(CETIN) INSTALACE nové verze aplikace Entrust (ESP Entrust Security Provider) (určeno k šifrování souborů a podepisování souborů a zabezpečení e-mailu (šifrování, podpis), aplikace umožňuje současné použití certifikátů jiných vystavitelů, např. kvalifikovaných certifikátů, stačí pouze měnit nastavení certifikátu) Pokyny k instalaci - Odinstalovat předchozí verzi Entrustu (ESP!) pro verzi nahranou v O2 lze použít k odinstalování RADIA, pokud máte lokální práva administrátora, pak lze odinstalovat manuálně. - Instalační balíček uložit na lokální disk a teprve z něj instalaci spustit (nutná práva administrátora) Instalační balíček pro 32 bitové systémy Windows Instalační balíček pro 64 bitové systémy Windows http://ca.cetin.cz/static/entrust/esp_new.zip - PC musí být připojené v lokální síti - je bezpodmínečně nutné, aby aplikace Outlook nebyla aktivní) 1) Instalace jádra aplikace Entrust Entelligence Security Provider 9.2 for Windows Zavřít všechny aplikace Instalaci spustit z adresáře esp92_sp1_32 (resp. pro 64 bit Windows esp92_sp1_64) Spustit setup.bat 2) Instalace modulu Entrust Entelligence Security Provider 9.2 for Outlook Po restartu PC (viz bod 1) se nesmí spustit Outlook! Pokud by byl omylem spuštěn, pak PC opět restartovat. Instalaci modulu spustit z adresáře espolk_92_32 (resp. pro 64 bit Windows espolk_92_64) Spustit setup.bat Instalace proběhne tzv. tiše (uživatel nedostává žádné hlášky). Po skončení instalace provést Restart PC 3) Vytvoření osobního profilu a zadání přístupového hesla (tím se současně automaticky vygeneruje jeden certifikátu pro šifrování a jeden k ověření elektronického podpisu) 1
- spustit aplikaci ESP (klik pravým tlačítkem na ikonu "panáček s klíčem" na dolní liště PC) - při obnově profilu (včetně migrace z CA O2 CZ) použijte volbu Recover Entrust Digital ID - v případě nové instalace (tj. uživatel dosud neměl tuto aplikaci a nemá/neměl profil *.epf) volte Enroll for Entrust Digital ID - nyní postupujte dle pokynů spuštěného Wizardu (během tohoto procesu je potřeba zadat aktivační kódy zaslané e-mailem a pomocí SMS, automaticky se vygeneruje certifikát a soukromý klíč pro šifrování a certifikát a soukromý klíč pro elektronický podpis, adresář pro uložení profilu je nabídnut jako d:/entrust (uživatel má disk D), pak doporučujeme ponechat, název profilu doporučujeme ponechat tak, jak je nabídnut (login.epf), na závěr si uživatel nastaví / zadá přístupové heslo k vytvořenému profilu - upozornit, že uživatel nesmí heslo zapomenout, pokud by jej zapomněl, je nutné si nechat zaslat nové aktivační kódy a profil znovu vygenerovat (s volbou Recover Entrust Digital ID) - spustit aplikaci ESP (klik pravým tlačítkem na ikonu "panáček s klíčem" na dolní liště PC - uživatel se přihlásí heslem k vytvořenému osobnímu profilu (vyhledat pomocí Browse adresář s vytvořeným profilem a pak zadat heslo) (detaily viz např. manuál ESP9_quick_start.pdf) - přihlašovací okno obsahuje link na interní a externí stránku CA, kde uživatel najde manuály, spojení na podporu, kontakt na operátora, kde lze také zneplatnit certifikáty a získat další potřebné informace 4) Nastavení osobního profilu - po přihlášení opět vyhledat aplikaci ESP a kliknout opět na panáčka pravým tlačítkem myši. - spustit Entrust Certificate Explorer a zde povolit správu certifikátů v MS CAPI 2
- v nabídce Options lze měnit heslo a také nastavit dobu po, kterou si aplikace heslo pamatuje a není potřeba jej zadávat 5) Nastavení modulu v Outlooku (propojení s aplikací ESP) Pokud proběhla instalace modulu v bodě 2 dobře, pak se po spuštění aplikace Outlook objeví záložka ENTRUST SECURITY Nyní zvolte Options a po otevření příslušného okna Settings. - Uživateli se nastaví certifikát k ověření podpisu (Verification Certificate lze zvolit i certifikát vydaný jiným vystavitelem např. kvalifikovaný vydaný PostSignum) a jako algoritmus doporučujeme SHA256. 3
- Dále se nastaví uživatelský certifikát k šifrování (Encryption Certificate) jako algoritmus pro šifrování lze nastavit 3DES, AES 192 bit nebo AES 256 bit. - 6) TEST Předvést postup a funkčnost šifrování v Outlooku automatickým vyhledáváním certifikátu příjemce (zaměstnance CETIN, PPF a zatím i O2) v X.500 (nebo v lokálním úložišti kam se certifikát příjemce např. externisty předem uloží). Před odesláním zašifrovaného e-mailu stisknout ikon zámečku pro šifrování. Odeslat zašifrovaný e-mail lze jen uživateli, který má platný certifikát k šifrování, který je odesílateli dostupný (je uložen v X.500 nebo lokálním úložišti).. Pro podepsání stisknout ikonu Sign. Na rozdíl od šifrování lze podepsaný e-mail zaslat libovolnému uživateli (ikona pro podpis). Pozor - formát HTML není firmou Microsoft pro šifrování doporučen (problém nesouvisí s Entrustem, ale s tím, že protokol S/MIME v takovém případě nezaručuje přenos správného nastavení kódování zprávy u příjemce nebo dokonce může být problém s dešifrováním e-mail přijde prázdný ). Test - doporučuji - zaslat zašifrovaný e-mail např. na adresu pavel.vondruska@cetin.cz 7) Šifrování souborů na disku pro vlastní potřebu uživatele Klik na soubor pravým tlačítkem myši a v menu se zobrazí možnosti zabezpečení souborů Pro zašifrování zvolte Encrypt File. Spustí se Wizard. 4
Soubor je nyní zašifrován. Při dešifraci stačí kliknout na soubor a provede se (po zadání hesla k ESP) jeho dešifrace. V případě zájmu lze domluvit krátkou výuku v užívání aplikace ESP (zabezpečení e-mailu, zašifrování / dešifrování souboru, výměna certifikátu, sdílení zašifrovaných souborů atd.) (pavel.vondruska@cetin.cz) 5