Testovací protokol. webový generátor PostSignum. sada PIIX3; 1 GB RAM; harddisk 20 GB IDE OS: Windows Vista Service Pack 2 SW: Internet Explorer 9

Transkript

1 Příloha č. 4 1 Informace o testování estovaný generátor: 2 estovací prostředí estovací stroj č. 1: estovací stroj č. 2: estovací stroj č. 3: Certifikáty vydány autoritou: estovací protokol webový generátor PostSignum HW: virtuální stroj ve VirtualBox ; emulovaná čipová sada PIIX3; 1 GB RAM; harddisk 20 GB SAA OS: Windows 7 Service Pack 1 SW: Internet Explorer 9 HW: virtuální stroj ve VirtualBox ; emulovaná čipová sada PIIX3; 1 GB RAM; harddisk 20 GB IDE OS: Windows Vista Service Pack 2 SW: Internet Explorer 9 HW: virtuální stroj ve VirtualBox ; emulovaná čipová sada PIIX3; 512 MB RAM; harddisk 16 GB IDE OS: Windows XP Service Pack 3 SW: Internet Explorer 8 vlastní testovací certifikační autorita 3 Vlastnosti generátoru klíčů Kompatibilita Podporované operační systémy: Windows XP Windows Vista Windows 7 Podporované webové prohlížeče: Internet Explorer Další vyžadovaný SW: žádný Generované klíče Algoritmus generovaných klíčů: RSA Velikost generovaných klíčů: 2048 bitů Podporovaná úložiště klíčů: Podporovaná API pro hardwarová úložiště klíčů: Žádost o certifikát softwarová hardwarová MS CryptoAPI Struktura žádosti o certifikát: pevně daná 1 Položky v dname žádosti: C, O, OU, CN 2-1 -

2 Rozšíření žádosti: SubjectAlternativeName SubjectKeyIdentifier smimecapabilities 3 další rozšíření používaná Microsoftem 4 Podepisovací algoritmus žádosti: SHA1withRSA Kódování souboru se žádostí: PEM Opětovné vygenerování žádosti pro existující klíče: Instalace certifikátu Způsob instalace certifikátu: Podporovaná kódování souboru s certifikátem: Legenda ke třetímu sloupci: ne 1. načtení ze souboru 2. automatické stažení certifikátu z cert. autority 5 DER PEM PKCS#7 V... tato informace pochází od výrobce generátoru (webové stránky, uživ. podpora, atd.)... tato informace byla zjištěna na základě tohoto testování 4 Doplňující informace 1. Na webové stránce pro generování klíčů se vybírá typ požadovaného certifikátu (kvalifikovaný nebo komerční, osobní nebo systémový), ale struktura žádosti je pokaždé totožná. Vybraný typ certifikátu pouze ovlivňuje název souboru, do kterého se bude žádost ukládat. 2. V dname generovaných žádostí o certifikát se nacházejí údaje O (Organization) a OU (OrganizationalUnit) s přednastavenými hodnotami. yto údaje nelze zadat na webové stránce. 3. Rozšíření žádosti smimecapabilities se nachází jen v žádostech vygenerovaných ve Windows XP. 4. Žádost obsahuje několik speciálních rozšíření, definovaných Microsoftem. V nich je uložena verze operačního systému, informace o místě vzniku žádosti (jméno počítače, uživatelského účtu a programu, který vygeneroval žádost) a název poskytovatele kryptografických služeb, pomocí kterého došlo k vygenerování klíčů. 5. Na webové stránce pro instalaci certifikátu je možné certifikát načíst ze souboru, nebo jej nechat automaticky stáhnout ze serveru certifikační autority na základě zadaného sériového čísla

3 5 estovací scénáře 5.1 Podrobné testování ve Windows 7 Datum testování: Použitý testovací stroj: č. 1 Činnost 1. První načtení webové stránky PostSignum pro generování klíčů Vygenerování klíčů a žádosti o certifikát. 3. Vydání certifikátu a uložení do souboru v kódování DER. 4. První načtení webové stránky PostSignum pro instalaci certifikátu Instalace certifikátu k vygenerovaným klíčům První načtení webové stránky PostSignum pro ověření funkčnosti klíčů a nainstalovaného certifikátu. 7. Ověření funkčnosti klíčů a certifikátu na webové stránce 8. Vygenerování klíčů a žádosti o certifikát. (softwarové úložiště klíčů, vysoká úroveň zabezpečení klíče) 4 9. Vydání certifikátu a uložení do souboru v kódování PEM. 10. Instalace certifikátu k vygenerovaným klíčům. 11. Ověření funkčnosti klíčů a certifikátu na webové stránce 12. Vygenerování klíčů a žádosti o certifikát. 13. Vydání certifikátu a uložení do souboru v kódování PKCS# Instalace certifikátu k vygenerovaným klíčům. 15. Ověření funkčnosti klíčů a certifikátu na webové stránce 5.2 Ověření funkčnosti ve Windows Vista Datum testování: Použitý testovací stroj: č. 2 Činnost 16. První načtení webové stránky PostSignum pro generování klíčů Vygenerování klíčů a žádosti o certifikát. 18. Vydání certifikátu a uložení do souboru v kódování DER. 19. První načtení webové stránky PostSignum pro instalaci certifikátu Instalace certifikátu k vygenerovaným klíčům První načtení webové stránky PostSignum pro ověření funkčnosti klíčů a nainstalovaného certifikátu

4 Činnost 22. Ověření funkčnosti klíčů a certifikátu na webové stránce 23. Vygenerování klíčů a žádosti o certifikát. (softwarové úložiště klíčů, vysoká úroveň zabezpečení klíče) 24. Vydání certifikátu a uložení do souboru v kódování PEM. 25. Instalace certifikátu k vygenerovaným klíčům. 26. Ověření funkčnosti klíčů a certifikátu na webové stránce 5.3 Ověření funkčnosti ve Windows XP Datum testování: Použitý testovací stroj: č. 3 Činnost 27. První načtení webové stránky PostSignum pro generování klíčů Vygenerování klíčů a žádosti o certifikát. 29. Vydání certifikátu a uložení do souboru v kódování DER. 30. První načtení webové stránky PostSignum pro instalaci certifikátu Instalace certifikátu k vygenerovaným klíčům První načtení webové stránky PostSignum pro ověření funkčnosti klíčů a nainstalovaného certifikátu. 33. Ověření funkčnosti klíčů a certifikátu na webové stránce 34. Vygenerování klíčů a žádosti o certifikát. (softwarové úložiště klíčů, vysoká úroveň zabezpečení klíče) Vydání certifikátu a uložení do souboru v kódování PEM. 36. Instalace certifikátu k vygenerovaným klíčům. 37. Ověření funkčnosti klíčů a certifikátu na webové stránce 6 Poznámky k testovacím scénářům 1. Ve všech testovaných operačních systémech dojde při prvním přístupu na webovou stránku pro generování klíčů ke stažení certifikátu kořenové certifikační autority PostSignum Root QCA 2 ze serveru Microsoftu a jeho uložení do úložiště důvěryhodných autorit. Potom se provede ověření certifikátu webového serveru Pokud by se spojení na server Microsoftu nezdařilo (např. z důvodu zablokování firewallem), zobrazí se uživateli varovná stránka, že certifikát webového serveru je nedůvěryhodný. Uživatel si v takovém případě musí certifikát autority nainstalovat ručně

5 Ve Windows XP a Windows Vista se následně zobrazí žlutý pruh s informací, že stránka požaduje spuštění ActiveX komponenty Certificate Enrollment Control. Ve Windows Vista a Windows 7 je potřeba v konfiguraci Internet Exploreru zařadit webový server PostSignum mezi důvěryhodné servery a snížit zabezpečení zóny Důvěryhodné servery na nejnižší úroveň, jinak nedojde ke spuštění komponenty a na webové stránce se zobrazí chybový text. Po nastavení webového prohlížeče se při každém otevření stránky pro generování klíčů i pro instalaci certifikátu zobrazí dialogové okno, vyžadující povolení interakce s ActiveX prvkem. 2. Po stisknutí tlačítka pro vygenerování klíčů je potřeba potvrdit varovné okno, že webová stránka hodlá jménem uživatele provést operaci s certifikátem. Následně se načte nová webová stránka s postupem ruční zálohy klíčů a zobrazí se dialogové okno pro uložení souboru se žádostí o certifikát. Ve Windows XP se však nejprve zobrazí žlutý pruh se zprávou, že stažení souboru bylo zablokováno. Je potřeba na žlutý pruh kliknout myší a povolit stažení souboru. 3. Na stránce pro instalaci certifikátu se po stisknutí tlačítka zobrazí dvě (ve Windows XP) resp. tři (ve Windows Vista/7) dialogová okna, než dojde k samotné instalaci certifikátu. Po úspěšné instalaci certifikátu se zobrazí webová stránka s odkazem na stránku pro zálohu klíčů a certifikátu a s odkazem na stránku pro ověření funkčnosti klíčů a certifikátu. 4. Při prvním otevření stránky pro ověření nainstalovaného certifikátu se zobrazí chyba, protože je potřeba doinstalovat komponentu CAPICOM. Na stránce je odkaz pro stažení příslušného instalátoru. Instalace komponenty byla bezproblémová na všech operačních systémech Windows. Při dalším načtení stránky pro ověření klíčů a certifikátu je ve Windows Vista/7 potřeba opět povolit interakci s ActiveX prvkem a ve Windows XP je potřeba povolit spuštění komponenty CAPICOM přes žlutý pruh. Následně se zobrazí varovné hlášení, že komponenta požaduje přístup do úložiště klíčů a certifikátů. Z něj si načte seznam přítomných certifikátů a zobrazí jej na webové stránce. Uživatel si poté vybere certifikát a stiskne tlačítko pro otestování certifikátu. Zobrazí se varovné okno, že webová stránka hodlá provést elektronické podepsání dat. Nakonec je zobrazen výsledek otestování certifikátu

6 5. Pozor! Na seznamu certifikátů k ověření jsou zobrazeny jen ty certifikáty, které byly vydány některou z certifikačních autorit PostSignum (kvalifikovanou, komerční nebo testovací). Nelze tedy otestovat certifikáty vydané jinou autoritou, ledaže by měla stejné jméno (údaj CN v dname certifikátu). Z toho důvodu nebylo možné v rámci tohoto testování ověřit vydané testovací certifikáty