ---END CERTIFICATE---. V tomto prípade pozor je potrebné uviesť digitálny odlačok z formy DER.
  • Certifikát môže byť vydaný samotným žiadateľom (tzv. self-signed certifikát). V prípade certifikátu vydaného certifikačnou autoritou nie je potrebné údaje o tejto autorite vydávajúcej certifikát zasielať do NASES. Poznámka: Register autentifikačných certifikátov obsahuje všetky informácie o platnosti certifikátov a nijako nezohľadňuje stav autentifikačného certifikátu podľa CRL vydávajúcej certifikačnej autority. Certifikáty je teda potrebné rušiť zaslaním príslušnej žiadosti do registra a nie formou vydania CRL.