Postup získání certifikátu pro uživatele WEB aplikací určených pro Sběry dat pro IS VaV
Postup získání certifikátu pro uživatele WEB aplikací určených pro Sběry dat pro IS VaV verze 1.2
Praha 18.12.2002
Obsah
WEB aplikace určené pro sběry dat do CEP, CEZ a RIV plně podporují práci s certifikáty. Z tohoto důvodu jejich funkčnosti zahrnují podporu automatického procesu žádosti o certifikát, kterou uživatel musí použít, pokud chce být autorizovaným dodavatelem dat, nebo pracovat jako resortní uživatel. Obsah....................................................................................................................... 1 Úvod ........................................................................................................................ 2 SW požadavky na získání a instalaci certifikátu ..................................................... 3 Zaregistrování nového uživatele do aplikace .......................................................... 3 Přihlášení neautorizovaného uživatele do aplikace................................................. 5 Žádost o certifikát.................................................................................................... 6 Údaje v certifikátu ................................................................................................... 9 Vyzvednutí certifikátu........................................................................................... 10 Export certifikátu................................................................................................... 12 Import certifikátu................................................................................................... 12
-1-
Postup získání certifikátu pro uživatele WEB aplikací určených pro Sběry dat pro IS VaV
Úvod Z důvodu zajištění spolehlivé identifikace resortních uživatelů ve WEB aplikacích Sběr dat CEP, CEZ a RIV je nezbytné, aby každý uživatel, pro přístup k funkcím určeným výhradně pro resortní dodavatele dat, získal a nainstaloval si do svého internetového prohlížeče svůj korektní certifikát, který potom bude používán pro jeho autentizaci a autorizaci. Tento dokument osvětluje některé pojmy z této oblasti a popisuje správný postup, jak certifikát získat a používat. Základem použití certifikátu je šifrovací technologie, postavená na principu veřejného a privátního klíče. Již z názvu těchto klíčů také plyne jejich použití – zatímco veřejný klíč je určen ke zveřejnění, privátní klíč musí zůstat tajný. Oba tyto klíče přitom na základě sofistikovaných matematických postupů tvoří celek, na základě kterého mohou uživatelé svou komunikaci přes Internet šifrovat a také digitálně podepsat. Certifikát se v prostředí sítě Internet dá přirovnat k občanskému průkazu, neboť obsahuje základní identifikační údaje o dané osobě (jako je např. jméno nebo identifikační kód). Nedílnou součástí certifikátu je také kopie veřejného šifrovacího klíče, čímž je zajištěno digitální podepsání šifrované komunikace (fyzickou) identifikací daného uživatele. Certifikační autorita (tzv elektronický notář) je instituce, která svým jménem a důvěryhodností provádí výše naznačené propojení identifikace osoby a jejího veřejného šifrovacího klíče. Ze strany uživatelů je většinou realizována jako internetová aplikace s WWW rozhraním. Pro uživatele WEB aplikace Sběr dat pro CEP, CEZ a RIV zajišťuje funkci certifikační autority přímo Rada pro výzkum a vývoj, která pro své klienty vlastní WWW aplikaci, díky které jim snadno, rychle a bezpečně umožní získat jejich certifikát. Základní postup je následující: Uživatel se musí nejdříve zaregistrovat do aplikace (pokud již tak neučinil dříve). Poté vytvoří požadavek na certifikát. Součástí požadavku na certifikát je i formulář „Údaje pro certifikát“, který mu musí jeho zaměstnavatel písemně potvrdit a který musí být zaslán na adresu uvedenou na tomto formuláři. Uživatel poté čeká na E-mail zprávu, která mu oznámí, že jeho certifikát byl vytvořen a může si jej vyzvednout a nainstalovat do svého prohlížeče. Tím se stane autorizovaným (certifikovaným) uživatelem aplikace.
-2-
Postup získání certifikátu pro uživatele WEB aplikací určených pro Sběry dat pro IS VaV
SW požadavky na získání a instalaci certifikátu Základní SW požadavky nutné pro úspěšné získání certifikátu, nezbytného pro autorizovaný a šifrovaný přistup k internetovým aplikacím Sběr dat CEP, CEZ resp. RIV: ·
nainstalován WWW prohlížeč typu Microsoft Internet Explorer nebo Netscape Communicator ve verzi nejméně 4.x; pro vyšší úroveň zabezpečení doporučujeme aby daný prohlížeč podporoval 128 bitové šifrování, minimálně však musí prohlížeč podporovat 56 bitové šifrování
·
funkční schránka elektronické pošty, do které jsou zasílány informace o průběhu certifikace formou E-mail zpráv
·
funkční připojení k síti Internet, přenosová kapacita není určující
Zaregistrování nového uživatele do aplikace Pokud uživatel s WEB aplikací Sběr dat CEP, CEZ resp. RIV (dále jen aplikace) dosud nepracoval, je tzv. „novým uživatelem“ a musí se s využitím WWW prohlížeče připojit prostřednictvím sítě Internet na úvodní stránku aplikace. Na monitoru se mu zobrazí úvodní přihlašovací obrazovka:
obrázek 1: Úvodní přihlašovací obrazovka
Jelikož uživatel je „novým uživatelem“, musí se nejprve zaregistrovat. Proto stiskne tlačítko „Nový uživatel“ a dojde k zobrazení formuláře „Registrace nového uživatele“: -3-
Postup získání certifikátu pro uživatele WEB aplikací určených pro Sběry dat pro IS VaV
obrázek 2: Formulář registrace nového uživatele
Na tomto formuláři uživatel vyplní všechny údaje a volí si svoje uživatelské heslo. Vyplnění celého formuláře potvrdí stisknutím tlačítka OK. V případě správně zadaných dat se zobrazí kompletní výpis zadaných údajů a informace, že údaje byly přijaty a že je možné se přihlásit do aplikace (tlačítko „Chci se přihlásit“ na konci výpisu dat). Zároveň je uživateli přidělen strojový login (vízum) – tedy dostane svoje přihlašovací jméno do aplikace. V opačném případě jsou červeně signalizovány chyby v údajích u jednotlivých polí. Tyto chyby je nutné opravit.
obrázek 3: Informace po správném vyplnění údajů registrace
-4-
Postup získání certifikátu pro uživatele WEB aplikací určených pro Sběry dat pro IS VaV
Zvolením tlačítka „Chci se přihlásit“ se uživatel vrátí na „Úvodní přihlašovací obrazovku“ aplikace. Dále může pracovat s aplikací jako „neautorizovaný uživatel“ nebo pokračovat v žádosti o vystavení certifikátu (viz další kapitola).
Přihlášení neautorizovaného uživatele do aplikace Pokud uživatel aplikace již má provedenou registraci (viz str. 3), tzn. již má přidělen vlastní login a zvoleno svoje heslo, (není tedy „novým uživatelem“), přihlašuje se na úvodní stránce aplikace pod svým vízem a heslem (jako tzv. „neautorizovaný uživatel“):
obrázek 4: Přihlášení do aplikace
Po úspěšném přihlášení se mu zobrazí hlavní menu aplikace:
obrázek5: Menu aplikace - dodavatel dat
-5-
Postup získání certifikátu pro uživatele WEB aplikací určených pro Sběry dat pro IS VaV
Dále může pracovat s aplikací s právy „neautorizovaného uživatele“ anebo, pokud chce žádat o vystavení certifikátu, volí na stránce hlavního menu funkci „žádost o certifikát“ (viz další kapitola).
Žádost o certifikát Neautorizovaný uživatel, po přihlášení do aplikace, může podat žádost o certifikát. Tímto aktem začne proces, na jehož konci by uživatel měl dostat certifikát a stát se tak „Autorizovaným uživatelem aplikace“. Kliknutím na odkaz „Žádost o certifikát“ na obrazovce menu uživatele,
obrázek 6: Zvolení "Žádost o certifikát"
se uživateli otevře nové okno „Požadavek na certifikát“. Uživatel je žádán o zadání svého hesla:
obrázek 7: Přihlášení uživatele na požadavek na certifikát
Uživatel zadává znovu svoje heslo, neboť práce s certifikáty je citlivá na bezpečnost osobních dat, a proto je při každém zahájení této aktivity, znovu požadováno ověření uživatele. Zadávání se ukončí stiskem tlačítka „Přihlásit“.
-6-
Postup získání certifikátu pro uživatele WEB aplikací určených pro Sběry dat pro IS VaV
Po úspěšném přihlášení (nejsou signalizovány žádné chyby) se zobrazí informace, které budou použity při požadavku na certifikát. Tyto informace jsou převzaty z registrace uživatele a jsou uvedeny pouze pro informaci (nelze je tedy měnit).
obrázek 8: Údaje pro generování certifikátu
Stiskem tlačítka „Další“ dojde k ověření informací o daném uživateli v aplikaci Sběr dat a jeho WWW prohlížeč je vyzván k vygenerování nezbytných šifrovacích klíčů. Privátní klíč přitom bude bezpečně uložen v daném prohlížeči na daném PC, veřejný klíč bude předán na stranu aplikace jako další nezbytný parametr žádosti pro vytvoření certifikátu (veřejný klíč s údaji z registrace). Vlastní běh jednotlivých operací závisí na typu prohlížeče, který je používán. Pokud prohlížeč správně vytvoří požadovaná data, objeví se nakonec celého procesu informace, že požadavek na certifikát byl vytvořen. Konkrétní WWW prohlížeč může v rámci tohoto kroku vytvořit další pomocné obrazovky, které se bohužel liší i mezi jednotlivými verzemi téhož prohlížeče.
Microsoft Internet Explorer 5.0 (a vyšší) Tento prohlížeč vygeneruje nejprve informační okno (viz obrázek 9), které oznamuje, že dochází ke generování veřejného a privátního klíče. V tomto okně je možné zvolit také bezpečnostní úroveň pro zabezpečení klíčů – nízká (privátní klíč je používán bez dalšího varování, střední (při každém použití privátního klíče je generováno upozornění) nebo vysoká (privátní klíč je uložen ve speciálně zaheslované schránce a před každým použitím je uživatel požádán o příslušné heslo). Po vytvoření páru klíčů dojde k uschování privátního klíče do registrů lokálního počítače a veřejný klíč je jako součást žádosti o certifikát předán certifikační autoritě. Uživatel je následně informován o přijetí jeho žádosti. -7-
Postup získání certifikátu pro uživatele WEB aplikací určených pro Sběry dat pro IS VaV
Obrázek 9: Vytvoření šifrovacího klíče v MS IE
Pro účely aplikace postačují default hodnoty, volíme tedy „OK“, případně „další“. Pokud prohlížeč správně vytvoří požadovaná data, zobrazí aplikace informaci, že požadavek na certifikát byl korektně vytvořen.
obrázek 10: Obrazovka informující o vytvoření požadavku na certifikát
Součástí tohoto formuláře je i tlačítko „Formulář: Údaje pro certifikát“, kterým je vyvoláno zobrazení připraveného tiskového formuláře: Údaje pro certifikát potvrzení zaměstnavatele. Tento formulář je třeba vytisknout a nechat si potvrdit od zaměstnavatele (viz obrázek 11). Pouze na základě tohoto vytištěného formuláře potvrzeného zaměstnavatelem je možné certifikát získat. UPOZORNĚNÍ: Na formuláři je uveden zpracovatelský kód. Tento kód je vytvářen z údajů uvedených na formuláři a při schvalování požadavku na certifikát je důsledně kontrolován s kódem generovaným aplikací. Nejsou-li oba kódy shodné, bude Vaše žádost o certifikát zamítnuta. Doporučujeme tedy po dobu, kdy vytvoříte žádost na certifikát a než Vám přijde vyrozumění o vytvoření certifikátu, neměnit žádné údaje na své registraci! Pokud tak učiníte, musíte provést znovu operaci „Žádost o certifikát“ včetně potvrzení nových údajů zaměstnavatelem a jejich zaslání na RVV.
-8-
Postup získání certifikátu pro uživatele WEB aplikací určených pro Sběry dat pro IS VaV
obrázek 11: Tiskový formulář Údaje pro certifikát – potvrzení zaměstnavatele
Vytiskněte tento formulář a nechte jej potvrdit svým zaměstnavatelem a zašlete jej RVV.
Údaje v certifikátu (Pozn.:Tato funkce bude doplněna v lednu 2002, nyní je prozatím nahrazena funkcí „Údaje pro certifikát“, pro kterou platí níže uvedené vlastnosti)
Volbou funkce „Údaje v certifikátu“ můžete zobrazit a vytisknout pouze v případě, kdy jste již provedli úspěšně „Žádost o certifikát“ (viz str. 6). Volbou funkce „Údaje v certifikátu“ je zobrazen výčet údajů, které byly vyplněny v žádosti o certifikát, včetně bezpečnostního kódu. Tato HTML stránka není určena k zaslání na RVV .
-9-
Postup získání certifikátu pro uživatele WEB aplikací určených pro Sběry dat pro IS VaV
obrázek 12: Zvolení funkce Údaje pro certifikát
Vyzvednutí certifikátu Uživatel může vyzvednout schválený certifikát od certifikační autority v momentě, kdy mu prostřednictvím E-mailové zprávy přijde informace, že jeho certifikát je již k dispozici. (To však platí pouze pro uživatele aplikace, kteří si o tento certifikát požádali). Kliknutím na odkaz „Vyzvednutí certifikátu“ na obrazovce menu uživatele,
obrázek 13: Zvolení funkce „Vyzvednutí certifikátu“
dojde k zobrazení přihlašovacího formuláře: - 10 -
Postup získání certifikátu pro uživatele WEB aplikací určených pro Sběry dat pro IS VaV
obrázek 14: Přihlašovací obrazovka pro vyzvednutí certifikátu
Zadejte svoje heslo a po úspěšném přihlášení a po ověření, že máte k dispozici certifikát, dojde k zobrazení formuláře pro volbu formátu certifikátu. Tato volba bude většinou pouze jedna a doporučujeme ji neměnit.
obrázek 15: Obrazovka volby typu formátu certifikátu
Klikněte na tlačítko další a dojde k importování certifikátu do vašeho prohlížeče. Tato konečná fáze je závislá na typu prohlížeče, který používáte. U prohlížeče Microsoft Internet Explorer se nejprve zobrazí dialogové okno pro ukládání souboru, volíme funkci „otevřít soubor z aktuálního umístění“ a dále zvolíme funkci „nainstalovat“. Pro účely aplikace postačují v dalším procesu default hodnoty, volíme tedy „další“ případně „dokončit“. - 11 -
Postup získání certifikátu pro uživatele WEB aplikací určených pro Sběry dat pro IS VaV
UPOZORNĚNÍ: Certifikát je bezpodmínečně nutné vyzvedávat ze stejného prohlížeče a ze stejného počítače ze kterého jste prováděli žádost o certifikát (jde o základní vlastnost popsaných WWW prohlížečů). V opačném případě nedojde ke správnému načtení certifikátu do PC a celý proces žádosti o certifikát je nutno zopakovat!
Export certifikátu V některých případech je třeba provést export nainstalovaného certifikátu do jiného počítače. Export provedeme následujícím způsobem. Otevřeme prohlížeč – „Nástroje“ – „Možnosti sítě internet“ – „Obsah“ – „Certifikáty“. Dostaneme přehled certifikátů uložených na našem počítači. Klikneme na příslušný certifikát, který chceme exportovat. Volíme – „Exportovat“. Dále volíme „export se soukromým klíčem“, ve formátu .pfx (formát Personal Information Exchange). Zvolíme si heslo, které budeme nutně potřebovat při importu do jiného počítače a heslo potvrdíme. U volby „Procházet“ zvolíme, kam chceme certifikát uložit (např. na disketu) a export certifikátu dokončíme.
obrázek 16: Ikona exportovaného certifikátu ve formátu .pfx
UPOZORNĚNÍ: Certifikát ve formátu .cer není vhodný pro export. Certifikát se sice v tomto formátu uloží v adresářové struktuře daného počítače, avšak nelze jej pro export využít.
obrázek 17: Ikona certifikátu ve formátu .cer – v
tomto formátu neexportujeme!!
Import certifikátu Certifikát je třeba přenést do počítače ve formátu .pfx . Pokud jsme při exportu postupovali podle postupu popsaného v kapitole „Export certifikátu“, stačí po uložení certifikátu kdekoli v počítači kliknout na jeho ikonu a postupovat přesně podle návodu. Certifikát byl exportován se soukromým klíčem, proto musíme při jeho instalaci uvést heslo, které jsme při exportu použili.
- 12 -