Podręcznik użytkownika CryptoCard Suite

Transkrypt

Podręcznik użytkownika
CryptoCard Suite
Wersja podręcznika 2.0
Data publikacji: 19.03.2010
Dla CryptoCard Suite w wersji 1.20
i
Spis treści
1
2
3
Wprowadzenie ................................................................................................................................ 1
1.1
Informacje dotyczące podręcznika ......................................................................................... 1
1.2
Konwencje dokumentacji........................................................................................................ 1
1.3
Słownik pojęd .......................................................................................................................... 1
1.4
O zestawie CryptoCard Set...................................................................................................... 2
1.5
Informacje dla użytkowników aplikacji Płatnik oraz innych aplikacji wykorzystujących PKI .. 4
Instalacja pakietu CryptoCard Suite ................................................................................................ 7
2.1
Wymagania systemowe aplikacji CryptoCard Suite ................................................................ 7
2.2
Instalacja pakietu CryptoCard Suite ........................................................................................ 7
2.3
Sprawdzenie poprawności instalacji ....................................................................................... 9
2.4
Sprawdzenie aktualności oprogramowania CryptoCard Suite ............................................. 11
2.5
Konfiguracja programu CryptoCard Suite ............................................................................. 13
2.6
Odinstalowanie pakietu CryptoCard Suite ............................................................................ 16
2.7
Gdy wystąpią problemy ........................................................................................................ 17
Obsługa karty kryptograficznej - częśd niekwalifikowana............................................................. 19
3.1
Czynności przypisane do roli operatora karty ....................................................................... 19
3.1.1
3.2
4
Zmiana kodu PIN dla części niekwalifikowanej karty .................................................... 19
Czynności przypisane do roli administratora karty ............................................................... 20
3.2.1
Ustawienie głównego hasła dla części niekwalifikowanej ............................................ 20
3.2.2
Inicjalizacja karty ........................................................................................................... 23
3.2.3
Odblokowanie tokenu w części niekwalifikowanej karty ............................................. 25
Obsługa karty kryptograficznej - częśd kwalifikowana.................................................................. 28
4.1
Czynności przypisane do roli operatora karty ....................................................................... 28
4.1.1
Zmiana kodu PIN dla części kwalifikowanej karty ......................................................... 28
4.1.2
Blokowanie możliwości użycia kwalifikowanej części karty CryptoCard multiSIGN ..... 29
4.2
Czynności przypisane do roli administratora karty ............................................................... 30
4.2.1
Aktywacja części kwalifikowanej karty CryptoCard ...................................................... 30
4.2.2
Odblokowanie kwalifikowanej części karty w przypadku jej zablokowania na skutek
błędnego wprowadzenia kodu PIN ............................................................................................... 33
5
Najczęściej zadawane pytania (FAQ) ............................................................................................ 35
5.1
Dlaczego pracując w sesji terminalowej Windows Terminal Services "nie działa" czytnik
zainstalowany na serwerze terminalowym a działa tylko czytnik lokalny mojej stacji roboczej? .... 35
5.2
Nie działa karta inteligentna (i czytnik) podłączony do stacji roboczej, z której następuje
łączenie się do serwera terminalowego (przez protokół RDP) ......................................................... 36
ii
5.3
Jak można zdiagnozowad poprawnośd konfiguracji mojego komputera do pracy z kartami
CryptoCard? ...................................................................................................................................... 37
5.4
Nie można włączyd usługi "Smart Card/Karta Inteligentna" w systemie Windows XP......... 38
5.5
Aplikacja 'Płatnik' nie współpracuje poprawnie z kartami CryptoCard multiSIGN na
platformach Windows 98/Me/NT4................................................................................................... 39
5.6
Asystent konfiguracji CryptoCard Suite wyświetla komunikat "Uszkodzona biblioteka
CCPKI11.DLL, brak lub wadliwe sterowniki czytnika PC/SC lub Smart Card Base Components. ...... 39
5.7
Po zarejestrowaniu modułu kryptograficznego PKCS#11 narzędziem Cryptotech->Rejestruj
w Mozilli aplikacja Mozilla Firefox nie widzi poprawnie certyfikatów na karcie. ............................. 40
5.8
Po aktualizacji oprogramowania CryptoCardSuite z wersji 1.12.x do wersji 1.20.x nie mogę
używad certyfikatów z karty. ............................................................................................................. 40
5.9
Po wyjęciu karty z czytnika nie następuje zerwanie sesji SSL w MS Internet Explorer......... 40
5.10 Nie mogę logowad się kartą do mojego komputera mimo tego, że czytnik jest podłączony a
oprogramowanie działa poprawnie. ................................................................................................. 41
5.11 Jak dodad do Mozilla Thunderbird możliwośd podpisywania i szyfrowania korespondencji z
użyciem kart CryptoCard? ................................................................................................................. 41
5.12
Jak przenieśd na kartę klucz i certyfikat służący do szyfrowania systemu plików (EFS)? ..... 41
5.13
Ile certyfikatów zmieści się na moją kartę? .......................................................................... 41
5.14
Nie mogę podpisad wiadomości e-mail mimo tego, że posiadam certyfikat kwalifikowany.
41
5.15 Wygenerowałem wniosek o certyfikację przy pomocy Asystenta Certyfikatów. Co dalej? Jak
mogę zarejestrowad taki certyfikat w systemie? .............................................................................. 42
5.16 Aplikacja 'Płatnik' nie współpracuje poprawnie z kartami CryptoCard multiSIGN na
platformie Windows XP. ................................................................................................................... 42
5.17
6
Czytnik SCR3310 nie instaluje się poprawnie na platformie Windows 98/Me. .................... 42
Uzyskanie certyfikatu .................................................................................................................... 43
6.1
Przygotowanie wniosku o certyfikację w formacie PKCS#10................................................ 44
6.2
Import certyfikatów oraz kluczy na kartę ............................................................................. 49
6.3
Rejestracja certyfikatu w systemie ....................................................................................... 53
6.4
Uzyskanie certyfikatu on-line na przykładzie centrum certyfikacji w domenie Active
Directory ........................................................................................................................................... 56
7
Dodatkowe oprogramowanie wchodzące w skład pakietu CryptoCard Suite .............................. 63
7.1
Automatyczna instalacji modułu CryptoCard PKCS#11 w programach typu Mozilla (na
przykładzie Mozilla Firefox 3.6) ........................................................................................................ 63
7.2
Odinstalowanie modułu CryptoCard PKCS#11 w programach typu Mozilla (na przykładzie
Mozilla Firefox 3.6) ........................................................................................................................... 65
iii
Spis rysunków
Rysunek 1 Podstawowe komponenty biorące udział w składaniu podpisu elektronicznego ................. 5
Rysunek 2 Dialog wyboru rodzaju instalacji............................................................................................ 8
Rysunek 3 Koocowe okno instalacji aplikacji CryptoCard Suite .............................................................. 9
Rysunek 4 Zawartośd grupy CryptoCard Suite w menu Start ................................................................. 9
Rysunek 5 Asystent Konfiguracji ........................................................................................................... 11
Rysunek 6 Sprawdzanie wersji CryptoCard Suite.................................................................................. 12
Rysunek 7 Witryna update.cryptotech.com.pl ..................................................................................... 12
Rysunek 8 Konfiguracja programu CryptoCard Suite............................................................................ 13
Rysunek 9 Dodatkowe obszary niekwalifikowane (tokeny) na karcie CryptoCard multiSIGN ............. 14
Rysunek 10 Ustawienie opcji "Trwały PIN" w oknie wprowadzania kodu PIN ..................................... 15
Rysunek 11 Dodatkowe obszary niekwalifikowane .............................................................................. 16
Rysunek 12 Ikona programu deinstalacyjnego w Menu Start .............................................................. 16
Rysunek 13 Wpis dla CryptoCard Suite w aplecie "Dodaj/usuo programy" ......................................... 17
Rysunek 14 Usuwanie błędów związanych z instalacją aplikacji CryptoCard Suite .............................. 18
Rysunek 15 Ostrzeżenie dotyczące zmiany kodu PIN ........................................................................... 19
Rysunek 16 Okno zmiany kodu PIN lub SO PIN..................................................................................... 20
Rysunek 17 Potwierdzenie zmiany kodu PIN ........................................................................................ 20
Rysunek 18 Hasło główne ..................................................................................................................... 21
Rysunek 19 Ustawianie hasła głównego ............................................................................................... 22
Rysunek 20 Komunikat o ustawieniu hasła głównego .......................................................................... 22
Rysunek 21 Stan po ustawieniu hasła głównego .................................................................................. 23
Rysunek 22 Ostrzeżenie dotyczące inicjalizacji karty............................................................................ 24
Rysunek 23 Inicjalizacja karty................................................................................................................ 24
Rysunek 24 Komunikat informujący o zakooczeniu procesu inicjalizacji karty .................................... 24
Rysunek 25 Zainicjalizowana karta ze zmienioną etykietą ................................................................... 25
Rysunek 26 Informacja o zablokowaniu tokena w części niekwalifikowanej karty .............................. 26
Rysunek 27 Ostrzeżenie dotyczące wykonywania dalszych operacji ................................................... 26
Rysunek 28 Odblokowanie tokena ....................................................................................................... 27
Rysunek 29 Kwalifikowana częśd karty CryptoCard multiSIGN po aktywacji ....................................... 27
Rysunek 30 Ostrzeżenie dotyczące zmiany kodu PIN ........................................................................... 28
Rysunek 31 Okno zmiany kodu PIN....................................................................................................... 28
Rysunek 32 Potwierdzenie zmiany kodu PINOo ................................................................................... 29
Rysunek 33 Dialog trwałego niszczenia (blokowania) klucza prywatnego ........................................... 29
Rysunek 34 Potwierdzenie trwałego zablokowania dostępu do części (obszaru) kwalifikowanej karty
.............................................................................................................................................................. 30
Rysunek 35 Informacja o zablokowaniu klucza prywatnego ................................................................ 30
Rysunek 36 Struktura karty CryptoCard multiSIGN .............................................................................. 31
Rysunek 37 Aktywacja kwalifikowanej części karty CryptoCard multiSIGN ......................................... 32
Rysunek 38 Informacja o pomyślnej aktywacji kwalifikowanej części karty CryptoCard multiSIGN .... 32
Rysunek 39 Kwalifikowana częśd karty CryptoCard multiSIGN po aktywacji ....................................... 33
Rysunek 40 Ostrzeżenie dotyczące odblokowania dostępu do części kwalifikowanej karty ............... 33
Rysunek 41 Okno ustawiania nowego lub przywracania kodu PIN dla części kwalifikowanej karty .... 34
Rysunek 42 Informacja o odblokowaniu części kwalifikowanej karty .................................................. 34
iv
Rysunek 43 Podstawowe komponenty umożliwiające korzystanie z kart kryptograficznych .............. 38
Rysunek 44 Narzędzia dodatkowe ........................................................................................................ 44
Rysunek 45 Asystent wniosku PKCS#10 ................................................................................................ 45
Rysunek 46 Przygotowanie wniosku o certyfikację .............................................................................. 46
Rysunek 47 Wybór karty ....................................................................................................................... 47
Rysunek 48 Wybór długości klucza oraz etykiety ................................................................................. 48
Rysunek 49 Wskazanie miejsca na dysku gdzie zostanie zapisany wygenerowany wniosek ............... 49
Rysunek 50 Asystent importu certyfikatów i klucza prywatnego (PKCS#12) ....................................... 50
Rysunek 51 Wybór karty kryptograficznej ............................................................................................ 50
Rysunek 52 Podanie kodu PIN .............................................................................................................. 51
Rysunek 53 Podanie hasła do pliku PKCS#12 ........................................................................................ 52
Rysunek 54 Rejestracja certyfikatu w systemie .................................................................................... 53
Rysunek 55 Komunikat informujący o pomyślnym zakooczeniu importu certyfikatu.......................... 53
Rysunek 56 Asystent rejestracji ............................................................................................................ 54
Rysunek 57 Wybór karty ....................................................................................................................... 54
Rysunek 58 Wybór certyfikatu .............................................................................................................. 55
Rysunek 59 Nadanie przyjaznej nazwy i wybór magazynu certyfikatów .............................................. 56
Rysunek 60 Komunikat koocowy instalacji certyfikatu ......................................................................... 56
Rysunek 61 Główna strona CA domeny Active Directory ..................................................................... 57
Rysunek 62 Wybór rodzaju wniosku ..................................................................................................... 58
Rysunek 63 Wybór rodzaju wniosku - opcje zaawansowane ............................................................... 59
Rysunek 64 Wybór systemowego dostawcy usług kryptograficznych ................................................. 60
Rysunek 65 Ostrzeżenie o występowaniu o wniosek we własnym imieniu ......................................... 61
Rysunek 66 Generowanie klucza przez CSP .......................................................................................... 61
Rysunek 67 Uruchomienie narzędzia "Rejestru w Mozilli" ................................................................... 63
Rysunek 68 Wybór aplikacji typu Mozilla ............................................................................................. 63
Rysunek 69 Instalacja modułu PKCS#11 - Informacja dla użytkownika ................................................ 64
Rysunek 70 Zezwolenie na uruchomienie skryptu ............................................................................... 64
Rysunek 71 Potwierdzenie zainstalowania modułu ............................................................................. 65
Rysunek 72 Uruchomienie narzędzia "Rejestruj w Mozilli" .................................................................. 65
v
Spis tabel
Tabela 1 Informacje dotyczące podręcznika ........................................................................................... 1
Tabela 2 Konwencje typograficzne ......................................................................................................... 1
Tabela 3 Słownik pojęd............................................................................................................................ 1
Tabela 4 Wymagania dotyczące konfiguracji .......................................................................................... 7
vi
1 Wprowadzenie
1.1 Informacje dotyczące podręcznika
Tabela 1 Informacje dotyczące podręcznika
Wersja
2.0
Data publikacji
19.03.2010
Autor
Przemysław Karch
Weryfikował
Maciej Machacz
1.2 Konwencje dokumentacji
W celu ułatwienia posługiwania się niniejszym dokumentem, przyjęliśmy
następujące konwencje typograficzne.
Tabela 2 Konwencje typograficzne
Krój czcionki
Znaczenie
kursywa
Przytoczenie terminu obcojęzycznego
tekst
wytłuszczony
Termin, który należy zapamiętać. Zazwyczaj są to
pojęcia często używane w dokumentacji CryptoCard
Suite i ich zapamiętanie znacznie ułatwi posługiwanie się
niniejszą dokumentacją.
1.3 Słownik pojęć
Aby móc szybko rozpocząć używanie aplikacji CryptoCard Suite należy
poznać terminologię stosowaną w świecie bezpieczeństwa i kryptografii.
Zrozumienie tych kilku pojęć stanowi klucz do swobodnego poruszania się
w aplikacji CryptoCard Suite jak i w innych systemach związanych
z bezpieczeństwem.
Tabela 3 Słownik pojęd
Termin
Znaczenie
PIN
Personal Identification Numer. Kod (4 do 8 cyfr), który
zabezpiecza aplikację na karcie, w części kwalifikowanej
lub niekwalifikowanej, przed użyciem przez niepowołaną
osobę. Dla kart elektronicznych CryptoCard multiSIGN
kod ten domyślnie dla części niekwalifikowanej
ustawiony jest na "1111". Natomiast dla części
kwalifikowanej kod PIN ustawiany jest podczas
aktywacji podobnie jak kod PUK.
W zależności od rodzaju tokena dla części
niekwalifikowanej minimalna długość PIN wynosi 4 a dla
części kwalifikowanej 6 znaków.
SO PIN
Security Officer Personal Identification Number. Kod
1
Wprowadzenie
PIN,
który
jest
używany
do
odblokowania
niekwalifikowanej aplikacji karty (np. na skutek
trzykrotnego błędnego wprowadzenia kodu PIN
użytkownika) lub podczas inicjalizacji.
PUK
Personal Unlocking Key. 8-cyfrowy kod, który służy do
odblokowania kwalifikowanej części karty CryptoCard
multiSIGN. Kod ten jest ustawiany przez użytkownika w
trakcie aktywacji kwalifikowanej części karty i nie może
zostać zmieniony w trakcie użytkowania.
PKCS
Public Key Cryptography Standard. Nazwa zestawu
standardów
kryptografii
klucza
publicznego,
opracowanych i opublikowanych przez firmę RSA
Security.
CA
Certification Authority.
certyfikacyjne
oraz
certyfikatami.
CRL
Certificate Revocation List. Specjalna lista zawierająca
wykaz unieważnionych certyfikatów wydanych przez
dany Urząd Certyfikacji (CA).
Urząd świadczący usługi
zarządzający
wydanymi
Wszelkie uwagi dotyczące niniejszego dokumentu prosimy kierować pod
adres e-mail <[email protected]>.
1.4 O zestawie CryptoCard Set
CryptoCard Set to zestaw składający się z karty mikroprocesorowej
CryptoCard
multiSIGN
oraz
z towarzyszącego
jej
pakietu
oprogramowania CryptoCard Suite.
Karta CryptoCard multiSIGN jest specjalizowaną, kryptograficzną kartą
mikroprocesorową
przeznaczoną
do
realizacji
kwalifikowanego
i niekwalifikowane podpisu elektronicznego oraz funkcji identyfikacji
i silnego uwierzytelniania użytkowników. Karta ta, uzupełniona
o oprogramowanie podpisujące i uwierzytelniające, stanowi doskonałe
narzędzie wspierające szeroką gamę rozwiązań pracujących w ramach
Infrastruktury Klucza Publicznego (PKI). Wsparcie dla dominujących na
rynku standardów pozwala na użycie karty w typowych zastosowaniach
wewnątrz organizacji (takich jak dostęp do komputerów, sieci czy innych
zasobów) oraz umożliwia zrealizowanie w pełni idei podpisu
elektronicznego. Na karcie CryptoCard multiSIGN można wyróżnić dwie
struktury obsługiwanych aplikacji, co oznacza, że może jednocześnie
zawierać aplikację podpisu niekwalifikowanego oraz certyfikowaną
aplikację podpisu kwalifikowanego. W tym drugim przypadku karta
stanowi komponent techniczny spełniający wymagania prawa polskiego
stawiane bezpiecznym urządzeniom do składania kwalifikowanego
podpisu elektronicznego.
Karta CryptoCard multiSIGN odznacza się następującymi cechami:
32 kB pamięci,
2
Wprowadzenie
podpisywanie i szyfrowanie RSA 1024 bity,
DES, 3DES, MAC i SHA-1 realizowane na karcie,
generowanie kluczy na karcie,
wsparcie dla standardów przemysłowych (PKCS#11, PKCS#15, MS
CryptoAPI, PC/SC),
uznany
producent
systemu
operacyjnego
dla
wymagających aplikacji klasy digitalID - Setec Oy,
najbardziej
certyfikat bezpieczeństwa ITSEC na poziomie E3 High, dla aplikacji,
certyfikat bezpieczeństwa ITSEC na poziomie E4 High, dla układu
elektronicznego karty,
pełne wsparcie dla systemów 32 bitowych - Windows 2000, XP, 2003,
Vista, 7 i 2008,
ograniczone wsparcie dla systemów 64 bitowych – Windows XP, 2003,
Vista, 7, 2008
wsparcie dla pracy terminalowej Cytrix Metaframe i RDP,
możliwe łączenie z aplikacjami dedykowanymi.
Mechanizmy bezpieczeństwa zarządzania kluczami są zlokalizowane na
karcie. Karta zarówno generuje klucze, jak również podpisuje nimi dane
3
Wprowadzenie
na zlecenie zewnętrznych aplikacji po weryfikacji kodu PIN. Aplikacje
umieszczone na karcie w części kwalifikowanej i niekwalifikowanej są
odseparowane i chronione oddzielnymi kodami PIN.
Oprogramowanie CryptoCard Suite realizuje standard PKCS#11 w wersji
2.01, a wewnętrzne struktury aplikacji są zgodne ze standardem
PKCS#15. Oprogramowanie to zawiera również certyfikowany przez
Microsoft moduł Cryptografic Service Provider (CSP) dedykowany do
pracy przez interfejs CryptoAPI 2.0. Ponieważ interfejsy te korzystają ze
standardu PC/SC możliwe jest wykorzystanie w środowisku Windows
szerokiej gamy czytników kart.
Zestaw CryptoCard Set współpracuje z oprogramowaniem liderów rynku
PKI: Cybertrust (Baltimore), RSA Security, Entrust, CheckPoint,
Microsoft, Netscape, PGP, Novell i wielu innych.
Najnowsze informacje na temat zmian w oprogramowaniu CryptoCard
Suite znajdują się w pliku ReadMe.txt dołączonym do pakietu
instalacyjnego. Plik ten można znaleźć w katalogu, w którym zostało
zainstalowane oprogramowanie.
1.5 Informacje dla użytkowników aplikacji Płatnik oraz innych aplikacji
wykorzystujących PKI
Zgodnie z ustawą z dnia 17 lutego 2005 r. o informatyzacji podmiotów
realizujących zadania publiczne, od dnia 21 lipca 2008 r. każdy dokument
przekazywany do ZUS musi być opatrzony bezpiecznym podpisem
elektronicznym weryfikowanym za pomocą ważnego certyfikatu
kwalifikowanego.
W związku z tym program Płatnik, począwszy od wersji 7.01.001,
umożliwia wykorzystanie kart kryptograficznych i obsługuje certyfikaty
kwalifikowane. W tym celu konieczne było wprowadzenie obsługi
certyfikatów kwalifikowanych i list certyfikatów unieważnionych
pochodzących z trzech uprawnionych centrów certyfikacji:
Sigillum (PWPW - Polskiej Wytwórni Papierów Wartościowych)
Szafir (KIR - Krajowej Izby Rozliczeniowej)
Unizeto Technologies
Aby móc podpisywać dokumenty bezpiecznym podpisem elektronicznym,
należy dysponować:
odpowiednią aplikacją umożliwiającą złożenie bezpiecznego podpisu
elektronicznego,
odpowiednim oprogramowanie typu middleware,
kartą kryptograficzną z certyfikatem kwalifikowanym,
czytnikiem kart kryptograficznych,
4
Wprowadzenie
W przypadku, gdy dostawcą certyfikatu jest Sigillum (PWPW) lub Szafir
(KIR), istnieje duże prawdopodobieństwo że karta, którą otrzyma
użytkownik w ramach zestawu do składania bezpiecznego podpisu
elektronicznego, to będzie CryptoCard multiSIGN. Wraz z tą kartą
zostanie dostarczone również oprogramowanie CryptoCard Suite.
Na poniższym rysunku przedstawiono podstawowe komponenty
(urządzenia i oprogramowanie), które biorą udział w składaniu podpisu
elektronicznego.
Rysunek 1 Podstawowe komponenty biorące udział w składaniu podpisu elektronicznego
Do oprogramowania należą:
Aplikacja Płatnik, czyli podstawowa aplikacja, którą wykorzystuje
użytkownik, między innymi do złożenia bezpiecznego podpisu
elektronicznego.
CryptoCard Suite, czyli oprogramowanie, które "udostępnia" zestaw
funkcji kryptograficznych wykonywanych przy użyciu karty, dla
aplikacji (w tym przypadku programu Płatnik).
System
operacyjny
wspierający
elektronicznych (np. Windows XP).
obsługę
czytników
kart
Sterownik dla stosowanego czytnika kart elektronicznych (np. SCM
SCR 3310).
Do urządzeń należą:
Czytnik kart elektronicznych, który fizycznie umożliwia komunikację
5
Wprowadzenie
między kartą a pozostałymi komponentami systemu.
Karta kryptograficzna, czyli urządzenie, którego podstawową funkcją
jest ochrona klucza prywatnego użytkownika.
6
2
Instalacja pakietu CryptoCard Suite
2.1 Wymagania systemowe aplikacji CryptoCard Suite
Pakiet CryptoCard Suite jest przeznaczony do pracy w całej rodzinie
współczesnych systemów Microsoft Windows, jednak te starsze wersje
systemów są wspierane w ograniczonym zakresie.
Tabela 4 Wymagania dotyczące konfiguracji
Minimalne wymagania
dotyczące konfiguracji
komputera, pozwalające na
uruchomienie aplikacji
CryptoCard Suite
Microsoft Windows 2000
lub
System
operacyjny
Microsoft Windows XP
Microsoft Vista 32b
Zalecana konfiguracja
Microsoft Windows 2000
(z Service Pack 4)
lub
Microsoft Windows XP (z
Service Pack 2)
Microsoft Vista 32b (z
Service Pack 2)
procesor
233MHz
Konfiguracja
sprzętowa
Celeron
procesor Celeron
500MHz
64MB RAM
256MB RAM
Czytnik
kart
z
interfejsem USB lub
PC-CARD (zgodny ze
standardem PC/SC)
Czytnik kart z
interfejsem USB lub
PC-Card (zgodny ze
standardem PC/SC)
co
najmniej
10MB
wolnej przestrzeni na
dysku (potrzebne do
instalacji)
co najmniej 10MB
wolnej przestrzeni na
dysku (potrzebne do
instalacji)
2.2 Instalacja pakietu CryptoCard Suite
Uwaga!
Na systemach Microsoft Windows 2000 i XP instalacja musi się
odbyć z poziomu użytkownika z prawami lokalnego administratora
danej maszyny lub administratora domeny Active Directory
(Windows 2000/2003).
7
Oprogramowanie CryptoCard Suite jest dostarczane jako pojedynczy plik
wykonywalny setup.exe lub pakiet msi. Po uruchomieniu instalatora
użytkownik jest prowadzony przez kolejne ekrany, gdzie może dokonać
wyboru niektórych ustawień aplikacji CryptoCard Suite. Dostępne są dwie
metody instalacji - Pełna, która odznacza się tym, że aplikacja
CryptoCard Suite jest instalowana w domyślnym katalogu (C:\Program
Files\CryptoTech\CryptoCard) wraz z domyślnym zestawem bibliotek.
Druga metoda instalacji - Niestandardowa przeznaczona jest dla
użytkowników, którzy chcą dostosować instalację CryptoCard Suite do
swoich indywidualnych potrzeb.
W obu przypadkach program instalacyjny prowadzi użytkownika przez
szereg intuicyjnych ekranów.
Rysunek 2 Dialog wyboru rodzaju instalacji
Gdy program instalacyjny zakończy kopiowanie plików oraz rejestrowanie
składników aplikacji CryptoCard Suite w systemie operacyjnym, pojawi
się końcowy ekran instalatora (podobny do poniższego obrazka), gdzie
użytkownik może zadecydować, czy chce zainstalować w systemie
certyfikat CA oraz czy chce przeczytać plik ReadMe dołączony do tej wersji
(jest to zalecane).
8
Rysunek 3 Koocowe okno instalacji aplikacji CryptoCard Suite
2.3 Sprawdzenie poprawności instalacji
W celu weryfikacji poprawności instalacji należy sprawdzić czy na pulpicie
widoczne są ikony Menedżer CryptoCard Suite oraz Menedżer
komponentu technicznego, a w grupie start pojawiła się grupa
programów CryptoTech.
Rysunek 4 Zawartośd grupy CryptoCard Suite w menu Start
Poszczególne elementy oznaczają:
"Pomoc" - niniejszy podręcznik.
"ReadMe.txt" - plik readme.txt zawierający opis zmian w danej wersji,
opis znanych problemów itp.
9
"Asystent certyfikatów" - uruchamia zestaw narzędzi, które są
pomocne w zarządzaniu certyfikatami na karcie.
"Asystent konfiguracji" - program pomagający sprawdzić, czy
wymagane elementy systemu operacyjnego są zainstalowane i czy
działają poprawnie.
"CryptoCard Monitor" - program, który po uruchomieniu znajduje się
w zasobniku systemowym, a jego funkcja polega na automatycznym
zapewnieniu dostępu do certyfikatów umieszczonych na karcie
włożonej do czytnika kart (import certyfikatów z karty do
systemowych magazynów certyfikatów)
"Menadżer CryptoCard Suite" - program umożliwiający przeglądanie
zawartości karty, zarządzanie jej zawartością. Z poziomu menadżera
można uruchomić w/w programy.
"Menadżer komponentu technicznego" - program umożliwiający
przeglądanie zawartości karty w części kwalifikowanej.
"Rejestruj w Mozilli" - program pomagający zarejestrować tzw.
"Security device", umożliwiający korzystanie z kart CryptoCard
w programach typu Netscape Browser czy Mozilla.
"Wyrejestruj z Mozlilli" - program pomagający wyrejestrować "Security
Device" z programów typu Netscape Browser czy Mozilla.
"Licencja" - Tekst Umowy Licencyjnej.
"Odinstaluj CryptoCard Suite" - opcja umożliwiająca odinstalowanie
pakietu CryptoCard Suite.
Kolejnym krokiem jest uruchomienie asystenta konfiguracji. Aby to
osiągnąć należy z menu Start → Programy → CryptoTech →
CryptoCard Suite 1.2 wybrać opcję Asystent konfiguracji. Jest to
aplikacja, która pomoże sprawdzić czy pakiet CryptoCard Suite działa
poprawnie oraz czy system operacyjny spełnia założone minimalne
wymagania sprzętowo-systemowe.
10
Rysunek 5 Asystent Konfiguracji
Efektem działania Asystenta konfiguracji jest raport tekstowy, który
jest osiągalny z poziomu ostatniego ekranu asystenta pod klawiszem
Raport. Zawiera on informacje na temat systemu operacyjnego, bibliotek
powiązanych z aplikacja CryptoCard Suite oraz informacje dotyczące
zainstalowanych w systemie czytników kart elektronicznych. Raport nie
zawiera żadnych informacji dotyczących danych osobowych użytkownika
ani żadnych informacji na temat kluczy czy certyfikatów użytkownika.
Raport jest automatycznie zapisywany w pliku CrytoCardTest.log w
katalogu, w którym jest zainstalowana aplikacja.
2.4 Sprawdzenie aktualności oprogramowania CryptoCard Suite
Jeżeli użytkownik posiada dostęp do Internetu to może skorzystać z opcji
sprawdzania aktualności oprogramowania CryptoCard Suite. W celu
wykonania sprawdzania aktualności oprogramowania należy: uruchomić
Menadżera CryptoCard Suite (Start → Programy → CryptoTech →
CryptoCard Suite 1.2. → Menadżer CryptoCard Suite) i przejść do
zakładki Ogólne a następnie wybrać opcję Sprawdź uaktualnienia.
11
Rysunek 6 Sprawdzanie wersji CryptoCard Suite
W efekcie powinna otworzyć się domyślna przeglądarka internetowa
użytkownika i połączyć ze stroną http://update.cryptotech.com.pl. Na tej
stronie użytkownik uzyska informacje dotyczące aktualnie używanej
wersji oprogramowania CryptoCard Suite oraz czy jest dostępna nowsza
wersja.
Rysunek 7 Witryna update.cryptotech.com.pl
12
2.5 Konfiguracja programu CryptoCard Suite
Pakiet CryptoCard Suite posiada możliwość dopasowania w pewnym
zakresie do indywidualnych potrzeb użytkownika. Konfiguracji można
dokonać za pomocą zakładki Konfiguracja w Menadżerze CryptoCard
Suite.
Rysunek 8 Konfiguracja programu CryptoCard Suite
Możliwe do ustawienia są następujące opcje:
Dodatkowe PIN-y opcja możliwa tylko dla kart CryptoCard multiSIGN,
powoduje, że użytkownik ma do dyspozycji dwie dodatkowe
niekwalifikowane części karty (tokeny)
Włącz CCMonitor – uruchamia aplikację CCMonitor przy starcie
systemu oraz powoduje włączenie natychmiastowe CCMonitor i
umieszczenie go w zasobniku systemowym.
Trwały PIN włącza/wyłącza tymczasowe przechowywanie kodu PIN
dla programu korzystającego z CryptoAPI, w którym podano kod PIN.
Pozwól na archiwizację klucza prywatnego – opcja wykorzystywana w
przypadku używania aplikacji Microsoft Certification Authority, w celu
umożliwienia przeprowadzenia archiwizacji klucza prywatnego
użytkownika.
Uwaga!
Korzystanie z funkcjonalności "Trwały PIN" obniża bezpieczeństwo
korzystania z kart, ponieważ wymusza przechowywanie kodu PIN
w pamięci komputera.
W przypadku karty CryptoCard multiSIGN po załączeniu opcji "Dodatkowe
13
PIN-y" użytkownik ma do dyspozycji dwa dodatkowe niekwalifikowane
obszary karty.
Rysunek 9 Dodatkowe obszary niekwalifikowane (tokeny) na karcie CryptoCard multiSIGN
Ustawienie opcji "Trwały PIN" jest możliwe również w momencie, w
którym użytkownik wprowadza kod PIN w oknie wywołanym z aplikacji
(np. gdy użytkownik zamierza odczytać zaszyfrowaną pocztę). Dla opcji
"Trwały PIN" dostępne są trzy opcje:
bez ograniczeń - program nie będzie monitował użytkownika o
wprowadzenie kodu PIN podczas pracy z programem do momentu jego
zamknięcia i ponownego uruchomienia, co znacząco wpływa na
obniżenie poziomu bezpieczeństwa.
ograniczony czasem (minuty) - program nie będzie monitował
użytkownika o wprowadzenie kodu PIN podczas pracy z programem do
momentu upłynięcia czasu określonego w minutach przez
użytkownika.
ograniczony ilością operacji - program nie będzie monitował
użytkownika o wprowadzenie kodu PIN podczas pracy z programem do
momentu wykonania określonej przez użytkownika ilości operacji,
które w normalnym trybie pracy (bez załączonej opcji "Trwały PIN"
wymagałyby wprowadzenia kodu PIN.
14
Rysunek 10 Ustawienie opcji "Trwały PIN" w oknie wprowadzania kodu PIN
Po zaznaczeniu opcji "Dodatkowe PIN-y" i potwierdzeniu wyboru
klawiszem "OK" w zakładce Karty elektroniczne powinny pokazać się
dwa dodatkowe obszary (tokeny) niekwalifikowane, tak jak to
przedstawiono na rysunku poniżej.
15
Rysunek 11 Dodatkowe obszary niekwalifikowane
2.6 Odinstalowanie pakietu CryptoCard Suite
Najprostszym sposobem na odinstalowanie pakietu CryptoCard Suite jest
wybranie opcji Odinstaluj z grupy Start → Programy → CryptoTech →
CryptoCard Suite 1.2.
Rysunek 12 Ikona programu deinstalacyjnego w Menu Start
Proces deinstalacji przebiega w sposób zautomatyzowany. Program
usuwa pliki oraz wpisy systemowe pakietu CryptoCard Suite. Oczywiście
w celu odinstalowania pakietu CryptoCard Suite można skorzystać ze
standardowego narzędzia do deinstalacji pakietów "Dodaj/usuń
16
programy" dostępnego w Panelu Sterowania.
Rysunek 13 Wpis dla CryptoCard Suite w aplecie "Dodaj/usuo programy"
Uwaga!
Proces deinstalacji, podobnie jak proces instalacji musi odbywać się
z konta administratora danej maszyny (bądź konta użytkownika
posiadającego prawa administratora). Uwaga ta dotyczy systemów
2000/XP/2003.
Uwaga!
Może się okazać, że na dysku pozostał katalog, w którym była
zainstalowana aplikacja CryptoCard Suite. Zazwyczaj w takiej
sytuacji znajduje się w nim plik z logiem, który jest wynikiem
działania Asystenta Konfiguracji. W takiej sytuacji cały katalog
może zostać usunięty ręcznie.
2.7 Gdy wystąpią problemy
W sytuacji, gdy przez przypadek lub nieuwagę użytkownika zostanie
usunięty któryś plik z pakietu CryptoCard Suite (np. Assistant.exe)
można go doinstalować w następujący sposób. Należy uruchomić
program instalacyjny setup.exe i wybrać opcję "Usuń błędy". Program
instalacyjny sprawdzi integralność instalacji i spróbuje naprawić wykryte
błędy.
Uwaga!
Opcja "Usuń błędy" nie umożliwia odzyskania danych (kluczy,
certyfikatów) z zainicjalizowanej karty. Nie umożliwia też
odzyskania certyfikatów usuniętych nieopatrznie z systemu.
17
Rysunek 14 Usuwanie błędów związanych z instalacją aplikacji CryptoCard Suite
W przypadku gdy nadal występują należy zapoznać się z działaniem
aplikacji CryptoCard Suite, należy zapoznać się z zawartością FAQ
umieszczonego
na
naszej
stronie
pod
adresem:
http://www.cryptotech.com.pl/Pomoc_techniczna/Baza_wiedzy,content.
html oraz z zawartością strony dedykowanej dla użytkowników aplikacji
"Płatnik"
korzystających
z
karty
multiSIGN,
pod
adresem
http://www.cryptotech.com.pl/Pomoc_techniczna/CryptoCard_multiSIG
N_Platnik_ZUS,content.html.
18
3
Obsługa karty kryptograficznej - część niekwalifikowana
Uwaga!
Przeczytaj poniższy akapit zanim zaczniesz korzystać z karty!
Karta CryptoCard multiSIGN fabrycznie jest przygotowana zarówno do
obsługi
kwalifikowanego
jak
i niekwalifikowanego
podpisu
elektronicznego. Część niekwalifikowana jest gotowa do pracy od razu po
zakupie. Domyślny PIN użytkownika to 1111 a SO PIN to 2222. Ze
względów bezpieczeństwa zaleca się zmianę tych kodów przy rozpoczęciu
pracy z kartą CryptoCard multiSIGN. Odpowiednia funkcjonalność jest
dostępna w zakładce Karty elektroniczne pod przyciskiem Zmień PIN.
3.1 Czynności przypisane do roli operatora karty
3.1.1
Zmiana kodu PIN dla części niekwalifikowanej karty
Zmiana kodu PIN użytkownika lub kodu SO PIN może zostać
przeprowadzona w dowolnym momencie. W celu zmiany kodu PIN lub SO
PIN należy wybrać przycisk "Zmień PIN" z zakładki "Karty
kryptograficzne" w Menedżerze CryptoCard Suite. Pojawi się
ostrzeżenie podobne do przedstawionego poniżej.
Rysunek 15 Ostrzeżenie dotyczące zmiany kodu PIN
Po zatwierdzeniu operacji klawiszem "Tak" powinno się pojawić okno
podobne do przedstawionego poniżej.
19
Rysunek 16 Okno zmiany kodu PIN lub SO PIN
W celu zmiany kodu PIN użytkownika należy wybrać opcję "PIN
użytkownika" a następnie wpisać dotąd stosowany kod PIN oraz
dwukrotnie wpisać nowy kod PIN.
W celu zmiany kodu SO PIN należy wybrać opcję "SO PIN" i postępować
dalej identycznie jak w przypadku zmiany kodu PIN użytkownika.
Po wprowadzeniu nowych kodów PIN należy je zatwierdzić wybierając
przycisk "OK". Jeżeli zmiana kodu PIN zakończy się powodzeniem to
powinno się ukazać okno podobne do przedstawionego poniżej.
Rysunek 17 Potwierdzenie zmiany kodu PIN
3.2 Czynności przypisane do roli administratora karty
Uwaga!
Opisane poniżej działania powinny być wykonywane przez osobę
posiadającą odpowiednią wiedze informatyczną i świadomość
działania karty. Nieodpowiedzialne lub niepoprawne wykonanie
czynności administracyjnych w najgorszym przypadku może
doprowadzić do trwałego zablokowania możliwości korzystania z
poszczególnych tokenów karty.
3.2.1
Ustawienie głównego hasła dla części niekwalifikowanej
Uwaga!
Oprogramowanie CryptoCard Suite umożliwia ustawienie tzw.
20
głównego hasła dla niekwalifikowanej części karty CryptoCard
multiSIGN. Ustawienie takiego hasła umożliwi późniejsze
zarządzanie strukturą karty przy użyciu dedykowanego
oprogramowania. Ustawienie głównego hasła karty jest bardzo
zalecane ze względów bezpieczeństwa.
Główne hasło karty powinno składać się z 8 (minimalna akceptowana
długość hasła) do 32 znaków alfanumerycznych, używanie polskich
znaków diakrytycznych nie jest zalecane i może powodować późniejsze
problemy. Raz ustawionego hasła nie można zmienić, dlatego powinno to
być hasło nietrywialnie, niemożliwe do łatwego odgadnięcia dla innych
osób. Hasło główne nie podlega mechanizmowi blokowania, co oznacza,
że dopuszczalna jest dowolna ilość prób uwierzytelnienia się do karty z
użyciem tego hasła. Użytkownik powinien zachować hasło w bezpiecznym
miejscu i absolutnie niedopuszczalne jest zapisywanie hasła na karcie lub
przechowywanie hasła razem z kartą. Jeżeli główne hasło zostanie
zapomniane może to uniemożliwić w przyszłości zmianę struktury części
niekwalifikowanej karty CryptoCard multiSIGN.
W celu ustawienia hasła głównego należy po włożeniu karty CryptoCard
multiSIGN dwukrotnie kliknąć na pozycji "Główne hasło", która jest
widoczna w dolnej części zakładki "Karty elektroniczne" Menadżera
CryptoCard
Suite.
Status
głównego
hasła
powinien
być
"niezainicjalizowane!".
Rysunek 18 Hasło główne
21
Następnie, należy wprowadzić hasło, które użytkownik chce ustawić jako
hasło główne. Okno dialogowe jest skonstruowane w ten sposób, że nie
pozwoli na ustawienie hasła krótszego niż 8 znaków.
Rysunek 19 Ustawianie hasła głównego
Jeżeli wszystko przebiegnie pomyślnie, program poinformuje o ustawieniu
hasła głównego przy pomocy odpowiedniego komunikatu.
Rysunek 20 Komunikat o ustawieniu hasła głównego
Po ustawieniu hasła głównego zmieni się jego status na
"zainicjalizowane". Status jest widoczny w dolnej części zakładki "Karty
elektroniczne" Menadżera CryptoCard Suite.
22
Rysunek 21 Stan po ustawieniu hasła głównego
3.2.2
Inicjalizacja karty
Uwaga!
Część kwalifikowana karty nie wymaga inicjalizacji a jedynie musi zostać
aktywowana, co zostało opisane w punkcie 4.2.1.
Operacja inicjalizacji karty może zostać przeprowadzona tylko dla części
niekwalifikowanej. Efektem tej operacji jest usunięcie wszystkich kluczy i
certyfikatów z wybranego obszaru niekwalifikowanego (dla karty
CryptoTech MultiSIGN mogą być dostępne trzy obszary niekwalifikowane)
oraz konieczność ponownego ustawienia kodu PIN dla użytkownika.
Podczas tej operacji wymagana jest znajomość kodu SO PIN.
W celu rozpoczęcia procesu inicjalizacji należy wybrać przycisk
"Inicjalizuj". Z zakładki "Karty elektroniczne" w Menadżerze
CryptoCard Suite. Pojawi się ostrzeżenie podobne do przedstawionego na
poniższym rysunku.
23
Rysunek 22 Ostrzeżenie dotyczące inicjalizacji karty
Uwaga!
Podanie nieprawidłowego kodu SO PIN przy trzeciej próbie może
doprowadzić do trwałego zablokowania karty. Należy się upewnić,
że wprowadzany kod SO PIN jest prawidłowy.
W trakcie inicjalizacji użytkownik ma możliwość ustawienia własnej
etykiety karty, tak jak to przedstawiono na poniższym rysunku.
Uwaga!
Długość kodu PIN dla części niekwalifikowanej to najmniej 4 znaki
a maksymalnie 8 znaków.
Rysunek 23 Inicjalizacja karty
Po prawidłowym zainicjalizowaniu karty powinien pojawić się komunikat
przedstawiony na poniższym rysunku.
Rysunek 24 Komunikat informujący o zakooczeniu procesu inicjalizacji karty
Po zainicjalizowaniu karty, wprowadzona przez użytkownika etykieta
będzie wyświetlana, jako nazwa karty (tokenu).
24
Rysunek 25 Zainicjalizowana karta ze zmienioną etykietą
3.2.3
Odblokowanie tokenu w części niekwalifikowanej karty
Uwaga!
Zablokowanie tokena następuje
niepoprawnego kodu PIN..
po
trzeciej
W celu odblokowania tokenu należy wybrać
Elektroniczne" a następnie wybrać opcję "Odblokuj".
25
próbie
zakładkę
wpisania
"Karty
Rysunek 26 Informacja o zablokowaniu tokena w części niekwalifikowanej karty
Po wybraniu wspomnianej opcji zostanie wyświetlone
ostrzeżenia, podobne do przedstawionego poniżej.
okienko
Rysunek 27 Ostrzeżenie dotyczące wykonywania dalszych operacji
Należy wybrać opcję "Tak" a następnie wprowadzić aktualny kod SO PIN
oraz ustawić nowy kod PIN. Ustawione dane należy potwierdzić
wybierając opcję OK.
26
Rysunek 28 Odblokowanie tokena
Po pomyślnym zakończeniu procesu odblokowywania karty powinno się
pojawić okno podobne do przedstawionego poniżej.
Rysunek 29 Kwalifikowana częśd karty CryptoCard multiSIGN po aktywacji
27
4
Obsługa karty kryptograficznej - część kwalifikowana
4.1 Czynności przypisane do roli operatora karty
4.1.1
Zmiana kodu PIN dla części kwalifikowanej karty
Dla części kwalifikowanej karty możliwa jest tylko zmiana kodu PIN
użytkownika (nie ma możliwości zmiany kodu PUK).
Przeprowadzenie zmiany kodu PIN użytkownika może zostać
przeprowadzone w dowolnym momencie. W celu zmiany kodu PIN należy
uruchomić "Menadżera Komponentu Technicznego", przejść do
zakładki "Komponent Techniczny", wskazać "SetEID" i wybrać
przycisk "Zmień PIN”. Pojawi się ostrzeżenie podobne do
przedstawionego poniżej.
Rysunek 30 Ostrzeżenie dotyczące zmiany kodu PIN
Po zatwierdzeniu operacji klawiszem "Tak" powinno się pojawić okno
podobne do przedstawionego poniżej.
Rysunek 31 Okno zmiany kodu PIN
W celu zmiany kodu PIN użytkownika należy wpisać dotąd stosowany kod
PIN oraz dwukrotnie wpisać nowy kod PIN.
Po wprowadzeniu nowego kodu PIN należy je zatwierdzić wybierając
przycisk "OK". Jeżeli zmiana kodu PIN zakończy się powodzeniem to
powinno się ukazać okno podobne do przedstawionego poniżej.
28
Rysunek 32 Potwierdzenie zmiany kodu PINOo
4.1.2
Blokowanie możliwości użycia kwalifikowanej części karty CryptoCard multiSIGN
Ustawa o podpisie elektronicznym nakłada wymóg, żeby można było
trwale uniemożliwić złożenie podpisu kwalifikowanego z użyciem danego
klucza. CryptoCard Suite umożliwia trwałe zablokowanie kwalifikowanej
części karty CryptoCard multiSIGN.
W celu trwałego zablokowania kwalifikowanej części karty CryptoCard
multiSIGN
należy
uruchomić
"Menadżera
Komponentu
Technicznego", przejść do zakładki "Komponent techniczny" wskazać
"SetEID" i wybrać przycisk "Zniszcz". Pojawi się okno podobne do
Rysunek 33 Dialog trwałego niszczenia (blokowania) klucza prywatnego
Do
zatwierdzenia
trwałego
zniszczenia
(zablokowania)
części
kwalifikowanej karty należy podać kod PIN (chroniącego dostęp do części
kwalifikowanej) oraz przepisać ciąg znaków z pola "Kod" do pustego pola
poniżej. A następnie zatwierdzić operację wybierając klawisz "OK".
Uwaga!
Program nakłada na użytkownika takie wymagania, ponieważ
operacja blokowania jest nieodwracalna i nie powinna być
wykonywana pochopnie lub przypadkowo.
Po kliknięciu "OK". program jeszcze raz poprosi o potwierdzenie chęci
trwałego zablokowania możliwości złożenia podpisu kwalifikowanego
z użyciem tej karty.
29
Rysunek 34 Potwierdzenie trwałego zablokowania dostępu do części (obszaru) kwalifikowanej karty
Po potwierdzeniu klawiszem "TAK" nastąpi proces blokowania
kwalifikowanej części karty CryptoCard multiSIGN. O zakończeniu
operacji blokowania program poinformuje odpowiednim komunikatem.
Rysunek 35 Informacja o zablokowaniu klucza prywatnego
4.2 Czynności przypisane do roli administratora karty
4.2.1
Aktywacja części kwalifikowanej karty CryptoCard
Uwaga!
Część kwalifikowana karty nie wymaga inicjalizacji.
Kwalifikowaną część karty CryptoCard multiSIGN, należy aktywować
przez ustawienie kodów PIN i PUK. Karta jest dostarczana w stanie
pre-inicjalizowanym, co oznacza, że jest założona struktura
kwalifikowana, ale nie jest ona jeszcze gotowa do użycia, ponieważ
brakuje kodu PIN do części kwalifikowanej karty. Kwalifikowana część
karty jest widoczna w "Menedżerze komponentu technicznego"
w zakładce "Komponent Techniczny" pod nazwą "SetEID". Z poziomu
tego narzędzia można również zobaczyć ogólne informacje na temat
certyfikatu kwalifikowanego umieszczonego na karcie, a także wyświetlić
certyfikat wybierając przycisk "Więcej".
30
Rysunek 36 Struktura karty CryptoCard multiSIGN
Jeżeli karta nie została wcześniej aktywowana to stan tokena powinien
być "Nie aktywowany". W celu aktywowania karty należy kliknąć przycisk
"Aktywuj" i w okienku, które się pojawi podać nowe kody PIN i PUK.
PIN powinien zawierać od 6 do 8 znaków, natomiast kod PUK musi
zawierać dokładnie 8 znaków.
Uwaga!
Po trzeciej próbie niepoprawnego wpisania kodu PUK część
kwalifikowana karty zostanie nieodwracalnie zablokowana.
Uwaga!
Kod PIN dla części kwalifikowanej można zmieniać w trakcie
używania karty, natomiast kod PUK jest niezmienny i nie ma
możliwości jego późniejszej zmiany, dlatego szczególnie ważna jest
ochrona jego poufności i przechowywanie w bezpiecznym miejscu!
31
Rysunek 37 Aktywacja kwalifikowanej części karty CryptoCard multiSIGN
Poprawnie przebiegający proces inicjalizacji części kwalifikowanej karty
zakończy się komunikatem podobnym do przedstawionego na poniższym
obrazku:
Rysunek 38 Informacja o pomyślnej aktywacji kwalifikowanej części karty CryptoCard multiSIGN
Po aktywacji karta jest gotowa do użycia - stan tokena to "aktywny",
a przycisk "Aktywuj" staje się nieaktywny. Widoczny staje się natomiast
przycisk "Zniszcz". Szczegóły użycia tej funkcjonalności są opisane w
rozdziale "Blokowanie możliwości użycia kwalifikowanej części karty
CryptoCard multiSIGN" niniejszego podręcznika.
32
Rysunek 39 Kwalifikowana częśd karty CryptoCard multiSIGN po aktywacji
4.2.2
Odblokowanie kwalifikowanej części karty w przypadku jej zablokowania na
skutek błędnego wprowadzenia kodu PIN
W przypadku, gdy dla części kwalifikowanej zostanie wprowadzony
błędne kod użytkownika PIN (co najmniej trzy razy pod rząd),
kwalifikowana część karty zostanie zablokowana.
W celu jej odblokowania kwalifikowanej części karty CryptoCard
multiSIGN
należy
uruchomić
"Menadżera
Komponentu
Technicznego", przejść do zakładki "Komponent techniczny" wskazać
"SetEID" i wybrać przycisk "Odblokuj". Pojawi się okno podobne do
Rysunek 40 Ostrzeżenie dotyczące odblokowania dostępu do części kwalifikowanej karty
W celu odblokowania dostępu do części kwalifikowanej karty należy podać
kod PUK (ustawiany podczas aktywacji części kwalifikowanej) oraz
ustawić nowy kod PIN wprowadzając go w pola "Nowy PIN" i "potwierdź
33
PIN".
Druga możliwość to zaznaczenie opcji Kasuj licznik błędnych prób
PINu, co spowoduje wyzerowanie licznika błędnie wpisanych kodów PIN,
wtedy można nadal używać poprzednio ustawionego kodu PIN.
Po kliknięciu "OK". program jeszcze raz poprosi o potwierdzenie chęci
trwałego zablokowania możliwości złożenia podpisu kwalifikowanego
z użyciem tej karty.
Rysunek 41 Okno ustawiania nowego lub przywracania kodu PIN dla części kwalifikowanej karty
Po potwierdzeniu klawiszem "OK" nastąpi proces odblokowania
kwalifikowanej części karty CryptoCard multiSIGN. O zakończeniu
operacji blokowania program poinformuje odpowiednim komunikatem.
Rysunek 42 Informacja o odblokowaniu części kwalifikowanej karty
34
5
Najczęściej zadawane pytania (FAQ)
Uwaga!
Najbardziej aktualne informacje dotyczące korzystania z kart
CryptoCard
multiSIGN
znajdują
sie
na
stronie
http://www.cryptotech.com.pl/Pomoc_techniczna/Baza_wiedzy,c
ontent.html
5.1 Dlaczego pracując w sesji terminalowej Windows Terminal Services
"nie działa" czytnik zainstalowany na serwerze terminalowym a działa
tylko czytnik lokalny mojej stacji roboczej?
Takie funkcjonowanie obsługi czytnika kart elektronicznych wynika z
architektury systemu terminalowego wbudowanego w MS Windows. W
ramach sesji terminalowej użytkownik ma udostępnione te zasoby
serwera, które przewiduje architektura TS i zostały odpowiednio
skonfigurowane przez administratora oraz wybrane zasoby lokalne stacji
roboczej, na której pracuje aplikacja klienta terminalowego (RDP Client).
Wśród zasobów, które mogą być przenoszone ze stacji roboczej do sesji
terminalowej na serwerze jest czytnik kart elektronicznych. Jego
przenoszenie ze stacji roboczej do serwera jest konfigurowalne przez
użytkownika w opcjach dodatkowych klienta terminalowego (aplikacji
RDP Client). Niestety czytnik kart elektronicznych podłączony do
fizycznych portów serwera terminalowego nie jest udostępniany dla sesji
terminalowych pracujących na tym serwerze. Dlatego właśnie aplikacja
użytkownika uruchomiona w sesji terminalowej "widzi" czytnik i kartę
włożoną do niego tylko, jeśli jest to czytnik lokalny podłączony do stacji
roboczej, na której uruchomiony jest RD Client, ale "nie widzi" czytnika
podłączonego bezpośrednio do portów serwera terminalowego.
I odwrotnie: aplikacje uruchamiane bezpośrednio na serwerze (ale nie w
ramach sesji terminalowej) potrafią używać wyłącznie jego czytniki
lokalnie podłączone do serwera i "nie widzą czytników" podłączonych do
stacji roboczych użytkowników.
Przenoszenie czytników w standardowy sposób w Windows Terminal
Services nie odbywa się na poziomie przenoszenia komunikacji z
"urządzeniem USB”, ale jest to przenoszenie logicznej komunikacji z kartą
elektroniczną na poziomie stosu obsługi czytników kart elektronicznych
PC/SC.
Istnieją aplikacje firm trzecich rozszerzające standardową architekturę
terminalową MS Windows i pozwalające na przenoszenie wybranych
urządzeń podłączonych do portów USB pomiędzy stacją robocza a
serwerem, jednak użycie takich aplikacji może powodować kolizję z
naturalnymi mechanizmami udostępniania np. czytnika kart ze stacji
roboczej dla aplikacji pracującej w sesji terminalowej na serwerze i nie
jest objęte standardowo wsparciem naszej firmy.
35
5.2 Nie działa karta inteligentna (i czytnik) podłączony do stacji roboczej,
z której następuje łączenie się do serwera terminalowego (przez
protokół RDP)
Aby czytnik i karta działały w połączeniu terminalowym (RDP) muszą być
spełnione następujące warunki:
Czytnik musi zostać podłączony poprawnie do stacji klienckiej np.
Windows XP. Na tej stacji muszą zostać zainstalowane sterowniki
czytnika. Czytnik musi być widoczny w managerze urządzeń i
poprawnie działać na stacji roboczej (np. poprawnie informować o
włożeniu/wyciągnięciu karty elektronicznej).
Na stacji klienckiej musi
Inteligentna" (Smartcard).
działać
usługa
systemowa
"Karta
W kliencie RPD, w opcjach zaawansowanych musi być włączone
przenoszenie lokalnego czytnika kart elektronicznych w sesji RDP (tzn.
udostępnianie kart w nim włożonych dla aplikacji na serwerze
terminalowym).
Na serwerze Terminalowym (RDP) musi być zainstalowane
oprogramowanie CryptoCard Suite (najlepiej w wersji pobranej ze
strony:
http://www.cryptotech.com.pl/Produkty/CryptoCard_Suite,content.ht
ml
Scenariusz funkcjonowania takiej konfiguracji wygląda następująco:
- aplikacja pracująca w sesji terminalowej na serwerze Windows Terminal
Services (np. MS Outlook), (której wizualizację użytkownik widzi w
okienku Klienta RDP na stacji roboczej), chcąc skorzystać z karty
elektronicznej uruchamia oprogramowanie middleware pochodzące od
producenta karty (jeden z interfejsów API oprogramowania CryptoCard
Suite w przypadku używania karty CryptoCard multiSIGN),
- CC Suite pracuje na serwerze terminalowym (nie jest wymagana jego
instalacja na stacji roboczej Klienta RDP),
- CC Suite prosi system operacyjny o listę dostępnych dla niego czytników
kart,
- system udostępnia listę czytników PRZENOSZONYCH w sesji RDP ze
stacji klienta RDP (czytników podłączonych do stacji klienta, na której
uruchomiony jest w danej chwili RDP Klient, np. aplikacja Remote Desktop
Connection),
- jeśli w czytniku na stacji Klienta włożona jest karta elektroniczna, to CC
Suite (np. moduł Cryptotech CSP albo CryptoTech PKCS#11) pracujący na
serwerze zobaczy włożoną kartę do czytnika kart i może rozpocząć dialog
z tą kartą,
- aplikacja (np. MS Outlook) przekazuje dla CC Suite serię poleceń (np.
36
wykonania podpisu elektronicznego z użyciem karty CryptoCard
multiSIGN), które są tłumaczone na stosowną sekwencję komend
niskiego poziomu przekazywanych do czytnika kart dostępnego dla
aplikacji pracujących w sesji terminalowej),
- komendy te są transparentnie przenoszone z serwera terminowego (z
wnętrza sesji terminalowej danego użytkownika), przez kanał RDP,do
klienta RDP pracującego na stacji roboczej użytkownika,
- Klient RDP przekazuje te komendy do karty włożonej do czytnika
podłączonego lokalnie do tej stacji roboczej,
- karta wykonuje zlecone zadania, np. generuje podpis elektroniczny
"zlecony" jej przez aplikację (np. MS Outlook) pracującą na serwerze
terminalowym.
5.3 Jak można zdiagnozować poprawność konfiguracji mojego komputera
do pracy z kartami CryptoCard?
Rozwiązanie CrytpoCard Suite została wyposażona w narządzie do
weryfikacji poprawności konfiguracji o nazwie "Asystent Konfiguracji". W
celu jego uruchomienia należy wybrać pozycję "Asystent Konfiguracji" z
menu Start (Start->Programy->CryptoTech->CryptoCard Suite 1.2), a
następnie postępować zgodnie z instrukcjami programu. W efekcie
działania aplikacji powstanie raport, który zawiera informacje dotyczące
poprawności instalacji CryptoCard Suite i może być pomocny podczas
identyfikacji źródła problemów, jeśli takie wystąpią.
Na poniższym rysunku przedstawiono podstawowe komponenty
(urządzenia i oprogramowanie), które wraz z rozwiązaniem CrytpoCard
Suite umożliwiają korzystanie z kart kryptograficznych.
37
Rysunek 43 Podstawowe komponenty umożliwiające korzystanie z kart kryptograficznych
Należy zwrócić uwagę, że rozwiązanie CryptoCard Suite wykorzystuje
dostępne w systemie operacyjnym czytniki kart zgodne ze standardem
PC/SC.
Ponieważ często okazuje się, że przyczyną problemów jest niepoprawnie
skonfigurowany system operacyjny lub czytnik kart, użytkownik przed
zgłoszeniem problemu powinien upewnić się, że posiada odpowiednio
skonfigurowany
system
operacyjny
oraz
prawidłowo
zainstalowany/skonfigurowany czytnik kart kryptograficznych.
5.4 Nie można włączyć usługi "Smart Card/Karta Inteligentna" w systemie
Windows XP.
Przyczyną takiej sytuacji jest zainstalowanie oprogramowania SCBase
Component przeznaczonego wyłącznie dla systemów Windows 98/Me w
systemie Windows XP.
W celu naprawienia problemu należy:
uruchomić: regsvr32 %windir%\system32\scardssp.dll
uruchomić: scardsvr reinstall
wykonać restart systemu
stworzyć plik fixSCBase.reg w którym należy wpisać:
Windows Registry Editor Version 5.00
38
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCard
Svr]
"ObjectName"="NT AUTHORITY\\LocalService"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCard
Drv]
"ObjectName"="NT AUTHORITY\\LocalService"
Następnie plik należy "scalić" z rejestrem.
Ostatnim krokiem jest ustawienie sposobu startowania serwisu "Smart
Card/Karta Inteligentna" na automatyczny i uruchomienie go.
5.5 Aplikacja 'Płatnik' nie współpracuje poprawnie z kartami CryptoCard
multiSIGN na platformach Windows 98/Me/NT4
Oprogramowanie
CryptoCard
Suite
poddawane
jest
ciągłym
modyfikacjom związanym nie tylko z usuwaniem zgłaszanych przez
użytkowników błędów, ale także z dodawaniem nowych funkcji. Niestety
czasami odbywa się to kosztem zerwania kompatybilności ze starszymi
systemami np. Windows 98/Me/NT4 . tym bardziej, że wsparcia
technicznego dla tych systemów zaprzestał także ich producent. Ostatnim
wydaniem CryptoCard Suite działającym pod w/w systemami była wersja
1.12.0038. W wersji tej występują pewne znane problemy
uniemożliwiające poprawną współpracę z aplikacją 'Płatnik', które zostały
usunięte w CryptoCard Suite 1.20. Ponieważ jednak CryptoCard Suite
1.20 nie jest dostępny na systemy starsze niż Windows 2000 została
opracowana specjalna poprawka do CryptoCard Suite 1.12 zapewniająca
kompatybilność tego oprogramowania z aplikacją 'Płatnik'. Poprawka ta
jest dostępna tylko dla systemów Windows 98/Me/NT4 SP6 z
zainstalowanym tzw. 'silnym szyfrowaniem' (Internet Explorer 6.0). Do
jej poprawnej pracy niezbędne jest wcześniejsze zainstalowanie
oprogramowania CryptoCard Suite w wersji 1.12.0038 . Sama poprawka
dostępna
jest
bezpłatnie
pod
następującym
adresem
CCS_1_12_Win9xPatch.
5.6 Asystent konfiguracji CryptoCard Suite wyświetla komunikat
"Uszkodzona biblioteka CCPKI11.DLL, brak lub wadliwe sterowniki
czytnika PC/SC lub Smart Card Base Components.
Oprogramowanie CryptoCard Suite w wersji 1.12.x wyświetla komunikat
błędu, gdy w czytniku, czytnikach zainstalowanych w systemie
operacyjnym, włożona jest "obca" karta inteligentna (karta innego
producenta, karta GSM, ...). Aplikacja CryptoCard Suite działa cały czas
poprawnie. Zachowanie Asystenta zostało poprawione w aktualnej wersji
oprogramowania.
39
5.7 Po zarejestrowaniu modułu kryptograficznego PKCS#11 narzędziem
Cryptotech->Rejestruj w Mozilli aplikacja Mozilla Firefox nie widzi
poprawnie certyfikatów na karcie.
Narzędzie do rejestracji modułu kryptograficznego PKCS#11 w Mozilli
działa poprawnie tylko ze starszymi wersjami Mozilli i nie działa poprawnie
z najnowszymi (2.x lub wyższymi) wersjami Mozilla Firefox. Należy
zainstalować moduł PKCS#11 ręcznie: wybrać z menu Tools -> Opcje ->
Zawansowane następnie zakładkę "Szyfrowanie" i nacisnąć przycisk
"Urządzenia zabezpieczające". Następnie wpisać nazwę modułu CCSuite
oraz
wybrać
bibliotekę
PKCS#11
modułu
C:\Program
Files\CryptoTech\CryptoCard\CCPkiP11.dll, po zatwierdzeniu przyciskiem
"OK" na liście pojawi się urządzenie "CCSuite". Dokładną opis instalacji
modułu można pobrać tutaj.
5.8 Po aktualizacji oprogramowania CryptoCardSuite z wersji 1.12.x do
wersji 1.20.x nie mogę używać certyfikatów z karty.
Problem występuje przy aplikacjach korzystających z CSP. W wersji
CryptoCardSuite 1.12.x logiczna nazwa modułu kryptograficznego
CryptoAPI była inna niż w obecnych wersjach. Nazwa ta jest zapisywana
przy rejestracji certyfikatu w systemie i pozwala podsystemowi
kryptograficznemu odnaleźć klucz przypisany do tego certyfikatu w
odpowiednim
module
kryptograficznym.
Ponieważ
certyfikat
zarejestrowany jest ze starą nazwą modułu, aplikacje korzystające z CSP
próbują się do takiej nazwy odwoływać.
Rozwiązaniem problemu jest usunięcie zarejestrowanych certyfikatów z
magazynu certyfikatów przy pomocy np. Menadżer CryptoCard
Suite->Narzędzia->Manadżer
certyfikatów
oraz
ponowne
zarejestrowanie ich w systemie przy pomocy Menadżer CryptoCard
Suite->Narzędzia->Dodatkowe narzędzia -> Rejestracja certyfikatu w
systemie
5.9 Po wyjęciu karty z czytnika nie następuje zerwanie sesji SSL w MS
Internet Explorer.
Jest to problem związany ze sposobem wykorzystywania kluczy
kryptograficznych do nawiązywania połączeń SSL przez system MS
Windows.
Możliwości rozwiązania tego problemu są następujące:
wyłączenie przeglądarki Internet Explorer użytej do nawiązana sesja
SSL
wybranie opcji "Clear SSL State" z menu Internet Explorer (Tools
->Internet Options -> Content)
40
5.10 Nie mogę logować się kartą do mojego komputera mimo tego, że
czytnik jest podłączony a oprogramowanie działa poprawnie.
Logowanie kartami jest możliwe jedynie wtedy, gdy komputer znajduje
się w domenie Active Directory (Windows 2000/2003). Do takiego
logowania konieczne jest wydanie na karcie certyfikatu umożliwiającego
logowanie (szablony Smart Card User lub Smart Card Logon). Możliwe
jest dodanie logowania się kartami do komputerów niebędących
członkami domeny Active Directory przy pomocy dodatkowej aplikacji np.
CryptoCard Logon.
5.11 Jak dodać do Mozilla Thunderbird możliwość podpisywania i
szyfrowania korespondencji z użyciem kart CryptoCard?
Z menu Tools -> Options -> Advanced wybrać sekcję Certificates.
Nacisnąć przycisk "Manage Security Devices ...". W nowo otwartym
okienku wpisać w polu "Module Name" - CryptoCard, w polu Module
filename:
wpisać
"%WINDOWS%\System32\ccpkip11.dll",
gdzie
%WINDOWS% należy zastąpić prawidłową ścieżką wskazującą na dysk i
katalog, w którym zainstalowany jest system MS Windows. Zazwyczaj
jest to katalog C:\WINDOWS jednak w poszczególnych przypadkach
ścieżka ta może być inna. Następnie po wybraniu przycisku OK na liście
dostępnych urządzeń powinno pojawić się urządzenie "CryptoCard".
5.12 Jak przenieść na kartę klucz i certyfikat służący do szyfrowania
systemu plików (EFS)?
Niestety, obecne systemy rodziny Windows , oprócz Windows VISTA SP1,
nie umożliwiają przechowywania klucza i certyfikatu do EFS w
jakimkolwiek innym miejscu oprócz "Magazynu osobistego".
5.13 Ile certyfikatów zmieści się na moją kartę?
Karty CryptoCard PKI posiadają 16 kB pamięci zapisywalnej, z których
~10 kB jest dostępnych dla kluczy i certyfikatów. W zależności od
wielkości certyfikatu na takiej karcie powinno zmieścić się od 2 do 4
certyfikatów wraz z odpowiednimi kluczami. Karty CryptoCard multiSIGN
mają 32 kB pamięci, z czego dla użytkownika dostępne jest ~25 kB, co
powinno być wystarczające do przechowywania nawet 5 certyfikatów z
kluczami. Nie ma niestety żadnego ograniczenia na wielkość certyfikatu,
dlatego też podane wyżej wartości nie są gwarantowane i powinny być
traktowane jedynie orientacyjnie.
5.14 Nie mogę podpisać wiadomości e-mail mimo tego, że posiadam
certyfikat kwalifikowany.
Wynika to z przeznaczenia certyfikatu kwalifikowanego, którego budowa
jednoznacznie definiuje jego przeznaczenie (niezaprzeczalność) i równie
jednoznacznie wyklucza jakiekolwiek inne użycie.
41
5.15 Wygenerowałem wniosek o certyfikację przy pomocy Asystenta
Certyfikatów. Co dalej? Jak mogę zarejestrować taki certyfikat w
systemie?
Wygenerowany wniosek musi zostać obsłużony przez centrum certyfikacji
(CA), które na podstawie takiego wniosku może (ale nie musi, jeżeli
wniosek nie spełnia warunków polityki certyfikacji obowiązującej w
danym CA) wystawić certyfikat. Dopiero taki certyfikat można
zarejestrować w systemie operacyjnym i używać.
5.16 Aplikacja 'Płatnik' nie współpracuje poprawnie z kartami CryptoCard
multiSIGN na platformie Windows XP.
Należy zainstalować ostatnią wersję aplikacji CryptoCard Suite, dostępną
do pobrania ze strony CryptoCard Suite, a następnie jeżeli jest taka
potrzeba, należy usunąć zarejestrowane certyfikaty z magazynu
certyfikatów
przy
pomocy
np.
Menadżer
CryptoCard
Suite->Narzędzia->Manadżer certyfikatów oraz ponowne zarejestrować
je
w
systemie
przy
pomocy
Menadżer
CryptoCard
Suite->Narzędzia->Dodatkowe narzędzia -> Rejestracja certyfikatu w
systemie.
5.17 Czytnik SCR3310 nie instaluje się poprawnie na platformie Windows
98/Me.
Dla czytnika SCR3310 pracującego pod systemem Windows 98 należy
zainstalować sterownik: Sterownik SCR3310 dla Windows 98 oraz
zainstalować Platform SDK Redistributable: Microsoft Win32 Smart Card
Components
42
6
Uzyskanie certyfikatu
Certyfikaty klucza publicznego można uzyskać na wiele różnych
sposobów. Jedną z możliwości jest samodzielne wygenerowanie pary
kluczy a następnie przygotowanie wniosku o certyfikację w formacie
zgodnym ze standardem PKCS#10. O ile taka metoda może być
stosowana w przypadku niekwalifikowanego podpisu elektronicznego, to
w przypadku podpisu kwalifikowanego nie jest możliwa. Wynika to
z przepisów prawa oraz regulaminów podmiotów świadczących usługi
certyfikacyjne, które wyraźnie precyzują, że do otrzymania takiego
rodzaju certyfikatu użytkownik musi osobiście zarejestrować się
w odpowiednim centrum rejestracyjnym (RA, Registration Authority).
Dopiero po weryfikacji tożsamości użytkownika następuje przygotowanie
wniosku o certyfikację zgodnego z polityką przyjętą przez dane centrum
a częścią tego wniosku jest wygenerowany klucz publiczny.
Listę podmiotów świadczących kwalifikowane usługi certyfikacyjne można
znaleźć w Internecie pod adresem:
https://www.nccert.pl/ncc/home.aspx.
Certyfikaty niekwalifikowane mogą zostać wydane lokalnie, bądź też
można je zakupić od komercyjnych centrów certyfikacji.
Pakiet CryptoCard Suite oferuje zestaw trzech asystentów, które
pomagają użytkownikowi zarządzać certyfikatami, które znajdują się na
karcie elektronicznej. Są one dostępne po przejściu do zakładki
"Narzędzia" w Menadżerze CryptoCard Suite i kliknięciu przycisku
"Uruchom" w sekcji "Dodatkowe narzędzia".
43
Rysunek 44 Narzędzia dodatkowe
6.1 Przygotowanie wniosku o certyfikację w formacie PKCS#10
Aplikacja CryptoCard Suite udostępnia asystenta, który przeznaczony jest
do wygenerowania wniosku o certyfikację i zapisania go w formacie
PKCS#10.
44
Rysunek 45 Asystent wniosku PKCS#10
Uwaga!
Asystent nie może być używany do tworzenia wniosków o certyfikat
kwalifikowany, czyli zgodny z ustawą o podpisie elektronicznym.
Do wygenerowania wniosku koniecznie jest podanie podstawowych
informacji o osobie, która generuje wniosek. Oczywiście dane te nie są
nigdzie weryfikowane, ale wpisanie nieprawdziwych danych może
utrudnić zorientowanie się, co to za certyfikat i dla kogo został wydany.
Adres e-mail jest weryfikowany syntaktycznie, co oznacza, że jego format
powinien być zgodny z zaleceniami zawartymi w dokumencie RFC 2822
(tekst
tego
dokumentu
jest
dostępny
pod
tym
adresem:
http://www.faqs.org/rfcs/rfc2822.html).
45
Rysunek 46 Przygotowanie wniosku o certyfikację
Następnie należy wskazać kartę (oraz w przypadku zaznaczonej opcji
"Dodatkowe Piny" dla karty CryptoCard MultiSIGN, należy wskazać
jeden z trzech obszarów niekwalifikowanych), na której zostanie
wygenerowana para kluczy,
z której
klucz publiczny
będzie
certyfikowany.
46
Rysunek 47 Wybór karty
Następnie należy określić długość klucza, który ma zostać wygenerowany
(zaleca się używanie klucza o długości 1024 bitów), oraz określić etykietę,
pod którą klucz zostanie zapisany na karcie. Jest to nazwa, która ma na
celu ułatwienie użytkownikowi rozpoznanie klucza w przypadku, gdy na
karcie znajdowałoby się kilka kluczy.
Możliwe jest także użycie klucza RSA znajdującego się już na karcie,
w tym celu należy wybrać opcję "Użyj istniejącego klucza RSA",
zalogować się do obszaru karty podając kod PIN użytkownika oraz
wskazać klucz który ma zostać użyty do wygenerowania wniosku.
47
Rysunek 48 Wybór długości klucza oraz etykiety
Następnie użytkownik musi wybrać token (w przypadku kart CryptoCard
multiSIGN) i podać PIN do wybranego obszaru niekwalifikowanego karty
(tokenu) po czym następuje generacja pary kluczy. Proces generacji
może potrwać kilkadziesiąt sekund. Czas ten jest niezależny od szybkości
komputera, na którym uruchomiona jest aplikacja CryptoCard Suite, gdyż
generacja kluczy odbywa się na karcie. Ze względów bezpieczeństwa,
wygenerowany klucz prywatny nie może być z karty wyeksportowany.
Ostatnim krokiem jest wskazanie miejsca na dysku gdzie zostanie
zapisany wygenerowany wniosek.
48
Rysunek 49 Wskazanie miejsca na dysku gdzie zostanie zapisany wygenerowany wniosek
Wniosek może być zapisany w formacie zgodnym z DER lub kodowany
zgodnie z formatem Base64.
Uwaga!
W przypadku korzystania z Urzędu Certyfikacji Microsoft (MSCA)
wygenerowany wniosek o certyfikację należy zapisać w formacie
Base64.
Otrzymany w ten sposób wniosek należy przekazać do Centrum
Certyfikacji na nośniku lub przesłać pocztą elektroniczną.
6.2 Import certyfikatów oraz kluczy na kartę
Jeżeli zaistniałaby sytuacja, że użytkownik posiada certyfikat X.509
w postaci pliku na dysku (np. zapisanego w formacie pliku PKCS#7
zawierającego certyfikat lub pliku w formacie PKCS#12 zawierającego
klucz prywatny oraz certyfikat), aplikacja CryptoCard Suite umożliwia
umieszczenie takiego certyfikatu na karcie. Opcja taka może być
użyteczna, jeżeli karta ma być wykorzystana, jako nośnik dla
certyfikatów. Odpowiednie narzędzie jest dostępne, jako asystent (
Menadżer CryptoCard Suite → Narzędzia → Dodatkowe narzędzia
→ Uruchom) o nazwie "Asystent importu certyfikatu i klucza prywatnego
(PKCS#12)".
49
Rysunek 50 Asystent importu certyfikatów i klucza prywatnego (PKCS#12)
Po uruchomieniu odpowiedniego asystenta, należy wskazać kartę i obszar
niekwalifikowany, do którego ma zostać zaimportowany certyfikat.
Rysunek 51 Wybór karty kryptograficznej
50
Uwaga!
Niemożliwe jest samodzielne importowanie jakiegokolwiek
certyfikatu do kwalifikowanej części karty CryptoCard multiSIGN.
Jedyną instytucją władną do umieszczania certyfikatów tej części
jest wybrane kwalifikowane centrum certyfikacji.
Następnie należy wskazać plik z certyfikatem, który ma zostać
zaimportowany. Mogą to być pliki zawierające certyfikaty X.509 (pliki
z rozszerzeniami .der, .crt, .cer) lub pliki zawierające certyfikat oraz
klucz zapisane w formacie PKCS#12 (pliki z rozszerzeniami .p12 lub
.pfx).
Uwaga!
Jeżeli ma zostać zaimportowany plik PKCS#12 to musi on zawierać
klucz prywatny i odpowiadający mu certyfikat. W innym przypadku
próba importu zakończy się błędem.
Następnie użytkownik zostanie poproszony o podanie kodu
a w przypadku plików PKCS#12 również o hasło do tego pliku.
Rysunek 52 Podanie kodu PIN
51
PIN
Rysunek 53 Podanie hasła do pliku PKCS#12
Jako ostatni krok, program zaoferuje możliwość zarejestrowania
importowanego certyfikatu w systemie. Nie jest to krok konieczny, więc
można wybrać przycisk "Finish" w celu zamknięcia asystenta lub
skorzystać z możliwości rejestracji. Jeżeli użytkownik zdecydował się na
rejestrację certyfikatu, należy zaznaczyć opcję "Zarejestruj certyfikat
w systemie operacyjnym", podać tzw. przyjazną nazwę (friendly
name, jest to nazwa, która ma pomóc użytkownikowi zidentyfikować dany
certyfikat) oraz wybrać tzw. magazyn systemowy (certificate store).
Wybór magazynu jest dość istotną kwestią - certyfikat należący do
użytkownika powinien znaleźć się w "Osobistym magazynie
certyfikatów" podczas gdy certyfikat osoby trzeciej (np. osoby do której
będzie wysyłana szyfrowana poczta elektroniczna), powinien się znaleźć
w magazynie "Inne osoby".
Uwaga!
Program nie pozwoli zarejestrować certyfikatu, jeżeli nie zostanie
zdefiniowana dla niego przyjazna nazwa.
52
Rysunek 54 Rejestracja certyfikatu w systemie
Użytkownik zostanie poinformowany odpowiednim komunikatem, że
proces rejestracji (instalacji) certyfikatu dobiegł końca.
Rysunek 55 Komunikat informujący o pomyślnym zakooczeniu importu certyfikatu
6.3 Rejestracja certyfikatu w systemie
W celu skorzystania z klucza i skojarzonego z nim certyfikatu, należy ten
certyfikat zarejestrować w systemie operacyjnym. Pakiet CryptoCard
Suite umożliwia zarejestrowanie certyfikatów za pomocą asystenta
"Rejestracja certyfikatu w systemie".
53
Rysunek 56 Asystent rejestracji
W pierwszym kroku użytkownik musi wybrać kartę (ew. token
w przypadku, gdy dostępnych jest więcej niż jeden obszar
niekwalifikowany), z której chce zarejestrować certyfikat.
Rysunek 57 Wybór karty
54
Następnie należy wybrać, który certyfikat z wybranej karty zostanie
zarejestrowany. W okienku zostaną wyświetlone certyfikaty, które są na
karcie albo na wybranym tokenie. Może się jednak zdarzyć, że certyfikat
będzie dostępny dopiero po podaniu PIN-u. W tym celu należy wybrać
przycisk "Więcej" i po podaniu PIN-u program wyświetli wszystkie
certyfikaty dostępne na danej karcie elektronicznej.
Rysunek 58 Wybór certyfikatu
W ostatnim kroku użytkownik zostanie poproszony o podanie tzw.
przyjaznej nazwy oraz wybranie systemowego magazynu certyfikatów,
w którym zostanie zainstalowany certyfikat.
55
Rysunek 59 Nadanie przyjaznej nazwy i wybór magazynu certyfikatów
Przyjazna nazwa jest nadawana w celu ułatwienia użytkownikowi
wyszukiwania certyfikatów w systemie. Może to być dowolna nazwa.
Uwaga!
Program nie pozwoli zarejestrować certyfikatu, jeżeli nie zostanie
zdefiniowana dla niego przyjazna nazwa.
Początkowe i końcowe znaki spacji zostaną automatycznie usunięte.
Po zakończeniu instalacji certyfikatu użytkownik powinien otrzymać
komunikat przedstawiony na poniższym rysunku.
Rysunek 60 Komunikat koocowy instalacji certyfikatu
6.4 Uzyskanie certyfikatu on-line na przykładzie centrum certyfikacji w
domenie Active Directory
Ten rozdział jest przeznaczony głownie dla użytkowników kart CryptoCard
multiSIGN, którzy zamierzają wykorzystać możliwości, jakie oferuje karta
w zakresie logowania się do domeny Active Directory w MS Windows 2000
lub 2003. Jest to rozwiązanie przeznaczone głównie do zastosowań
56
korporacyjnych, ale stanowi doskonały przykład zastosowania koncepcji
PKI i wykorzystania w niej kart elektronicznych.
Serwerowe wersje systemów firmy Microsoft posiadają wbudowane
oprogramowanie Centrum Certyfikacji (CA, Certification Authority), które
pozwala na wydanie certyfikatów dla użytkowników domeny. Udostępnia
ono interfejs w postaci przejrzystych stron WWW, dzięki którym
użytkownicy mogą samodzielnie uzyskać certyfikat.
Rysunek 61 Główna strona CA domeny Active Directory
Na pierwszej stronie można wybrać następujące opcje:
"Request a certificate" - złożenie wniosku o certyfikację,
"Show status of a pending certificate request" - pokazuje status już
złożonych wniosków,
"Download a CA certificate, certificate chain or CRL" - udostępnia
certyfikat samego CA, ewentualnie wszystkich pośrednich ośrodków
(jeżeli takie istnieją) albo listę CRL.
W celu uzyskania certyfikatu należy wybrać pierwszą opcję - "Request a
certificate".
57
Rysunek 62 Wybór rodzaju wniosku
Na kolejnej stronie można wybrać rodzaj procedury przy składaniu
wniosku. W zależności od konfiguracji CA może zaoferować kilka
standardowych typów certyfikatów np. "User Certificate" czy "Smart Card
logon certificate". Ponieważ docelowo uzyskany certyfikat ma zostać
zainstalowany na karcie to należy wybrać opcję pozwalającą na
zaawansowane przygotowanie wniosku - "Advanced certificate request".
58
Rysunek 63 Wybór rodzaju wniosku - opcje zaawansowane
Trzecia strona wyświetlana przez CA pozwala na wybranie typu
certyfikatu, jaki chcemy uzyskać. Do wyboru dostępne są następujące
opcje:
"Create and submit a request to this CA" - wystąpienie o certyfikat we
własnym imieniu. Wniosek jest od razu przesyłany do CA a wydany
certyfikat zostaje osadzony na karcie oraz zainstalowany w systemie w
profilu aktualnie zalogowanego użytkownika, jako jeden z jego
certyfikatów osobistych.
"Submit a certificate request by using a base-64-encoded CMC or PKCS
#10 file, or submit a renewal request by using a base-64-encoded
PKCS #7 file" - pozwala wysłać do CA wcześniej przygotowany wniosek
w postaci pliku PKCS#10 lub CMC. Umożliwia też wystąpienie
o odnowienie
certyfikatu
przez
przesłanie
odpowiednio
przygotowanego pliku w formacie PKCS #7. Wszystkie pliki muszą
być zakodowane przy pomocy algorytmu BASE64.
"Request a certificate for a smart card on behalf of another user by
using the smart card certificate enrollment station" - pozwala na
wystąpienie z wnioskiem o certyfikację w imieniu innej osoby.
Skorzystanie z tej opcji wymaga posiadania dodatkowego certyfikatu
tzw. "Enrollment agent certificate".
W omawianym przykładzie należy wybrać pierwszą opcję oferowaną
przez CA.
59
Uwaga!
W tym miejscu Internet Explorer będzie usiłował załadować
kontrolkę ActiveX, która jest konieczna do dalszych czynności
związanych z wydaniem certyfikatu. W przypadku problemów
należy zweryfikować ustawienia bezpieczeństwa dla programu MS
Internet Explorer.
Rysunek 64 Wybór systemowego dostawcy usług kryptograficznych
W następnym oknie można wybrać konkretny typu certyfikatu, którego
będzie dotyczył wniosek przesłany do CA. Należy zdecydować, do czego
będzie używany certyfikat. Typ certyfikatu "Smartcard Logon" pozwala
jedynie na logowanie się do domeny AD przy pomocy karty. Bardziej
użyteczny jest typ "Smartcard User", który pozwala na logowanie się oraz
na zabezpieczanie poczty elektronicznej (podpisywanie i szyfrowanie)
oraz szyfrowanie plików.
Uwaga!
Aby korzystać z kart CryptoCard multiSIGN należy koniecznie
wybrać CSP: "CryptoCardPKI CSP 1.0"!
Pozostałe ustawienia można zostawić z wartościami domyślnymi. W celu
kontynuowania procesu należy wybrać przycisk "Submit".
60
Rysunek 65 Ostrzeżenie o występowaniu o wniosek we własnym imieniu
W zależności od ustawień bezpieczeństwa programu MS IE, może pojawić
się komunikat pokazany na powyższym obrazku. Na pytanie należy
odpowiedzieć "Yes".
Rysunek 66 Generowanie klucza przez CSP
Po podaniu numeru PIN do części niekwalifikowanej, karta wygeneruje
nową parę kluczy. Klucz publiczny zostanie osadzony w nowo wydanym
certyfikacie. Po wybraniu "Install this certificate' w następnym
wyświetlonym oknie, certyfikat zostanie zainstalowany w systemie oraz
osadzony na karcie elektronicznej. W trakcie rejestracji certyfikatu
w systemie użytkownik zostanie poproszony o podanie kodu PIN.
Dodatkowo oprogramowanie CryptoCardPKI CSP ustawi ten certyfikat
jako domyślny certyfikat na karcie, co oznacza, że wykorzystując taką
kartę będzie można się zalogować do domeny MS Windows 2000/2003
bez konieczności wykonywania żadnych dodatkowych czynności o ile
certyfikat ma odpowiedni profil.
Uwaga!
Certyfikat ten nie jest certyfikatem kwalifikowanym!
Omówienie wykorzystania pozostałych opcji oferowanych przez CA
61
systemów MS Windows 2000/2003 wykracza poza ramy niniejszego
dokumentu. W celu zapoznania się z nimi zaleca się lekturę odpowiednich
rozdziałów
dokumentacji
do
wyżej
wspomnianych
systemów
operacyjnych.
62
7
Dodatkowe oprogramowanie wchodzące w skład pakietu
CryptoCard Suite
7.1 Automatyczna instalacji modułu CryptoCard PKCS#11 w programach
typu Mozilla (na przykładzie Mozilla Firefox 3.6)
W celu zainstalowania modułu CryptoCard PKCS#11 w programie typu
Netscape Browser lub Mozilla należy uruchomić narzędzie "Rejestruj w
Mozilli".
Rysunek 67 Uruchomienie narzędzia "Rejestru w Mozilli"
Narzędzie automatycznie przeskanuje system na obecność programów
takich jak Mozilla, Mozilla Firefox, Netscape Browser. Znalezione
programy zostaną przedstawione w postaci listy. Następnie należy
wskazać na liścię aplikację dla której ma nastąpić rejestracja modułu i
zaznaczyć opcję „Rejestracja modułu” oraz wybrać opcję „Dalej”.
Rysunek 68 Wybór aplikacji typu Mozilla
Pojawi się informacja podobna do przedstawionej poniżej. Należy wybrać
opcję „OK”.
63
CryptoCard Suite
Rysunek 69 Instalacja modułu PKCS#11 - Informacja dla użytkownika
Następnie może się pojawić monit z prośbą o zezwolenie na uruchomienie
skryptu w przeglądarce, tak jak to przedstawiono poniżej.
Rysunek 70 Zezwolenie na uruchomienie skryptu
Użytkownik powinien wybrać opcję „Zezwól” w celu wykonania skryptu.
W efekcie moduł CryptoCard PKCS#11 powinien zostać zainstalowany a
informacja o tym powinna pojawić się w oknie przeglądarki, tak jak to
przedstawiono poniżej.
64
CryptoCard Suite
Rysunek 71 Potwierdzenie zainstalowania modułu
7.2 Odinstalowanie modułu CryptoCard PKCS#11 w programach typu
Mozilla (na przykładzie Mozilla Firefox 3.6)
W celu odinstalowania modułu CryptoCard PKCS#11 z programów typu
Netscape Browser lub Mozilla należy uruchomić narzędzie "Rejestruj w
Mozilli" (patrz punkt 7.1).
Rysunek 72 Uruchomienie narzędzia "Rejestruj w Mozilli"
Podobnie
jak
w przypadku
instalacji
modułu
PKI
narzędzie
automatycznie przeskanuje system na obecność programów takich jak
Mozilla, Mozilla Firefox, Netscape Browser. Znalezione programy zostaną
przedstawione w postaci listy. Następnie należy wskazać na liście
program dla którego moduł ma zostać odinstalowany, zaznaczyć opcję
„Usunięcie modułu” i wybrać opcję „Dalej”. W kolejnym kroku należy
zezwolić na wykonanie skryptu, a w efekcie moduł CryptoCard PKCS#11
powinien zostać odinstalowany i informacja o tym powinna pojawić się w
oknie przeglądarki (podobnie jak w przypadku instalacji modułu).
65

Podręcznik użytkownika CryptoCard Suite

Transkrypt

Podobne dokumenty