Certifikační Politika (Certificate Policy)

FNMH Root CA 2026 - Veřejná část

1. Úvod a Přehled

1.1 Účel Dokumentu

Tento dokument definuje veřejnou část Certifikační Politiky (Certificate Policy, CP) pro FNMH Root CA 2026 - Root Certificate Authority Fakultní nemocnice Motol a Homolka. Dokument popisuje základní principy fungování PKI infrastruktury, typy vydávaných certifikátů a pravidla pro jejich použití.

1.2 Rozsah

Tato certifikační politika se vztahuje na:

• Root CA: FNMH Root CA 2026
• SubCA: Všechny podřízené certifikační autority vydané Root CA
• End Entity Certifikáty: Všechny certifikáty vydané SubCA

2. Identifikace Autority

• Vydavatel: Fakultní nemocnice Motol a Homolka
• Sídlo: V Úvalu 84, 150 06 Praha 5
• IČO: 00064203
• Root CA Subject DN: C=CZ, O=Fakultní nemocnice Motol a Homolka, CN=FNMH Root CA 2026

3. Typy Certifikátů

3.1 Root CA Certifikát

• Účel: Kořenová autorita, podepisování SubCA certifikátů
• Platnost: 25 let (2026-2051)
• Algoritmus: RSA 4096 bit, SHA-384

3.2 SubCA Certifikáty

• Účel: Podřízené autority pro specifické účely (Identity Management, Application Services pro SIP/TLS, SMTP/STARTTLS a obdobné protokoly, SSL inspekce na firewallech) — všechny přímo pod Root CA
• Platnost: Maximálně do konce platnosti Root CA (u Application Services SubCA nejvýše 15 let dle vnitřních pravidel)
• Algoritmus: RSA 4096 bit, SHA-384

3.3 End Entity Certifikáty

• Účel: Koncové certifikáty pro servery, uživatele a zařízení
• Platnost: Typicky 1 rok; maximální délka závisí na vydávající SubCA — certifikáty pro webové TLS z IdM CA nejvýše 820 dní (kompatibilita s Apple/Safari), z Application Services CA nejvýše 10 let pro aplikační šifrování
• Algoritmus: RSA 2048+ bit, SHA-256+

4. Správa Certifikátů

4.1 CRL (Certificate Revocation List)

Seznam zneplatněných certifikátů (CRL) je pravidelně vydáván a publikován. Každý vydaný certifikát obsahuje odkaz na příslušný CRL v rozšíření crlDistributionPoints.

4.2 OCSP (Online Certificate Status Protocol)

Pro online ověření stavu certifikátu je v podporovaných případech k dispozici OCSP responder. URL je uvedeno v certifikátu v rozšíření authorityInfoAccess.

5. Stažení Certifikátů a CRL

5.1 FNMH Root CA 2026

Kořenová certifikační autorita.

• Certifikát (CRT): FNMH Root CA 2026.crt
• Certifikát (PEM): FNMH Root CA 2026.pem
• Certifikát (DER): FNMH Root CA 2026.der
• CRL: https://ca.fnmh.network/ca.crl
• Fingerprint (SHA-256): 30:35:99:10:90:E1:B7:90:06:5B:90:DD:66:37:7A:F3:A0:3D:A0:0F:26:62:12:F3:8A:87:D1:5A:15:7D:C7:4E

5.2 FNMH IdM CA 2026

SubCA pro správu identit a interní systémy.

• Certifikát (CRT): FNMH IdM CA 2026.crt
• Certifikát (PEM): FNMH IdM CA 2026.pem
• Certifikát (DER): FNMH IdM CA 2026.der
• CRL: https://2026.ca.fnmh.network/ipa/crl/MasterCRL.bin
• OCSP: https://2026.ca.fnmh.network/ca/ocsp
• Fingerprint (SHA-256): 4C:AD:3A:28:74:E9:47:74:E5:6C:D9:17:11:D8:77:E0:CC:DD:2E:82:CC:1B:EF:E4:FE:8D:FE:30:02:16:E0:A5

5.3 FNMH Firewall CA 2026

SubCA pro SSL inspekci na firewallech Palo Alto.

• Certifikát (CRT): FNMH Firewall CA 2026.crt
• Certifikát (PEM): FNMH Firewall CA 2026.pem
• Certifikát (DER): FNMH Firewall CA 2026.der
• CRL: https://ca.fnmh.network/ca.crl (Vydává Root CA)
• Fingerprint (SHA-256): 60:58:E9:A7:8F:18:0B:72:83:39:18:F9:0C:FB:15:CF:4D:74:97:86:7B:56:2C:06:34:6B:B3:CB:19:C7:E4:12

5.4 FNMH Application Services CA 2026

SubCA pro šifrování aplikační komunikace (SIP/TLS, SMTP/STARTTLS a obdobné protokoly). Platnost SubCA nejvýše 15 let; koncové certifikáty nejvýše 10 let. Veřejně se pro tuto CA nepublikuje CRL ani OCSP.

• Certifikát (CRT): FNMH Application Services CA 2026.crt
• Certifikát (PEM): FNMH Application Services CA 2026.pem
• Certifikát (DER): FNMH Application Services CA 2026.der
• Fingerprint (SHA-256): F9:89:00:74:42:81:89:BC:FB:C4:D3:F8:55:70:DB:AD:5B:FB:8C:C1:C7:C0:98:83:28:19:16:3D:FF:98:14:94

6. Kontaktní Informace

Pro ověření certifikátů nebo hlášení bezpečnostních incidentů kontaktujte správce PKI:

• E-mail: tomas.pansky@fnmh.cz
• Web: ca.fnmh.network

Certificate Policy (CP)

FNMH Root CA 2026 - Public Document

1. Introduction and Overview

1.1 Purpose of Document

This document defines the public part of the Certificate Policy (CP) for FNMH Root CA 2026 - Root Certificate Authority of Motol and Homolka University Hospital. The document describes the basic principles of the PKI infrastructure, types of issued certificates, and rules for their usage.

1.2 Scope

This Certificate Policy applies to:

• Root CA: FNMH Root CA 2026
• SubCA: All subordinate certificate authorities issued by Root CA
• End Entity Certificates: All certificates issued by SubCA

2. Authority Identification

• Issuer: Motol and Homolka University Hospital
• Address: V Úvalu 84, 150 06 Prague 5, Czech Republic
• Root CA Subject DN: C=CZ, O=Fakultní nemocnice Motol a Homolka, CN=FNMH Root CA 2026

3. Certificate Types

3.1 Root CA Certificate

• Purpose: Root authority, signing SubCA certificates
• Validity: 25 years (2026-2051)
• Algorithm: RSA 4096 bit, SHA-384

3.2 SubCA Certificates

• Purpose: Subordinate authorities for specific purposes (Identity Management, Application Services for SIP/TLS, SMTP/STARTTLS and similar protocols, SSL inspection on firewalls) — all directly under Root CA
• Validity: Maximum until Root CA expiration (Application Services SubCA up to 15 years per internal policy)
• Algorithm: RSA 4096 bit, SHA-384

3.3 End Entity Certificates

• Purpose: End certificates for servers, users, and devices
• Validity: Typically 1 year; maximum depends on issuing SubCA — web TLS certificates from IdM CA up to 820 days (Apple/Safari compatibility), from Application Services CA up to 10 years for application encryption
• Algorithm: RSA 2048+ bit, SHA-256+

4. Certificate Management

4.1 CRL (Certificate Revocation List)

The Certificate Revocation List (CRL) is regularly issued and published. Each issued certificate contains a link to the relevant CRL in the crlDistributionPoints extension.

4.2 OCSP (Online Certificate Status Protocol)

For online certificate status verification, an OCSP responder is available where supported. The URL is specified in the certificate's authorityInfoAccess extension.

5. Certificate and CRL Download

5.1 FNMH Root CA 2026

Root Certificate Authority.

• Certificate (CRT): FNMH Root CA 2026.crt
• Certificate (PEM): FNMH Root CA 2026.pem
• Certificate (DER): FNMH Root CA 2026.der
• CRL: https://ca.fnmh.network/ca.crl
• Fingerprint (SHA-256): 30:35:99:10:90:E1:B7:90:06:5B:90:DD:66:37:7A:F3:A0:3D:A0:0F:26:62:12:F3:8A:87:D1:5A:15:7D:C7:4E

5.2 FNMH IdM CA 2026

SubCA for identity management and internal systems.

• Certificate (CRT): FNMH IdM CA 2026.crt
• Certificate (PEM): FNMH IdM CA 2026.pem
• Certificate (DER): FNMH IdM CA 2026.der
• CRL: https://2026.ca.fnmh.network/ipa/crl/MasterCRL.bin
• OCSP: https://2026.ca.fnmh.network/ca/ocsp
• Fingerprint (SHA-256): 4C:AD:3A:28:74:E9:47:74:E5:6C:D9:17:11:D8:77:E0:CC:DD:2E:82:CC:1B:EF:E4:FE:8D:FE:30:02:16:E0:A5

5.3 FNMH Firewall CA 2026

SubCA for SSL inspection on Palo Alto firewalls.

• Certificate (CRT): FNMH Firewall CA 2026.crt
• Certificate (PEM): FNMH Firewall CA 2026.pem
• Certificate (DER): FNMH Firewall CA 2026.der
• CRL: https://ca.fnmh.network/ca.crl (Issued by Root CA)
• Fingerprint (SHA-256): 60:58:E9:A7:8F:18:0B:72:83:39:18:F9:0C:FB:15:CF:4D:74:97:86:7B:56:2C:06:34:6B:B3:CB:19:C7:E4:12

5.4 FNMH Application Services CA 2026

SubCA for application-layer encryption (SIP/TLS, SMTP/STARTTLS and similar protocols). SubCA validity up to 15 years; end-entity certificates up to 10 years. CRL and OCSP are not published publicly for this CA.

• Certificate (CRT): FNMH Application Services CA 2026.crt
• Certificate (PEM): FNMH Application Services CA 2026.pem
• Certificate (DER): FNMH Application Services CA 2026.der
• Fingerprint (SHA-256): F9:89:00:74:42:81:89:BC:FB:C4:D3:F8:55:70:DB:AD:5B:FB:8C:C1:C7:C0:98:83:28:19:16:3D:FF:98:14:94

6. Contact Information

For certificate verification or security incident reporting, contact the PKI administrator:

• E-mail: tomas.pansky@fnmh.cz
• Web: ca.fnmh.network