Příloha č. 2
Testovací protokol 1
Informace o testování
Testovaný generátor:
2
webový generátor I.CA
Testovací prostředí
Testovací stroj č. 1:
HW: virtuální stroj ve VirtualBox 4.0.10; emulovaná čipová sada PIIX3; 1 GB RAM; harddisk 20 GB SATA OS: Windows 7 Service Pack 1 SW: Internet Explorer 9; Mozilla Firefox 6.0; Google Chrome 13.0.782.112m; Apple Safari 5.1; Opera 11.5; Java Runtime Environment 6 update 25; Software602 Form Filler 4.02.22.11.0617
Testovací stroj č. 2:
HW: virtuální stroj ve VirtualBox 4.0.10; emulovaná čipová sada PIIX3; 1 GB RAM; harddisk 20 GB IDE OS: Windows Vista Service Pack 2 SW: Internet Explorer 9; Java Runtime Environment 6 update 25; Software602 Form Filler 4.02.22.11.0617
Testovací stroj č. 3:
HW: virtuální stroj ve VirtualBox 4.0.10; emulovaná čipová sada PIIX3; 512 MB RAM; harddisk 16 GB IDE OS: Windows XP Service Pack 3 SW: Internet Explorer 8; Java Runtime Environment 6 update 25; Software602 Form Filler 4.02.22.11.0617
Testovací stroj č. 4:
HW: virtuální stroj ve VirtualBox 4.0.10; emulovaná čipová sada PIIX3; 756 MB RAM; harddisk 8 GB SATA OSW: OpenSUSE 11.4 SW: Java OpenJDK 1.6.0; Mozilla Firefox 4.0b12
Certifikáty vydány autoritou:
vlastní testovací certifikační autorita
3
Vlastnosti generátoru klíčů
Kompatibilita Podporované operační systémy:
Windows XP Windows Vista Windows 7
V, T
Podporované webové prohlížeče:
Internet Explorer Mozilla Firefox Google Chrome Apple Safari Opera
V, T
-1-
Další vyžadovaný SW:
Java Runtime Environment 6
V, T
Generované klíče Algoritmus generovaných klíčů:
RSA
T
Velikost generovaných klíčů:
2048 bitů
T
Podporovaná úložiště klíčů:
softwarová hardwarová1
T
Podporovaná API pro hardwarová úložiště klíčů:
MS CryptoAPI
T
Žádost o certifikát Struktura žádosti o certifikát: Položky v dname žádosti:
pevně daná, povinné a nepovinné položky 2
Žádost o kvalifikovaný certifikát: 1. CN, [generationQualifier], [L], [State], C 2. CN, [generationQualifier], [L], [State], C, O, [OU], [Title] 3. CN, [L], [State], C
T T
Žádost o kvalifikovaný systémový certifikát: 4. CN, [generationQualifier], [L], [State], C 5. CN, [generationQualifier], [L], [State], C, Name 6. CN, [generationQualifier], [L], [State], C, O, [OU], [Title] 7. CN, [generationQualifier], [L], [State], C, O, [OU], [Title], Name 8. CN, [L], [State], C, [O], [OU] 9. CN, [L], [State], C, O, [OU] Žádost o komerční certifikát: 10. CN, [generationQualifier], [L], [State], C 11. CN, [generationQualifier], [L], [State], C, O, [OU], [Title] 12. CN, [L], [State], C, [O], [OU] Rozšíření žádosti:
KeyUsage SubjectAlternativeName3
T
Podepisovací algoritmus žádosti:
SHA256withRSA
T
Kódování souboru se žádostí:
PEM
Opětovné vygenerování žádosti pro existující klíče:
ne
4
T T
Instalace certifikátu Způsob instalace certifikátu:
1. z HTML souboru vygenerovaného certifikační autoritou 2. z webové stránky, jejíž adresu zasílá certifikační autorita e-mailem
Podporovaná kódování souboru s certifikátem:
PEM
V, T
T
Legenda ke třetímu sloupci: V ..... tato informace pochází od výrobce generátoru (webové stránky, uživ. podpora, atd.) T ...... tato informace byla zjištěna na základě tohoto testování
-2-
4 1.
Doplňující informace Na výběr je pouze omezený počet úložišť klíčů představovaných poskytovateli kryptografických služeb (CSP). Nabízejí se jen tito CSP: Microsoft Enhanced RSA and AES Cryptographic provider (jen ve Windows Vista/7, softwarové úložiště klíčů); Microsoft Base Smart Card Crypto Provider (jen ve Windows Vista/7); Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype) (jen ve Windows XP SP3, softwarové úložiště klíčů); CSP čipové karty od I.CA.
2.
Položky v dname žádosti, uvedené v hranatých závorkách, jsou nepovinné. Příslušná editovací pole na webové stránce nemusí být vyplněna. Obsah dname žádosti závisí na zvoleném typu požadovaného certifikátu (kvalifikovaný, kvalifikovaný systémový, komerční) a na typu žádající osoby (fyzická osoba, podnikatel, zaměstnanec, právnická osoba).
3.
Rozšíření žádosti „SubjectAlternativeName“ se nemusí v žádosti objevit, pokud ve webovém formuláři zůstane nevyplněn nepovinný údaj „e-mailová adresa“.
4.
Kromě samotné žádosti v kódování PEM se v souboru nachází také doplňující textové informace ve tvaru „parametr=hodnota“. Například je zde uvedeno jméno a příjmení žadatele, adresa bydliště, e-mail, rodné číslo nebo heslo pro zneplatnění v otevřeném tvaru.
V případě žádosti o kvalifikovaný systémový certifikát nebo komerční serverový certifikát lze načíst žádost v PEM formátu, která byla vygenerována jinde (např. ve speciálním hardwarovém zařízení, tzv. HSM modulu).
5
Testovací scénáře
5.1 Podrobné testování ve Windows 7 Datum testování: 20. 8. 2011
Použitý testovací stroj: č. 1
Činnost
Výsledek
1.
První načtení webové stránky I.CA pro generování klíčů.
OK1
2.
Vygenerování klíčů a žádosti o certifikát. (nepodnikající osoba, softwarové úložiště klíčů)
OK
3.
Vydání certifikátu a uložení do souboru v kódování DER.
OK
-3-
Činnost
Výsledek
4.
Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor s certifikátem a spuštěním průvodce importem certifikátu.
OK
5.
Ověření funkčnosti klíčů a certifikátu podepsáním elektronického formuláře v programu Form Filler.
OK
6.
Vygenerování klíčů a žádosti o certifikát. (podnikatel, softwarové úložiště klíčů, vysoká úroveň zabezpečení klíče)
OK
7.
Vydání certifikátu a uložení do souboru v kódování DER.
OK
8.
Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor s certifikátem a spuštěním průvodce importem certifikátu.
OK
9.
Ověření funkčnosti klíčů a certifikátu podepsáním elektronického formuláře v programu Form Filler.
OK
10.
Vygenerování klíčů a žádosti o certifikát. (zaměstnanec, softwarové úložiště klíčů)
OK
11.
Vydání certifikátu a uložení do souboru v kódování DER.
OK
12.
Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor s certifikátem a spuštěním průvodce importem certifikátu.
OK
13.
Ověření funkčnosti klíčů a certifikátu podepsáním elektronického formuláře v programu Form Filler.
OK
14.
Vygenerování klíčů a žádosti o certifikát. (pseudonym, softwarové úložiště klíčů)
OK
15.
Vydání certifikátu a uložení do souboru v kódování DER.
OK
16.
Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor s certifikátem a spuštěním průvodce importem certifikátu.
OK
17.
Ověření funkčnosti klíčů a certifikátu podepsáním elektronického formuláře v programu Form Filler.
OK
5.2 Ověření funkčnosti ve Windows Vista Datum testování: 20. 8. 2011
Použitý testovací stroj: č. 2
Činnost
Výsledek
18.
První načtení webové stránky I.CA pro generování klíčů.
OK1
19.
Vygenerování klíčů a žádosti o certifikát. (nepodnikající osoba, softwarové úložiště klíčů)
OK
20.
Vydání certifikátu a uložení do souboru v kódování DER.
OK
21.
Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor s certifikátem a spuštěním průvodce importem certifikátu.
OK
22.
Ověření funkčnosti klíčů a certifikátu podepsáním elektronického formuláře v programu Form Filler.
OK
-4-
5.3 Ověření funkčnosti ve Windows XP Datum testování: 20. 8. 2011
Použitý testovací stroj: č. 3
Činnost
Výsledek
23.
První načtení webové stránky I.CA pro generování klíčů.
OK1
24.
Vygenerování klíčů a žádosti o certifikát. (nepodnikající osoba, softwarové úložiště klíčů)
OK
25.
Vydání certifikátu a uložení do souboru v kódování DER.
OK
26.
Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor s certifikátem a spuštěním průvodce importem certifikátu.
OK
27.
Ověření funkčnosti klíčů a certifikátu podepsáním elektronického formuláře v programu Form Filler.
OK
5.4 Ověření funkčnosti v jiných webových prohlížečích Datum testování: 20. 8. 2011
Použitý testovací stroj: č. 1
Činnost
Výsledek
Otestování webového prohlížeče Mozilla Firefox 28.
První načtení webové stránky I.CA pro generování klíčů.
OK2
29.
Vygenerování klíčů a žádosti o certifikát. (komerční certifikát, nepodnikající osoba, softwarové úložiště klíčů)
OK3
30.
Vydání certifikátu a uložení do souboru v kódování DER.
OK
31.
Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor s certifikátem a spuštěním průvodce importem certifikátu.
OK
32.
Ověření funkčnosti klíčů a certifikátu podepsáním elektronického formuláře v programu Form Filler.
OK
Otestování webového prohlížeče Google Chrome 33.
První načtení webové stránky I.CA pro generování klíčů.
OK4
34.
Vygenerování klíčů a žádosti o certifikát. (komerční certifikát, zaměstnanec, softwarové úložiště klíčů)
OK
35.
Vydání certifikátu a uložení do souboru v kódování DER.
OK
36.
Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor s certifikátem a spuštěním průvodce importem certifikátu.
OK
37.
Ověření funkčnosti klíčů a certifikátu podepsáním elektronického formuláře v programu Form Filler.
OK
Otestování webového prohlížeče Apple Safari 38.
První načtení webové stránky I.CA pro generování klíčů.
OK
39.
Vygenerování klíčů a žádosti o certifikát. (komerční certifikát, právnická osoba, softwarové úložiště klíčů)
OK
40.
Vydání certifikátu a uložení do souboru v kódování DER.
OK
41.
Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor s certifikátem a spuštěním průvodce importem certifikátu.
OK
-5-
Činnost 42.
Výsledek
Ověření funkčnosti klíčů a certifikátu podepsáním elektronického formuláře v programu Form Filler.
OK
Otestování webového prohlížeče Opera 43.
První načtení webové stránky I.CA pro generování klíčů.
OK5
44.
Vygenerování klíčů a žádosti o certifikát. (nepodnikající osoba, softwarové úložiště klíčů)
OK
45.
Vydání certifikátu a uložení do souboru v kódování DER.
OK
46.
Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor s certifikátem a spuštěním průvodce importem certifikátu.
OK
47.
Ověření funkčnosti klíčů a certifikátu podepsáním elektronického formuláře v programu Form Filler.
OK
5.5 Zkouška funkčnosti v nepodporovaném operačním systému Datum testování: 20. 8. 2011
Použitý testovací stroj: č. 4
Činnost 48.
Výsledek
První načtení webové stránky I.CA pro generování klíčů ve webovém prohlížeči Mozilla Firefox.
STOP6
5.6 Instalace vydaného certifikátu ve Windows 7 Datum testování: 3. 9. 2011
Použitý testovací stroj: č. 1
Činnost
Výsledek
49.
Simulace vygenerovaných klíčů importem souboru typu PKCS#12 do úložiště “Požadavek na zápis certifikátu“.
OK
50.
Instalace certifikátu pomocí HTML souboru, předaného obsluhou registrační autority I.CA.
CHYBA7
51.
Instalace certifikátu pomocí webové stránky, jejíž adresu zaslala certifikační autorita e-mailem.
OK
52.
Kontrola, že se certifikát s klíči přesunul z „Požadavku na zápis certifikátu“ do úložiště „Osobní“.
OK8
53.
Ověření funkčnosti klíčů a certifikátu podepsáním elektronického formuláře v programu Form Filler.
OK
5.7 Instalace vydaného certifikátu ve Windows Vista Datum testování: 3. 9. 2011
Použitý testovací stroj: č. 2
Činnost
Výsledek
54.
Simulace vygenerovaných klíčů importem souboru typu PKCS#12 do úložiště “Požadavek na zápis certifikátu“.
OK
55.
Instalace certifikátu pomocí HTML souboru, předaného obsluhou registrační autority I.CA.
OK
-6-
Činnost
Výsledek
56.
Kontrola, že se certifikát s klíči přesunul z „Požadavku na zápis certifikátu“ do úložiště „Osobní“.
OK
57.
Ověření funkčnosti klíčů a certifikátu podepsáním elektronického formuláře v programu Form Filler.
OK
58.
Odstranění certifikátu a klíčů z úložiště „Osobní“.
OK
59.
Import souboru typu PKCS#12 do úložiště “Požadavek na zápis certifikátu“.
OK
60.
Instalace certifikátu pomocí webové stránky, jejíž adresu zaslala certifikační autorita e-mailem.
OK
61.
Kontrola, že se certifikát s klíči přesunul z „Požadavku na zápis certifikátu“ do úložiště „Osobní“.
OK8
62.
Ověření funkčnosti klíčů a certifikátu podepsáním elektronického formuláře v programu Form Filler.
OK
5.8 Instalace certifikátu ve Windows XP Datum testování: 3. 9. 2011
Použitý testovací stroj: č. 3
Činnost
Výsledek
63.
Simulace vygenerovaných klíčů importem souboru typu PKCS#12 do úložiště “Požadavek na zápis certifikátu“.
OK
64.
Instalace certifikátu pomocí HTML souboru, předaného obsluhou registrační autority I.CA.
OK
65.
Kontrola, že se certifikát s klíči přesunul z „Požadavku na zápis certifikátu“ do úložiště „Osobní“.
OK8
66.
Ověření funkčnosti klíčů a certifikátu podepsáním elektronického formuláře v programu Form Filler.
OK
67.
Odstranění certifikátu a klíčů z úložiště „Osobní“.
OK
68.
Import souboru typu PKCS#12 do úložiště “Požadavek na zápis certifikátu“.
OK
69.
Instalace certifikátu pomocí webové stránky, jejíž adresu zaslala certifikační autorita e-mailem.
OK
70.
Kontrola, že se certifikát s klíči přesunul z „Požadavku na zápis certifikátu“ do úložiště „Osobní“.
OK8
71.
Ověření funkčnosti klíčů a certifikátu podepsáním elektronického formuláře v programu Form Filler.
OK
6
Poznámky k testovacím scénářům
6.1 Testování generování klíčů 1.
Ve třetím kroku webového generátoru klíčů dochází k přepnutí na zabezpečené spojení
po
kanálu
HTTPS
a
automatickému -7-
stažení
certifikátu
CA
ze
serveru Windows Update. Po stisknutí tlačítka „Zahájit test PC“ se automaticky stáhne a nainstaluje software Java Runtime Environment 6 (pokud již není v počítači nainstalován) a zobrazí se okno s výzvou pro spuštění Java apletu „ICApki“. Po potvrzení dojde k nainstalování dalších souborů do počítače. Zobrazí se okno s informací, že všechny testy proběhly úspěšně, a zpřístupní se tlačítko „Zahájit tvorbu žádosti o certifikát“. 2.
V Mozille Firefox bylo již nutné ručně nainstalovat certifikát I.CA do úložiště autorit v Mozille. Následně se zobrazilo varování běhového prostředí Java, že certifikát serveru je nedůvěryhodný. Bylo potřeba naimportovat certifikát I.CA do úložiště certifikátů „Signer CA“ prostřednictvím odkazu „Java“ v Ovládacích panelech.
3.
Generované klíče nejsou ukládány do úložiště Firefoxu, ale do úložiště Windows.
4.
Prohlížeč zablokuje plugin Javy kvůli údajné zastaralosti; lze jej však ručně spustit po kliknutí na tlačítko „Tentokrát spustit“. Jako úložiště certifikátů certifikačních autorit (pro ověřování důvěryhodnosti SSL certifikátů serverů) používá Google Chrome úložiště Windows.
5.
V prohlížeči Opera bylo nutné ručně naimportovat certifikát I.CA do vlastního úložiště Opery, aby došlo k úspěšnému ověření SSL certifikátu serveru.
6.
Při pokusu o otevření webové stránky v Linuxu se při kontrole rozpozná nepodporovaný operační systém a uživatel není puštěn dále. Opět je potřeba do úložiště prohlížeče Mozilla Firefox nainstalovat certifikát I.CA.
Generování klíčů probíhá tak, že na první stránce uživatel zadá povinné hodnoty žádosti o certifikát a na druhé stránce kontroluje zadané údaje a případně nastaví parametry doručení vydaného certifikátu e-mailem. Po kliknutí na tlačítko „Vytvořit žádost“ se provede vygenerování klíčů a žádosti o certifikát. Po chvíli se zobrazí další stránka s výpisem žádosti v PEM formátu a tlačítkem pro uložení žádosti na disk. Vygenerované klíče jsou uloženy do úložiště Windows s názvem „Požadavek na zápis certifikátu“. Zde je spolu s klíči umístěn také samopodepsaný certifikát, který má nastaven vždy počátek platnosti na datum 1.1.1601 1:00 hodin časového pásma UTC bez ohledu na to, ve kterou dobu byla žádost generována. Do úložiště „Požadavek na zápis certifikátu“ ukládají klíče také webové generátory PostSignum a eIdentity. Generátor ICANewCert však narozdíl od nich nepoužívá ke -8-
generování klíčů komponentu Cenroll resp. CertEnroll. Bylo to ověřeno na Windows 7 tak, že pomocí přístupových práv byl uživateli zakázán přístup k souborům „CertEnroll.dll“ a „CertEnrollCtrl.exe“
v adresáři
„Windows\System32“.
Webový
generátor
klíčů
PostSignum se odmítl spustit, zatímco generátor I.CA bez problémů vygeneroval klíče a žádost o certifikát. Po obnovení přístupových práv k souborům webový generátor PostSignum opět korektně fungoval.
6.2 Testování instalace vydaného certifikátu 7.
Po zobrazení HTML souboru se zobrazilo okno, že byly zablokovány skripty nebo ovládací prvky ActiveX. Bylo stisknuto tlačítko „Povolit blokovaný obsah“. Po stisku tlačítka „Instalace certifikátu“ se zobrazilo chybové hlášení, že není nainstalována podpora pro práci s certifikáty, což nebyla pravda. Nedošlo ke spuštění komponenty CertEnroll.
8.
Kupodivu nedochází k přesunutí, ale zkopírování certifikátu a klíčů. V úložišti „Požadavek na zápis certifikátu“ se i po instalaci certifikátu nachází položka představující certifikát a klíče z importovaného souboru typu PKCS#12. Při instalaci certifikátu z HTML souboru se tak neděje. Toto chování může souviset se zvoleným postupem testovacího scénáře (simulace vygenerování klíčů importem souboru typu PKCS#12 do úložiště).
HTML soubor pro instalaci certifikátu v sobě obsahuje vydaný certifikát v kódování PEM a dále kombinaci JavaScript a VBScript kódu pro instalaci certifikátu. Používá se jedna z těchto funkcí: funkce volající komponentu Microsoft Cenroll ve Windows XP, funkce volající komponentu Microsoft CertEnroll ve Windows Vista/7, funkce pro instalaci certifikátu ve webovém prohlížeči Mozilla Firefox. Poslední zmiňovaná funkce se však pouze pokouší odeslat certifikát v PEM kódování na neexistující adresu „http://s.ica.cz/cgi-bin/returncert.cgi“. Nefunkčních adres je v HTML souboru více. Je to patrně důsledek toho, že pět dní před vydáním certifikátu (a tedy i vygenerováním HTML souboru) došlo k výrazné aktualizaci webového serveru I.CA. Webová stránka pro instalaci certifikátu používá komponentu ICApki, podobně jako tomu je u generování klíčů. Stránka netestuje, jestli je na počítači nainstalováno potřebné běhové prostředí Java. Pokud není na počítači nainstalováno, zobrazí se hláška „Chyba –
-9-
nelze spouštět ActiveX komponenty“. Instalace certifikátu pomocí webové stránky byla ve Windows 7 úspěšná (narozdíl od HTML souboru).
- 10 -