Používateľská príručka Klientskej aplikácie PKI Verzia č. 3.1 16.7.2005
VÚB, a.s., Mlynské nivy 1, 829 90 Bratislava 25, Obchodný register: Okresný súd Bratislava 1, Oddiel: Sa, vložka číslo 341/B, IČO: 31 320 155, Tel.: 0850 123 000, vub.sk
OBSAH OBSAH .................................................................................................................................................................................2 1 Pojmy............................................................................................................................................................................3 2 Aplikácia Vzdialené registračné procesy ....................................................................................................................5 3 Čo je potrebné vykonať pre získanie prístupu k moderným bankovým službám založeným na technológii PKI ..5 4 Požiadavky na konfiguráciu počítača pre prácu s aplikáciou Vzdialené registračné procesy. .................................6 4.1 Inštalácia prostredia pre aplikáciu PKI ......................................................................................................7 4.1.1 Inštalácia z CD...........................................................................................................................................7 4.1.2 Inštalácia z internetu ................................................................................................................................10 4.1.3 Nastavenia pre Internet Explorer .............................................................................................................14 4.1.4 Nastavenia pre Netscape Navigator .........................................................................................................14 5 Ako používať aplikáciu Vzdialené registračné procesy ...........................................................................................14 5.1 Generovanie kľúčov a žiadostí o certifikáty (ponuka Generovanie žiadostí) ..........................................15 5.1.1 Krok 1 Údaje pre certifikáty ....................................................................................................................16 5.1.2 Krok 2 Údaje o úložisku kľúčov..............................................................................................................17 5.1.3 Krok 3 Generovanie náhodného čísla ......................................................................................................18 5.2 Práca s úložiskom kľúčov (ponuka Úložisko) .........................................................................................20 5.2.1 Prihlásenie................................................................................................................................................21 5.2.2 Prehľad certifikátov .................................................................................................................................22 5.2.3 Import certifikátov ...................................................................................................................................23 5.2.4 Export ......................................................................................................................................................25 5.2.5 Zmena hesla .............................................................................................................................................26 5.3 Overenie certifikátov (menu ponuka Overenie).......................................................................................26 5.3.1 Prihlásenie................................................................................................................................................27 5.3.2 Prehľad certifikátov .................................................................................................................................27 5.4 Pozastavenie platnosti certifikátov (ponuka Pozastavenie platnosti).......................................................28 5.5 Obnova platnosti certifikátov (ponuka Obnova)......................................................................................30 5.5.1 Prihlásenie................................................................................................................................................31 5.5.2 Údaje pre certifikáty ................................................................................................................................31 5.5.3 Generovanie náhodného čísla ..................................................................................................................32 6 Dôvernosť inštalácie PKI aplikácie:..........................................................................................................................32 6.1 Dôvernosť appletov aplikácie vzdialené registračné procesy ..................................................................34
Strana 2 z 35
1 Pojmy Adresár LDAP (LDAP) Aktivácia certifikátu
Aplikácia PKI
Certifikačná autorita (CA) Certifikát
Certifikačná politika (CP) Celistvosť certifikátu Certifikačná vykonávacia smernica (CPS) Digitálny podpis
Infraštruktúra PKI Klient Klientsky certifikát Nesprávne použitie certifikátu
OID
Špecializovaná databáza, v ktorej sú publikované certifikáty a zoznamy zneplatnených certifikátov VÚB, a.s. Aktivácia certifikátu sa vzťahuje na dáta, iné než kľúče, ktoré sú potrebné na prevádzkovanie kryptografických modulov (HSM moduly a smartkarty) a ktoré vyžadujú primeranú ochranu. Aktivácia certifikátu znamená prvé použitie privátneho kľúča prináležiacemu k certifikátu, na vytvorenie digitálneho (elektronického) podpisu špeciálnej dávky dát. Na vytvorenie podpisu je potrebné použiť aplikáciu PKI, časť validácia. Po úspešnej validácii, bude možné použiť certifikát na účel, na ktorý bol tento certifikát určený. Špeciálna internetová aplikácia VÚB na adrese http://registracia.vub.sk alebo http://www.vub.sk/pki, ktorú klienti banky môžu využívať na: - Vygenerovanie žiadosti o certifikát s kľúčmi generovanými na diskete alebo disku - overenie certifikátu - pozastavenie platnosti certifikátu - prácu s úložiskom kľúčov - obnovu certifikátu - obnovu kľúčov Dôveryhodná autorita, ktorá vytvára certifikáty (komponent PKI). Reťazec údajov, ktorý spája idenfitikátor (Distinguished Name) koncového subjektu s verejným kľúčom pomocou digitálneho podpisu. Formát tohto reťazca údajov je definovaný v ISO/IEC 9594-8. Tento reťazec údajov taktiež obsahuje identifikátor vydávateľa certifikátu, špecifické sériové číslo certifikátu, dobu platnosti a ďalšie údaje. Pomenovaný zoznam pravidiel, ktoré označujú použiteľnosť certifikátu v príslušnej skupine alebo triede aplikácií, zdieľajúcimi spoločné bezpečnostné požiadavky. Neporušiteľnosť certifikátu. Zoznam predpisov a praktík, ktoré Certifikačné autority používajú pri vydávaní certifikátov. Jedinečná digitálna identifikácia entity, ktorá sa využíva na autentifikáciu zdroja, integrity dát a nepopierateľnosť. Digitálny podpis využíva Súkromný kľúč, ktorému korešponduje príslušný Verejný kľúč, matematickú funkciu známu ako „message digest“ a princípy asymetrickej kryptografie. Technické a programové vybavenie použité na zaistenie služieb na vydávanie a správu certifikátov vo VÚB, a.s. • fyzická osoba • fyzická osoba-podnikateľ Certifikát vydaný klientovi. Používanie certifikátu, ktoré nie je v súlade s ustanoveniami CPS a príslušnej CP, napr.: - používanie certifikátu na iné účely, ako sú uvedené v príslušnej Certifikačnej politike; - spoliehanie sa na zneplatnený alebo pozastavený certifikát (certifikát nebol overený cez CRL aj OCSP); - spoliehanie sa na certifikát, ktorý je expirovaný; - spoliehanie sa na certifikát, ktorý je platný (nie je expirovaný, pozastavený ani zneplatnený), ale nebol vydaný dôveryhodnou CA; - iné. Identifikátor klasifikácie objektov.
Strana 3 z 35
Pozastavenie platnosti certifikátu Súkromný kľúč Kompromitácia súkromného kľúča Koncové subjekty
Overenie funkčnosti Overenie platnosti certifikátu
Registračná autorita (RA) Registračné miesto Revokačné heslo Spoliehajúca strana (Relying party) Systém BB Verejný kľúč Verifikácia certifikátu VÚB PKI Zmluva o poskytovaní certifikačných služieb (Zmluva) Zneplatnenie certifikátu Pozastavenie platnosti certifikátu Zoznam zneplatnených certifikátov (CRL)
Dočasné pozastavenie platnosti certifikátu. Certifikát môže byť znovu platný zrušením pozastavenia platnosti. Po vypršaní platnosti pozastaveného certifikátu sa certifikát stáva zneplatneným. Súkromná časť dvojice asymetrických kľúčov. Používa sa na podpisovanie a dešifrovanie správ. Zneužitie, použitie alebo sprístupnenie súkromného kľúča bez vedomia jeho vlastníka ako aj prezradenie hesla na prístup k revokačnému heslu. Ak Certifikačná autorita zistí kompromitáciu súkromného kľúča, certifikát zviazaný s týmto kľúčom zneplatní. V kontexte tohto dokumentu sú koncové subjekty: - klienti banky (fyzické osoby) - PKI administrátori a operátori (PKI personál) - PKI komponenty (napr. Registračná autorita, Certifikačná autorita) - HTTP servery, aplikačné servery, atď. Overenie funkčnosti certifikátu je postavené na základe overenia digitálneho podpisu testovacej správy (využitie funkcie „Overenie certifikátu“ špeciálnej aplikácie Vzdialené registračné procesy). Overenie platnosti certifikátu pokrýva viacero kontrol, napr.: - certifikát nie je zneplatnený alebo pozastavený, - aktuálny čas je medzi „not before“ a „not after“ certifikátu - certifikát je funkčný (viď Overenie funkčnosti) Komponent PKI infraštruktúry, používaný na posúvanie schválených žiadostí o vydanie certifikátu do CA. Priestory VÚB, v ktorých sa prijímajú a schvaľujú žiadosti o certifkáty. Registračné miesto obsluhuje registračný operátor. Heslo, ktoré je potrebné zadať na pozastavenie platnosti, zrušenie pozastavenia platnosti alebo zneplatnenie certifikátu. Subjekt alebo entita, ktorý požaduje od PKI infraštruktúry overenie stavu certifikátu. V prípade VÚB PKI je spoliehajúca strana príslušná aplikácia banky, ktorá využíva klientske certifikáty. Počítačový systém VÚB zabezpečujúci službu Biznis Banking Verejná časť dvojice asymetrických kľúčov. Používa sa na šifrovanie a overovanie správ. viď Overenie funkčnosti a platnosti certifikátu. Infraštruktúra technického a programového vybavenia použitá vo VÚB na zaistenie služieb spojených s vydávaním a poskytovaním certifikátov. Zmluva medzi vlastníkom certifikátu a VÚB, a. s. o vydaní certifikátu a poskytovaní certifikačných služieb. Ukončenie platnosti certifikátu. Platnosť certifikátu nie je možné obnoviť. Dočasné ukončenie platnosti certifikátu. Platnosť certifikátu môže byť znovuobnovená zrušením pozastavenia platnosti. Zoznam certifikátov, ktorých platnosť bola pozastavená alebo zrušená. Zoznam vydáva a podpisuje Certifikačná autorita a je publikovaný v adresári LDAP.
Strana 4 z 35
2 Aplikácia Vzdialené registračné procesy Aplikácia Vzdialené registračné procesy je služba založená na moderných webovských technológiách a zahŕňa aj posledné kryptografické technológie PKI. Pomocou aplikácie pre vzdialené registračné procesy, je možné nielen vygenerovať PKI pár kľúčov, a kontaktovať bankovú Certifikačnú autoritu pre vydanie certifikátov, ale taktiež vykonávať aj ostatné služby pre kompletný životný cyklus certifikátov. Tieto služby zahŕňajú overenie certifikátov, prípadné pozastavenie platnosti certifikátov, obnovu platnosti certifikátov, resp obnovu platnosti certifikátov a kľúčov. VÚB, a.s. si vyhradzuje právo meniť a zdokonaľovať aplikáciu a príslušnú dokumentáciu bez predchádzajúceho upozornenia. Zo strany VÚB, a.s, nie je možné poskytnúť záruky či už výslovné alebo implikované, súvisiace so správnosťou, spoľahlivosťou alebo obsahom tohoto dokumentu. VÚB, a.s. si vyhradzuje právo kedykoľvek tento dokument upraviť alebo ho stiahnuť z obehu bez predchádzajúceho upozornenia. Aktuálna verzia príručky v elektronickej podobe a jej prípadné zmeny sú uvedené na internetovej adrese https://registracia.vub.sk/pki/doc/vrp_prirucka_pouzivatela.pdf.
3 Čo je potrebné vykonať pre získanie prístupu k moderným bankovým službám založeným na technológii PKI Ako používateľ máte dve možnosti ako získať certifikáty: • Prvá možnosť je návšteva pobočky, kde pri osobnom registračnom procese bude overená Vaša totožnosť a po podpise zmluvy o certifikačných službách, Vám budú vygenerované dva páry kľúčov (šifrovací a podpisovací) a k nim vydané dva certifikáty. Pre ďalšie služby náležiace k životnému cyklu certifikátov je potrebné používať vzdialený prístup cez aplikáciu Vzdialené registračné procesy (Overenie certifikátov). V tomto prípade, pokračujte bodom 3. •
Druhá možnosť je použitie aplikácie Vzdialené registračné procesy. V tomto prípade, je potrebné vykonať postup popísaný v nasledujúcich bodoch 1 až 4:
1. Vygenerovať dva páry kľúčov (šifrovací a podpisovací) a požiadať o certifikát: • Podpisovací - tento bude slúžiť na podpisovanie transakcií a zabezpečí nepopierateľnosť zodpovednosti za vykonanie elektronických transakcií. • Šifrovací – tento certifikát bude slúžiť na zabezpečenie dôverného prenosu dát, čiže šifrovanie transakcií. Poznámka: Pri použití služieb PKI vo VÚB, a.s. budete používať vždy dvojicu certifikátov (šifrovací a podpisovací) a dva páry kľúčov (verejný a súkromný) patriace k jednotlivým certifikátom. Prvý krok teda prepokladá vygenerovanie dvojice kľúčov (verejného a súkromného) pre budúci podpisovací certifikát, a rovnako ďalšej dvojice kľúčov (verejného a súkromného) pre budúci šifrovací certifikát. Tieto kľúče možu byť uložené v dvoch typoch úložísk. • Hardvérové úložisko, napr. Čipová karta, HW Token a pod. • Softvérové úložisko, súbor na pevnom disku resp. diskete. Poznámka: Z dôvodu bezpečnosti nie je možné generovať kľúče na Smart karte klientskou aplikáciou ale len výhradne v banke. Pred vygenerovaním žiadostí je nutné vyplniť sadu údajov a pripraviť elektronický odtlačok verejného kľúča (tzv. fingerprint verejného kľúča) certifikačných žiadostí. Podľa týchto elektronických odtlačkov bude následne v banke možné tieto žiadosti identifikovať. Aplikácia vzdialené registračné procesy efektívne odtieňuje používateľa aplikácie od nutnosti viacnásobného generovania kľúčov a zadávania totožných údajov. Rovnako vytvorí aj žurnál (výstup) o úspešnom generovaní a odoslaní žiadostí.
Strana 5 z 35
Upozorňujeme, že tento výstup je nevyhnutné mať k dispozícii pri následnej návšteve pobočky, pri overení certifikačných žiadostí! Podrobnosti sú uvedené v časti 5.1.3. 2.
Uzatvorenie zmluvy o certifikačných službách
Po úspešnom odoslaní elektronickej žiadosti nasleduje Vaša návšteva na registračnom mieste t.j. v pobočke VÚB, a. s., kde po overení zadaných údajov a po vyplnení tlačiva s dodatkovými údajmi, ktoré budú overené autorizovaným pracovníkom banky voči dokladu totožnosti, resp. výpisu z Obchodného registra alebo Živnostenského listu, autorizovaný pracovník banky vypracuje Zmluvu o poskytovaní certifikačných služieb. Následne bude schválené vydanie certifikátov. Pri podpise zmluvy na registračnom mieste je potrebné predložiť platný preukaz totožnosti na overenie osobných údajov a na overenie identity žiadateľa. Pobočku VÚB, a.s., vykonávajúcu registráciu je nutné navštíviť do 7 dní od zaslania žiadostí. V opačnom prípade bude Vaša žiadosť zamietnutá. 3.
Vyzdvihnutie certifikátu
Certifikáty môžete získať po schválení žiadosti nasledovnými spôsobmi : • Osobne na pobočke. V takom prípade Vám budú nové certifikáty a kľúče odovzdané na diskete a pomocou aplikácie Vzdialené registračné procesy si môžete certifikáty nahrať (importovať) do úložiska kľúčov. Následne je nutné použiť voľbu Overenie certifikátov (postup ako overiť certifikáty je včasti 5.3). • Vzdialene. Cez Internet, pomocou aplikácie Vzdialené registračné procesy a voľbe import certifikátov z Internetu. V takomto prípade, je nevyhnutné poznať identifikačné reťazce (ktoré sú totožné so sériovými číslami certifikátov). Podľa nich vie aplikácia vzdialene pristúpiť k správnym certifikátom. Tieto identifikačné reťazce sú obsiahnuté v Internetovej linke, ktorá Vám bude zaslaná elektronickou poštou na adresu uvedenú v žiadosti o certifikáty (je uvedená aj v certifikáte). Ku každému certifikátu je zaslaná samostatná e-mailová správa. Obsah e-mailovej správy bude mať tvar: >> Vas certifikat si mozete stiahnut na stranke: Your certificate is on the following link: https://registracia.vub.sk/pki/ImportCert?reqId=1026806470.html Automaticky upozornovaci system PKI-VUB. << kde číslo 1026806470 je identifikačným reťazcom. Kliknutím na Internetovú linku sa rozbehne automatický import certifikátu. Certifikáty budú uložené do úložiska iba v takom prípade, keď úložisko obsahuje zodpovedajúce súkromné kľúče. Postup ako vyzdvihnúť a importovať a aktivovať certifikáty je v kapitole 5.2.3 Import certifikátov. 4.
Overenie certifikátu
Po získaní certifikátov je pred prvým použitím nevyhnutné certifikáty overiť. Pri overení certifikátu postupujte podľa časti 5.3.Overenie certifikátov. Overenie znamená zaslanie špeciálneho typu overovacej transakcie do banky. Po úspešnom overení certifikátov budete môcť certifikáty používať na bankové operácie.
4 Požiadavky na konfiguráciu počítača pre prácu s aplikáciou Vzdialené registračné procesy.
Strana 6 z 35
Minimálne nastavenie a konfigurácia počítača na používanie aplikácie Vzdialené Registračné procesy je nasledujúca: • minimálne procesor Pentium 200MHz a vyšší, aspoň 64 MB RAM . o (Kontrola cez Prieskumník |pravým tlačítkom na Tento počítač | záložka Všeobecné) • sieťový adaptér resp. modem pre pripojenie k sieti Internet • disketová jednotka 3,5" o V prípade, že nemáte v úmysle preniesť svoje elektronické žiadosti do banky cez Internet, , resp. chcete uschovávať svoje kľúče na diskete. • • • • • •
•
4.1
operačný systém MS Windows 98, 2000 alebo Windows NT 4.0 SP6 o (Kontrola cez Prieskumník |pravým tlačítkom na Tento počítač | záložka Všeobecné) Internetový prehliadač podporujúci 128 bitové šifrovanie o (Prakticky MS IE 5.5 SP2, resp. Netscape 4.76 a vyššie) Internetový prehliadač podporujúci Java Plug-In (TM) verzie 1.3.1 o (Kontrola cez Štart| Ovládací panel | Java Plug-in 1.3.1.) Poznámka : nasledovné body vykoná inštalácia, či už z CD alebo internetu. nainštalovaný Java Plug-In verzia 1.3.1. build 01 Medzinárodná verzia alebo vyšší o (Kontrola cez Štart| Ovládací panel | Java Plug-in 1.3.1.) nainštalovaná kustomizácia Java Plug-In verzia 1.3.1. umožňujúca spúšťanie podpísaných verifikovaných appletov. o (Kontrola cez Prieskumník| Tento počítač | Disk C:\ | Adresár Program Files\JavaSoft\JRE\1.3.1\lib\security\cacerts - súbor musí obsahovať certifikát Certifikačnej autority VUB root CA. Túto skutočnosť je možné overiť nasledovnou sekvenciou príkazov: • cd c:\Progra~1\Javasoft\JRE\1.3.1\lib\security • ..\..\bin\keytool –list –v -keystore cacerts nainštalované rozhranie pre prácu s ovládačmi smartkariet typu DLL. o (Kontrola cez Prieskumník| Tento počítač | Disk C:\ | System Root (c:\winnt\system32) – adresár musí obsahovať súbor Jcryptoki.dll verzia 1.0.4.0. Súbor má byť podpísaný codesign certifikátom VÚB, a.s. Postup overenia je možné získať na webovej stránke VUB a.s. http://registracia.vub.sk/pki/ .
Inštalácia prostredia pre aplikáciu PKI
Vyhovujúcu verziu Java Plug-In a šifrovacích knižníc je možné získať jednou z nasledovných možností: • inštaláciou z CD • inštaláciou z internetu V obidvoch je po úspešnej inštalácii pripravené prostredie pre spustenie aplikácie vzdialené registračné procesy. 4.1.1 Inštalácia z CD Ak je k dispozícii inštalačné CD, obsahujúce inštaláciu PKI aplikácie (napr. Inštalačné CD - BB), bude potrebné spustiť inštaláciu otvorením stránky instalacia.html v adresári s aplikáciou. Následne je potrebné postupovať podľa návodu, ktorý je na stánkach typu HTML, a je zároveň inštalátorom. Návod obsahuje nasledovné 3 kroky: 4.1.1.1
Inštalácia certifikátu Bankovej Certifikačnej Autority
Pre inštaláciu do systémového úložiska (kľúčenky) OS Windows, ktorú používa aj prehliadač Internet Explorer, je potrebné kliknúť na odkaz “Inštalácia certifikátu bankovej certifikčnej autority”. Po otázke “Otvoriť ... - Uložiť ...” (resp. anglický ekvivalent “Open ... – Save ...”) je potrebné zvoliť “Otvoriť”. Ďalej je potrebné postupovať podľa ponúknutých možností.
Strana 7 z 35
4.1.1.2
Inštalácia Java Plug-in™
Pre inštaláciu je potrebné kliknúť na odkaz “Inštalácia Java Plug-in™”. Pri inštalácii je potrebné ponechať nezmenené implicitne ponúknuté možnosti. Inštalácia Java Plug-in™ prebieha v anglickom jazyku. Integrita súboru je zabezpečená certifikátom firmy SUN®. Atribúty certifikátu, je možné zobraziť prehliadaním vlastností súboru priamo v operačnom systéme Microsoft® Windows™. Certifikát musí mať zachovanú integritu, čo zobrazí operačný systém a jeho subjekt má byť nasledovný: CN = Sun Microsystems, Inc. OU = Sun Microsystems OU = Digital ID Class 3 - Microsoft Software Validation v2 O = Sun Microsystems, Inc. L = Palo Alto S = California C = US Atribút: Serial : 3a 08 e7 15 2c 26 95 26 7d 45 e9 41 2b da ac ab Thumbprint : f6 c7 64 4e ee 16 72 8b 25 62 04 f5 00 08 7c 9d f6 3f 97 d3 Adresár pre inštaláciu má implicitné nastavenie c:\Program Files\JavaSoft\JRE\1.3.1_07, ktoré je nevyhnutné ponechať. Po úspešnom nainštalovaní sa zobrazí applet s hlásením : “Java Plug-in je nainštalovaný”.
Strana 8 z 35
4.1.1.3
Úprava prostredia Java Plug-in™ a inštalácia šifrovacích knižníc
Pre inštaláciu je potrebné kliknúť na odkaz “Úprava prostredia Plug-in™ a šifrovacích knižníc”. Spustí sa inštalačný program, chránený digitálnym podpisom certifikátom Banky. Táto skutočnosť je uvedená v dialógovom okne, ktoré je potrebné schváliť pred spustením inštalácie. Pre zobrazenie atribútov certifikátu "PKI CertServices Code-Sign", je nutné kliknúť na text „View Certificate“ v dialógovom okne pri inštalácii.
Certifikát musí mať zachovanú integritu, čo zobrazí operačný systém a jeho subjekt má byť nasledovný: CN = PKI CertServices Code-Sign OU = 0002 OU = server OU = Externe sluzby O = VUB C = SK Atribút: Serial: 3f 12 71 2d Valid from: Mon Jul 14 11:00:29 CEST 2003 Valid to: Tue Jul 13 10:00:29 CEST 2004 Subject Key Identifier: 45a5 3a3f 006d 86f2 17cd a94e cd81 3fd7 60d2 21f2 Atribút Thumbprint: 8a bd 4d 3f e6 f8 4c 80 11 66 db d2 53 c5 95 ac f4 ce 91 1d Po úspešnom nainštalovaní kustomizácie sa zobrazí text: "Koniec inštalácie - je potrebné zatvoriť všetky okná s prehliadačom internetu."
Uvedené platí pre prostredie operačných systémov firmy Microsoft ®. 4.1.1.4
Reštart všetkých prehliadačov
Strana 9 z 35
Aby sa mohla aktivovať kustomizácia Java Plug In, je nevyhnutné, aby boli ukončené všetky aktuálne spustené preliadače (je potrebné zatvoriť všetky okná s Internet Explorerom alebo Netscape Navigator). Po tomto kroku, je možné spustiť prehliadač a ísť na stránku http://registracia.vub.sk/pki . 4.1.2
Inštalácia z internetu
V prípade, že nie je k dispozícii inštalačné CD, je možné, spustiť rovnaký systém inštalácie aj z webu. Na stránke banky https://registracia.vub.sk/pki/instalacia.jsp je publikovaný obdobný návod a inštalátor ako v prípade inštalačného CD. Upozorňujeme, že v prípade webovskej (internetovej) inštalácie dôjde k stiahnutiu súborov cca 8MB s Java Plug-in™ a súboru cca 1,5MB s kustomizáciou Java Plug-in™ a šifrovacích knižníc Baltimore® KeyTools™. Pri inštalácii produktu z internetu (webu) je nevyhnutné dodržať bezpečný postup, hlavne pokiaľ ide o inštaláciu a overenie certifikátov, viď dokument kapitola 6 Dôvernosť inštalácie PKI aplikácie: Inštalácia certifikátu Bankovej Certifikačnej Autority Pre inštaláciu do systémového úložiska (kľúčenky) OS Windows, ktorú používa aj prehliadač Internet Explorer, je potrebné kliknúť na odkaz “Inštalácia certifikátu bankovej Certifikčnej autority”. Po otázke “Otvoriť ... - Uložiť ...” (resp. anglický ekvivalent “Open ... – Save ...”) je potrebné zvoliť “Otvoriť”. Ďalej je potrebné postupovať podľa ponúknutých možností. Inštalácia Java Plug-in™ Pre inštaláciu je potrebné kliknúť na odkaz “Inštalácia Java Plug-in™”. Spustí sa malý inštalačný skript pre SUN® Java Plug-in™, chránený digitálnym podpisom certifikátom Banky. Táto skutočnosť je uvedená v dialógovom okne, ktoré je potrebné schváliť pred spustením inštalácie. Platí len pre internetovú inštaláciu. Následne sa spustí inštalačný program Java Plug-in™, chránený digitálnym podpisom firmy SUN®. Táto skutočnosť je uvedená v dialógovom okne, ktoré je potrebné schváliť pred spustením inštalácie. Úprava prostredia Java Plug-in™ a inštalácia šifrovacích knižníc Pre inštaláciu je potrebné kliknúť na odkaz “Úprava prostredia Plug-in™ a šifrovacích knižníc”. Spustí sa inštalačný program, chránený digitálnym podpisom certifikátom Banky. Táto skutočnosť je uvedená v dialógovom okne, ktoré je potrebné schváliť pred spustením inštalácie.
Strana 10 z 35
Inštalácia Java Plug-in™ - ON LINE Táto stránka spustí inštaláciu SUN® Java Plug-in™ verzia 1.3.1_07 v prípade, že nie je nainštalovaný. Pri inštalácii je potrebné ponechať nezmenené implicitne ponúknuté možnosti. V prípade internetovej inštalácie sa ako prvý spustí krátky inštalačný skript ActiveX. Pri voľbe lokality v anglickom jazyku je potrebné potvrdiť implicitnú hodnotu. Integrita inštalátora ActiveX je zabezpečená certifikátom Banky. Pre zobrazenie atribútov certifikátu, je nutné kliknúť na text "CodeSign" v dialógovom okne pri inštalácii.
Certifikát musí mať zachovanú integritu, čo zobrazí operačný systém a jeho subjekt má byť nasledovný: CN = CodeSign OU = 0002 OU = server OU = Externe sluzby O = VUB C = SK Atribút: Serial : 3f 12 71 36 Subject Key Identifier: 49 12 06 9c 0e 84 66 89 cd a6 90 aa 33 23 9c 27 d3 e0 28 c7 Thumbprint : ff 84 d9 0d 8e 5d 60 5e c3 03 89 56 29 9e d4 4f d3 62 6d 41
Strana 11 z 35
Po ukončení downloadu cca 8MB Java Plug-in™ sa spustí inštalácia v anglickom jazyku. Integrita Java Plug-in™ je zabezpečená certifikátom firmy SUN®. Pre zobrazenie atribútov certifikátu, je nutné kliknúť na text "Sun Microsystems, Inc." v dialógovom okne pri inštalácii.
Certifikát musí mať zachovanú integritu, čo zobrazí operačný systém a jeho subjekt má byť nasledovný: CN = Sun Microsystems, Inc. OU = Sun Microsystems OU = Digital ID Class 3 - Microsoft Software Validation v2 O = Sun Microsystems, Inc. L = Palo Alto S = California C = US Atribút: Serial : 3a 08 e7 15 2c 26 95 26 7d 45 e9 41 2b da ac ab Thumbprint : f6 c7 64 4e ee 16 72 8b 25 62 04 f5 00 08 7c 9d f6 3f 97 d3 Adresár pre inštaláciu má implicitné nastavenie c:\Program Files\JavaSoft\JRE\1.3.1_07, ktoré je nevyhnutné ponechať. Po úspešnom nainštalovaní sa zobrazí applet s hlásením : “Java Plug-in je nainštalovaný”.
Strana 12 z 35
Úprava prostredia Java Plug-in™ a inštalácia šifrovacích knižníc Táto stránka spustí inštaláciu úpravy prostredia SUN® Java Plug-in™ a inštaláciu šifrovacích knižníc Baltimore® KeyTools™. Inštalačný applet je chránený digitálnym podpisom certifikátom Banky. Táto skutočnosť je uvedená v dialógovom okne, ktoré je potrebné schváliť pred spustením inštalácie. Pre zobrazenie atribútov certifikátu "PKI CertServices Code-Sign", je nutné kliknúť na text „View Certificate“ v dialógovom okne pri inštalácii.
Certifikát musí mať zachovanú integritu, čo zobrazí operačný systém a jeho subjekt má byť nasledovný: CN = PKI CertServices Code-Sign OU = 0002 OU = server OU = Externe sluzby O = VUB C = SK Atribút: Serial: 3f 12 71 2d Valid from: Mon Jul 14 11:00:29 CEST 2003 Valid to: Tue Jul 13 10:00:29 CEST 2004 Subject Key Identifier: 45a5 3a3f 006d 86f2 17cd a94e cd81 3fd7 60d2 21f2 Atribút Thumbprint: 8a bd 4d 3f e6 f8 4c 80 11 66 db d2 53 c5 95 ac f4 ce 91 1d Po úspešnom nainštalovaní kustomizácie sa zobrazí text: "Koniec inštalácie - je potrebné zatvoriť všetky okná s prehliadačom internetu." Aby sa mohla aktivovať kustomizácia Java Plug-in, je nevyhnutné, aby boli ukončené všetky aktuálne spustené prehliadače (je potrebné zatvoriť všetky okná s Internet Explorerom). Po tomto kroku, je možné spustiť prehliadač a ísť na stránku https://registracia.vub.sk/pki
Strana 13 z 35
4.1.3
Nastavenia pre Internet Explorer
V texte sú popísané nastavenia prehliadača Internet Explorer, nakoľko ide o podporovaný prehliadač. Štandartne stačí pre beh Java appletov cez Java Plug-In štandardné nastavenie prehliadača, nakoľko bezpečnosť, overovanie integrity podpisov a validáciu appletov MÁ PLNE V KONTROLE JAVA PLUG-IN. V prípade, nastavenia Vlastnej úrovne bezpečnosti musí byť splnené nasledovné: • Java (Sun) o Aktivované Use Java v1.3.1_07 for