Certifikáty pro autentizaci PKI-SILNA-AUTENTIZACE (např. vzdálený přístup, MNP, P2000 ) Aktivace a obnova uživatelem

Transkript

1 Certifikáty pro autentizaci PKI-SILNA-AUTENTIZACE (např. vzdálený přístup, MNP, P2000 ) Aktivace a obnova uživatelem Interní certifikační autorita CA - postupy

2 Předání aktivačních kódů Žadatel o certifikát k autentizaci (PKI-SILNA-AUTENTIZACE) obdrží aktivační kódy rozdělené na dvě části ( Reference Number + 1.část Authorization Code, SMS: 2.část Authorization Code ). Platnost kódů je 30 dní od jejich vytvoření. Příklad: ( Reference Number + Authorization Code část 1: , FCHG- SMS: Authorization Code část 2 : KVZC-UKVF Aktivační kód (příklad): cn=jan Pokus + serialnumber=aa004321, ou=auth USERS, o=o2, c=cz (pro zaměstnance O2 CZ a O2 SK) cn=jan Pokus + serialnumber=x , ou=ext, o=o2, c=cz (pro externisty) Reference Number: Authorization Code: FCHG-KVZC-UKVF (Authorization Code vznikl složením části 1 zaslané em s částí 2 zaslané pomocí SMS!) 3/10/2015 2:49 PM Slide2

3 WebConnector WebConnector je dostupný na dvou nezávislých URL (uvedené v u s kódy): (A) internet: (B) intranet: V případě použití IE 11 a odkazu A) (aktivace přes internet) je nutné použít kompatibilní mód 3/10/2015 2:49 PM Slide3

4 Použití kódů žadatelem (WebConnector) Po přístupu na WebConnector volte nabídku Create Web Browser Certificate V Pozor: v případě IE8 nevolat adresu web connectoru přímo s u s kódy (!), ale otevřít odkaz buď v nové záložce nebo rovnou v novém okně a to z důvodu designu stránky s frames. Toto Lze doporučit i pro IE 9, 10, 11. 3/10/2015 2:49 PM Slide4

5 Volby (type, CSP, kódy) Uživatel vyplní aktivační kód ( Reference Number a sestavený Authorization Code ) a dále vybere CSP type a CSP (volba dle obrázku). V IE11 se položky CSP a CSP type nabízejí v odkazu na intranetu, na internetu ne a proto je právě potřeba volit kompatibilní mód a pak se zobrazí! 3/10/2015 2:49 PM Slide5

6 Dialog žádosti o vytvoření certifikátu Následuje dialog s žadatelem, během něhož dochází k vytvoření žádosti o certifikát. Pozor! Dle verze Windows se může následující dialog odlišovat (zejména může být v angličtině a může se lišit i pořadí dotazů). Příklad IE11 Volba: ANO Příklad IE8 Volba : ANO 3/10/2015 2:49 PM Slide6

7 Generování klíče a vytvoření certifikátu Volte OK. Střední úroveň zajišťuje to, že při použití klíče je uživatel o tom informován, ale nemusí zadávat heslo k přístupu ke klíči. Volba Vysoká úroveň zabezpečení je bezpečnostně sice výhodnější, neboť vede k doplňkové ochraně privátních klíčů uživatele v úložišti MS CAPI CSP. Při této úrovni však musí uživatel během exportu specifikovat heslo, které je nadále vyžadováno při každém pokusu CAPIkompatibilních aplikací o provedení operace s privátním klíčem z daného úložiště. Toto heslo pak musí uživatel zadávat, kdykoli nějaká aplikace chce klíč použít. Současná bezpečnostní politika toto nevyžaduje. 3/10/2015 2:49 PM Slide7

8 Dialog generování klíče a vytvoření certifikátu Následuje dialog s žadatelem, během něhož dochází ke generování klíče na PC uživatele a jeho uložení do MS CAPI a dále k zaslání podepsaného certifikátu z CA O2 a uložení do MS úložiště osobních certifikátů. Pozor! Opět platí, že dle verze IE a OS Windows se následující dialog odlišuje (zejména může být v angličtině, může se lišit i pořadí dotazů, některá okna jsou vynechána). Volba IE 11 : ANO Příklad IE8 Volba : ANO 3/10/2015 2:49 PM Slide8

9 Informace o úspěšném ukončení procesu Po úspěšném vytvoření a uložení certifikátu se zobrazí toto okno. Tím je proces vytvoření certifikátu ukončen. Stránku s WebConnectorem lze zavřít. 3/10/2015 2:49 PM Slide9

10 Certifikát lze zkontrolovat z MS úložiště Kontrolu certifikátu v úložišti MS CAPI lze provést přes Internet Explorer (volba: Nástroje, Možnosti Internetu, Obsah, Certifikáty) Zde by měl být vidět nově vytvořený certifikát a to mezi ostatními osobními certifikáty (pokud existují). Doprovodný obrázek viz následující snímek. Nepoužívané a propadlé certifikáty odstraňte! Odeberte propadlé certifikáty. To jsou ty, které mají uveden termín vypršení vyšší než je aktuální datum! V úložišti vám zůstane zpravidla jen platný certifikát pro silnou autentizaci (vystavitel O2) a uživatelům používající aplikaci Entrust Security Provider certifikát pro šifrování (Entrust encryption) a certifikát pro ověření podpisu (Entrust verification). Případně kvalifikovaný certifikát pro ověření podpisu (vydáván PostSignum nebo I.CA) Propadlé a nepotřebné certifikáty zbytečně komplikují výběr certifikátu při konfiguraci VPN klienta resp. při výběru vhodného certifikátu při přihlášení k PKI aplikaci. Postup odebrání certifikátu je jasný z následujícího snímku. 3/10/2015 2:49 PM Slide10

11 3/10/2015 2:49 PM Slide11

12 Certifikát lze exportovat z MS úložiště V případě potřeby lze provést export klíče a certifikátu (např. pro přenesení na druhé PC nebo na mobilní zařízení..). Výstup je ve formátu *.pfx. Volba Exportovat (Doprovodný obrázek viz následující slide.) Pro účely vlastní zálohy nebo přenesení na jiné vlastní PC je nutné exportovat certifikát včetně klíče! POZOR! V případě předání certifikátu třetí straně NIKDY NEXPORTOVAT s klíčem! Soukromý klíč by tím byl kompromitován a uživatel by musel zažádat o jeho zneplatnění!!! 3/10/2015 2:49 PM Slide12

13 3/10/2015 2:49 PM Slide13

14 Další informace (včetně spojení na podporu druhého stupně) můžete najít na stránce Interní CA: