SecCardAdmin
Gebruikershandboek
ESG BV
SecCardAdmin
Blz. 1
Inhoudsopgave 1. Inleiding ............................................................................................. Blz. 3 1.1 Systeemvoorwaarden Hardware........................................................... Blz. 3 1.2 Systeemvoorwaarden Software............................................................ Blz. 3 2. Veiligheidstips ..................................................................................... Blz. 6 2.1 Veiligheidsinstellingen Netscape Navigator ............................................ Blz. 6 2.2 Veiligheidsinstellingen Microsoft Internet Explorer .................................. Blz. 6 3. SecCardAdmin gebruiken ...................................................................... Blz. 3.1 Aansluiting van de kaartlezer............................................................... Blz. 3.2 Start van de toepassing ...................................................................... Blz. 3.3 Kaartlezer en smartcard zoeken ........................................................... Blz. 3.4 Hoofdmenu ....................................................................................... Blz. 3.5 Transport PIN wijzigen........................................................................ Blz. 3.6 Pincode wijzigen ................................................................................ Blz. 3.7 Certificaat beheer .............................................................................. Blz. 3.8 Ontsleutelen van het T-Telesec attribuutcertificaat ................................. Blz.
ESG BV
SecCardAdmin
8 8 8 13 15 16 18 19 22
Blz. 2
1. Inleiding SecCardAdmin is een in Java ontwikkeld product voor de administratie van smartcards en is momenteel beschikbaar in versie 3.0.0. Met deze toepassing kan de initiële pincode van de smartcard vastgelegd (nulpin procedure) of gewijzigd worden (transport pin procedure, pinbrief) en daarmee de smartcard voor verder gebruik vrijgegeven worden. Verder kan de bestaande pincode gewijzigd worden. De op de smartcard opgeslagen certificaten kunnen uitgelezen, bekeken en opgeslagen worden. De SecCardAdmin toepassing kan vooral in internetportalen gebruikt worden en zit in een HTML pagina, die de gebruiker via een URL oproept. Aan de kant van de gebruiker is er geen handmatige installatie voor de SecCardAdmin toepassing nodig, omdat de toepassing in de browser en de geïnstalleerde SUN Java plugin uitgevoerd wordt. Eigenschappen: Vrijgave van de smartcard (vastleggen van de eerste pincode) - nulpin procedure - transport pin procedure (pinbrief) Wijziging van de pincode Uitlezen, aanduiden, opslaan van certificaten Automatische kaartlezer herkenning Automatische smartcard herkenning
1.1. Systeemvoorwaarden hardware Om een correcte weergave te waarborgen is een beeldschermoplossing van minimaal 800*600 punten noodzakelijk met 256 kleuren. Afhankelijk van de configuratie kunnen in uw toepassing uitsluitend bepaalde smartcards gebruikt worden. Een actueel overzicht van alle ondersteunde hard- en software vindt u op het internet onder: http://www.seccommerce.de/de/produkte/unterstuetze/unterstuetze.html
1.2. Systeemvoorwaarden software Systeemvoorwaarden: Bedrijfssysteem: Microsoft Windows 98 SE 2000 SP4 XP Java geschikte internet browser: Microsoft Internet Explorer 5.01, 5.5, 6.x of hoger Netscape Communicator 6.2, 7 Mozilla 1.5 telkens in verbinding met de geïnstalleerde SUN Java plugin 1.4.1 of hoger SecCommerce raadt het gebruik van Microsoft Windows 2000 samen met de Internet Explorer vanaf versie 5.01 aan, evenals een kaartlezer met veilige pininvoer. Een voor de browser geconfigureerde http-proxy, zoals die in bedrijfsnetwerken vaak gebruikt wordt, wordt door SecCardAdmin normaalgesproken herkend en voor de communicatie met trustcenters (OCSP) gebruikt.
ESG BV
SecCardAdmin
Blz. 3
Wanneer voor de web browser geen Java VM geïnstalleerd is, dan is het downloaden en de installatie van een SUN Java plugin voor de web browser vereist: http://www.java.com/en/index.jsp Grootte circa 12 MB, download tijd ongeveer 2 minuten bij 2 MB/s. SUN biedt een gebruikersvriendelijke automatische installatie aan bij de toepassing van Microsoft Internet Explorer en Netscape Navigator. Toepassingsvoorwaarden: De gebruiker dient de gesigneerde SecCardAdmin applet de uitgebreide rechten voor toegang tot de locale computer van de gebruiker toe te staan bij de start, omdat anders een toegang tot de kaartlezer niet mogelijk is. Schrijfrechten in het gebruikersoverzicht user.home (Java omgevingsvariabel) zijn noodzakelijk. Voor de uitvoering van de toepassing worden bestanden automatisch in het overzicht <user.home>/.SecCommerce opgeslagen, die ook na beëindiging van de toepassing behouden blijven. Deze dienen voor de toegang van SecCardAdmin applet op de driver van de kaartlezer, respectievelijk op de seriële interface. Ondersteunde hardware componenten: Kaartlezer (USB interface niet onder Windows NT beschikbaar): CPayS CashMouse met veilige pininvoer via het toetsenbord van de kaartlezer. Kobil KAAN Professional en B1 Professional met veilige pininvoer via het toetsenbord van de smartcard reader. Reiner SCT Cyberjack e-com met veilige pininvoer via het toetsenbord van de kaartlezer. Cyberjack pinpad met veilige pininvoer via het toetsenbord van de kaartlezer Cyberjack KB met veilige pininvoer via het toetsenbord van de PC. SCM Microsystems/Towitoko SCM Microsystems SPRx32 met veilige pininvoer via het toetsenbord van de kaarlezer met geïnstalleerde drivers van de producent (CTAPI) Chipdrive pinpad (seriële interface of USB) met veilige pininvoer via het toetsenbord van de kaartlezer met geïnstalleerde drivers van de producent (CTAPI) Chipdrive micro (seriële interface of USB). Werking aan de seriële interface met en zonder geïnstalleerde driver van de producent Chipdrive extern (seriële interface of USB). Werking aan de seriële interface met en zonder geïnstalleerde driver van de producent Chipdrive keyboard. Werking aan de seriële interface met en zonder geïnstalleerde drivers van de producent CashMouse met veilige pininvoer via het toetsenbord van de kaartlezer. Werking met geïnstalleerde driver (CT-API) van de producent aan de seriële interface. Andere kaartlezers kunnen door SecCommerce optioneel via de CTAPI interface verbonden worden. De veilige pininvoer wordt niet door alle kaartlezers ondersteund. Samen met de T-Telesec smartcard is een veilige pininvoer bij het wijzigen van de nulpin om technische redenen niet mogelijk. In dit geval kan de eerste pincode (wijziging van de nulpin) via het dialoog en het toetsenbord van de pc ingevoerd worden. Daarna is het
ESG BV
SecCardAdmin
Blz. 4
mogelijk, met een veilige pininvoer via het toetsenbord van de kaartlezer, de pincode nogmaals te wijzigen. Sommige smartcards ondersteunen het selectief wijzigen van de pincode bij de in de smartcard opgeslagen verschillende sleutels. De gebruiker is zelf verantwoordelijk deze naar zijn behoefte vast te leggen (en te noteren). De SecCardAdmin toepassing ondersteund in dit geval het gescheiden vastleggen en wijzigen van de pincodes. Bij herhaalde foute invoer kan de smartcard vernietigd worden (veiligheidskenmerk van de smartcard).
ESG BV
SecCardAdmin
Blz. 5
2.
Veiligheidstips
Voor het veilige gebruik van de SecCardAdmin dienen principieel algemene veiligheidsadviezen in acht te worden genomen: Houdt ook rekening met het volgende: • Door een eventueel virus op een Microsoft Windows gebruikerssysteem kunnen toetsenbord ingaven en daarmee ook de geheime pincode uitgelezen worden. Een kaartlezer met geïntegreerde pininvoer maakt dit onmogelijk. Bij cruciale beveiligde documenten zou daarom steeds zo’n kaartlezer gebruikt moeten worden • U dient beslist de gebruikerstips van uw trustcenter voor het gebruik van uw smartcard in acht te nemen • Laat de smartcard niet openlijk rondslingeren • Wijzig de pincode van uw smartcard regelmatig, vooral wanneer u vreest dat iemand ongeoorloofd uw pincode te weten is gekomen • Kies een pincode die moeilijk te raden is, een dief kan 3 pogingen ondernemen. Na 3 x een foute invoer wordt uw smartcard automatisch onbruikbaar • Laat niemand de pincode van uw smartcard zien, ook niet op verzoek van onze “medewerkers” • Noteer de pincode nergens, vooral niet op de smartcard ! • Meld verlies van uw smartcard direct aan uw trustcenter en laat de kaart blokkeren. Daarmee zijn handtekeningen die na de blokkade volgen niet meer wettelijk bindend • Bij een ongeldige pincode of een verlopen smartcard wendt u zich tot uw trustcenter • Daarbuiten dient u de veiligheidsinstellingen van de gebruikte internet browser te controleren en eventueel conform de navolgende aanwijzingen in te richten. Bij vragen hiertoe kunt u de documentatie van de gebruikte internet browser raadplegen
2.1. Veiligheidsinstellingen van Netscape Navigator • • • • •
Voor het laden van SecAuthenticator dient u de cache van de internet browser te wissen U dient zodanig in te stellen dat steeds de actuele pagina geladen wordt, ook wanneer zich in de cache reeds een betreffende pagina bevindt Het dialoog voor het verzoek om bijkomende rechten door Java applets mag niet gedeactiveerd zijn De uitvoering van Java moet geactiveerd zijn Wanneer een Proxy server gebruikt wordt en deze automatisch herkend dient te worden, dan moet de uitvoering van JavaScript toegestaan worden
2.2. Veiligheidsinstellingen van Microsoft Internet Explorer • • • •
Voor het laden van SecAuthenticator dient u de cache van de internet browser te wissen U dient zodanig in te stellen dat steeds de actuele pagina geladen wordt, ook wanneer zich in de cache reeds een betreffende pagina bevindt Het dialoog voor de acceptatie van gesigneerde Java applets mag niet gedeactiveerd zijn De uitvoering van Java moet geactiveerd zijn
ESG BV
SecCardAdmin
Blz. 6
• •
Wanneer een Proxy server gebruikt wordt en deze automatisch herkend dient te worden, dan moet de uitvoering van JavaScript toegestaan worden Voor de Java VM dient u het niveau “hoge veiligheid” in te stellen.
ESG BV
SecCardAdmin
Blz. 7
3.
SecCardAdmin gebruiken
In dit hoofdstuk is omschreven hoe de toepassing werkt voor het dagelijks gebruik.
3.1. Aansluiting van de kaartlezer Volg de installatietips van de producent van uw kaartlezer. Steek de kabel/trek de kabel van de kaartlezer uitsluitend in/uit een uitgeschakelde computer, om schade aan uw pc te voorkomen. Wanneer u een kaartlezer aan de seriële interface aansluit, let er dan op dat ook de tweede stekker (PS2) aangesloten wordt. Deze wordt meestal tussen de toetsenbordkabel en uw PC ingestoken en zorgt voor de stroomvoorziening van de kaartlezer. Zonder aansluiting van deze tweede stekker is het gebruik van de kaartlezer niet mogelijk.
3.2. Start van de toepassing De toepassing start u als volgt: • Via een link (URL) als webtoepassing of • Als locaal geïnstalleerd programma Wanneer u van uw aanbieder geen internetadres (URL) bij de start heeft gekregen, dan stopt u het bestand seccardadmin.zip in een overzicht op uw vaste schijf, bijvoorbeeld C:\programma’s\seccardadmin\index.html. Voor het gebruik van het programma is vereist dat u in uw internet explorer een Java plugin geïnstalleerd heeft. Wanneer de toepassing niet start en u de volgende aanwijzing krijgt,
ESG BV
SecCardAdmin
Blz. 8
Schakel dan de Java ondersteuning als volgt in: Internet Explorer: menu Extra’s/internetopties/veiligheid internet – niveau aanpassen
ESG BV
SecCardAdmin
Blz. 9
Wanneer u dit menu niet kunt oproepen, wendt u zich tot uw systeembeheerder. Wijzig de veiligheidsinstellingen als volgt:
Schakel aangepaste instellingen opnieuw instellen op hoge veiligheid in.
ESG BV
SecCardAdmin
Blz. 10
Wanneer u een SUN Java VM gebruikt, controleer dan of deze in het internet Explorer: menu Extra’s/internetopties/uitgebreid is ingeschakeld:
Sluit de internet Explorer na wijziging van de instellingen en start opnieuw.
ESG BV
SecCardAdmin
Blz. 11
Voor het uitvoeren van de toepassing worden bijkomende rechten voor de toegang tot de vaste schijf en de kaartlezer vereist. Beantwoordt de vraag naar het vereisen van de rechten steeds met ja omdat u anders de toepassing niet kunt uitvoeren. Het dialoog voor het vereisen van de rechten kan er als volgt uitzien:
Na een succesvolle start verschijnt het volgende dialoog:
ESG BV
SecCardAdmin
Blz. 12
3.3. Kaartlezer en smartcard zoeken
U kunt een keuze maken tussen het automatisch zoeken van uw kaartlezer of het gericht zoeken. In de meeste gevallen geeft een automatische zoektocht resultaat, enkel voor probleemgevallen kiest u doelgericht zoeken
Stop uw smartcard in de kaartlezer en druk op “automatisch zoeken”.
De vereiste programma’s voor de toegang tot de kaartlezer worden in een overzicht <user.home>/.seccommerce opgeslagen, meestal in een path vermelding als: C:\documenten en instellingen\uw naam\SecCommerce Tot dit overzicht dient u schrijf rechtelijke toegang te hebben. Indien niet breng dan uw systeembeheerder op de hoogte.
ESG BV
SecCardAdmin
Blz. 13
In het initialiseringsdialoog wordt de voortgang van de installatie van de vereiste drivers aangeduid en wordt de kaartlezer aan uw pc gezocht. Wanneer u een probleem met de herkenning van de kaartlezer heeft, controleer of deze correct geïnstalleerd is en of de drivers van de producent juist geïnstalleerd zijn. Wanneer uw kaartlezer na een nieuwe driver installatie niet gevonden wordt, volg dan de aanwijzingen in het handboek van de producent van de kaartlezer. Veel producenten bieden ook bijkomende programma’s en online hulp aan om problemen bij de aansluiting van de kaartlezer te herkennen. Na een succesvolle herkenning van de kaartlezer en de smartcard komt u in het hoofdmenu van de toepassing:
ESG BV
SecCardAdmin
Blz. 14
3.4. Hoofdmenu
In het hoofdmenu heeft u de volgende mogelijkheden om uw smartcard te administreren: • • • •
Certificaatadministratie Voor het bekijken, opslaan en controleren van de certificaten op uw smartcard Pincode wijzigen Hier kunt u uw bestaande pincode(s) van de smartcard wijzigen Transport pincode wijzigen (vrijschakeling) Voor het vrijschakelen van de smartcard na ontvangst van het trustcenter Bijkomende functies Hier vindt u verdere nuttige functies zoals bijvoorbeeld de afbeelding van certificaten die als bestand beschikbaar zijn
Om een smartcard in gebruik te nemen, worden verschillende procedures toegepast door het trustcenter. Doel is dat u na ontvangst van de smartcard zelf uw persoonlijke pincode bedenkt en vastlegt en deze regelmatig wijzigen kunt. Voor de uitgifte van smartcards en de ingebruikname zijn er verschillende procedures: • Nulpin procedure van T-Telesec Er wordt geen pincode meegeleverd. De kaart is door een nulpin beveiligd, die u na ontvangst eerst dient te wijzigen, om met de kaart te kunnen signeren • Transportpin procedure
ESG BV
SecCardAdmin
Blz. 15
Uw kaart is door een transportpincode beveiligd, die u in een pinbrief meegedeeld wordt. Met de transportpin kan geen handtekening gemaakt worden, u dient de transportpin door een eigen pincode te vervangen Volg de aanwijzingen van uw trustcenter, welke procedure ingezet moet worden. Wanneer een nulpin procedure of een transportpin procedure gestart moeten worden, kiest u in het menu transportpin wijzigen voor het vrijschakelen van uw smartcard. U dient eerst de transport- of nulpincode te wijzigen, vóór u uw kaart kunt gebruiken om te signeren of de pincode normaal kunt wijzigen.
3.5. Transport PIN wijzigen
Voor de T-Telesec kaart wordt de nulpin procedure toegepast. U hoeft geen transportpincode in te geven. Voor andere methodes in de transportpin procedure geeft u de in de pinbrief vermelde transportpincode in het betreffende veld in. Geef de nieuwe pincode in beide invoervelden in. Bedenk wel dat u uitsluitend cijfers gebruikt, wanneer u een kaartlezer met veilige pininvoer gebruikt. In de nulpin procedure is de invoer van de nieuwe pincode op het toetsenbord van de kaartlezer bij het vrijschakelen van de kaart om technische redenen niet mogelijk. Pas bij de pincode wijziging kunt u het toetsenbord van de kaartlezer gebruiken. Druk op wijzigen. Bij een goede afloop krijgt u de melding, dat uw nieuwe pincode vastgelegd werd. Bij een foute afloop krijgt u de volgende melding:
ESG BV
SecCardAdmin
Blz. 16
Volg de aanwijzingen in het dialoog.
ESG BV
SecCardAdmin
Blz. 17
3.6. Pincode wijzigen
U kunt de pincode van uw kaart pas wijzigen, wanneer de transportpincode gewijzigd is (vrijschakeling). Volg de aanwijzingen van uw trustcenter, welke procedure geldt. Dit is eventueel nodig vóór het eerste gebruik van de kaart en vóór de normale pincode wijziging, die niet met dit dialoog uitgevoerd kan worden. Wanneer u uw smartcard reeds voor handtekeningen gebruikt heeft of deze vrijgeschakeld heeft, kunt u hier de bestaande pincode wijzigen. Kies welke pincode u wilt wijzigen en druk op pincode wijzigen. Afhankelijk van het soort kaartlezer wordt u verzocht, uw oude en nieuwe pincode ofwel in het dialoog, ofwel via het toetsenbord van de kaartlezer in te voeren. U dient een pincode bestaande uit cijfers (0,1,2,3,4,5,6,7,8,9) te kiezen, om ook met kaartlezers met een veilige pininvoer werken te kunnen. Volg bij de keuze van de pincode de veiligheidsaanwijzingen van uw trustcenter. Sommige smartcards vragen een minimale lengte van de pincode, volg de aanwijzingen van uw trustcenter. Met een pincode lengte van 6 of 8 cijfers werken de meeste kaarten. U kunt voor uw nieuwe pincode het beste dezelfde lengte kiezen als voor uw oude. Wanneer u de pincode niet kunt wijzigen, kan dat de volgende oorzaken hebben: • Bij de invoer via het normale toetsenbord werd per ongeluk op CapsLock of NumLock gedrukt. Controleer dit en schakel deze instelling weer uit. • Uw oude pincode was niet correct. Probeer nog een keer. Wanneer het weer niet lukt, kan uw oude pincode met dit programma niet gewijzigd worden of het was
ESG BV
SecCardAdmin
Blz. 18
de foute pincode. Probeer nu in geen geval een derde keer de pincode te wijzigen, daar de kaart bij weer een foute invoer onherroepelijk vernietigd wordt.
3.7
Certificaat Beheer
Met de certificaatadministratie kunt u, indien gewenst, de certificaten op uw smartcard bekijken op details. Certificaten zijn digitale identiteitsbewijzen en bevestigen uw identiteit die van een trustcenter door een elektronische handtekening van uw certificaat geaccrediteerd werd. Via de keuzetoets details kunt u alle gegevens, die in uw certificaat staan op details bekijken, en naar behoefte in een bestand opslaan. Bij vragen over de inhoud van uw certificaat kunt u de betreffende certificate policy statement (CPS) van uw trustcenter raadplegen of u wenden tot uw trustcenter.
ESG BV
SecCardAdmin
Blz. 19
Via de keuzetoets controleren kunt u de certificaatstatus van uw handtekeningcertificaat bij het trustcenter online opvragen. U heeft hiervoor een internetverbinding nodig.
ESG BV
SecCardAdmin
Blz. 20
Voordat u uw smartcard kunt gebruiken om te signeren, moet u er zeker van zijn dat de certificaten op de smartcard door het trustcenter in het register opgenomen zijn. Voorwaarde hiervoor is dat u de bevestiging over de inhoud van de T-Telesec smartcard, samen met een kopie van het laatste blad van uw aanvraagformulier aan T-Telesec gestuurd heeft. Ongeveer 3 tot 5 werkdagen daarna dienen uw certificaten in het register opgenomen te zijn.
Het handtekeningcertificaat kan de volgende status met de volgende betekenis hebben: Status
Betekenis
Geldig
u kunt de smartcard gebruiken om te signeren
Onbekend
de certificaten zijn nog niet opgenomen in het register. U mag de smartcard nog niet gebruiken om te signeren. Bevestig de inhoud van de smartcard schriftelijk aan T-Telesec
Revoked
Uw certificaat is in het register geblokkeerd. U mag de smartcard niet meer gebruiken om te signeren
Niet vast te stellen
De status van uw certificaat kon niet vastgesteld worden. Controleer of u een internetverbinding heeft met uw trustcenter. Vraag eventueel uw systeembeheerder
ESG BV
SecCardAdmin
Blz. 21
Wanneer uw certificaat ondanks het sturen van een bevestiging na 10 dagen nog steeds “Onbekend” is, breng uw trustcenter dan op de hoogte hiervan.
3.8
Ontsleutelen van het T-Telesec attribuutcertificaat
T-Telesec biedt attribuutcertificaten (bijvoorbeeld voor zelfbeperking) aan, die u per email of diskette gestuurd worden en vóór het eerste gebruik ontsleuteld moeten worden. De T-Telesec attribuutcertificaten worden als volgt ontsleuteld: Wanneer u aan T-Telesec een smartcard en attribuutcertificaat voor zelfbeperking heeft aangevraagd, dan ontvangt u deze versleuteld per email. Kopieer de bijlage van de email, het versleutelde certificaat, op een diskette of brandt deze op een cd. Het einde van de bestandsnaam moet “.cry” luiden. Om het attribuutcertificaat te gebruiken, heeft u uw telewachtwoord (zie aanvraagformulier) nodig, en het ontsleutelingsprogramma van T-Telesec: http://pks.telesec.de/registration/pks auftrag/setup azert.zip Zet het programma in een overzicht van uw keuze met schrijfrechten.: U ontvangt het programma setup_azert.exe. Koppel de bijlage met daarin het versleutelde certificaat los van de email die TeleSec u gestuurd heeft en sla dit bestand in hetzelfde overzicht als het voornoemde programma op. Het einde van de naam van het attribuutcertificaat moet “.cry” luiden. Roep in Windows Explorer met een muisklik het programma setup_azert.exe aan:
ESG BV
SecCardAdmin
Blz. 22
Het programma van T-Telesec start:
Kies het te ontsleutelen certificaat uit en druk op “verder”. U wordt verzocht een overzicht en een bestandsnaam voor het ontsleutelde attribuutcertificaat op te geven. Kies een overzicht uit (bijvoorbeeld “eigen bestanden”), waarin het attribuutcertificaat opgeslagen dient te worden.
Nadat u op “opslaan” heeft gedrukt, geeft u uw telewachtwoord in, dat u bij de aanvraag van de T-Telesec smartcard op het formulier heeft ingevuld.
ESG BV
SecCardAdmin
Blz. 23
Druk op OK. Wanneer het wachtwoord en de ontsleuteling correct zijn verlopen, ontvangt u in het gewenste overzicht uw ontsleutelde attribuutcertificaat (bestand met aan het einde “atz”):
Het attribuutcertificaat kopieert u op een diskette of cd, die u op de signeer werkplekken kunt lezen (eenmalig inlezen).
ESG BV
SecCardAdmin
Blz. 24