TLS Certifikát

TLS certifikát je určený v prvom rade pre potreby vytvorenia bezpečného komunikačného kanála cez Internet prostredníctvom TLS/SSL protokolu. Umožňuje šifrovaný prenos údajov pre užívateľov pristupujúcich na web, email, alebo inú službu využívajúcu TLS/SSL na vašom serveri. Žiadateľom o certifikát môže byť:

  1. Právnická osoba
  2. Fyzická osoba

Identifikácia žiadateľa

TLS certifikát obsahuje povinné údaje CN (CommonName), čo je názov komponentu resp. zariadenia a C (countryName), čo je dvojznaková skratka štátu napr. SK pre Slovenskú republiku. Ako CN musí byť použité úplné doménové meno komponentu (FQDN) (napr. CN=www.disig.sk). Podmienkou vydania je preukázanie, že príslušná doména patrí subjektu, ktorý je žiadateľom o daný TLS certifikát. Medzi nepovinné položky patria Mesto a Organizácia. Pokiaľ je v žiadosti vyplnená položka Organizácia (Organization (O)) je povinná aj položka Mesto (Locality (L)). Pokiaľ položka O nie je vyplnená, tak nesmie byť vyplnená ani položka L. Žiadateľ o tento typ certifikátu predkladá:

Právnická osoba

  • Doklad totožnosti – štatutár, konateľ resp. splnomocnenec
  • Splnomocnenie – predkladá sa v prípade, pokiaľ štatutárny orgán držiteľa certifikátu nemôže osobne navštíviť pobočku RA a na účel prevzatia certifikátu splnomocní inú osobu. Akceptované je len úradne overené splnomocnenie!
  • Originál alebo úradne overená kópia výpisu z OR nie staršia ako tri mesiace (k nahliadnutiu)
  • Fotokópia originálu alebo úradne overenej kópie výpisu z OR (zostáva na RA Disig)

Fyzická osoba

  • Doklad totožnosti – štatutár, konateľ resp. splnomocnenec
    1. Občan SR - platný občiansky preukaz
    2. Občan krajiny EÚ – preukaz totožnosti, t. j. identifikačná karta
    3. Občan tretích krajín – povolenie na pobyt na území SR a ďalší doklad s fotografiou potvrdzujúci jeho totožnosť
  • Splnomocnenie – predkladá sa v prípade, pokiaľ budúci držiteľ certifikátu nemôže osobne navštíviť pobočku RA a na účel prevzatia certifikátu splnomocní inú osobu. Akceptované je len úradne overené splnomocnenie!

Vytvorenie žiadosti na vydanie TLS certifikátu

TLS certifikát sa vydáva na základe elektronickej žiadosti vo formáte PKCS#10 resp. SPKAC, ktorú si žiadateľ vygeneruje vo vlastnej réžii na svojich systémových prostriedkoch.

Proces vydania TLS certifikátu

O vydanie TLS certifikátu je možné žiadať iba v sídle spoločnosti Disig, a.s. Žiadateľ doručí žiadosť elektronickou poštou na adresu radisig@disig. Pracovník RA skontroluje formálnu správnosť žiadosti a vykoná overenie kontroly nad doménou ako aj ďalších údajov v zmysle interných predpisov. Po vykonaní všetkých potrebných overení si dohodne termín stretnutia so žiadateľom. Pri osobnom stretnutí pracovník RA overí zhodnosť údajov v žiadosti s údajmi v predložených dokladoch. Po overení totožnosti žiadateľa o certifikát pracovník RA danú žiadosť postúpi na spracovanie do CA. Proces vydania TLS certifikátu sa ukončí podpísaním príslušnej dokumentácie. Na žiadosť klienta pracovník RA uloží vydaný TLS certifikát na zariadenie, ktoré si priniesol klient. Proces vydania trvá cca 20 minút.

Platnosť TLS certifikátu

TLS certifikát je platný okamihom vydania. TLS certifikát je vydávaný s platnosťou 395 dní. Po uplynutí tejto lehoty platnosť TLS certifikátu automaticky zaniká a tento už nie je možné použiť na účel, pre ktorý bol vydaný. TLS certifikát, ktorého platnosť skončila alebo bol zrušený, nie je možné opätovne obnoviť. Pre obnovu musí žiadateľ postúpiť celý proces žiadania a overenia identity ako pri vydávaní pôvodného TLS certifikátu.

Podmienky zrušenia TLS certifikátu

V prípade, že musí byť zrušený TLS certifikát z jedného z týchto dôvodov:

  • keyCompromise (RFC 5280 CRLReason #1),
  • privilegeWithdrawn (RFC 5280 CRLReason #9),
  • cessationOfOperation (RFC 5280 CRLReason #5),
  • affiliationChanged (RFC 5280 CRLReason #3) alebo
  • superseded (RFC 5280 CRLReason #4,
musí poskytovateľ sprístupniť pre koncového držiteľa podrobnejšiu informáciu o vyššie uvedených možnostiach spolu s vysvetlením, kedy zvoliť jednotlivé možnosti pri žiadaní o zrušenie certifikátu a ako postupovať vo vzťahu k poskytovateľovi. Podrobná informácia je dostupná tu - podmienky zrušenia TLS certifikátu.

Cena za vydanie TLS certifkátu.

Test SSL

V súlade s požiadavkami CA Browser Forum uvedenými v časti 2.2 aktuálnej verzie dokumentu "Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates" je certifikačná autorita povinná sprístupniť web stránku, ktorá umožní dodávateľom aplikácií testovať ich softvér za použitia vydaných TLS certifikátov, ktoré sú naviazané na dôveryhodné koreňové certifikáty CA Disig. V minimálnej konfigurácii musia byť dostupné stránky, kde je použitý platný, zrušený resp. exspirovaný TLS certifikát.

Koreňová certifikačná autorita CA Disig Root R2
Podriadená certifikačná autorita URL testovacích stránok
CA Disig R2I2 Certification Service Test SSL - CA Disig R2I2