Manuál na vystavení certifikátu umožňující přístup do aplikace MoneyWeb

Manuál na vystavení certifikátu umožňující přístup do aplikace MoneyWeb

Poznámka: Tento manuál byl vytvořen za použití programu Microsoft Internet Explorer verze 6 cs a část týkající se MS Windows Vista a Windows 7 byla vytvořena v programu MS Internet Explorer verze 8 cs. Používáte-li jinou verzi MS Internet Exploreru nebo jiný prohlížeč Internetu, je postup obdobný.

Verze 3.0, datum: 7/2010

MoneyWeb je projekt elektronického šifrovaného spojení Ministerstva financí, odboru 24 (Finanční analytický útvar) s povinnými subjekty a ostatními orgány státní správy. Jedná se o systém elektronického spojení s vysokým standardem zabezpečení provozovaný ministerstvem financí.

Minimální systémové požadavky - PC s procesorem Pentium, 128MB RAM, HDD 10GB, myš - VGA monitor s rozlišením 800x600, 256barev - OS Windows 9x/XP/2000 - Internet Explorer 5.5 a více nebo jiný WWW prohlížeč založený na jádře Mozilla - Integrovaná podpora SSL v3 (síla šifry 128 bitů) - Internetové připojení s rychlostí min. 64kbps

Kapitola A Bod 1 Otevření výchozí stránky správy uživatelských účtů systému MoneyWeb. V Internet Exploreru napište do adresního řádku adresu http://ca.moneyweb.cz.

Bod 2 Instalace certifikátů Kliknutím na odkaz cacert.der nainstalujte do svého profilu certifikát certifikační autority projektu MoneyWeb podle následujícího postupu: 2.1 Zobrazí-li se Vám dialog „Stažení souboru“, klikněte na tlačítko „Otevřít“. Verze pro MS Windows XP a níže za použití MS Internet Exploreru verze 6 cs:

Verze pro MS Windows Vista a Windows 7 za použití MS Internet Exploreru verze 8 cs:

2.2 Klikněte na „Nainstalovat certifikát“. Verze pro MS Windows XP a níže za použití MS Internet Exploreru verze 6 cs:

Verze pro MS Windows Vista a Windows 7 za použití MS Internet Exploreru verze 8 cs:

2.3 Klikněte na tlačítko „Další“. Verze pro MS Windows XP a níže za použití MS Internet Exploreru verze 6 cs:

Verze pro MS Windows Vista a Windows 7 za použití MS Internet Exploreru verze 8 cs:

2.4a Používáte-li MS Windows XP a níže ponechte zaškrtnutou defaultní volbu „Automaticky vybrat úložiště certifikátů na základě typu certifikátu“ a klikněte opět na tlačítko „Další“.

2.4b Používáte-li MS Windows Vista nebo Windows 7 zaškrtněte volbu „Všechny certifikáty umístit v následujícím úložišti“, klikněte na „Procházet...“ a vyberte „Důvěryhodné kořenové certifikační úřady“, poté klikněte na tlačítko „OK“.

Následně klikněte na tlačítko „Další >“.

2.5 Import certifikátu potvrďte kliknutím na tlačítko „Dokončit“. Verze pro MS Windows XP a níže za použití MS Internet Exploreru verze 6 cs:

Verze pro MS Windows Vista a Windows 7 za použití MS Internet Exploreru verze 8 cs:

2.6 Zobrazí se Vám okénko informující o úspěšném importu certifikátu. Verze pro MS Windows XP a níže za použití MS Internet Exploreru verze 6 cs:

Verze pro MS Windows Vista a Windows 7 za použití MS Internet Exploreru verze 8 cs: Nejprve je potřeba souhlasit s nainstalováním certifikátu CA MoneyWeb kliknutím na tlačítko „Ano“ a poté se zobrazí okénko informující o úspěšném importu certifikátu.

2.7 Okno „Certifikát“ uzavřete kliknutím na tlačítko „OK“. Verze pro MS Windows XP a níže za použití MS Internet Exploreru verze 6 cs:

Verze pro MS Windows Vista a Windows 7 za použití MS Internet Exploreru verze 8 cs:

Po úspěšném importu certifikátu certifikační autority nainstalujte do svého profilu ještě certifikát VPN serveru kliknutím na odkaz vpn.moneyweb.cz.der. Postup instalace tohoto certifikátu je v případě operačního systému MS Windows XP a níže stejný jako při instalaci certifikátu certifikační autority Moneyweb (viz. kapitola A, body 2.1 až 2.7). V případě operačního systému MS Windows Vista nebo Windows 7 ponechte v bodě 2.4b zaškrtnutou volbu „Automaticky vybrat úložiště certifikátů na základě typu certifikátu“.

Kapitola B Bod 3 Žádost o klientský certifikát certifikační autority MoneyWeb Certifikát se skládá ze dvou částí (klíčů) a to soukromého klíče a veřejného klíče. Při tvorbě žádosti o certifikát se vytváří soukromý klíč, který se uloží na Vašem PC (případně na jiném médiu, na kterém je žádost tvořena, např. čipová karta). Pro správné používání certifikátu, musí tyto klíče vždy tvořit dvojici. Proto při následné instalaci vydaného certifikátu (veřejného klíče) do Vašeho počítače musí být soukromý klíč vždy k dispozici, jinak instalace neproběhne korektně a certifikát nebude použitelný! Proto se během doby, která vzniká v rozmezí po vytvořením žádosti o certifikát ve vašem PC a instalací vystaveného certifikátu, vyvarujte činností, které mohou zapříčinit porušení či ztrátu soukromého klíče. Jedná se především o reinstalaci PC a změny v uživatelském profilu, které by operační systém mohl vyhodnotit jako změny systémové - např. instalace SP, hotfixů, updaty, nebo instalace některých aplikací. Důsledkem těchto operací pak může být nepoužitelnost certifikátu, který vám byl za základě vaší žádosti vydán. Této nepříjemné situaci se můžete vyhnout minimalizací výše uvedeného mezidobí, nebo zálohou privátního klíče. 3.1 Na výchozí stránce správy uživatelských účtů systému MoneyWeb (viz. kapitola A, bod 2.1) klikněte na odkaz „Žádost o certifikát“. Pokud se zobrazí výzva k výběru certifikátu, zrušte ji stiskem tlačítka „Storno“.

3.2 Nebudete-li automaticky přesměrováni, klikněte na odkaz „Enter Public Gateway“.

Verze pro MS Windows Vista a Windows 7 za použití MS Internet Exploreru verze 8 cs: V některých případech můžete být vyzváni k potvrzení vstupu na nedůvěryhodnou stránku, což je potřeba povolit kliknutím na odkaz „Pokračovat na tento web (nedoporučujeme)“.

Před započetím generování žádosti o certifikát je na operačním systému MS Windows Vista a Windows 7 nutné udělat několik kroků: 3.2b V horním textovém menu vašeho internetového prohlížeče klikněte na „Nástroje“, dále na „Možnosti Internetu“, a poté na kartu „Zabezpečení“.

3.2c Na kartě „Zabezpečení“ vyberte „Důvěryhodné servery“ a klikněte na tlačítko „Servery“. Do pole „Přidat tento web k zóně:“ by se mělo automaticky vyplnit https://ca.moneyweb.cz. Uvedený server se přidá do seznamu důvěryhodných kliknutím na tlačítko „Přidat“.

3.2d Následně je potřeba opět na kartě „Zabezpečení“ upravit úroveň zabezpečení zóny důvěryhodné servery na „Středně nízké“ (tahem posuvníkem směrem dolů).

3.2e Na kartě „Zabezpečení“ je ještě nutné kliknout na „Vlastní úroveň“, v otevřeném okně s možnostmi sjet níže do části „Ovládací prvky ActiveX a moduly plug-in“ a volbu „Ovládací prvky ActiveX inicializace a skriptu nejsou označeny jako bezpečné pro skriptování.“ nastavit na „Povolit“.

3.2f Změněné nastavení se musí potvrdit stiskem tlačítka „OK“ a poté ještě jednou kliknutím na „Ano“ na zobrazeném dialogovém okně.

3.2g Úroveň zabezpečení zóny důvěryhodné servery ze změní na „Vlastní“. Nakonec vše potvrdíme kliknutím na tlačítko „OK“ okna zobrazujícího možnosti internetu.

3.3 Po otevření přihlašovací stránky napište do políčka „Login“ Vaše přihlašovací heslo, které Vám bylo zasláno Ministerstvem financí, odborem 24 a do políčka „Password“ napište Vaše heslo. Před zobrazením přihlašovací stránky je možné, že bude nutné povolit doplněk Microsoft Certificate Enrollment Control od společnosti Microsoft Corporation.

3.4 Po přihlášení klikněte v horním menu na „My Certificates“ - „Request a Certificate“ (případně ve spodní části stránky na rychlý odkaz „Request a Certificate“) a následně na odkaz „Browser Certificate Request“.

3.5 V následujícím formuláři vyplňte políčka podle následujícího postupu a klikněte na Continue: Name (First and Last name) – napište Vaše jméno a příjmení bez diakritiky, např. Prochazka Karel E-Mail Address – napište Vaši emailovou adresu Department – napište název vašeho subjektu Phone Number – napište Vaše telefonní číslo

Na další stránce už jen potvrdíte Vámi vložené informace, ostatní políčka ponechte v jejich výchozím nastavení a poté klikněte na Continue. Poznámka: pokud používáte operační systém Windows 2000, vyberte v políčku „Certificate Template „ volbu „User-sha1“.

Výchozí hodnoty: Subject Name – Vámi zadané jméno a příjmení E-mail – Vámi zadaná emailová adresa Certificate Template – ve většině případů ponechte volbu User, pouze u operačního systému Windows 2000 vyberte User-sha1 Selected Registration Authority – ponechte volbu MoneyWeb Level of Assurance – ponechte volbu Medium Key Generation Mode – ponechte volbu Browser (Your Computer)

Na další stránce zadejte libovolný PIN (do obou políček stejný), ostatní políčka ponechte v jejich výchozím nastavení:

PIN (Min. 5 chars) – napište vlastní kód, který budete potřebovat v případě, že budete instalovat certifikát do jiného počítače, než ze kterého vytváříte žádost o certifikát; ve většině případů napište do tohoto políčka jakýkoli kód; PIN (Min. 5 chars) – znovu napište kód z předchozího políčka Výchozí hodnoty: Signature Scheme - ponechte volbu RSA key Strength - ponechte volbu Strong

3.6 Po vyplnění všech políček v žádosti o certifikát klikněte na tlačítko „Continue“ v dolní části formuláře a potvrďte následující informační okno stisknutím tlačítka „OK“.

3.7 Na další stránce vyberte z dolního menu s názvem „Cryptographic device“ volbu „Microsoft Strong Cryptographic Provider“ a poté klikněte na „Generate Request“.

3.8 Všechny následující informační okna VBScript potvrďte tlačítkem „OK“, okno „Možné porušení skriptů“ potvrďte volbou „Ano“.

3.9 V následujícím dialogu zvolte volbu „Úroveň zabezpečení...“

3.10 V dialogu „Program vytváří nový klíč RSA pro výměnu“ zvolte volbu „Vysoká“.

3.11 V následujícím okně téhož dialogu vyplňte název vytvářené položky (zvolte si vlastní název, např. MoneyWeb) do kolonky „Heslo k položce“ a do kolonek „Heslo“ a „Potvrzení“ vepište Vámi zvolené heslo k vytvářené položce. Toto heslo si pečlivě zapamatujte a uložte na bezpečném místě, neboť bude potřeba při každém přístupu k aplikaci MoneyWeb.

3.12 Dialog uzavřete kliknutím na tlačítko „OK“.

3.13 Následující informační okno VBScript informující o úspěšném generování žádosti o certifikát potvrďte tlačítkem „OK“.

3.14 Po úspěšném vygenerování žádosti o certifikát se Vám zobrazí textový popis právě generované žádosti.

Bod 4

Instalace klientského certifikátu certifikační autority MoneyWeb. Po schválení a podepsání Vaší žádosti o certifikát na Ministerstvu financí ČR Vám přijdou na email uvedený během vytváření žádosti dva emaily. První email s předmětem OpenCA Certificate information (níže označený jako A) je volně čitelný a obsahuje informaci o seriovém čísle Vašeho certifikátu a odkazy pro jeho instalaci do počítače. Druhý email s předmětem OpenCA Certificate and PIN information (níže označený jako B) je digitálně podepsaný a zašifrovaný a tudíž bude čitelný až po instalaci certifikátu do počítače podle bodu 4.1a až 4.1b tohoto návodu. Tento email obsahuje PIN kód potřebný pro případ žádosti o zneplatnění Vašeho certifikátu na stránkách CA MoneyWeb. A. Odesílatel: [email protected] Předmět: OpenCA Certificate information Vazena pani, vazeny pane, Vas certifikat se seriovym cislem 999 a DN CN=Karel Prochazka,OU=MoneyWeb,O=Ministry of Finance Czech Republic FAU,C=CZ byl generovan. Certifikat si muzete stahnout ze serveru: https://ca.moneyweb.cz/pub Prosim, pouzijte seriove cislo certifikatu. Vas certifikat si take muzete naimportovat primo ze stranek certifikacni autority MoneyWeb na adrese: https://ca.moneyweb.cz/cgibin/pub/pki?cmd=getcert&key=999&type=CERTIFICATE Prosim, z duvodu overeni duveryhodnosti Vaseho certifikatu si take naimportujte certifikat CA MoneyWeb, ktery naleznete na adrese: http://ca.moneyweb.cz/pub/cacert/cacert.der Nezapomente si ulozit kopii Vaseho privatniho klice na bezpecnem miste. V pripade ztraty nebo poskozeni privatniho klice jiz nebudete moci desifrovat zpravy timto klicem zasifrovane. S pozdravem Ministerstvo financi Ceske republiky Odbor 24 - Financni analyticky utvar

B. Odesílatel: [email protected] Předmět: OpenCA Certificate and PIN information Vazena pani, vazeny pane, Vas certifikat se seriovym cislem 999 a DN CN=Karel Prochazka,OU=MoneyWeb,O=Ministry of Finance Czech Republic FAU,C=CZ byl generovan. Certifikat si muzete stahnout ze serveru: https://ca.moneyweb.cz/pub Prosim, pouzijte tento PIN kod pro zneplatneni Vaseho certifikatu: iyquOwo3clbVVuqmbdOhQA S pozdravem Ministerstvo financi Ceske republiky Odbor 24 - Financni analyticky utvar

V emailu „A“ je uvedena informace, jak je možné nainstalovat Váš nový certifikát do počítače. První možností je po přihlášení k certifikační autoritě projektu MoneyWeb (viz. kapitola B, bod 3.1 až 3.3) kliknout v horním menu na „My Certificates“ - „Install My Certificate“ (případně ve spodní části stránky na rychlý odkaz „Install My Certificate“) a do políčka „Serial Number“ vložit sériové číslo Vašeho certifikátu z emailu „A“, tedy např. 999 (viz. následující bod 4.1a). Druhou možností je po přihlášení k certifikační autoritě podle kapitoly B, bodu 3.1 až 3.3 vložit do adresního řádku Vašeho internetového prohlížeče adresu uvedenou v obdrženém mailu pod bodem „Vas certifikat si take muzete naimportovat primo ze stranek certifikacni autority MoneyWeb na adrese:“ a pokračovat bodem 4.1b. Certifikát není nutné zálohovat, neboť se používá pouze pro autentizaci uživatele a šifrování přenosu dat mezi uživatelem a serverem. Nedochází tedy k šifrování žádných informací, které by měli delší časovou platnost.

4.1a Instalace Vašeho osobního certifikátu do počítače

4.1b Potvrzení instalace Vašeho osobního certifikátu do počítače Výzvu „Možné porušení skriptů“ potvrďte kliknutím na tlačítko „Ano“ a po úspěšné instalaci certifikátu se Vám zobrazí stránka informující o dokončení procesu instalace.