Podręcznik użytkownika CryptoCard Suite
Transkrypt
Podręcznik użytkownika CryptoCard Suite
Podręcznik użytkownika CryptoCard Suite Podręcznik użytkownika CryptoCard Suite Wersja podręcznika 2.0 Data publikacji: 19.03.2010 Dla CryptoCard Suite w wersji 1.20 i Podręcznik użytkownika CryptoCard Suite Spis treści 1 2 3 Wprowadzenie ................................................................................................................................ 1 1.1 Informacje dotyczące podręcznika ......................................................................................... 1 1.2 Konwencje dokumentacji........................................................................................................ 1 1.3 Słownik pojęd .......................................................................................................................... 1 1.4 O zestawie CryptoCard Set...................................................................................................... 2 1.5 Informacje dla użytkowników aplikacji Płatnik oraz innych aplikacji wykorzystujących PKI .. 4 Instalacja pakietu CryptoCard Suite ................................................................................................ 7 2.1 Wymagania systemowe aplikacji CryptoCard Suite ................................................................ 7 2.2 Instalacja pakietu CryptoCard Suite ........................................................................................ 7 2.3 Sprawdzenie poprawności instalacji ....................................................................................... 9 2.4 Sprawdzenie aktualności oprogramowania CryptoCard Suite ............................................. 11 2.5 Konfiguracja programu CryptoCard Suite ............................................................................. 13 2.6 Odinstalowanie pakietu CryptoCard Suite ............................................................................ 16 2.7 Gdy wystąpią problemy ........................................................................................................ 17 Obsługa karty kryptograficznej - częśd niekwalifikowana............................................................. 19 3.1 Czynności przypisane do roli operatora karty ....................................................................... 19 3.1.1 3.2 4 Zmiana kodu PIN dla części niekwalifikowanej karty .................................................... 19 Czynności przypisane do roli administratora karty ............................................................... 20 3.2.1 Ustawienie głównego hasła dla części niekwalifikowanej ............................................ 20 3.2.2 Inicjalizacja karty ........................................................................................................... 23 3.2.3 Odblokowanie tokenu w części niekwalifikowanej karty ............................................. 25 Obsługa karty kryptograficznej - częśd kwalifikowana.................................................................. 28 4.1 Czynności przypisane do roli operatora karty ....................................................................... 28 4.1.1 Zmiana kodu PIN dla części kwalifikowanej karty ......................................................... 28 4.1.2 Blokowanie możliwości użycia kwalifikowanej części karty CryptoCard multiSIGN ..... 29 4.2 Czynności przypisane do roli administratora karty ............................................................... 30 4.2.1 Aktywacja części kwalifikowanej karty CryptoCard ...................................................... 30 4.2.2 Odblokowanie kwalifikowanej części karty w przypadku jej zablokowania na skutek błędnego wprowadzenia kodu PIN ............................................................................................... 33 5 Najczęściej zadawane pytania (FAQ) ............................................................................................ 35 5.1 Dlaczego pracując w sesji terminalowej Windows Terminal Services "nie działa" czytnik zainstalowany na serwerze terminalowym a działa tylko czytnik lokalny mojej stacji roboczej? .... 35 5.2 Nie działa karta inteligentna (i czytnik) podłączony do stacji roboczej, z której następuje łączenie się do serwera terminalowego (przez protokół RDP) ......................................................... 36 ii Podręcznik użytkownika CryptoCard Suite 5.3 Jak można zdiagnozowad poprawnośd konfiguracji mojego komputera do pracy z kartami CryptoCard? ...................................................................................................................................... 37 5.4 Nie można włączyd usługi "Smart Card/Karta Inteligentna" w systemie Windows XP......... 38 5.5 Aplikacja 'Płatnik' nie współpracuje poprawnie z kartami CryptoCard multiSIGN na platformach Windows 98/Me/NT4................................................................................................... 39 5.6 Asystent konfiguracji CryptoCard Suite wyświetla komunikat "Uszkodzona biblioteka CCPKI11.DLL, brak lub wadliwe sterowniki czytnika PC/SC lub Smart Card Base Components. ...... 39 5.7 Po zarejestrowaniu modułu kryptograficznego PKCS#11 narzędziem Cryptotech->Rejestruj w Mozilli aplikacja Mozilla Firefox nie widzi poprawnie certyfikatów na karcie. ............................. 40 5.8 Po aktualizacji oprogramowania CryptoCardSuite z wersji 1.12.x do wersji 1.20.x nie mogę używad certyfikatów z karty. ............................................................................................................. 40 5.9 Po wyjęciu karty z czytnika nie następuje zerwanie sesji SSL w MS Internet Explorer......... 40 5.10 Nie mogę logowad się kartą do mojego komputera mimo tego, że czytnik jest podłączony a oprogramowanie działa poprawnie. ................................................................................................. 41 5.11 Jak dodad do Mozilla Thunderbird możliwośd podpisywania i szyfrowania korespondencji z użyciem kart CryptoCard? ................................................................................................................. 41 5.12 Jak przenieśd na kartę klucz i certyfikat służący do szyfrowania systemu plików (EFS)? ..... 41 5.13 Ile certyfikatów zmieści się na moją kartę? .......................................................................... 41 5.14 Nie mogę podpisad wiadomości e-mail mimo tego, że posiadam certyfikat kwalifikowany. 41 5.15 Wygenerowałem wniosek o certyfikację przy pomocy Asystenta Certyfikatów. Co dalej? Jak mogę zarejestrowad taki certyfikat w systemie? .............................................................................. 42 5.16 Aplikacja 'Płatnik' nie współpracuje poprawnie z kartami CryptoCard multiSIGN na platformie Windows XP. ................................................................................................................... 42 5.17 6 Czytnik SCR3310 nie instaluje się poprawnie na platformie Windows 98/Me. .................... 42 Uzyskanie certyfikatu .................................................................................................................... 43 6.1 Przygotowanie wniosku o certyfikację w formacie PKCS#10................................................ 44 6.2 Import certyfikatów oraz kluczy na kartę ............................................................................. 49 6.3 Rejestracja certyfikatu w systemie ....................................................................................... 53 6.4 Uzyskanie certyfikatu on-line na przykładzie centrum certyfikacji w domenie Active Directory ........................................................................................................................................... 56 7 Dodatkowe oprogramowanie wchodzące w skład pakietu CryptoCard Suite .............................. 63 7.1 Automatyczna instalacji modułu CryptoCard PKCS#11 w programach typu Mozilla (na przykładzie Mozilla Firefox 3.6) ........................................................................................................ 63 7.2 Odinstalowanie modułu CryptoCard PKCS#11 w programach typu Mozilla (na przykładzie Mozilla Firefox 3.6) ........................................................................................................................... 65 iii Podręcznik użytkownika CryptoCard Suite Spis rysunków Rysunek 1 Podstawowe komponenty biorące udział w składaniu podpisu elektronicznego ................. 5 Rysunek 2 Dialog wyboru rodzaju instalacji............................................................................................ 8 Rysunek 3 Koocowe okno instalacji aplikacji CryptoCard Suite .............................................................. 9 Rysunek 4 Zawartośd grupy CryptoCard Suite w menu Start ................................................................. 9 Rysunek 5 Asystent Konfiguracji ........................................................................................................... 11 Rysunek 6 Sprawdzanie wersji CryptoCard Suite.................................................................................. 12 Rysunek 7 Witryna update.cryptotech.com.pl ..................................................................................... 12 Rysunek 8 Konfiguracja programu CryptoCard Suite............................................................................ 13 Rysunek 9 Dodatkowe obszary niekwalifikowane (tokeny) na karcie CryptoCard multiSIGN ............. 14 Rysunek 10 Ustawienie opcji "Trwały PIN" w oknie wprowadzania kodu PIN ..................................... 15 Rysunek 11 Dodatkowe obszary niekwalifikowane .............................................................................. 16 Rysunek 12 Ikona programu deinstalacyjnego w Menu Start .............................................................. 16 Rysunek 13 Wpis dla CryptoCard Suite w aplecie "Dodaj/usuo programy" ......................................... 17 Rysunek 14 Usuwanie błędów związanych z instalacją aplikacji CryptoCard Suite .............................. 18 Rysunek 15 Ostrzeżenie dotyczące zmiany kodu PIN ........................................................................... 19 Rysunek 16 Okno zmiany kodu PIN lub SO PIN..................................................................................... 20 Rysunek 17 Potwierdzenie zmiany kodu PIN ........................................................................................ 20 Rysunek 18 Hasło główne ..................................................................................................................... 21 Rysunek 19 Ustawianie hasła głównego ............................................................................................... 22 Rysunek 20 Komunikat o ustawieniu hasła głównego .......................................................................... 22 Rysunek 21 Stan po ustawieniu hasła głównego .................................................................................. 23 Rysunek 22 Ostrzeżenie dotyczące inicjalizacji karty............................................................................ 24 Rysunek 23 Inicjalizacja karty................................................................................................................ 24 Rysunek 24 Komunikat informujący o zakooczeniu procesu inicjalizacji karty .................................... 24 Rysunek 25 Zainicjalizowana karta ze zmienioną etykietą ................................................................... 25 Rysunek 26 Informacja o zablokowaniu tokena w części niekwalifikowanej karty .............................. 26 Rysunek 27 Ostrzeżenie dotyczące wykonywania dalszych operacji ................................................... 26 Rysunek 28 Odblokowanie tokena ....................................................................................................... 27 Rysunek 29 Kwalifikowana częśd karty CryptoCard multiSIGN po aktywacji ....................................... 27 Rysunek 30 Ostrzeżenie dotyczące zmiany kodu PIN ........................................................................... 28 Rysunek 31 Okno zmiany kodu PIN....................................................................................................... 28 Rysunek 32 Potwierdzenie zmiany kodu PINOo ................................................................................... 29 Rysunek 33 Dialog trwałego niszczenia (blokowania) klucza prywatnego ........................................... 29 Rysunek 34 Potwierdzenie trwałego zablokowania dostępu do części (obszaru) kwalifikowanej karty .............................................................................................................................................................. 30 Rysunek 35 Informacja o zablokowaniu klucza prywatnego ................................................................ 30 Rysunek 36 Struktura karty CryptoCard multiSIGN .............................................................................. 31 Rysunek 37 Aktywacja kwalifikowanej części karty CryptoCard multiSIGN ......................................... 32 Rysunek 38 Informacja o pomyślnej aktywacji kwalifikowanej części karty CryptoCard multiSIGN .... 32 Rysunek 39 Kwalifikowana częśd karty CryptoCard multiSIGN po aktywacji ....................................... 33 Rysunek 40 Ostrzeżenie dotyczące odblokowania dostępu do części kwalifikowanej karty ............... 33 Rysunek 41 Okno ustawiania nowego lub przywracania kodu PIN dla części kwalifikowanej karty .... 34 Rysunek 42 Informacja o odblokowaniu części kwalifikowanej karty .................................................. 34 iv Podręcznik użytkownika CryptoCard Suite Rysunek 43 Podstawowe komponenty umożliwiające korzystanie z kart kryptograficznych .............. 38 Rysunek 44 Narzędzia dodatkowe ........................................................................................................ 44 Rysunek 45 Asystent wniosku PKCS#10 ................................................................................................ 45 Rysunek 46 Przygotowanie wniosku o certyfikację .............................................................................. 46 Rysunek 47 Wybór karty ....................................................................................................................... 47 Rysunek 48 Wybór długości klucza oraz etykiety ................................................................................. 48 Rysunek 49 Wskazanie miejsca na dysku gdzie zostanie zapisany wygenerowany wniosek ............... 49 Rysunek 50 Asystent importu certyfikatów i klucza prywatnego (PKCS#12) ....................................... 50 Rysunek 51 Wybór karty kryptograficznej ............................................................................................ 50 Rysunek 52 Podanie kodu PIN .............................................................................................................. 51 Rysunek 53 Podanie hasła do pliku PKCS#12 ........................................................................................ 52 Rysunek 54 Rejestracja certyfikatu w systemie .................................................................................... 53 Rysunek 55 Komunikat informujący o pomyślnym zakooczeniu importu certyfikatu.......................... 53 Rysunek 56 Asystent rejestracji ............................................................................................................ 54 Rysunek 57 Wybór karty ....................................................................................................................... 54 Rysunek 58 Wybór certyfikatu .............................................................................................................. 55 Rysunek 59 Nadanie przyjaznej nazwy i wybór magazynu certyfikatów .............................................. 56 Rysunek 60 Komunikat koocowy instalacji certyfikatu ......................................................................... 56 Rysunek 61 Główna strona CA domeny Active Directory ..................................................................... 57 Rysunek 62 Wybór rodzaju wniosku ..................................................................................................... 58 Rysunek 63 Wybór rodzaju wniosku - opcje zaawansowane ............................................................... 59 Rysunek 64 Wybór systemowego dostawcy usług kryptograficznych ................................................. 60 Rysunek 65 Ostrzeżenie o występowaniu o wniosek we własnym imieniu ......................................... 61 Rysunek 66 Generowanie klucza przez CSP .......................................................................................... 61 Rysunek 67 Uruchomienie narzędzia "Rejestru w Mozilli" ................................................................... 63 Rysunek 68 Wybór aplikacji typu Mozilla ............................................................................................. 63 Rysunek 69 Instalacja modułu PKCS#11 - Informacja dla użytkownika ................................................ 64 Rysunek 70 Zezwolenie na uruchomienie skryptu ............................................................................... 64 Rysunek 71 Potwierdzenie zainstalowania modułu ............................................................................. 65 Rysunek 72 Uruchomienie narzędzia "Rejestruj w Mozilli" .................................................................. 65 v Podręcznik użytkownika CryptoCard Suite Spis tabel Tabela 1 Informacje dotyczące podręcznika ........................................................................................... 1 Tabela 2 Konwencje typograficzne ......................................................................................................... 1 Tabela 3 Słownik pojęd............................................................................................................................ 1 Tabela 4 Wymagania dotyczące konfiguracji .......................................................................................... 7 vi Podręcznik użytkownika CryptoCard Suite 1 Wprowadzenie 1.1 Informacje dotyczące podręcznika Tabela 1 Informacje dotyczące podręcznika Wersja 2.0 Data publikacji 19.03.2010 Autor Przemysław Karch Weryfikował Maciej Machacz 1.2 Konwencje dokumentacji W celu ułatwienia posługiwania się niniejszym dokumentem, przyjęliśmy następujące konwencje typograficzne. Tabela 2 Konwencje typograficzne Krój czcionki Znaczenie kursywa Przytoczenie terminu obcojęzycznego tekst wytłuszczony Termin, który należy zapamiętać. Zazwyczaj są to pojęcia często używane w dokumentacji CryptoCard Suite i ich zapamiętanie znacznie ułatwi posługiwanie się niniejszą dokumentacją. 1.3 Słownik pojęć Aby móc szybko rozpocząć używanie aplikacji CryptoCard Suite należy poznać terminologię stosowaną w świecie bezpieczeństwa i kryptografii. Zrozumienie tych kilku pojęć stanowi klucz do swobodnego poruszania się w aplikacji CryptoCard Suite jak i w innych systemach związanych z bezpieczeństwem. Tabela 3 Słownik pojęd Termin Znaczenie PIN Personal Identification Numer. Kod (4 do 8 cyfr), który zabezpiecza aplikację na karcie, w części kwalifikowanej lub niekwalifikowanej, przed użyciem przez niepowołaną osobę. Dla kart elektronicznych CryptoCard multiSIGN kod ten domyślnie dla części niekwalifikowanej ustawiony jest na "1111". Natomiast dla części kwalifikowanej kod PIN ustawiany jest podczas aktywacji podobnie jak kod PUK. W zależności od rodzaju tokena dla części niekwalifikowanej minimalna długość PIN wynosi 4 a dla części kwalifikowanej 6 znaków. SO PIN Security Officer Personal Identification Number. Kod 1 Wprowadzenie PIN, który jest używany do odblokowania niekwalifikowanej aplikacji karty (np. na skutek trzykrotnego błędnego wprowadzenia kodu PIN użytkownika) lub podczas inicjalizacji. PUK Personal Unlocking Key. 8-cyfrowy kod, który służy do odblokowania kwalifikowanej części karty CryptoCard multiSIGN. Kod ten jest ustawiany przez użytkownika w trakcie aktywacji kwalifikowanej części karty i nie może zostać zmieniony w trakcie użytkowania. PKCS Public Key Cryptography Standard. Nazwa zestawu standardów kryptografii klucza publicznego, opracowanych i opublikowanych przez firmę RSA Security. CA Certification Authority. certyfikacyjne oraz certyfikatami. CRL Certificate Revocation List. Specjalna lista zawierająca wykaz unieważnionych certyfikatów wydanych przez dany Urząd Certyfikacji (CA). Urząd świadczący usługi zarządzający wydanymi Wszelkie uwagi dotyczące niniejszego dokumentu prosimy kierować pod adres e-mail <[email protected]>. 1.4 O zestawie CryptoCard Set CryptoCard Set to zestaw składający się z karty mikroprocesorowej CryptoCard multiSIGN oraz z towarzyszącego jej pakietu oprogramowania CryptoCard Suite. Karta CryptoCard multiSIGN jest specjalizowaną, kryptograficzną kartą mikroprocesorową przeznaczoną do realizacji kwalifikowanego i niekwalifikowane podpisu elektronicznego oraz funkcji identyfikacji i silnego uwierzytelniania użytkowników. Karta ta, uzupełniona o oprogramowanie podpisujące i uwierzytelniające, stanowi doskonałe narzędzie wspierające szeroką gamę rozwiązań pracujących w ramach Infrastruktury Klucza Publicznego (PKI). Wsparcie dla dominujących na rynku standardów pozwala na użycie karty w typowych zastosowaniach wewnątrz organizacji (takich jak dostęp do komputerów, sieci czy innych zasobów) oraz umożliwia zrealizowanie w pełni idei podpisu elektronicznego. Na karcie CryptoCard multiSIGN można wyróżnić dwie struktury obsługiwanych aplikacji, co oznacza, że może jednocześnie zawierać aplikację podpisu niekwalifikowanego oraz certyfikowaną aplikację podpisu kwalifikowanego. W tym drugim przypadku karta stanowi komponent techniczny spełniający wymagania prawa polskiego stawiane bezpiecznym urządzeniom do składania kwalifikowanego podpisu elektronicznego. Karta CryptoCard multiSIGN odznacza się następującymi cechami: 32 kB pamięci, 2 Wprowadzenie podpisywanie i szyfrowanie RSA 1024 bity, DES, 3DES, MAC i SHA-1 realizowane na karcie, generowanie kluczy na karcie, wsparcie dla standardów przemysłowych (PKCS#11, PKCS#15, MS CryptoAPI, PC/SC), uznany producent systemu operacyjnego dla wymagających aplikacji klasy digitalID - Setec Oy, najbardziej certyfikat bezpieczeństwa ITSEC na poziomie E3 High, dla aplikacji, certyfikat bezpieczeństwa ITSEC na poziomie E4 High, dla układu elektronicznego karty, pełne wsparcie dla systemów 32 bitowych - Windows 2000, XP, 2003, Vista, 7 i 2008, ograniczone wsparcie dla systemów 64 bitowych – Windows XP, 2003, Vista, 7, 2008 wsparcie dla pracy terminalowej Cytrix Metaframe i RDP, możliwe łączenie z aplikacjami dedykowanymi. Mechanizmy bezpieczeństwa zarządzania kluczami są zlokalizowane na karcie. Karta zarówno generuje klucze, jak również podpisuje nimi dane 3 Wprowadzenie na zlecenie zewnętrznych aplikacji po weryfikacji kodu PIN. Aplikacje umieszczone na karcie w części kwalifikowanej i niekwalifikowanej są odseparowane i chronione oddzielnymi kodami PIN. Oprogramowanie CryptoCard Suite realizuje standard PKCS#11 w wersji 2.01, a wewnętrzne struktury aplikacji są zgodne ze standardem PKCS#15. Oprogramowanie to zawiera również certyfikowany przez Microsoft moduł Cryptografic Service Provider (CSP) dedykowany do pracy przez interfejs CryptoAPI 2.0. Ponieważ interfejsy te korzystają ze standardu PC/SC możliwe jest wykorzystanie w środowisku Windows szerokiej gamy czytników kart. Zestaw CryptoCard Set współpracuje z oprogramowaniem liderów rynku PKI: Cybertrust (Baltimore), RSA Security, Entrust, CheckPoint, Microsoft, Netscape, PGP, Novell i wielu innych. Najnowsze informacje na temat zmian w oprogramowaniu CryptoCard Suite znajdują się w pliku ReadMe.txt dołączonym do pakietu instalacyjnego. Plik ten można znaleźć w katalogu, w którym zostało zainstalowane oprogramowanie. 1.5 Informacje dla użytkowników aplikacji Płatnik oraz innych aplikacji wykorzystujących PKI Zgodnie z ustawą z dnia 17 lutego 2005 r. o informatyzacji podmiotów realizujących zadania publiczne, od dnia 21 lipca 2008 r. każdy dokument przekazywany do ZUS musi być opatrzony bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego certyfikatu kwalifikowanego. W związku z tym program Płatnik, począwszy od wersji 7.01.001, umożliwia wykorzystanie kart kryptograficznych i obsługuje certyfikaty kwalifikowane. W tym celu konieczne było wprowadzenie obsługi certyfikatów kwalifikowanych i list certyfikatów unieważnionych pochodzących z trzech uprawnionych centrów certyfikacji: Sigillum (PWPW - Polskiej Wytwórni Papierów Wartościowych) Szafir (KIR - Krajowej Izby Rozliczeniowej) Unizeto Technologies Aby móc podpisywać dokumenty bezpiecznym podpisem elektronicznym, należy dysponować: odpowiednią aplikacją umożliwiającą złożenie bezpiecznego podpisu elektronicznego, odpowiednim oprogramowanie typu middleware, kartą kryptograficzną z certyfikatem kwalifikowanym, czytnikiem kart kryptograficznych, 4 Wprowadzenie W przypadku, gdy dostawcą certyfikatu jest Sigillum (PWPW) lub Szafir (KIR), istnieje duże prawdopodobieństwo że karta, którą otrzyma użytkownik w ramach zestawu do składania bezpiecznego podpisu elektronicznego, to będzie CryptoCard multiSIGN. Wraz z tą kartą zostanie dostarczone również oprogramowanie CryptoCard Suite. Na poniższym rysunku przedstawiono podstawowe komponenty (urządzenia i oprogramowanie), które biorą udział w składaniu podpisu elektronicznego. Rysunek 1 Podstawowe komponenty biorące udział w składaniu podpisu elektronicznego Do oprogramowania należą: Aplikacja Płatnik, czyli podstawowa aplikacja, którą wykorzystuje użytkownik, między innymi do złożenia bezpiecznego podpisu elektronicznego. CryptoCard Suite, czyli oprogramowanie, które "udostępnia" zestaw funkcji kryptograficznych wykonywanych przy użyciu karty, dla aplikacji (w tym przypadku programu Płatnik). System operacyjny wspierający elektronicznych (np. Windows XP). obsługę czytników kart Sterownik dla stosowanego czytnika kart elektronicznych (np. SCM SCR 3310). Do urządzeń należą: Czytnik kart elektronicznych, który fizycznie umożliwia komunikację 5 Wprowadzenie między kartą a pozostałymi komponentami systemu. Karta kryptograficzna, czyli urządzenie, którego podstawową funkcją jest ochrona klucza prywatnego użytkownika. 6 2 Instalacja pakietu CryptoCard Suite 2.1 Wymagania systemowe aplikacji CryptoCard Suite Pakiet CryptoCard Suite jest przeznaczony do pracy w całej rodzinie współczesnych systemów Microsoft Windows, jednak te starsze wersje systemów są wspierane w ograniczonym zakresie. Tabela 4 Wymagania dotyczące konfiguracji Minimalne wymagania dotyczące konfiguracji komputera, pozwalające na uruchomienie aplikacji CryptoCard Suite Microsoft Windows 2000 lub System operacyjny Microsoft Windows XP Microsoft Vista 32b Zalecana konfiguracja Microsoft Windows 2000 (z Service Pack 4) lub Microsoft Windows XP (z Service Pack 2) Microsoft Vista 32b (z Service Pack 2) procesor 233MHz Konfiguracja sprzętowa Celeron procesor Celeron 500MHz 64MB RAM 256MB RAM Czytnik kart z interfejsem USB lub PC-CARD (zgodny ze standardem PC/SC) Czytnik kart z interfejsem USB lub PC-Card (zgodny ze standardem PC/SC) co najmniej 10MB wolnej przestrzeni na dysku (potrzebne do instalacji) co najmniej 10MB wolnej przestrzeni na dysku (potrzebne do instalacji) 2.2 Instalacja pakietu CryptoCard Suite Uwaga! Na systemach Microsoft Windows 2000 i XP instalacja musi się odbyć z poziomu użytkownika z prawami lokalnego administratora danej maszyny lub administratora domeny Active Directory (Windows 2000/2003). 7 Instalacja pakietu CryptoCard Suite Oprogramowanie CryptoCard Suite jest dostarczane jako pojedynczy plik wykonywalny setup.exe lub pakiet msi. Po uruchomieniu instalatora użytkownik jest prowadzony przez kolejne ekrany, gdzie może dokonać wyboru niektórych ustawień aplikacji CryptoCard Suite. Dostępne są dwie metody instalacji - Pełna, która odznacza się tym, że aplikacja CryptoCard Suite jest instalowana w domyślnym katalogu (C:\Program Files\CryptoTech\CryptoCard) wraz z domyślnym zestawem bibliotek. Druga metoda instalacji - Niestandardowa przeznaczona jest dla użytkowników, którzy chcą dostosować instalację CryptoCard Suite do swoich indywidualnych potrzeb. W obu przypadkach program instalacyjny prowadzi użytkownika przez szereg intuicyjnych ekranów. Rysunek 2 Dialog wyboru rodzaju instalacji Gdy program instalacyjny zakończy kopiowanie plików oraz rejestrowanie składników aplikacji CryptoCard Suite w systemie operacyjnym, pojawi się końcowy ekran instalatora (podobny do poniższego obrazka), gdzie użytkownik może zadecydować, czy chce zainstalować w systemie certyfikat CA oraz czy chce przeczytać plik ReadMe dołączony do tej wersji (jest to zalecane). 8 Instalacja pakietu CryptoCard Suite Rysunek 3 Koocowe okno instalacji aplikacji CryptoCard Suite 2.3 Sprawdzenie poprawności instalacji W celu weryfikacji poprawności instalacji należy sprawdzić czy na pulpicie widoczne są ikony Menedżer CryptoCard Suite oraz Menedżer komponentu technicznego, a w grupie start pojawiła się grupa programów CryptoTech. Rysunek 4 Zawartośd grupy CryptoCard Suite w menu Start Poszczególne elementy oznaczają: "Pomoc" - niniejszy podręcznik. "ReadMe.txt" - plik readme.txt zawierający opis zmian w danej wersji, opis znanych problemów itp. 9 Instalacja pakietu CryptoCard Suite "Asystent certyfikatów" - uruchamia zestaw narzędzi, które są pomocne w zarządzaniu certyfikatami na karcie. "Asystent konfiguracji" - program pomagający sprawdzić, czy wymagane elementy systemu operacyjnego są zainstalowane i czy działają poprawnie. "CryptoCard Monitor" - program, który po uruchomieniu znajduje się w zasobniku systemowym, a jego funkcja polega na automatycznym zapewnieniu dostępu do certyfikatów umieszczonych na karcie włożonej do czytnika kart (import certyfikatów z karty do systemowych magazynów certyfikatów) "Menadżer CryptoCard Suite" - program umożliwiający przeglądanie zawartości karty, zarządzanie jej zawartością. Z poziomu menadżera można uruchomić w/w programy. "Menadżer komponentu technicznego" - program umożliwiający przeglądanie zawartości karty w części kwalifikowanej. "Rejestruj w Mozilli" - program pomagający zarejestrować tzw. "Security device", umożliwiający korzystanie z kart CryptoCard w programach typu Netscape Browser czy Mozilla. "Wyrejestruj z Mozlilli" - program pomagający wyrejestrować "Security Device" z programów typu Netscape Browser czy Mozilla. "Licencja" - Tekst Umowy Licencyjnej. "Odinstaluj CryptoCard Suite" - opcja umożliwiająca odinstalowanie pakietu CryptoCard Suite. Kolejnym krokiem jest uruchomienie asystenta konfiguracji. Aby to osiągnąć należy z menu Start → Programy → CryptoTech → CryptoCard Suite 1.2 wybrać opcję Asystent konfiguracji. Jest to aplikacja, która pomoże sprawdzić czy pakiet CryptoCard Suite działa poprawnie oraz czy system operacyjny spełnia założone minimalne wymagania sprzętowo-systemowe. 10 Instalacja pakietu CryptoCard Suite Rysunek 5 Asystent Konfiguracji Efektem działania Asystenta konfiguracji jest raport tekstowy, który jest osiągalny z poziomu ostatniego ekranu asystenta pod klawiszem Raport. Zawiera on informacje na temat systemu operacyjnego, bibliotek powiązanych z aplikacja CryptoCard Suite oraz informacje dotyczące zainstalowanych w systemie czytników kart elektronicznych. Raport nie zawiera żadnych informacji dotyczących danych osobowych użytkownika ani żadnych informacji na temat kluczy czy certyfikatów użytkownika. Raport jest automatycznie zapisywany w pliku CrytoCardTest.log w katalogu, w którym jest zainstalowana aplikacja. 2.4 Sprawdzenie aktualności oprogramowania CryptoCard Suite Jeżeli użytkownik posiada dostęp do Internetu to może skorzystać z opcji sprawdzania aktualności oprogramowania CryptoCard Suite. W celu wykonania sprawdzania aktualności oprogramowania należy: uruchomić Menadżera CryptoCard Suite (Start → Programy → CryptoTech → CryptoCard Suite 1.2. → Menadżer CryptoCard Suite) i przejść do zakładki Ogólne a następnie wybrać opcję Sprawdź uaktualnienia. 11 Instalacja pakietu CryptoCard Suite Rysunek 6 Sprawdzanie wersji CryptoCard Suite W efekcie powinna otworzyć się domyślna przeglądarka internetowa użytkownika i połączyć ze stroną http://update.cryptotech.com.pl. Na tej stronie użytkownik uzyska informacje dotyczące aktualnie używanej wersji oprogramowania CryptoCard Suite oraz czy jest dostępna nowsza wersja. Rysunek 7 Witryna update.cryptotech.com.pl 12 Instalacja pakietu CryptoCard Suite 2.5 Konfiguracja programu CryptoCard Suite Pakiet CryptoCard Suite posiada możliwość dopasowania w pewnym zakresie do indywidualnych potrzeb użytkownika. Konfiguracji można dokonać za pomocą zakładki Konfiguracja w Menadżerze CryptoCard Suite. Rysunek 8 Konfiguracja programu CryptoCard Suite Możliwe do ustawienia są następujące opcje: Dodatkowe PIN-y opcja możliwa tylko dla kart CryptoCard multiSIGN, powoduje, że użytkownik ma do dyspozycji dwie dodatkowe niekwalifikowane części karty (tokeny) Włącz CCMonitor – uruchamia aplikację CCMonitor przy starcie systemu oraz powoduje włączenie natychmiastowe CCMonitor i umieszczenie go w zasobniku systemowym. Trwały PIN włącza/wyłącza tymczasowe przechowywanie kodu PIN dla programu korzystającego z CryptoAPI, w którym podano kod PIN. Pozwól na archiwizację klucza prywatnego – opcja wykorzystywana w przypadku używania aplikacji Microsoft Certification Authority, w celu umożliwienia przeprowadzenia archiwizacji klucza prywatnego użytkownika. Uwaga! Korzystanie z funkcjonalności "Trwały PIN" obniża bezpieczeństwo korzystania z kart, ponieważ wymusza przechowywanie kodu PIN w pamięci komputera. W przypadku karty CryptoCard multiSIGN po załączeniu opcji "Dodatkowe 13 Instalacja pakietu CryptoCard Suite PIN-y" użytkownik ma do dyspozycji dwa dodatkowe niekwalifikowane obszary karty. Rysunek 9 Dodatkowe obszary niekwalifikowane (tokeny) na karcie CryptoCard multiSIGN Ustawienie opcji "Trwały PIN" jest możliwe również w momencie, w którym użytkownik wprowadza kod PIN w oknie wywołanym z aplikacji (np. gdy użytkownik zamierza odczytać zaszyfrowaną pocztę). Dla opcji "Trwały PIN" dostępne są trzy opcje: bez ograniczeń - program nie będzie monitował użytkownika o wprowadzenie kodu PIN podczas pracy z programem do momentu jego zamknięcia i ponownego uruchomienia, co znacząco wpływa na obniżenie poziomu bezpieczeństwa. ograniczony czasem (minuty) - program nie będzie monitował użytkownika o wprowadzenie kodu PIN podczas pracy z programem do momentu upłynięcia czasu określonego w minutach przez użytkownika. ograniczony ilością operacji - program nie będzie monitował użytkownika o wprowadzenie kodu PIN podczas pracy z programem do momentu wykonania określonej przez użytkownika ilości operacji, które w normalnym trybie pracy (bez załączonej opcji "Trwały PIN" wymagałyby wprowadzenia kodu PIN. 14 Instalacja pakietu CryptoCard Suite Rysunek 10 Ustawienie opcji "Trwały PIN" w oknie wprowadzania kodu PIN Po zaznaczeniu opcji "Dodatkowe PIN-y" i potwierdzeniu wyboru klawiszem "OK" w zakładce Karty elektroniczne powinny pokazać się dwa dodatkowe obszary (tokeny) niekwalifikowane, tak jak to przedstawiono na rysunku poniżej. 15 Instalacja pakietu CryptoCard Suite Rysunek 11 Dodatkowe obszary niekwalifikowane 2.6 Odinstalowanie pakietu CryptoCard Suite Najprostszym sposobem na odinstalowanie pakietu CryptoCard Suite jest wybranie opcji Odinstaluj z grupy Start → Programy → CryptoTech → CryptoCard Suite 1.2. Rysunek 12 Ikona programu deinstalacyjnego w Menu Start Proces deinstalacji przebiega w sposób zautomatyzowany. Program usuwa pliki oraz wpisy systemowe pakietu CryptoCard Suite. Oczywiście w celu odinstalowania pakietu CryptoCard Suite można skorzystać ze standardowego narzędzia do deinstalacji pakietów "Dodaj/usuń 16 Instalacja pakietu CryptoCard Suite programy" dostępnego w Panelu Sterowania. Rysunek 13 Wpis dla CryptoCard Suite w aplecie "Dodaj/usuo programy" Uwaga! Proces deinstalacji, podobnie jak proces instalacji musi odbywać się z konta administratora danej maszyny (bądź konta użytkownika posiadającego prawa administratora). Uwaga ta dotyczy systemów 2000/XP/2003. Uwaga! Może się okazać, że na dysku pozostał katalog, w którym była zainstalowana aplikacja CryptoCard Suite. Zazwyczaj w takiej sytuacji znajduje się w nim plik z logiem, który jest wynikiem działania Asystenta Konfiguracji. W takiej sytuacji cały katalog może zostać usunięty ręcznie. 2.7 Gdy wystąpią problemy W sytuacji, gdy przez przypadek lub nieuwagę użytkownika zostanie usunięty któryś plik z pakietu CryptoCard Suite (np. Assistant.exe) można go doinstalować w następujący sposób. Należy uruchomić program instalacyjny setup.exe i wybrać opcję "Usuń błędy". Program instalacyjny sprawdzi integralność instalacji i spróbuje naprawić wykryte błędy. Uwaga! Opcja "Usuń błędy" nie umożliwia odzyskania danych (kluczy, certyfikatów) z zainicjalizowanej karty. Nie umożliwia też odzyskania certyfikatów usuniętych nieopatrznie z systemu. 17 Instalacja pakietu CryptoCard Suite Rysunek 14 Usuwanie błędów związanych z instalacją aplikacji CryptoCard Suite W przypadku gdy nadal występują należy zapoznać się z działaniem aplikacji CryptoCard Suite, należy zapoznać się z zawartością FAQ umieszczonego na naszej stronie pod adresem: http://www.cryptotech.com.pl/Pomoc_techniczna/Baza_wiedzy,content. html oraz z zawartością strony dedykowanej dla użytkowników aplikacji "Płatnik" korzystających z karty multiSIGN, pod adresem http://www.cryptotech.com.pl/Pomoc_techniczna/CryptoCard_multiSIG N_Platnik_ZUS,content.html. 18 3 Obsługa karty kryptograficznej - część niekwalifikowana Uwaga! Przeczytaj poniższy akapit zanim zaczniesz korzystać z karty! Karta CryptoCard multiSIGN fabrycznie jest przygotowana zarówno do obsługi kwalifikowanego jak i niekwalifikowanego podpisu elektronicznego. Część niekwalifikowana jest gotowa do pracy od razu po zakupie. Domyślny PIN użytkownika to 1111 a SO PIN to 2222. Ze względów bezpieczeństwa zaleca się zmianę tych kodów przy rozpoczęciu pracy z kartą CryptoCard multiSIGN. Odpowiednia funkcjonalność jest dostępna w zakładce Karty elektroniczne pod przyciskiem Zmień PIN. 3.1 Czynności przypisane do roli operatora karty 3.1.1 Zmiana kodu PIN dla części niekwalifikowanej karty Zmiana kodu PIN użytkownika lub kodu SO PIN może zostać przeprowadzona w dowolnym momencie. W celu zmiany kodu PIN lub SO PIN należy wybrać przycisk "Zmień PIN" z zakładki "Karty kryptograficzne" w Menedżerze CryptoCard Suite. Pojawi się ostrzeżenie podobne do przedstawionego poniżej. Rysunek 15 Ostrzeżenie dotyczące zmiany kodu PIN Po zatwierdzeniu operacji klawiszem "Tak" powinno się pojawić okno podobne do przedstawionego poniżej. 19 Obsługa karty kryptograficznej - część niekwalifikowana Rysunek 16 Okno zmiany kodu PIN lub SO PIN W celu zmiany kodu PIN użytkownika należy wybrać opcję "PIN użytkownika" a następnie wpisać dotąd stosowany kod PIN oraz dwukrotnie wpisać nowy kod PIN. W celu zmiany kodu SO PIN należy wybrać opcję "SO PIN" i postępować dalej identycznie jak w przypadku zmiany kodu PIN użytkownika. Po wprowadzeniu nowych kodów PIN należy je zatwierdzić wybierając przycisk "OK". Jeżeli zmiana kodu PIN zakończy się powodzeniem to powinno się ukazać okno podobne do przedstawionego poniżej. Rysunek 17 Potwierdzenie zmiany kodu PIN 3.2 Czynności przypisane do roli administratora karty Uwaga! Opisane poniżej działania powinny być wykonywane przez osobę posiadającą odpowiednią wiedze informatyczną i świadomość działania karty. Nieodpowiedzialne lub niepoprawne wykonanie czynności administracyjnych w najgorszym przypadku może doprowadzić do trwałego zablokowania możliwości korzystania z poszczególnych tokenów karty. 3.2.1 Ustawienie głównego hasła dla części niekwalifikowanej Uwaga! Oprogramowanie CryptoCard Suite umożliwia ustawienie tzw. 20 Obsługa karty kryptograficznej - część niekwalifikowana głównego hasła dla niekwalifikowanej części karty CryptoCard multiSIGN. Ustawienie takiego hasła umożliwi późniejsze zarządzanie strukturą karty przy użyciu dedykowanego oprogramowania. Ustawienie głównego hasła karty jest bardzo zalecane ze względów bezpieczeństwa. Główne hasło karty powinno składać się z 8 (minimalna akceptowana długość hasła) do 32 znaków alfanumerycznych, używanie polskich znaków diakrytycznych nie jest zalecane i może powodować późniejsze problemy. Raz ustawionego hasła nie można zmienić, dlatego powinno to być hasło nietrywialnie, niemożliwe do łatwego odgadnięcia dla innych osób. Hasło główne nie podlega mechanizmowi blokowania, co oznacza, że dopuszczalna jest dowolna ilość prób uwierzytelnienia się do karty z użyciem tego hasła. Użytkownik powinien zachować hasło w bezpiecznym miejscu i absolutnie niedopuszczalne jest zapisywanie hasła na karcie lub przechowywanie hasła razem z kartą. Jeżeli główne hasło zostanie zapomniane może to uniemożliwić w przyszłości zmianę struktury części niekwalifikowanej karty CryptoCard multiSIGN. W celu ustawienia hasła głównego należy po włożeniu karty CryptoCard multiSIGN dwukrotnie kliknąć na pozycji "Główne hasło", która jest widoczna w dolnej części zakładki "Karty elektroniczne" Menadżera CryptoCard Suite. Status głównego hasła powinien być "niezainicjalizowane!". Rysunek 18 Hasło główne 21 Obsługa karty kryptograficznej - część niekwalifikowana Następnie, należy wprowadzić hasło, które użytkownik chce ustawić jako hasło główne. Okno dialogowe jest skonstruowane w ten sposób, że nie pozwoli na ustawienie hasła krótszego niż 8 znaków. Rysunek 19 Ustawianie hasła głównego Jeżeli wszystko przebiegnie pomyślnie, program poinformuje o ustawieniu hasła głównego przy pomocy odpowiedniego komunikatu. Rysunek 20 Komunikat o ustawieniu hasła głównego Po ustawieniu hasła głównego zmieni się jego status na "zainicjalizowane". Status jest widoczny w dolnej części zakładki "Karty elektroniczne" Menadżera CryptoCard Suite. 22 Obsługa karty kryptograficznej - część niekwalifikowana Rysunek 21 Stan po ustawieniu hasła głównego 3.2.2 Inicjalizacja karty Uwaga! Część kwalifikowana karty nie wymaga inicjalizacji a jedynie musi zostać aktywowana, co zostało opisane w punkcie 4.2.1. Operacja inicjalizacji karty może zostać przeprowadzona tylko dla części niekwalifikowanej. Efektem tej operacji jest usunięcie wszystkich kluczy i certyfikatów z wybranego obszaru niekwalifikowanego (dla karty CryptoTech MultiSIGN mogą być dostępne trzy obszary niekwalifikowane) oraz konieczność ponownego ustawienia kodu PIN dla użytkownika. Podczas tej operacji wymagana jest znajomość kodu SO PIN. W celu rozpoczęcia procesu inicjalizacji należy wybrać przycisk "Inicjalizuj". Z zakładki "Karty elektroniczne" w Menadżerze CryptoCard Suite. Pojawi się ostrzeżenie podobne do przedstawionego na poniższym rysunku. 23 Obsługa karty kryptograficznej - część niekwalifikowana Rysunek 22 Ostrzeżenie dotyczące inicjalizacji karty Uwaga! Podanie nieprawidłowego kodu SO PIN przy trzeciej próbie może doprowadzić do trwałego zablokowania karty. Należy się upewnić, że wprowadzany kod SO PIN jest prawidłowy. W trakcie inicjalizacji użytkownik ma możliwość ustawienia własnej etykiety karty, tak jak to przedstawiono na poniższym rysunku. Uwaga! Długość kodu PIN dla części niekwalifikowanej to najmniej 4 znaki a maksymalnie 8 znaków. Rysunek 23 Inicjalizacja karty Po prawidłowym zainicjalizowaniu karty powinien pojawić się komunikat przedstawiony na poniższym rysunku. Rysunek 24 Komunikat informujący o zakooczeniu procesu inicjalizacji karty Po zainicjalizowaniu karty, wprowadzona przez użytkownika etykieta będzie wyświetlana, jako nazwa karty (tokenu). 24 Obsługa karty kryptograficznej - część niekwalifikowana Rysunek 25 Zainicjalizowana karta ze zmienioną etykietą 3.2.3 Odblokowanie tokenu w części niekwalifikowanej karty Uwaga! Zablokowanie tokena następuje niepoprawnego kodu PIN.. po trzeciej W celu odblokowania tokenu należy wybrać Elektroniczne" a następnie wybrać opcję "Odblokuj". 25 próbie zakładkę wpisania "Karty Obsługa karty kryptograficznej - część niekwalifikowana Rysunek 26 Informacja o zablokowaniu tokena w części niekwalifikowanej karty Po wybraniu wspomnianej opcji zostanie wyświetlone ostrzeżenia, podobne do przedstawionego poniżej. okienko Rysunek 27 Ostrzeżenie dotyczące wykonywania dalszych operacji Należy wybrać opcję "Tak" a następnie wprowadzić aktualny kod SO PIN oraz ustawić nowy kod PIN. Ustawione dane należy potwierdzić wybierając opcję OK. 26 Obsługa karty kryptograficznej - część niekwalifikowana Rysunek 28 Odblokowanie tokena Po pomyślnym zakończeniu procesu odblokowywania karty powinno się pojawić okno podobne do przedstawionego poniżej. Rysunek 29 Kwalifikowana częśd karty CryptoCard multiSIGN po aktywacji 27 4 Obsługa karty kryptograficznej - część kwalifikowana 4.1 Czynności przypisane do roli operatora karty 4.1.1 Zmiana kodu PIN dla części kwalifikowanej karty Dla części kwalifikowanej karty możliwa jest tylko zmiana kodu PIN użytkownika (nie ma możliwości zmiany kodu PUK). Przeprowadzenie zmiany kodu PIN użytkownika może zostać przeprowadzone w dowolnym momencie. W celu zmiany kodu PIN należy uruchomić "Menadżera Komponentu Technicznego", przejść do zakładki "Komponent Techniczny", wskazać "SetEID" i wybrać przycisk "Zmień PIN”. Pojawi się ostrzeżenie podobne do przedstawionego poniżej. Rysunek 30 Ostrzeżenie dotyczące zmiany kodu PIN Po zatwierdzeniu operacji klawiszem "Tak" powinno się pojawić okno podobne do przedstawionego poniżej. Rysunek 31 Okno zmiany kodu PIN W celu zmiany kodu PIN użytkownika należy wpisać dotąd stosowany kod PIN oraz dwukrotnie wpisać nowy kod PIN. Po wprowadzeniu nowego kodu PIN należy je zatwierdzić wybierając przycisk "OK". Jeżeli zmiana kodu PIN zakończy się powodzeniem to powinno się ukazać okno podobne do przedstawionego poniżej. 28 Obsługa karty kryptograficznej - część kwalifikowana Rysunek 32 Potwierdzenie zmiany kodu PINOo 4.1.2 Blokowanie możliwości użycia kwalifikowanej części karty CryptoCard multiSIGN Ustawa o podpisie elektronicznym nakłada wymóg, żeby można było trwale uniemożliwić złożenie podpisu kwalifikowanego z użyciem danego klucza. CryptoCard Suite umożliwia trwałe zablokowanie kwalifikowanej części karty CryptoCard multiSIGN. W celu trwałego zablokowania kwalifikowanej części karty CryptoCard multiSIGN należy uruchomić "Menadżera Komponentu Technicznego", przejść do zakładki "Komponent techniczny" wskazać "SetEID" i wybrać przycisk "Zniszcz". Pojawi się okno podobne do przedstawionego poniżej. Rysunek 33 Dialog trwałego niszczenia (blokowania) klucza prywatnego Do zatwierdzenia trwałego zniszczenia (zablokowania) części kwalifikowanej karty należy podać kod PIN (chroniącego dostęp do części kwalifikowanej) oraz przepisać ciąg znaków z pola "Kod" do pustego pola poniżej. A następnie zatwierdzić operację wybierając klawisz "OK". Uwaga! Program nakłada na użytkownika takie wymagania, ponieważ operacja blokowania jest nieodwracalna i nie powinna być wykonywana pochopnie lub przypadkowo. Po kliknięciu "OK". program jeszcze raz poprosi o potwierdzenie chęci trwałego zablokowania możliwości złożenia podpisu kwalifikowanego z użyciem tej karty. 29 Obsługa karty kryptograficznej - część kwalifikowana Rysunek 34 Potwierdzenie trwałego zablokowania dostępu do części (obszaru) kwalifikowanej karty Po potwierdzeniu klawiszem "TAK" nastąpi proces blokowania kwalifikowanej części karty CryptoCard multiSIGN. O zakończeniu operacji blokowania program poinformuje odpowiednim komunikatem. Rysunek 35 Informacja o zablokowaniu klucza prywatnego 4.2 Czynności przypisane do roli administratora karty 4.2.1 Aktywacja części kwalifikowanej karty CryptoCard Uwaga! Część kwalifikowana karty nie wymaga inicjalizacji. Kwalifikowaną część karty CryptoCard multiSIGN, należy aktywować przez ustawienie kodów PIN i PUK. Karta jest dostarczana w stanie pre-inicjalizowanym, co oznacza, że jest założona struktura kwalifikowana, ale nie jest ona jeszcze gotowa do użycia, ponieważ brakuje kodu PIN do części kwalifikowanej karty. Kwalifikowana część karty jest widoczna w "Menedżerze komponentu technicznego" w zakładce "Komponent Techniczny" pod nazwą "SetEID". Z poziomu tego narzędzia można również zobaczyć ogólne informacje na temat certyfikatu kwalifikowanego umieszczonego na karcie, a także wyświetlić certyfikat wybierając przycisk "Więcej". 30 Obsługa karty kryptograficznej - część kwalifikowana Rysunek 36 Struktura karty CryptoCard multiSIGN Jeżeli karta nie została wcześniej aktywowana to stan tokena powinien być "Nie aktywowany". W celu aktywowania karty należy kliknąć przycisk "Aktywuj" i w okienku, które się pojawi podać nowe kody PIN i PUK. PIN powinien zawierać od 6 do 8 znaków, natomiast kod PUK musi zawierać dokładnie 8 znaków. Uwaga! Po trzeciej próbie niepoprawnego wpisania kodu PUK część kwalifikowana karty zostanie nieodwracalnie zablokowana. Uwaga! Kod PIN dla części kwalifikowanej można zmieniać w trakcie używania karty, natomiast kod PUK jest niezmienny i nie ma możliwości jego późniejszej zmiany, dlatego szczególnie ważna jest ochrona jego poufności i przechowywanie w bezpiecznym miejscu! 31 Obsługa karty kryptograficznej - część kwalifikowana Rysunek 37 Aktywacja kwalifikowanej części karty CryptoCard multiSIGN Poprawnie przebiegający proces inicjalizacji części kwalifikowanej karty zakończy się komunikatem podobnym do przedstawionego na poniższym obrazku: Rysunek 38 Informacja o pomyślnej aktywacji kwalifikowanej części karty CryptoCard multiSIGN Po aktywacji karta jest gotowa do użycia - stan tokena to "aktywny", a przycisk "Aktywuj" staje się nieaktywny. Widoczny staje się natomiast przycisk "Zniszcz". Szczegóły użycia tej funkcjonalności są opisane w rozdziale "Blokowanie możliwości użycia kwalifikowanej części karty CryptoCard multiSIGN" niniejszego podręcznika. 32 Obsługa karty kryptograficznej - część kwalifikowana Rysunek 39 Kwalifikowana częśd karty CryptoCard multiSIGN po aktywacji 4.2.2 Odblokowanie kwalifikowanej części karty w przypadku jej zablokowania na skutek błędnego wprowadzenia kodu PIN W przypadku, gdy dla części kwalifikowanej zostanie wprowadzony błędne kod użytkownika PIN (co najmniej trzy razy pod rząd), kwalifikowana część karty zostanie zablokowana. W celu jej odblokowania kwalifikowanej części karty CryptoCard multiSIGN należy uruchomić "Menadżera Komponentu Technicznego", przejść do zakładki "Komponent techniczny" wskazać "SetEID" i wybrać przycisk "Odblokuj". Pojawi się okno podobne do przedstawionego poniżej. Rysunek 40 Ostrzeżenie dotyczące odblokowania dostępu do części kwalifikowanej karty W celu odblokowania dostępu do części kwalifikowanej karty należy podać kod PUK (ustawiany podczas aktywacji części kwalifikowanej) oraz ustawić nowy kod PIN wprowadzając go w pola "Nowy PIN" i "potwierdź 33 Obsługa karty kryptograficznej - część kwalifikowana PIN". Druga możliwość to zaznaczenie opcji Kasuj licznik błędnych prób PINu, co spowoduje wyzerowanie licznika błędnie wpisanych kodów PIN, wtedy można nadal używać poprzednio ustawionego kodu PIN. Po kliknięciu "OK". program jeszcze raz poprosi o potwierdzenie chęci trwałego zablokowania możliwości złożenia podpisu kwalifikowanego z użyciem tej karty. Rysunek 41 Okno ustawiania nowego lub przywracania kodu PIN dla części kwalifikowanej karty Po potwierdzeniu klawiszem "OK" nastąpi proces odblokowania kwalifikowanej części karty CryptoCard multiSIGN. O zakończeniu operacji blokowania program poinformuje odpowiednim komunikatem. Rysunek 42 Informacja o odblokowaniu części kwalifikowanej karty 34 5 Najczęściej zadawane pytania (FAQ) Uwaga! Najbardziej aktualne informacje dotyczące korzystania z kart CryptoCard multiSIGN znajdują sie na stronie http://www.cryptotech.com.pl/Pomoc_techniczna/Baza_wiedzy,c ontent.html 5.1 Dlaczego pracując w sesji terminalowej Windows Terminal Services "nie działa" czytnik zainstalowany na serwerze terminalowym a działa tylko czytnik lokalny mojej stacji roboczej? Takie funkcjonowanie obsługi czytnika kart elektronicznych wynika z architektury systemu terminalowego wbudowanego w MS Windows. W ramach sesji terminalowej użytkownik ma udostępnione te zasoby serwera, które przewiduje architektura TS i zostały odpowiednio skonfigurowane przez administratora oraz wybrane zasoby lokalne stacji roboczej, na której pracuje aplikacja klienta terminalowego (RDP Client). Wśród zasobów, które mogą być przenoszone ze stacji roboczej do sesji terminalowej na serwerze jest czytnik kart elektronicznych. Jego przenoszenie ze stacji roboczej do serwera jest konfigurowalne przez użytkownika w opcjach dodatkowych klienta terminalowego (aplikacji RDP Client). Niestety czytnik kart elektronicznych podłączony do fizycznych portów serwera terminalowego nie jest udostępniany dla sesji terminalowych pracujących na tym serwerze. Dlatego właśnie aplikacja użytkownika uruchomiona w sesji terminalowej "widzi" czytnik i kartę włożoną do niego tylko, jeśli jest to czytnik lokalny podłączony do stacji roboczej, na której uruchomiony jest RD Client, ale "nie widzi" czytnika podłączonego bezpośrednio do portów serwera terminalowego. I odwrotnie: aplikacje uruchamiane bezpośrednio na serwerze (ale nie w ramach sesji terminalowej) potrafią używać wyłącznie jego czytniki lokalnie podłączone do serwera i "nie widzą czytników" podłączonych do stacji roboczych użytkowników. Przenoszenie czytników w standardowy sposób w Windows Terminal Services nie odbywa się na poziomie przenoszenia komunikacji z "urządzeniem USB”, ale jest to przenoszenie logicznej komunikacji z kartą elektroniczną na poziomie stosu obsługi czytników kart elektronicznych PC/SC. Istnieją aplikacje firm trzecich rozszerzające standardową architekturę terminalową MS Windows i pozwalające na przenoszenie wybranych urządzeń podłączonych do portów USB pomiędzy stacją robocza a serwerem, jednak użycie takich aplikacji może powodować kolizję z naturalnymi mechanizmami udostępniania np. czytnika kart ze stacji roboczej dla aplikacji pracującej w sesji terminalowej na serwerze i nie jest objęte standardowo wsparciem naszej firmy. 35 Najczęściej zadawane pytania (FAQ) 5.2 Nie działa karta inteligentna (i czytnik) podłączony do stacji roboczej, z której następuje łączenie się do serwera terminalowego (przez protokół RDP) Aby czytnik i karta działały w połączeniu terminalowym (RDP) muszą być spełnione następujące warunki: Czytnik musi zostać podłączony poprawnie do stacji klienckiej np. Windows XP. Na tej stacji muszą zostać zainstalowane sterowniki czytnika. Czytnik musi być widoczny w managerze urządzeń i poprawnie działać na stacji roboczej (np. poprawnie informować o włożeniu/wyciągnięciu karty elektronicznej). Na stacji klienckiej musi Inteligentna" (Smartcard). działać usługa systemowa "Karta W kliencie RPD, w opcjach zaawansowanych musi być włączone przenoszenie lokalnego czytnika kart elektronicznych w sesji RDP (tzn. udostępnianie kart w nim włożonych dla aplikacji na serwerze terminalowym). Na serwerze Terminalowym (RDP) musi być zainstalowane oprogramowanie CryptoCard Suite (najlepiej w wersji pobranej ze strony: http://www.cryptotech.com.pl/Produkty/CryptoCard_Suite,content.ht ml Scenariusz funkcjonowania takiej konfiguracji wygląda następująco: - aplikacja pracująca w sesji terminalowej na serwerze Windows Terminal Services (np. MS Outlook), (której wizualizację użytkownik widzi w okienku Klienta RDP na stacji roboczej), chcąc skorzystać z karty elektronicznej uruchamia oprogramowanie middleware pochodzące od producenta karty (jeden z interfejsów API oprogramowania CryptoCard Suite w przypadku używania karty CryptoCard multiSIGN), - CC Suite pracuje na serwerze terminalowym (nie jest wymagana jego instalacja na stacji roboczej Klienta RDP), - CC Suite prosi system operacyjny o listę dostępnych dla niego czytników kart, - system udostępnia listę czytników PRZENOSZONYCH w sesji RDP ze stacji klienta RDP (czytników podłączonych do stacji klienta, na której uruchomiony jest w danej chwili RDP Klient, np. aplikacja Remote Desktop Connection), - jeśli w czytniku na stacji Klienta włożona jest karta elektroniczna, to CC Suite (np. moduł Cryptotech CSP albo CryptoTech PKCS#11) pracujący na serwerze zobaczy włożoną kartę do czytnika kart i może rozpocząć dialog z tą kartą, - aplikacja (np. MS Outlook) przekazuje dla CC Suite serię poleceń (np. 36 Najczęściej zadawane pytania (FAQ) wykonania podpisu elektronicznego z użyciem karty CryptoCard multiSIGN), które są tłumaczone na stosowną sekwencję komend niskiego poziomu przekazywanych do czytnika kart dostępnego dla aplikacji pracujących w sesji terminalowej), - komendy te są transparentnie przenoszone z serwera terminowego (z wnętrza sesji terminalowej danego użytkownika), przez kanał RDP,do klienta RDP pracującego na stacji roboczej użytkownika, - Klient RDP przekazuje te komendy do karty włożonej do czytnika podłączonego lokalnie do tej stacji roboczej, - karta wykonuje zlecone zadania, np. generuje podpis elektroniczny "zlecony" jej przez aplikację (np. MS Outlook) pracującą na serwerze terminalowym. 5.3 Jak można zdiagnozować poprawność konfiguracji mojego komputera do pracy z kartami CryptoCard? Rozwiązanie CrytpoCard Suite została wyposażona w narządzie do weryfikacji poprawności konfiguracji o nazwie "Asystent Konfiguracji". W celu jego uruchomienia należy wybrać pozycję "Asystent Konfiguracji" z menu Start (Start->Programy->CryptoTech->CryptoCard Suite 1.2), a następnie postępować zgodnie z instrukcjami programu. W efekcie działania aplikacji powstanie raport, który zawiera informacje dotyczące poprawności instalacji CryptoCard Suite i może być pomocny podczas identyfikacji źródła problemów, jeśli takie wystąpią. Na poniższym rysunku przedstawiono podstawowe komponenty (urządzenia i oprogramowanie), które wraz z rozwiązaniem CrytpoCard Suite umożliwiają korzystanie z kart kryptograficznych. 37 Najczęściej zadawane pytania (FAQ) Rysunek 43 Podstawowe komponenty umożliwiające korzystanie z kart kryptograficznych Należy zwrócić uwagę, że rozwiązanie CryptoCard Suite wykorzystuje dostępne w systemie operacyjnym czytniki kart zgodne ze standardem PC/SC. Ponieważ często okazuje się, że przyczyną problemów jest niepoprawnie skonfigurowany system operacyjny lub czytnik kart, użytkownik przed zgłoszeniem problemu powinien upewnić się, że posiada odpowiednio skonfigurowany system operacyjny oraz prawidłowo zainstalowany/skonfigurowany czytnik kart kryptograficznych. 5.4 Nie można włączyć usługi "Smart Card/Karta Inteligentna" w systemie Windows XP. Przyczyną takiej sytuacji jest zainstalowanie oprogramowania SCBase Component przeznaczonego wyłącznie dla systemów Windows 98/Me w systemie Windows XP. W celu naprawienia problemu należy: uruchomić: regsvr32 %windir%\system32\scardssp.dll uruchomić: scardsvr reinstall wykonać restart systemu stworzyć plik fixSCBase.reg w którym należy wpisać: Windows Registry Editor Version 5.00 38 Najczęściej zadawane pytania (FAQ) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCard Svr] "ObjectName"="NT AUTHORITY\\LocalService" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCard Drv] "ObjectName"="NT AUTHORITY\\LocalService" Następnie plik należy "scalić" z rejestrem. Ostatnim krokiem jest ustawienie sposobu startowania serwisu "Smart Card/Karta Inteligentna" na automatyczny i uruchomienie go. 5.5 Aplikacja 'Płatnik' nie współpracuje poprawnie z kartami CryptoCard multiSIGN na platformach Windows 98/Me/NT4 Oprogramowanie CryptoCard Suite poddawane jest ciągłym modyfikacjom związanym nie tylko z usuwaniem zgłaszanych przez użytkowników błędów, ale także z dodawaniem nowych funkcji. Niestety czasami odbywa się to kosztem zerwania kompatybilności ze starszymi systemami np. Windows 98/Me/NT4 . tym bardziej, że wsparcia technicznego dla tych systemów zaprzestał także ich producent. Ostatnim wydaniem CryptoCard Suite działającym pod w/w systemami była wersja 1.12.0038. W wersji tej występują pewne znane problemy uniemożliwiające poprawną współpracę z aplikacją 'Płatnik', które zostały usunięte w CryptoCard Suite 1.20. Ponieważ jednak CryptoCard Suite 1.20 nie jest dostępny na systemy starsze niż Windows 2000 została opracowana specjalna poprawka do CryptoCard Suite 1.12 zapewniająca kompatybilność tego oprogramowania z aplikacją 'Płatnik'. Poprawka ta jest dostępna tylko dla systemów Windows 98/Me/NT4 SP6 z zainstalowanym tzw. 'silnym szyfrowaniem' (Internet Explorer 6.0). Do jej poprawnej pracy niezbędne jest wcześniejsze zainstalowanie oprogramowania CryptoCard Suite w wersji 1.12.0038 . Sama poprawka dostępna jest bezpłatnie pod następującym adresem CCS_1_12_Win9xPatch. 5.6 Asystent konfiguracji CryptoCard Suite wyświetla komunikat "Uszkodzona biblioteka CCPKI11.DLL, brak lub wadliwe sterowniki czytnika PC/SC lub Smart Card Base Components. Oprogramowanie CryptoCard Suite w wersji 1.12.x wyświetla komunikat błędu, gdy w czytniku, czytnikach zainstalowanych w systemie operacyjnym, włożona jest "obca" karta inteligentna (karta innego producenta, karta GSM, ...). Aplikacja CryptoCard Suite działa cały czas poprawnie. Zachowanie Asystenta zostało poprawione w aktualnej wersji oprogramowania. 39 Najczęściej zadawane pytania (FAQ) 5.7 Po zarejestrowaniu modułu kryptograficznego PKCS#11 narzędziem Cryptotech->Rejestruj w Mozilli aplikacja Mozilla Firefox nie widzi poprawnie certyfikatów na karcie. Narzędzie do rejestracji modułu kryptograficznego PKCS#11 w Mozilli działa poprawnie tylko ze starszymi wersjami Mozilli i nie działa poprawnie z najnowszymi (2.x lub wyższymi) wersjami Mozilla Firefox. Należy zainstalować moduł PKCS#11 ręcznie: wybrać z menu Tools -> Opcje -> Zawansowane następnie zakładkę "Szyfrowanie" i nacisnąć przycisk "Urządzenia zabezpieczające". Następnie wpisać nazwę modułu CCSuite oraz wybrać bibliotekę PKCS#11 modułu C:\Program Files\CryptoTech\CryptoCard\CCPkiP11.dll, po zatwierdzeniu przyciskiem "OK" na liście pojawi się urządzenie "CCSuite". Dokładną opis instalacji modułu można pobrać tutaj. 5.8 Po aktualizacji oprogramowania CryptoCardSuite z wersji 1.12.x do wersji 1.20.x nie mogę używać certyfikatów z karty. Problem występuje przy aplikacjach korzystających z CSP. W wersji CryptoCardSuite 1.12.x logiczna nazwa modułu kryptograficznego CryptoAPI była inna niż w obecnych wersjach. Nazwa ta jest zapisywana przy rejestracji certyfikatu w systemie i pozwala podsystemowi kryptograficznemu odnaleźć klucz przypisany do tego certyfikatu w odpowiednim module kryptograficznym. Ponieważ certyfikat zarejestrowany jest ze starą nazwą modułu, aplikacje korzystające z CSP próbują się do takiej nazwy odwoływać. Rozwiązaniem problemu jest usunięcie zarejestrowanych certyfikatów z magazynu certyfikatów przy pomocy np. Menadżer CryptoCard Suite->Narzędzia->Manadżer certyfikatów oraz ponowne zarejestrowanie ich w systemie przy pomocy Menadżer CryptoCard Suite->Narzędzia->Dodatkowe narzędzia -> Rejestracja certyfikatu w systemie 5.9 Po wyjęciu karty z czytnika nie następuje zerwanie sesji SSL w MS Internet Explorer. Jest to problem związany ze sposobem wykorzystywania kluczy kryptograficznych do nawiązywania połączeń SSL przez system MS Windows. Możliwości rozwiązania tego problemu są następujące: wyłączenie przeglądarki Internet Explorer użytej do nawiązana sesja SSL wybranie opcji "Clear SSL State" z menu Internet Explorer (Tools ->Internet Options -> Content) 40 Najczęściej zadawane pytania (FAQ) 5.10 Nie mogę logować się kartą do mojego komputera mimo tego, że czytnik jest podłączony a oprogramowanie działa poprawnie. Logowanie kartami jest możliwe jedynie wtedy, gdy komputer znajduje się w domenie Active Directory (Windows 2000/2003). Do takiego logowania konieczne jest wydanie na karcie certyfikatu umożliwiającego logowanie (szablony Smart Card User lub Smart Card Logon). Możliwe jest dodanie logowania się kartami do komputerów niebędących członkami domeny Active Directory przy pomocy dodatkowej aplikacji np. CryptoCard Logon. 5.11 Jak dodać do Mozilla Thunderbird możliwość podpisywania i szyfrowania korespondencji z użyciem kart CryptoCard? Z menu Tools -> Options -> Advanced wybrać sekcję Certificates. Nacisnąć przycisk "Manage Security Devices ...". W nowo otwartym okienku wpisać w polu "Module Name" - CryptoCard, w polu Module filename: wpisać "%WINDOWS%\System32\ccpkip11.dll", gdzie %WINDOWS% należy zastąpić prawidłową ścieżką wskazującą na dysk i katalog, w którym zainstalowany jest system MS Windows. Zazwyczaj jest to katalog C:\WINDOWS jednak w poszczególnych przypadkach ścieżka ta może być inna. Następnie po wybraniu przycisku OK na liście dostępnych urządzeń powinno pojawić się urządzenie "CryptoCard". 5.12 Jak przenieść na kartę klucz i certyfikat służący do szyfrowania systemu plików (EFS)? Niestety, obecne systemy rodziny Windows , oprócz Windows VISTA SP1, nie umożliwiają przechowywania klucza i certyfikatu do EFS w jakimkolwiek innym miejscu oprócz "Magazynu osobistego". 5.13 Ile certyfikatów zmieści się na moją kartę? Karty CryptoCard PKI posiadają 16 kB pamięci zapisywalnej, z których ~10 kB jest dostępnych dla kluczy i certyfikatów. W zależności od wielkości certyfikatu na takiej karcie powinno zmieścić się od 2 do 4 certyfikatów wraz z odpowiednimi kluczami. Karty CryptoCard multiSIGN mają 32 kB pamięci, z czego dla użytkownika dostępne jest ~25 kB, co powinno być wystarczające do przechowywania nawet 5 certyfikatów z kluczami. Nie ma niestety żadnego ograniczenia na wielkość certyfikatu, dlatego też podane wyżej wartości nie są gwarantowane i powinny być traktowane jedynie orientacyjnie. 5.14 Nie mogę podpisać wiadomości e-mail mimo tego, że posiadam certyfikat kwalifikowany. Wynika to z przeznaczenia certyfikatu kwalifikowanego, którego budowa jednoznacznie definiuje jego przeznaczenie (niezaprzeczalność) i równie jednoznacznie wyklucza jakiekolwiek inne użycie. 41 Najczęściej zadawane pytania (FAQ) 5.15 Wygenerowałem wniosek o certyfikację przy pomocy Asystenta Certyfikatów. Co dalej? Jak mogę zarejestrować taki certyfikat w systemie? Wygenerowany wniosek musi zostać obsłużony przez centrum certyfikacji (CA), które na podstawie takiego wniosku może (ale nie musi, jeżeli wniosek nie spełnia warunków polityki certyfikacji obowiązującej w danym CA) wystawić certyfikat. Dopiero taki certyfikat można zarejestrować w systemie operacyjnym i używać. 5.16 Aplikacja 'Płatnik' nie współpracuje poprawnie z kartami CryptoCard multiSIGN na platformie Windows XP. Należy zainstalować ostatnią wersję aplikacji CryptoCard Suite, dostępną do pobrania ze strony CryptoCard Suite, a następnie jeżeli jest taka potrzeba, należy usunąć zarejestrowane certyfikaty z magazynu certyfikatów przy pomocy np. Menadżer CryptoCard Suite->Narzędzia->Manadżer certyfikatów oraz ponowne zarejestrować je w systemie przy pomocy Menadżer CryptoCard Suite->Narzędzia->Dodatkowe narzędzia -> Rejestracja certyfikatu w systemie. 5.17 Czytnik SCR3310 nie instaluje się poprawnie na platformie Windows 98/Me. Dla czytnika SCR3310 pracującego pod systemem Windows 98 należy zainstalować sterownik: Sterownik SCR3310 dla Windows 98 oraz zainstalować Platform SDK Redistributable: Microsoft Win32 Smart Card Components 42 6 Uzyskanie certyfikatu Certyfikaty klucza publicznego można uzyskać na wiele różnych sposobów. Jedną z możliwości jest samodzielne wygenerowanie pary kluczy a następnie przygotowanie wniosku o certyfikację w formacie zgodnym ze standardem PKCS#10. O ile taka metoda może być stosowana w przypadku niekwalifikowanego podpisu elektronicznego, to w przypadku podpisu kwalifikowanego nie jest możliwa. Wynika to z przepisów prawa oraz regulaminów podmiotów świadczących usługi certyfikacyjne, które wyraźnie precyzują, że do otrzymania takiego rodzaju certyfikatu użytkownik musi osobiście zarejestrować się w odpowiednim centrum rejestracyjnym (RA, Registration Authority). Dopiero po weryfikacji tożsamości użytkownika następuje przygotowanie wniosku o certyfikację zgodnego z polityką przyjętą przez dane centrum a częścią tego wniosku jest wygenerowany klucz publiczny. Listę podmiotów świadczących kwalifikowane usługi certyfikacyjne można znaleźć w Internecie pod adresem: https://www.nccert.pl/ncc/home.aspx. Certyfikaty niekwalifikowane mogą zostać wydane lokalnie, bądź też można je zakupić od komercyjnych centrów certyfikacji. Pakiet CryptoCard Suite oferuje zestaw trzech asystentów, które pomagają użytkownikowi zarządzać certyfikatami, które znajdują się na karcie elektronicznej. Są one dostępne po przejściu do zakładki "Narzędzia" w Menadżerze CryptoCard Suite i kliknięciu przycisku "Uruchom" w sekcji "Dodatkowe narzędzia". 43 Uzyskanie certyfikatu Rysunek 44 Narzędzia dodatkowe 6.1 Przygotowanie wniosku o certyfikację w formacie PKCS#10 Aplikacja CryptoCard Suite udostępnia asystenta, który przeznaczony jest do wygenerowania wniosku o certyfikację i zapisania go w formacie PKCS#10. 44 Uzyskanie certyfikatu Rysunek 45 Asystent wniosku PKCS#10 Uwaga! Asystent nie może być używany do tworzenia wniosków o certyfikat kwalifikowany, czyli zgodny z ustawą o podpisie elektronicznym. Do wygenerowania wniosku koniecznie jest podanie podstawowych informacji o osobie, która generuje wniosek. Oczywiście dane te nie są nigdzie weryfikowane, ale wpisanie nieprawdziwych danych może utrudnić zorientowanie się, co to za certyfikat i dla kogo został wydany. Adres e-mail jest weryfikowany syntaktycznie, co oznacza, że jego format powinien być zgodny z zaleceniami zawartymi w dokumencie RFC 2822 (tekst tego dokumentu jest dostępny pod tym adresem: http://www.faqs.org/rfcs/rfc2822.html). 45 Uzyskanie certyfikatu Rysunek 46 Przygotowanie wniosku o certyfikację Następnie należy wskazać kartę (oraz w przypadku zaznaczonej opcji "Dodatkowe Piny" dla karty CryptoCard MultiSIGN, należy wskazać jeden z trzech obszarów niekwalifikowanych), na której zostanie wygenerowana para kluczy, z której klucz publiczny będzie certyfikowany. 46 Uzyskanie certyfikatu Rysunek 47 Wybór karty Następnie należy określić długość klucza, który ma zostać wygenerowany (zaleca się używanie klucza o długości 1024 bitów), oraz określić etykietę, pod którą klucz zostanie zapisany na karcie. Jest to nazwa, która ma na celu ułatwienie użytkownikowi rozpoznanie klucza w przypadku, gdy na karcie znajdowałoby się kilka kluczy. Możliwe jest także użycie klucza RSA znajdującego się już na karcie, w tym celu należy wybrać opcję "Użyj istniejącego klucza RSA", zalogować się do obszaru karty podając kod PIN użytkownika oraz wskazać klucz który ma zostać użyty do wygenerowania wniosku. 47 Uzyskanie certyfikatu Rysunek 48 Wybór długości klucza oraz etykiety Następnie użytkownik musi wybrać token (w przypadku kart CryptoCard multiSIGN) i podać PIN do wybranego obszaru niekwalifikowanego karty (tokenu) po czym następuje generacja pary kluczy. Proces generacji może potrwać kilkadziesiąt sekund. Czas ten jest niezależny od szybkości komputera, na którym uruchomiona jest aplikacja CryptoCard Suite, gdyż generacja kluczy odbywa się na karcie. Ze względów bezpieczeństwa, wygenerowany klucz prywatny nie może być z karty wyeksportowany. Ostatnim krokiem jest wskazanie miejsca na dysku gdzie zostanie zapisany wygenerowany wniosek. 48 Uzyskanie certyfikatu Rysunek 49 Wskazanie miejsca na dysku gdzie zostanie zapisany wygenerowany wniosek Wniosek może być zapisany w formacie zgodnym z DER lub kodowany zgodnie z formatem Base64. Uwaga! W przypadku korzystania z Urzędu Certyfikacji Microsoft (MSCA) wygenerowany wniosek o certyfikację należy zapisać w formacie Base64. Otrzymany w ten sposób wniosek należy przekazać do Centrum Certyfikacji na nośniku lub przesłać pocztą elektroniczną. 6.2 Import certyfikatów oraz kluczy na kartę Jeżeli zaistniałaby sytuacja, że użytkownik posiada certyfikat X.509 w postaci pliku na dysku (np. zapisanego w formacie pliku PKCS#7 zawierającego certyfikat lub pliku w formacie PKCS#12 zawierającego klucz prywatny oraz certyfikat), aplikacja CryptoCard Suite umożliwia umieszczenie takiego certyfikatu na karcie. Opcja taka może być użyteczna, jeżeli karta ma być wykorzystana, jako nośnik dla certyfikatów. Odpowiednie narzędzie jest dostępne, jako asystent ( Menadżer CryptoCard Suite → Narzędzia → Dodatkowe narzędzia → Uruchom) o nazwie "Asystent importu certyfikatu i klucza prywatnego (PKCS#12)". 49 Uzyskanie certyfikatu Rysunek 50 Asystent importu certyfikatów i klucza prywatnego (PKCS#12) Po uruchomieniu odpowiedniego asystenta, należy wskazać kartę i obszar niekwalifikowany, do którego ma zostać zaimportowany certyfikat. Rysunek 51 Wybór karty kryptograficznej 50 Uzyskanie certyfikatu Uwaga! Niemożliwe jest samodzielne importowanie jakiegokolwiek certyfikatu do kwalifikowanej części karty CryptoCard multiSIGN. Jedyną instytucją władną do umieszczania certyfikatów tej części jest wybrane kwalifikowane centrum certyfikacji. Następnie należy wskazać plik z certyfikatem, który ma zostać zaimportowany. Mogą to być pliki zawierające certyfikaty X.509 (pliki z rozszerzeniami .der, .crt, .cer) lub pliki zawierające certyfikat oraz klucz zapisane w formacie PKCS#12 (pliki z rozszerzeniami .p12 lub .pfx). Uwaga! Jeżeli ma zostać zaimportowany plik PKCS#12 to musi on zawierać klucz prywatny i odpowiadający mu certyfikat. W innym przypadku próba importu zakończy się błędem. Następnie użytkownik zostanie poproszony o podanie kodu a w przypadku plików PKCS#12 również o hasło do tego pliku. Rysunek 52 Podanie kodu PIN 51 PIN Uzyskanie certyfikatu Rysunek 53 Podanie hasła do pliku PKCS#12 Jako ostatni krok, program zaoferuje możliwość zarejestrowania importowanego certyfikatu w systemie. Nie jest to krok konieczny, więc można wybrać przycisk "Finish" w celu zamknięcia asystenta lub skorzystać z możliwości rejestracji. Jeżeli użytkownik zdecydował się na rejestrację certyfikatu, należy zaznaczyć opcję "Zarejestruj certyfikat w systemie operacyjnym", podać tzw. przyjazną nazwę (friendly name, jest to nazwa, która ma pomóc użytkownikowi zidentyfikować dany certyfikat) oraz wybrać tzw. magazyn systemowy (certificate store). Wybór magazynu jest dość istotną kwestią - certyfikat należący do użytkownika powinien znaleźć się w "Osobistym magazynie certyfikatów" podczas gdy certyfikat osoby trzeciej (np. osoby do której będzie wysyłana szyfrowana poczta elektroniczna), powinien się znaleźć w magazynie "Inne osoby". Uwaga! Program nie pozwoli zarejestrować certyfikatu, jeżeli nie zostanie zdefiniowana dla niego przyjazna nazwa. 52 Uzyskanie certyfikatu Rysunek 54 Rejestracja certyfikatu w systemie Użytkownik zostanie poinformowany odpowiednim komunikatem, że proces rejestracji (instalacji) certyfikatu dobiegł końca. Rysunek 55 Komunikat informujący o pomyślnym zakooczeniu importu certyfikatu 6.3 Rejestracja certyfikatu w systemie W celu skorzystania z klucza i skojarzonego z nim certyfikatu, należy ten certyfikat zarejestrować w systemie operacyjnym. Pakiet CryptoCard Suite umożliwia zarejestrowanie certyfikatów za pomocą asystenta "Rejestracja certyfikatu w systemie". 53 Uzyskanie certyfikatu Rysunek 56 Asystent rejestracji W pierwszym kroku użytkownik musi wybrać kartę (ew. token w przypadku, gdy dostępnych jest więcej niż jeden obszar niekwalifikowany), z której chce zarejestrować certyfikat. Rysunek 57 Wybór karty 54 Uzyskanie certyfikatu Następnie należy wybrać, który certyfikat z wybranej karty zostanie zarejestrowany. W okienku zostaną wyświetlone certyfikaty, które są na karcie albo na wybranym tokenie. Może się jednak zdarzyć, że certyfikat będzie dostępny dopiero po podaniu PIN-u. W tym celu należy wybrać przycisk "Więcej" i po podaniu PIN-u program wyświetli wszystkie certyfikaty dostępne na danej karcie elektronicznej. Rysunek 58 Wybór certyfikatu W ostatnim kroku użytkownik zostanie poproszony o podanie tzw. przyjaznej nazwy oraz wybranie systemowego magazynu certyfikatów, w którym zostanie zainstalowany certyfikat. 55 Uzyskanie certyfikatu Rysunek 59 Nadanie przyjaznej nazwy i wybór magazynu certyfikatów Przyjazna nazwa jest nadawana w celu ułatwienia użytkownikowi wyszukiwania certyfikatów w systemie. Może to być dowolna nazwa. Uwaga! Program nie pozwoli zarejestrować certyfikatu, jeżeli nie zostanie zdefiniowana dla niego przyjazna nazwa. Początkowe i końcowe znaki spacji zostaną automatycznie usunięte. Po zakończeniu instalacji certyfikatu użytkownik powinien otrzymać komunikat przedstawiony na poniższym rysunku. Rysunek 60 Komunikat koocowy instalacji certyfikatu 6.4 Uzyskanie certyfikatu on-line na przykładzie centrum certyfikacji w domenie Active Directory Ten rozdział jest przeznaczony głownie dla użytkowników kart CryptoCard multiSIGN, którzy zamierzają wykorzystać możliwości, jakie oferuje karta w zakresie logowania się do domeny Active Directory w MS Windows 2000 lub 2003. Jest to rozwiązanie przeznaczone głównie do zastosowań 56 Uzyskanie certyfikatu korporacyjnych, ale stanowi doskonały przykład zastosowania koncepcji PKI i wykorzystania w niej kart elektronicznych. Serwerowe wersje systemów firmy Microsoft posiadają wbudowane oprogramowanie Centrum Certyfikacji (CA, Certification Authority), które pozwala na wydanie certyfikatów dla użytkowników domeny. Udostępnia ono interfejs w postaci przejrzystych stron WWW, dzięki którym użytkownicy mogą samodzielnie uzyskać certyfikat. Rysunek 61 Główna strona CA domeny Active Directory Na pierwszej stronie można wybrać następujące opcje: "Request a certificate" - złożenie wniosku o certyfikację, "Show status of a pending certificate request" - pokazuje status już złożonych wniosków, "Download a CA certificate, certificate chain or CRL" - udostępnia certyfikat samego CA, ewentualnie wszystkich pośrednich ośrodków (jeżeli takie istnieją) albo listę CRL. W celu uzyskania certyfikatu należy wybrać pierwszą opcję - "Request a certificate". 57 Uzyskanie certyfikatu Rysunek 62 Wybór rodzaju wniosku Na kolejnej stronie można wybrać rodzaj procedury przy składaniu wniosku. W zależności od konfiguracji CA może zaoferować kilka standardowych typów certyfikatów np. "User Certificate" czy "Smart Card logon certificate". Ponieważ docelowo uzyskany certyfikat ma zostać zainstalowany na karcie to należy wybrać opcję pozwalającą na zaawansowane przygotowanie wniosku - "Advanced certificate request". 58 Uzyskanie certyfikatu Rysunek 63 Wybór rodzaju wniosku - opcje zaawansowane Trzecia strona wyświetlana przez CA pozwala na wybranie typu certyfikatu, jaki chcemy uzyskać. Do wyboru dostępne są następujące opcje: "Create and submit a request to this CA" - wystąpienie o certyfikat we własnym imieniu. Wniosek jest od razu przesyłany do CA a wydany certyfikat zostaje osadzony na karcie oraz zainstalowany w systemie w profilu aktualnie zalogowanego użytkownika, jako jeden z jego certyfikatów osobistych. "Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file" - pozwala wysłać do CA wcześniej przygotowany wniosek w postaci pliku PKCS#10 lub CMC. Umożliwia też wystąpienie o odnowienie certyfikatu przez przesłanie odpowiednio przygotowanego pliku w formacie PKCS #7. Wszystkie pliki muszą być zakodowane przy pomocy algorytmu BASE64. "Request a certificate for a smart card on behalf of another user by using the smart card certificate enrollment station" - pozwala na wystąpienie z wnioskiem o certyfikację w imieniu innej osoby. Skorzystanie z tej opcji wymaga posiadania dodatkowego certyfikatu tzw. "Enrollment agent certificate". W omawianym przykładzie należy wybrać pierwszą opcję oferowaną przez CA. 59 Uzyskanie certyfikatu Uwaga! W tym miejscu Internet Explorer będzie usiłował załadować kontrolkę ActiveX, która jest konieczna do dalszych czynności związanych z wydaniem certyfikatu. W przypadku problemów należy zweryfikować ustawienia bezpieczeństwa dla programu MS Internet Explorer. Rysunek 64 Wybór systemowego dostawcy usług kryptograficznych W następnym oknie można wybrać konkretny typu certyfikatu, którego będzie dotyczył wniosek przesłany do CA. Należy zdecydować, do czego będzie używany certyfikat. Typ certyfikatu "Smartcard Logon" pozwala jedynie na logowanie się do domeny AD przy pomocy karty. Bardziej użyteczny jest typ "Smartcard User", który pozwala na logowanie się oraz na zabezpieczanie poczty elektronicznej (podpisywanie i szyfrowanie) oraz szyfrowanie plików. Uwaga! Aby korzystać z kart CryptoCard multiSIGN należy koniecznie wybrać CSP: "CryptoCardPKI CSP 1.0"! Pozostałe ustawienia można zostawić z wartościami domyślnymi. W celu kontynuowania procesu należy wybrać przycisk "Submit". 60 Uzyskanie certyfikatu Rysunek 65 Ostrzeżenie o występowaniu o wniosek we własnym imieniu W zależności od ustawień bezpieczeństwa programu MS IE, może pojawić się komunikat pokazany na powyższym obrazku. Na pytanie należy odpowiedzieć "Yes". Rysunek 66 Generowanie klucza przez CSP Po podaniu numeru PIN do części niekwalifikowanej, karta wygeneruje nową parę kluczy. Klucz publiczny zostanie osadzony w nowo wydanym certyfikacie. Po wybraniu "Install this certificate' w następnym wyświetlonym oknie, certyfikat zostanie zainstalowany w systemie oraz osadzony na karcie elektronicznej. W trakcie rejestracji certyfikatu w systemie użytkownik zostanie poproszony o podanie kodu PIN. Dodatkowo oprogramowanie CryptoCardPKI CSP ustawi ten certyfikat jako domyślny certyfikat na karcie, co oznacza, że wykorzystując taką kartę będzie można się zalogować do domeny MS Windows 2000/2003 bez konieczności wykonywania żadnych dodatkowych czynności o ile certyfikat ma odpowiedni profil. Uwaga! Certyfikat ten nie jest certyfikatem kwalifikowanym! Omówienie wykorzystania pozostałych opcji oferowanych przez CA 61 Uzyskanie certyfikatu systemów MS Windows 2000/2003 wykracza poza ramy niniejszego dokumentu. W celu zapoznania się z nimi zaleca się lekturę odpowiednich rozdziałów dokumentacji do wyżej wspomnianych systemów operacyjnych. 62 7 Dodatkowe oprogramowanie wchodzące w skład pakietu CryptoCard Suite 7.1 Automatyczna instalacji modułu CryptoCard PKCS#11 w programach typu Mozilla (na przykładzie Mozilla Firefox 3.6) W celu zainstalowania modułu CryptoCard PKCS#11 w programie typu Netscape Browser lub Mozilla należy uruchomić narzędzie "Rejestruj w Mozilli". Rysunek 67 Uruchomienie narzędzia "Rejestru w Mozilli" Narzędzie automatycznie przeskanuje system na obecność programów takich jak Mozilla, Mozilla Firefox, Netscape Browser. Znalezione programy zostaną przedstawione w postaci listy. Następnie należy wskazać na liścię aplikację dla której ma nastąpić rejestracja modułu i zaznaczyć opcję „Rejestracja modułu” oraz wybrać opcję „Dalej”. Rysunek 68 Wybór aplikacji typu Mozilla Pojawi się informacja podobna do przedstawionej poniżej. Należy wybrać opcję „OK”. 63 Dodatkowe oprogramowanie wchodzące w skład pakietu CryptoCard Suite Rysunek 69 Instalacja modułu PKCS#11 - Informacja dla użytkownika Następnie może się pojawić monit z prośbą o zezwolenie na uruchomienie skryptu w przeglądarce, tak jak to przedstawiono poniżej. Rysunek 70 Zezwolenie na uruchomienie skryptu Użytkownik powinien wybrać opcję „Zezwól” w celu wykonania skryptu. W efekcie moduł CryptoCard PKCS#11 powinien zostać zainstalowany a informacja o tym powinna pojawić się w oknie przeglądarki, tak jak to przedstawiono poniżej. 64 Dodatkowe oprogramowanie wchodzące w skład pakietu CryptoCard Suite Rysunek 71 Potwierdzenie zainstalowania modułu 7.2 Odinstalowanie modułu CryptoCard PKCS#11 w programach typu Mozilla (na przykładzie Mozilla Firefox 3.6) W celu odinstalowania modułu CryptoCard PKCS#11 z programów typu Netscape Browser lub Mozilla należy uruchomić narzędzie "Rejestruj w Mozilli" (patrz punkt 7.1). Rysunek 72 Uruchomienie narzędzia "Rejestruj w Mozilli" Podobnie jak w przypadku instalacji modułu PKI narzędzie automatycznie przeskanuje system na obecność programów takich jak Mozilla, Mozilla Firefox, Netscape Browser. Znalezione programy zostaną przedstawione w postaci listy. Następnie należy wskazać na liście program dla którego moduł ma zostać odinstalowany, zaznaczyć opcję „Usunięcie modułu” i wybrać opcję „Dalej”. W kolejnym kroku należy zezwolić na wykonanie skryptu, a w efekcie moduł CryptoCard PKCS#11 powinien zostać odinstalowany i informacja o tym powinna pojawić się w oknie przeglądarki (podobnie jak w przypadku instalacji modułu). 65