Testovací protokol. webový generátor I.CA. Windows XP Windows Vista Windows 7 Internet Explorer Mozilla Firefox Google Chrome Apple Safari Opera

Příloha č. 2

Testovací protokol 1

Informace o testování

Testovaný generátor:

2

webový generátor I.CA

Testovací prostředí

Testovací stroj č. 1:

HW: virtuální stroj ve VirtualBox 4.0.10; emulovaná čipová sada PIIX3; 1 GB RAM; harddisk 20 GB SATA OS: Windows 7 Service Pack 1 SW: Internet Explorer 9; Mozilla Firefox 6.0; Google Chrome 13.0.782.112m; Apple Safari 5.1; Opera 11.5; Java Runtime Environment 6 update 25; Software602 Form Filler 4.02.22.11.0617


HW: virtuální stroj ve VirtualBox 4.0.10; emulovaná čipová sada PIIX3; 1 GB RAM; harddisk 20 GB IDE OS: Windows Vista Service Pack 2 SW: Internet Explorer 9; Java Runtime Environment 6 update 25; Software602 Form Filler 4.02.22.11.0617


HW: virtuální stroj ve VirtualBox 4.0.10; emulovaná čipová sada PIIX3; 512 MB RAM; harddisk 16 GB IDE OS: Windows XP Service Pack 3 SW: Internet Explorer 8; Java Runtime Environment 6 update 25; Software602 Form Filler 4.02.22.11.0617


HW: virtuální stroj ve VirtualBox 4.0.10; emulovaná čipová sada PIIX3; 756 MB RAM; harddisk 8 GB SATA OSW: OpenSUSE 11.4 SW: Java OpenJDK 1.6.0; Mozilla Firefox 4.0b12

Certifikáty vydány autoritou:

vlastní testovací certifikační autorita

3

Vlastnosti generátoru klíčů

Kompatibilita Podporované operační systémy:

Windows XP Windows Vista Windows 7

V, T

Podporované webové prohlížeče:

Internet Explorer Mozilla Firefox Google Chrome Apple Safari Opera

V, T

-1-

Další vyžadovaný SW:

Java Runtime Environment 6

V, T

Generované klíče Algoritmus generovaných klíčů:

RSA

T

Velikost generovaných klíčů:

2048 bitů

T

Podporovaná úložiště klíčů:

softwarová hardwarová1

T

Podporovaná API pro hardwarová úložiště klíčů:

MS CryptoAPI

T

Žádost o certifikát Struktura žádosti o certifikát: Položky v dname žádosti:

pevně daná, povinné a nepovinné položky 2

Žádost o kvalifikovaný certifikát: 1. CN, [generationQualifier], [L], [State], C 2. CN, [generationQualifier], [L], [State], C, O, [OU], [Title] 3. CN, [L], [State], C

T T

Žádost o kvalifikovaný systémový certifikát: 4. CN, [generationQualifier], [L], [State], C 5. CN, [generationQualifier], [L], [State], C, Name 6. CN, [generationQualifier], [L], [State], C, O, [OU], [Title] 7. CN, [generationQualifier], [L], [State], C, O, [OU], [Title], Name 8. CN, [L], [State], C, [O], [OU] 9. CN, [L], [State], C, O, [OU] Žádost o komerční certifikát: 10. CN, [generationQualifier], [L], [State], C 11. CN, [generationQualifier], [L], [State], C, O, [OU], [Title] 12. CN, [L], [State], C, [O], [OU] Rozšíření žádosti:

KeyUsage SubjectAlternativeName3

T

Podepisovací algoritmus žádosti:

SHA256withRSA

T

Kódování souboru se žádostí:

PEM

Opětovné vygenerování žádosti pro existující klíče:

ne

4

T T

Instalace certifikátu Způsob instalace certifikátu:

1. z HTML souboru vygenerovaného certifikační autoritou 2. z webové stránky, jejíž adresu zasílá certifikační autorita e-mailem

Podporovaná kódování souboru s certifikátem:

PEM

V, T

T

Legenda ke třetímu sloupci: V ..... tato informace pochází od výrobce generátoru (webové stránky, uživ. podpora, atd.) T ...... tato informace byla zjištěna na základě tohoto testování

-2-

4 1.

Doplňující informace Na výběr je pouze omezený počet úložišť klíčů představovaných poskytovateli kryptografických služeb (CSP). Nabízejí se jen tito CSP: Microsoft Enhanced RSA and AES Cryptographic provider (jen ve Windows Vista/7, softwarové úložiště klíčů); Microsoft Base Smart Card Crypto Provider (jen ve Windows Vista/7); Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype) (jen ve Windows XP SP3, softwarové úložiště klíčů); CSP čipové karty od I.CA.

2.

Položky v dname žádosti, uvedené v hranatých závorkách, jsou nepovinné. Příslušná editovací pole na webové stránce nemusí být vyplněna. Obsah dname žádosti závisí na zvoleném typu požadovaného certifikátu (kvalifikovaný, kvalifikovaný systémový, komerční) a na typu žádající osoby (fyzická osoba, podnikatel, zaměstnanec, právnická osoba).

3.

Rozšíření žádosti „SubjectAlternativeName“ se nemusí v žádosti objevit, pokud ve webovém formuláři zůstane nevyplněn nepovinný údaj „e-mailová adresa“.

4.

Kromě samotné žádosti v kódování PEM se v souboru nachází také doplňující textové informace ve tvaru „parametr=hodnota“. Například je zde uvedeno jméno a příjmení žadatele, adresa bydliště, e-mail, rodné číslo nebo heslo pro zneplatnění v otevřeném tvaru.

V případě žádosti o kvalifikovaný systémový certifikát nebo komerční serverový certifikát lze načíst žádost v PEM formátu, která byla vygenerována jinde (např. ve speciálním hardwarovém zařízení, tzv. HSM modulu).

5

Testovací scénáře

5.1 Podrobné testování ve Windows 7 Datum testování: 20. 8. 2011

Použitý testovací stroj: č. 1

Činnost

Výsledek

1.

První načtení webové stránky I.CA pro generování klíčů.

OK1

2.

Vygenerování klíčů a žádosti o certifikát. (nepodnikající osoba, softwarové úložiště klíčů)

OK

3.

Vydání certifikátu a uložení do souboru v kódování DER.

OK

-3-

Činnost

Výsledek

4.

Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor s certifikátem a spuštěním průvodce importem certifikátu.

OK

5.

Ověření funkčnosti klíčů a certifikátu podepsáním elektronického formuláře v programu Form Filler.

OK

6.

Vygenerování klíčů a žádosti o certifikát. (podnikatel, softwarové úložiště klíčů, vysoká úroveň zabezpečení klíče)

OK

7.


OK

8.


OK

9.


OK

10.

Vygenerování klíčů a žádosti o certifikát. (zaměstnanec, softwarové úložiště klíčů)

OK

11.


OK

12.


OK

13.


OK

14.

Vygenerování klíčů a žádosti o certifikát. (pseudonym, softwarové úložiště klíčů)

OK

15.


OK

16.


OK

17.


OK

5.2 Ověření funkčnosti ve Windows Vista Datum testování: 20. 8. 2011


Činnost

Výsledek

18.


OK1

19.


OK

20.


OK

21.


OK

22.


OK

-4-

5.3 Ověření funkčnosti ve Windows XP Datum testování: 20. 8. 2011


Činnost

Výsledek

23.


OK1

24.


OK

25.


OK

26.


OK

27.


OK

5.4 Ověření funkčnosti v jiných webových prohlížečích Datum testování: 20. 8. 2011


Činnost

Výsledek

Otestování webového prohlížeče Mozilla Firefox 28.


OK2

29.

Vygenerování klíčů a žádosti o certifikát. (komerční certifikát, nepodnikající osoba, softwarové úložiště klíčů)

OK3

30.


OK

31.


OK

32.


OK

Otestování webového prohlížeče Google Chrome 33.


OK4

34.

Vygenerování klíčů a žádosti o certifikát. (komerční certifikát, zaměstnanec, softwarové úložiště klíčů)

OK

35.


OK

36.


OK

37.


OK

Otestování webového prohlížeče Apple Safari 38.


OK

39.

Vygenerování klíčů a žádosti o certifikát. (komerční certifikát, právnická osoba, softwarové úložiště klíčů)

OK

40.


OK

41.


OK

-5-

Činnost 42.

Výsledek


OK

Otestování webového prohlížeče Opera 43.


OK5

44.


OK

45.


OK

46.


OK

47.


OK

5.5 Zkouška funkčnosti v nepodporovaném operačním systému Datum testování: 20. 8. 2011


Činnost 48.

Výsledek

První načtení webové stránky I.CA pro generování klíčů ve webovém prohlížeči Mozilla Firefox.

STOP6

5.6 Instalace vydaného certifikátu ve Windows 7 Datum testování: 3. 9. 2011


Činnost

Výsledek

49.

Simulace vygenerovaných klíčů importem souboru typu PKCS#12 do úložiště “Požadavek na zápis certifikátu“.

OK

50.

Instalace certifikátu pomocí HTML souboru, předaného obsluhou registrační autority I.CA.

CHYBA7

51.

Instalace certifikátu pomocí webové stránky, jejíž adresu zaslala certifikační autorita e-mailem.

OK

52.

Kontrola, že se certifikát s klíči přesunul z „Požadavku na zápis certifikátu“ do úložiště „Osobní“.

OK8

53.


OK

5.7 Instalace vydaného certifikátu ve Windows Vista Datum testování: 3. 9. 2011


Činnost

Výsledek

54.


OK

55.


OK

-6-

Činnost

Výsledek

56.


OK

57.


OK

58.

Odstranění certifikátu a klíčů z úložiště „Osobní“.

OK

59.

Import souboru typu PKCS#12 do úložiště “Požadavek na zápis certifikátu“.

OK

60.


OK

61.


OK8

62.


OK

5.8 Instalace certifikátu ve Windows XP Datum testování: 3. 9. 2011


Činnost

Výsledek

63.


OK

64.


OK

65.


OK8

66.


OK

67.

Odstranění certifikátu a klíčů z úložiště „Osobní“.

OK

68.

Import souboru typu PKCS#12 do úložiště “Požadavek na zápis certifikátu“.

OK

69.


OK

70.


OK8

71.


OK

6

Poznámky k testovacím scénářům

6.1 Testování generování klíčů 1.

Ve třetím kroku webového generátoru klíčů dochází k přepnutí na zabezpečené spojení

po

kanálu

HTTPS

a

automatickému -7-

stažení

certifikátu

CA

ze

serveru Windows Update. Po stisknutí tlačítka „Zahájit test PC“ se automaticky stáhne a nainstaluje software Java Runtime Environment 6 (pokud již není v počítači nainstalován) a zobrazí se okno s výzvou pro spuštění Java apletu „ICApki“. Po potvrzení dojde k nainstalování dalších souborů do počítače. Zobrazí se okno s informací, že všechny testy proběhly úspěšně, a zpřístupní se tlačítko „Zahájit tvorbu žádosti o certifikát“. 2.

V Mozille Firefox bylo již nutné ručně nainstalovat certifikát I.CA do úložiště autorit v Mozille. Následně se zobrazilo varování běhového prostředí Java, že certifikát serveru je nedůvěryhodný. Bylo potřeba naimportovat certifikát I.CA do úložiště certifikátů „Signer CA“ prostřednictvím odkazu „Java“ v Ovládacích panelech.

3.

Generované klíče nejsou ukládány do úložiště Firefoxu, ale do úložiště Windows.

4.

Prohlížeč zablokuje plugin Javy kvůli údajné zastaralosti; lze jej však ručně spustit po kliknutí na tlačítko „Tentokrát spustit“. Jako úložiště certifikátů certifikačních autorit (pro ověřování důvěryhodnosti SSL certifikátů serverů) používá Google Chrome úložiště Windows.

5.

V prohlížeči Opera bylo nutné ručně naimportovat certifikát I.CA do vlastního úložiště Opery, aby došlo k úspěšnému ověření SSL certifikátu serveru.

6.

Při pokusu o otevření webové stránky v Linuxu se při kontrole rozpozná nepodporovaný operační systém a uživatel není puštěn dále. Opět je potřeba do úložiště prohlížeče Mozilla Firefox nainstalovat certifikát I.CA.

Generování klíčů probíhá tak, že na první stránce uživatel zadá povinné hodnoty žádosti o certifikát a na druhé stránce kontroluje zadané údaje a případně nastaví parametry doručení vydaného certifikátu e-mailem. Po kliknutí na tlačítko „Vytvořit žádost“ se provede vygenerování klíčů a žádosti o certifikát. Po chvíli se zobrazí další stránka s výpisem žádosti v PEM formátu a tlačítkem pro uložení žádosti na disk. Vygenerované klíče jsou uloženy do úložiště Windows s názvem „Požadavek na zápis certifikátu“. Zde je spolu s klíči umístěn také samopodepsaný certifikát, který má nastaven vždy počátek platnosti na datum 1.1.1601 1:00 hodin časového pásma UTC bez ohledu na to, ve kterou dobu byla žádost generována. Do úložiště „Požadavek na zápis certifikátu“ ukládají klíče také webové generátory PostSignum a eIdentity. Generátor ICANewCert však narozdíl od nich nepoužívá ke -8-

generování klíčů komponentu Cenroll resp. CertEnroll. Bylo to ověřeno na Windows 7 tak, že pomocí přístupových práv byl uživateli zakázán přístup k souborům „CertEnroll.dll“ a „CertEnrollCtrl.exe“

v adresáři

„Windows\System32“.

Webový

generátor

klíčů

PostSignum se odmítl spustit, zatímco generátor I.CA bez problémů vygeneroval klíče a žádost o certifikát. Po obnovení přístupových práv k souborům webový generátor PostSignum opět korektně fungoval.

6.2 Testování instalace vydaného certifikátu 7.

Po zobrazení HTML souboru se zobrazilo okno, že byly zablokovány skripty nebo ovládací prvky ActiveX. Bylo stisknuto tlačítko „Povolit blokovaný obsah“. Po stisku tlačítka „Instalace certifikátu“ se zobrazilo chybové hlášení, že není nainstalována podpora pro práci s certifikáty, což nebyla pravda. Nedošlo ke spuštění komponenty CertEnroll.

8.

Kupodivu nedochází k přesunutí, ale zkopírování certifikátu a klíčů. V úložišti „Požadavek na zápis certifikátu“ se i po instalaci certifikátu nachází položka představující certifikát a klíče z importovaného souboru typu PKCS#12. Při instalaci certifikátu z HTML souboru se tak neděje. Toto chování může souviset se zvoleným postupem testovacího scénáře (simulace vygenerování klíčů importem souboru typu PKCS#12 do úložiště).

HTML soubor pro instalaci certifikátu v sobě obsahuje vydaný certifikát v kódování PEM a dále kombinaci JavaScript a VBScript kódu pro instalaci certifikátu. Používá se jedna z těchto funkcí: funkce volající komponentu Microsoft Cenroll ve Windows XP, funkce volající komponentu Microsoft CertEnroll ve Windows Vista/7, funkce pro instalaci certifikátu ve webovém prohlížeči Mozilla Firefox. Poslední zmiňovaná funkce se však pouze pokouší odeslat certifikát v PEM kódování na neexistující adresu „http://s.ica.cz/cgi-bin/returncert.cgi“. Nefunkčních adres je v HTML souboru více. Je to patrně důsledek toho, že pět dní před vydáním certifikátu (a tedy i vygenerováním HTML souboru) došlo k výrazné aktualizaci webového serveru I.CA. Webová stránka pro instalaci certifikátu používá komponentu ICApki, podobně jako tomu je u generování klíčů. Stránka netestuje, jestli je na počítači nainstalováno potřebné běhové prostředí Java. Pokud není na počítači nainstalováno, zobrazí se hláška „Chyba –

-9-

nelze spouštět ActiveX komponenty“. Instalace certifikátu pomocí webové stránky byla ve Windows 7 úspěšná (narozdíl od HTML souboru).

- 10 -

Testovací protokol. webový generátor I.CA. Windows XP Windows Vista Windows 7 Internet Explorer Mozilla Firefox Google Chrome Apple Safari Opera

Recommend Documents