Přeskočit na hlavní obsah
Otevřít tiskový layout stránky a rovnou vyvolat tisk. Pro čistý export vypněte v dialogu tisku záhlaví a zápatí prohlížeče.

Přístup do aplikace na ESO9 Cloud ze zařízení s Androidem a z Apple (iOS, macOS) - import a nastavení certifikátu

info

Tento obsah je dostupný i jako přiložený dokument. Stáhnout PDF

1. Postup zprovoznění přístupu ke cloudové aplikaci ESO9

z iPadu

Pro přístup ke cloudovým aplikacím ESO9 (resp. ASP ESO9) je zapotřebí nainstalovat do iPadu váš osobní certifikát. Uvedený postup je stejný, jako v případě použití „velkého“ OS X Mountain Lion na Apple počítačích a noteboocích . Certifikáty pokud nemáme, stáhneme z https://ca.eso9.cz (jméno a heslo kdyžtak napíše někdo z vývoje, pokud jej nemáte).

Všechny certifikáty je potřeba vyexportovat do formátu CER!

  1. E-mailem si zašleme vyexportované certifikáty – „ESO9 Root Certificate Authority“, „ESO9 ASP Primary CA“, osobní certifikát pro přístup do cloudu (ASP). Certifikáty získáte po zkontaktování Podpory ESO9.

Obrázek 1 - strana 3 2. Jako první nainstalujeme certifikát „ESO9 Root Certificate Authority“ - kliknutím na přílohu emailu se dostaneme k samotné instalaci. 3. Klikneme na „Instalovat“.

Obrázek 2 - strana 3 4. U certifikátu „ESO9 Root CA“ se nám zobrazí následující varování. Klikneme na „Instalovat“.

Obrázek 1 - strana 4 5. Instalaci dokončíme kliknutím na „Hotovo“.

Obrázek 2 - strana 4 6. Dále stejným způsobem jako předchozí certifikát nainstalujeme certifikát „ESO9 ASP Primary CA“.

Obrázek 3 - strana 4 7. Jsme vyzváni k instalaci certifikátu. Klikneme na „Instalovat“.

Obrázek 1 - strana 5 8. Instalaci dokončíme kliknutím na „Hotovo“.

Obrázek 2 - strana 5 9. Jako poslední nainstalujeme osobní certifikát pro přístup k aplikacím v cloudu.

Obrázek 1 - strana 6

Obrázek 2 - strana 6 10. Vyžádání hesla při instalaci certifikátu. Po zapsání hesla pokračujeme klepnutím na „Dále“.

Obrázek 3 - strana 6 11. Dokončení instalace certifikátu.

Obrázek 1 - strana 7 12. Nainstalované certifikáty nalezneme v Nastavení -> obecné -> Profily.

Obrázek 2 - strana 7 13. Nainstalovaný certifikát.

Obrázek 3 - strana 7 14. Nyní již můžeme přistupovat ke cloudovým aplikacím ESO9.

Obrázek 1 - strana 8 15. Pokud máme nainstalovaných více osobních certifikátů pro přístup do cloudu, jsme při přístupu k aplikaci vyzváni k výběru certifikátu.

Obrázek 2 - strana 8

Obrázek 3 - strana 8 Spuštěná aplikace ESO9 na iPadu.

Obrázek 1 - strana 9

Obrázek 2 - strana 9

Obrázek 3 - strana 9

2. Postup zprovoznění přístupu ke cloudové aplikace ESO9 ze zařízení s OS Android

  1. E-mailem si zašleme osobní certifikát pro přístup k cloudové aplikaci ESO9

Obrázek 1 - strana 10

Obrázek 2 - strana 10 2. Zobrazením přílohy s certifikátem spustíme jeho instalaci. Během ní si systém vyžádá zadání hesla, kterým je certifikát chráněn (při zaslání certifikátu z Podpory ESO9 dostaneme heslo SMSkou).

Obrázek 3 - strana 10 3. Následuje zadání názvu certifikátu, pod nímž bude certifikát v systému vystupovat. Doporučujeme použít vlastní jméno, popř. účel certifikátu („Jan Novák – ESO9“) pro případ, že máme nainstalovaných více certifikátů pro různé účely.

Obrázek 1 - strana 11 4. Spustíme internetový prohlížeč a zadáme adresu cloudové aplikace ESO9 (např. „https://asp.eso.cz/mojeaplikace“). Prohlížeč zobrazí výběr certifikátů, které máme k dispozici. Zvolíme svůj osobní certifikát vydaný pro cloudové aplikace ESO9 (např. „Jan Novák – ESO9“).

Obrázek 2 - strana 11 5. Zobrazí se vstupní stránka naší aplikace.

Obrázek 1 - strana 12 6. Kliknutím na úvodní obrázek vstoupíme do aplikace ESO9.

Obrázek 2 - strana 12

3. Postup zprovoznění přístupu ke cloudové aplikace ESO9 ze zařízení s OS MAC OSX

Před započetím postupu se ujistíme, že máme:

  1. Nainstalovány poslední aktualizace našeho OS X
  2. Aktuální verzi prohlížeče Safari

Postup zprovoznění přístupu k aplikaci zabezpečené https:

  1. Přeneseme náš klientský certifikát ve formátu pfx do počítače a umístíme jej např. na plochu nebo do dokumentů. Certifikát musí být vygenerovaný i s privátním klíčem !

Obrázek 1 - strana 13 2. 2x klikneme myší na tento certifikát. Zobrazí se dialog systémové aplikace Klíčenka (Keychain) s dotazem pro přidání certifikátu do systému. Vybereme svazek klíčů “přihlášení” a klikneme na tlačítko Přidat

Obrázek 2 - strana 13 3. V dalším kroku zadáme heslo certifikátu, které jsme obdrželi spolu s certifikátem.

Obrázek 1 - strana 14 4. Pokud to bude aplikace vyžadovat, zadáme i naše přihlašovací údaje do klíčenky (obvykle uživatelské jméno a heslo účtu počítače s administrátorskými právy). Budou-li všechna hesla správná, tak ve svazku přihlášení v kategorii Moje certifikáty uvidíme náš certifikát

Obrázek 2 - strana 14 5. Pokud máme Safari otevřený (pod ikonou Safari v docku se nachází černá tečka), kliknutím na jeho ikonu pravým tlačítkem myši a výběrem příslušné položky jej Ukončíme . Při dalším spuštění si tak bude prohlížeč schopen načíst nový certifikát.

Obrázek 1 - strana 15 6. Spustíme Safari a zadáme do adresního řádku webovou adresu naší aplikace.

Obrázek 2 - strana 15 7. Aplikace nás požádá o výběr certifikátu. Vybereme náš certifikát a stiskneme tlačítko OK. Pokud aplikace zažádá o povolení používat certifikát, zvolíme “Povolit vždy”, případně Pokračovat.

Obrázek 3 - strana 15 8. Poté by se nám již měla zobrazit domovská stránka naší aplikace.

Obrázek 1 - strana 16 9. Pro větší pohodlí si můžeme adresu naší aplikace uložit do záložek prohlížeče.

Obrázek 2 - strana 16 Pokud v Google Chrome nefungovalo něco korektně, zopakujte postup v anonymním režimu. Anonymní režim spustíte v pravém bočním menu (Nové anonymní okno).

Obrázek 3 - strana 16

4. Něco nefunguje

Pokud jsme vše provedli a děje se nějaký z těchto problémů:

4.1 Stránka nenabízí výběr certifikátu a skončí hned chybou 403

Toto může mít několik příčin, je třeba zkontrolovat:

  • Prvně na straně ESA, že sériové číslo certifikátu odpovídá záznamu uživatele v aplikaci (pozor na počty stejných číslic a délky, lepší porovnat v textovém editoru).
  • Že je správně zadaná adresa webové aplikace, a to včetně https.
  • Dále, že žádný antivirus tuto doménu neblokuje, případně ji nepodstrkuje vlastní serverový certifikát. Po kliknutí na zámek u adresy zobrazíme certifikační autoritu. ESO9 používá výhradně StartCom. Pokud zde je např. Avast, ESET, NOD nebo jiný certifikát, je to špatně a je třeba aplikaci, která certifikát nahrazuje, přenastavit.

Obrázek 1 - strana 17 Příklad nastavení výjimky v Avastu:

Obrázek 1 - strana 18

4.2 MacOS vyžaduje několikanásobné zadávání přihlašovacího jména a hesla správce

Toto se děje pokud při Safari při přihlášení musí vstupovat do svazku klíčů Systém v klíčence. Je třeba všechny klíče související s ESO9 přesunout do svazku přihlášení . Samozřejmě zde musí být klientský certifikát a to včetně privátního klíče. Poznáme to tak, že u certifikátu je malá šipka.

Obrázek 2 - strana 18 Pokud i tak má prohlížeč problém s přístupem, je třeba ověřit, zda uživatel má práva do svazku Přihlášení, zda je svazek odemčený (ikona zámku je odemčená) a zda má Safari přístup ke klíči. To zjistíme tak, že po rozbalení certifikátu v klíčence a dvojkliku na klíč zajistíme v řízení přístupu práva Safari nebo všem aplikacím.

Obrázek 1 - strana 19 Klientský certifikát by též v klíčence neměl na sobě mít červený ani modrý křížek. Pokud na certifikát 2x poklepete myší, tak by nastavení mělo vypadat asi takto:

Obrázek 2 - strana 19

4.3 Problémy nastaly po aktualizaci OS X a dříve to fungovalo

Je možné, že po aktualizaci OS X na novější verzi došlo k nějaké změně přístupu k certifikátům, jenže klíčenka a Safari si drží stále stará nastavení. Je proto potřeba vymazat cache přímo v systému. Toho docílíme takto:

  1. Otevřeme Finder (CMD [na win klávesnici win klávesa] + mezerník a napsat finder)
  2. Stiskneme CMD/WIN + Shift + G
  3. Zadáme /var/db/crls a stiskneme enter

Obrázek 1 - strana 20 4. Najdeme soubory crlcache.db a ocspcache.db a vymažeme je (potřebujeme však správcovská práva) 5. Restartujeme počítač

4.4 Safari neustále vyžaduje potvrzení certifikátu

Uživatelům Mac OS X se může stát a to nejen v ESO9, že po nich Safari neustále vyžaduje výběr a potvrzení certifikátu pro pokračování práce na zabezpečené stránce. I když jej (opakovaně) vybrali a potvrdili. Je to nepříjemné a velmi to zdržuje při práci.

Obrázek 2 - strana 20 Celý problém spočívá v tom, že po výběru certifikátu si Safari ukládá do „klíčenky“ (tedy správce přihlášení a ověření v systému) tzv. předvolbu identity. Tedy informaci, že na té a té stránce může použít takový certifikát nebo heslo. Háček je, že tato předvolba identity může být poškozená nebo nevalidní, protože např. došlo ke změně certifikátu, vypršení toho starého, k duplicitám apod. Také se stává, že si Safari předvolbu identity uloží pro konkrétní URL, ale ne pro doménu. Výsledkem je, že při změně stránky nebo jen při opakovaném načtení dochází k novému a novému dotazu na předvolbu identity. Řešením je toto opravit ručně:

  1. Nejdříve vypněte úplně Safari, aby k nějakému ukládání předvolby identity nedocházelo, když budeme v klíčence
  2. Otevřeme klíčenku (nejjednodušší je otevřít Launchpad, ta ikona s raketou) a vyhledat „klíčenka“.

Obrázek 1 - strana 21 3. V klíčence si v levém menu zobrazíme svazky přihlášení a kategorii certifikáty

Obrázek 2 - strana 21 4. Zde zkontrolujeme především, zda tam nejsou duplicity a zda tam nejsou certifikáty po exspirací. To vše je lepší vymazat. U klientského certifikátu uživatele ponecháme výchozí nastavení (v detailu certifikátu po otevření dvojklikem v sekci důvěra je vše nastaveno na výchozí)

Obrázek 3 - strana 21

  1. Pokud u našeho kořenového certifikátu svítí nedůvěryhodná autorita Nedůvěryhodná autorita, tak jej rozklikneme dvojklikem, abychom se dostali do té sekce důvěra jako na obrázku výše a nastavíme „při použití tohoto certifikátu“ na „Vždy důvěřovat“. Odejdeme křížkem a po uložení by u něj mělo svítit modré plus Modré plus.
  2. Pokud máme vše ohledně certifikátů v pořádku, tak v levém menu klíčenky změníme kategorii na „všechny položky“. Zobrazí se nám kromě certifikátů i všechna hesla apod.:

Obrázek 3 - strana 22 7. V pravém horním vyhledávacím poli pak vyhledáváme web, ve kterém dochází k neustálému dotazování na certifikát. Pokud je web na asp doporučuji hledat „asp.“ případně „asptest.“ prostě abychom vyfiltrovali úplně přesně to co potřebujeme, certifikáty nás nezajímají. Vyhledáním vyfiltrujeme přibližně takové výsledky:

Obrázek 4 - strana 22 8. Toto jsou ty předvolby identity uložené pro aplikaci, kde se Safari neustále dotazuje na certifikát. 9. Nyní je to velmi individuální. U většiny případů by mělo stačit vymazat všechny předvolby identity kromě té jedné co má nejkratší adresu, ne rozvětvenou. (na obrázku všechny kromě první). Prostě je vybereme s shiftem, stiskneme pravé tlačítko myši a smažeme položky. Pokud však ta předvolba identity je starší než nový certifikát, tento postup fungovat nebude.

  • a. Pak otevřeme tu jedinou položku co tam zůstala (dvojklikem):

    Obrázek 1 - strana 23

  • b. V názvu (pro přehled) a hlavně „Kde:“ zeditujeme adresu tak, aby tam byla doména / aplikace a na konci také /. V příkladu https://asptest.eso.cz/eso9inttablet/

  • c. Může se stát, že tam preferovaný certifikát nebude vyplněný, tak tam vyberte ten klientský

  • d. Výsledek:

    Obrázek 2 - strana 23

  • e. Uložíme změny a spustíme Safari

  • f. Nyní by se již Safari nemělo dotazovat

  1. Pokud postup v bodě 9 nefunguje
  • a. V bodě 7, když jsme našli všechny předvolby identity, vymažeme všechny předvolby identity (vyhledáním dalších klíčových slov si ověříme, že jsme smazali opravdu všechny)
  • b. Spustíme Safari a jdeme do naší aplikace, budeme opět dotazováni na certifikát. Projdeme pár činností a potvrdíme dialogy na ověření certifikátu. Tím se nám uloží nové předvolby identity.
  • c. Pak Safari zavřeme a opakujeme postup od bodu 6