Příloha č. 2 1 Informace o testování estovaný generátor: 2 estovací prostředí estovací stroj č. 1: estovací stroj č. 2: estovací stroj č. 3: estovací stroj č. 4: Certifikáty vydány autoritou: estovací protokol webový generátor I.CA HW: virtuální stroj ve VirtualBox 4.0.10; emulovaná čipová sada PIIX3; 1 GB RAM; harddisk 20 GB SAA OS: Windows 7 Service Pack 1 SW: Internet Explorer 9; Mozilla Firefox 6.0; Google Chrome 13.0.782.112m; Apple Safari 5.1; Opera 11.5; Java Runtime Environment 6 update 25; Software602 Form Filler 4.02.22.11.0617 HW: virtuální stroj ve VirtualBox 4.0.10; emulovaná čipová sada PIIX3; 1 GB RAM; harddisk 20 GB IDE OS: Windows Vista Service Pack 2 SW: Internet Explorer 9; Java Runtime Environment 6 update 25; Software602 Form Filler 4.02.22.11.0617 HW: virtuální stroj ve VirtualBox 4.0.10; emulovaná čipová sada PIIX3; 512 MB RAM; harddisk 16 GB IDE OS: Windows XP Service Pack 3 SW: Internet Explorer 8; Java Runtime Environment 6 update 25; Software602 Form Filler 4.02.22.11.0617 HW: virtuální stroj ve VirtualBox 4.0.10; emulovaná čipová sada PIIX3; 756 MB RAM; harddisk 8 GB SAA OSW: OpenSUSE 11.4 SW: Java OpenJDK 1.6.0; Mozilla Firefox 4.0b12 vlastní testovací certifikační autorita 3 Vlastnosti generátoru klíčů Kompatibilita Podporované operační systémy: Podporované webové prohlížeče: Windows XP Windows Vista Windows 7 Internet Explorer Mozilla Firefox Google Chrome Apple Safari Opera V, V, - 1 -
Další vyžadovaný SW: Java Runtime Environment 6 V, Generované klíče Algoritmus generovaných klíčů: RSA Velikost generovaných klíčů: 2048 bitů Podporovaná úložiště klíčů: Podporovaná API pro hardwarová úložiště klíčů: Žádost o certifikát softwarová hardwarová 1 MS CryptoAPI Struktura žádosti o certifikát: pevně daná, povinné a nepovinné položky Položky v dname žádosti: Žádost o kvalifikovaný certifikát: 2 1. CN, [generationqualifier], [L], [State], C 2. CN, [generationqualifier], [L], [State], C, O, [OU], [itle] 3. CN, [L], [State], C Rozšíření žádosti: Žádost o kvalifikovaný systémový certifikát: 4. CN, [generationqualifier], [L], [State], C 5. CN, [generationqualifier], [L], [State], C, Name 6. CN, [generationqualifier], [L], [State], C, O, [OU], [itle] 7. CN, [generationqualifier], [L], [State], C, O, [OU], [itle], Name 8. CN, [L], [State], C, [O], [OU] 9. CN, [L], [State], C, O, [OU] Žádost o komerční certifikát: 10. CN, [generationqualifier], [L], [State], C 11. CN, [generationqualifier], [L], [State], C, O, [OU], [itle] 12. CN, [L], [State], C, [O], [OU] KeyUsage SubjectAlternativeName 3 Podepisovací algoritmus žádosti: SHA256withRSA Kódování souboru se žádostí: PEM 4 Opětovné vygenerování žádosti pro existující klíče: Instalace certifikátu Způsob instalace certifikátu: Podporovaná kódování souboru s certifikátem: Legenda ke třetímu sloupci: ne 1. z HML souboru vygenerovaného certifikační autoritou 2. z webové stránky, jejíž adresu zasílá certifikační autorita e-mailem PEM V... tato informace pochází od výrobce generátoru (webové stránky, uživ. podpora, atd.)... tato informace byla zjištěna na základě tohoto testování V, - 2 -
4 Doplňující informace 1. Na výběr je pouze omezený počet úložišť klíčů představovaných poskytovateli kryptografických služeb (CSP). Nabízejí se jen tito CSP: Microsoft Enhanced RSA and AES Cryptographic provider (jen ve Windows Vista/7, softwarové úložiště klíčů); Microsoft Base Smart Card Crypto Provider (jen ve Windows Vista/7); Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype) (jen ve Windows XP SP3, softwarové úložiště klíčů); CSP čipové karty od I.CA. 2. Položky v dname žádosti, uvedené v hranatých závorkách, jsou nepovinné. Příslušná editovací pole na webové stránce nemusí být vyplněna. Obsah dname žádosti závisí na zvoleném typu požadovaného certifikátu (kvalifikovaný, kvalifikovaný systémový, komerční) a na typu žádající osoby (fyzická osoba, podnikatel, zaměstnanec, právnická osoba). 3. Rozšíření žádosti SubjectAlternativeName se nemusí v žádosti objevit, pokud ve webovém formuláři zůstane nevyplněn nepovinný údaj e-mailová adresa. 4. Kromě samotné žádosti v kódování PEM se v souboru nachází také doplňující textové informace ve tvaru parametr=hodnota. Například je zde uvedeno jméno a příjmení žadatele, adresa bydliště, e-mail, rodné číslo nebo heslo pro zneplatnění v otevřeném tvaru. V případě žádosti o kvalifikovaný systémový certifikát nebo komerční serverový certifikát lze načíst žádost v PEM formátu, která byla vygenerována jinde (např. ve speciálním hardwarovém zařízení, tzv. HSM modulu). 5 estovací scénáře 5.1 Podrobné testování ve Windows 7 Datum testování: 20. 8. 2011 Použitý testovací stroj: č. 1 1. První načtení webové stránky I.CA pro generování klíčů. 1 2. Vygenerování klíčů a žádosti o certifikát. (nepodnikající osoba, softwarové úložiště klíčů) 3. Vydání certifikátu a uložení do souboru v kódování DER. - 3 -
4. Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor 5. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 6. Vygenerování klíčů a žádosti o certifikát. (podnikatel, softwarové úložiště klíčů, vysoká úroveň zabezpečení klíče) 7. Vydání certifikátu a uložení do souboru v kódování DER. 8. Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor 9. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 10. Vygenerování klíčů a žádosti o certifikát. (zaměstnanec, softwarové úložiště klíčů) 11. Vydání certifikátu a uložení do souboru v kódování DER. 12. Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor 13. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 14. Vygenerování klíčů a žádosti o certifikát. (pseudonym, softwarové úložiště klíčů) 15. Vydání certifikátu a uložení do souboru v kódování DER. 16. Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor 17. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 5.2 Ověření funkčnosti ve Windows Vista Datum testování: 20. 8. 2011 Použitý testovací stroj: č. 2 18. První načtení webové stránky I.CA pro generování klíčů. 1 19. Vygenerování klíčů a žádosti o certifikát. (nepodnikající osoba, softwarové úložiště klíčů) 20. Vydání certifikátu a uložení do souboru v kódování DER. 21. Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor 22. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického - 4 -
5.3 Ověření funkčnosti ve Windows XP Datum testování: 20. 8. 2011 Použitý testovací stroj: č. 3 23. První načtení webové stránky I.CA pro generování klíčů. 1 24. Vygenerování klíčů a žádosti o certifikát. (nepodnikající osoba, softwarové úložiště klíčů) 25. Vydání certifikátu a uložení do souboru v kódování DER. 26. Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor 27. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 5.4 Ověření funkčnosti v jiných webových prohlížečích Datum testování: 20. 8. 2011 Použitý testovací stroj: č. 1 Otestování webového prohlížeče Mozilla Firefox 28. První načtení webové stránky I.CA pro generování klíčů. 2 29. Vygenerování klíčů a žádosti o certifikát. (komerční certifikát, nepodnikající osoba, softwarové úložiště klíčů) 30. Vydání certifikátu a uložení do souboru v kódování DER. 31. Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor 32. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického Otestování webového prohlížeče Google Chrome 3 33. První načtení webové stránky I.CA pro generování klíčů. 4 34. Vygenerování klíčů a žádosti o certifikát. (komerční certifikát, zaměstnanec, softwarové úložiště klíčů) 35. Vydání certifikátu a uložení do souboru v kódování DER. 36. Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor 37. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického Otestování webového prohlížeče Apple Safari 38. První načtení webové stránky I.CA pro generování klíčů. 39. Vygenerování klíčů a žádosti o certifikát. (komerční certifikát, právnická osoba, softwarové úložiště klíčů) 40. Vydání certifikátu a uložení do souboru v kódování DER. 41. Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor - 5 -
42. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického Otestování webového prohlížeče Opera 43. První načtení webové stránky I.CA pro generování klíčů. 5 44. Vygenerování klíčů a žádosti o certifikát. (nepodnikající osoba, softwarové úložiště klíčů) 45. Vydání certifikátu a uložení do souboru v kódování DER. 46. Instalace certifikátu k vygenerovaným klíčům poklikáním na soubor 47. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 5.5 Zkouška funkčnosti v nepodporovaném operačním systému Datum testování: 20. 8. 2011 Použitý testovací stroj: č. 4 48. První načtení webové stránky I.CA pro generování klíčů ve webovém prohlížeči Mozilla Firefox. SOP 6 5.6 Instalace vydaného certifikátu ve Windows 7 Datum testování: 3. 9. 2011 Použitý testovací stroj: č. 1 49. Simulace vygenerovaných klíčů importem souboru typu PKCS#12 do úložiště Požadavek na zápis certifikátu. 50. Instalace certifikátu pomocí HML souboru, předaného obsluhou registrační autority I.CA. 51. Instalace certifikátu pomocí webové stránky, jejíž adresu zaslala certifikační autorita e-mailem. 52. Kontrola, že se certifikát s klíči přesunul z Požadavku na zápis certifikátu do úložiště Osobní. 53. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického CHYBA 7 8 5.7 Instalace vydaného certifikátu ve Windows Vista Datum testování: 3. 9. 2011 Použitý testovací stroj: č. 2 54. Simulace vygenerovaných klíčů importem souboru typu PKCS#12 do úložiště Požadavek na zápis certifikátu. 55. Instalace certifikátu pomocí HML souboru, předaného obsluhou registrační autority I.CA. - 6 -
56. Kontrola, že se certifikát s klíči přesunul z Požadavku na zápis certifikátu do úložiště Osobní. 57. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 58. Odstranění certifikátu a klíčů z úložiště Osobní. 59. Import souboru typu PKCS#12 do úložiště Požadavek na zápis certifikátu. 60. Instalace certifikátu pomocí webové stránky, jejíž adresu zaslala certifikační autorita e-mailem. 61. Kontrola, že se certifikát s klíči přesunul z Požadavku na zápis certifikátu do úložiště Osobní. 62. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 5.8 Instalace certifikátu ve Windows XP Datum testování: 3. 9. 2011 Použitý testovací stroj: č. 3 63. Simulace vygenerovaných klíčů importem souboru typu PKCS#12 do úložiště Požadavek na zápis certifikátu. 64. Instalace certifikátu pomocí HML souboru, předaného obsluhou registrační autority I.CA. 65. Kontrola, že se certifikát s klíči přesunul z Požadavku na zápis certifikátu do úložiště Osobní. 66. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 8 67. Odstranění certifikátu a klíčů z úložiště Osobní. 68. Import souboru typu PKCS#12 do úložiště Požadavek na zápis certifikátu. 69. Instalace certifikátu pomocí webové stránky, jejíž adresu zaslala certifikační autorita e-mailem. 70. Kontrola, že se certifikát s klíči přesunul z Požadavku na zápis certifikátu do úložiště Osobní. 71. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 8 8 6 Poznámky k testovacím scénářům 6.1 estování generování klíčů 1. Ve třetím kroku webového generátoru klíčů dochází k přepnutí na zabezpečené spojení po kanálu HPS a automatickému stažení certifikátu CA ze - 7 -
serveru Windows Update. Po stisknutí tlačítka Zahájit test PC se automaticky stáhne a nainstaluje software Java Runtime Environment 6 (pokud již není v počítači nainstalován) a zobrazí se okno s výzvou pro spuštění Java apletu ICApki. Po potvrzení dojde k nainstalování dalších souborů do počítače. Zobrazí se okno s informací, že všechny testy proběhly úspěšně, a zpřístupní se tlačítko Zahájit tvorbu žádosti o certifikát. 2. V Mozille Firefox bylo již nutné ručně nainstalovat certifikát I.CA do úložiště autorit v Mozille. Následně se zobrazilo varování běhového prostředí Java, že certifikát serveru je nedůvěryhodný. Bylo potřeba naimportovat certifikát I.CA do úložiště certifikátů Signer CA prostřednictvím odkazu Java v Ovládacích panelech. 3. Generované klíče nejsou ukládány do úložiště Firefoxu, ale do úložiště Windows. 4. Prohlížeč zablokuje plugin Javy kvůli údajné zastaralosti; lze jej však ručně spustit po kliknutí na tlačítko entokrát spustit. Jako úložiště certifikátů certifikačních autorit (pro ověřování důvěryhodnosti SSL certifikátů serverů) používá Google Chrome úložiště Windows. 5. V prohlížeči Opera bylo nutné ručně naimportovat certifikát I.CA do vlastního úložiště Opery, aby došlo k úspěšnému ověření SSL certifikátu serveru. 6. Při pokusu o otevření webové stránky v Linuxu se při kontrole rozpozná nepodporovaný operační systém a uživatel není puštěn dále. Opět je potřeba do úložiště prohlížeče Mozilla Firefox nainstalovat certifikát I.CA. Generování klíčů probíhá tak, že na první stránce uživatel zadá povinné hodnoty žádosti o certifikát a na druhé stránce kontroluje zadané údaje a případně nastaví parametry doručení vydaného certifikátu e-mailem. Po kliknutí na tlačítko Vytvořit žádost se provede vygenerování klíčů a žádosti o certifikát. Po chvíli se zobrazí další stránka s výpisem žádosti v PEM formátu a tlačítkem pro uložení žádosti na disk. Vygenerované klíče jsou uloženy do úložiště Windows s názvem Požadavek na zápis certifikátu. Zde je spolu s klíči umístěn také samopodepsaný certifikát, který má nastaven vždy počátek platnosti na datum 1.1.1601 1:00 hodin časového pásma UC bez ohledu na to, ve kterou dobu byla žádost generována. Do úložiště Požadavek na zápis certifikátu ukládají klíče také webové generátory PostSignum a eidentity. Generátor ICANewCert však narozdíl od nich nepoužívá ke - 8 -
generování klíčů komponentu Cenroll resp. CertEnroll. Bylo to ověřeno na Windows 7 tak, že pomocí přístupových práv byl uživateli zakázán přístup k souborům CertEnroll.dll a CertEnrollCtrl.exe v adresáři Windows\System32. Webový generátor klíčů PostSignum se odmítl spustit, zatímco generátor I.CA bez problémů vygeneroval klíče a žádost o certifikát. Po obnovení přístupových práv k souborům webový generátor PostSignum opět korektně fungoval. 6.2 estování instalace vydaného certifikátu 7. Po zobrazení HML souboru se zobrazilo okno, že byly zablokovány skripty nebo ovládací prvky ActiveX. Bylo stisknuto tlačítko Povolit blokovaný obsah. Po stisku tlačítka Instalace certifikátu se zobrazilo chybové hlášení, že není nainstalována podpora pro práci s certifikáty, což nebyla pravda. Nedošlo ke spuštění komponenty CertEnroll. 8. Kupodivu nedochází k přesunutí, ale zkopírování certifikátu a klíčů. V úložišti Požadavek na zápis certifikátu se i po instalaci certifikátu nachází položka představující certifikát a klíče z importovaného souboru typu PKCS#12. Při instalaci certifikátu z HML souboru se tak neděje. oto chování může souviset se zvoleným postupem testovacího scénáře (simulace vygenerování klíčů importem souboru typu PKCS#12 do úložiště). HML soubor pro instalaci certifikátu v sobě obsahuje vydaný certifikát v kódování PEM a dále kombinaci JavaScript a VBScript kódu pro instalaci certifikátu. Používá se jedna z těchto funkcí: funkce volající komponentu Microsoft Cenroll ve Windows XP, funkce volající komponentu Microsoft CertEnroll ve Windows Vista/7, funkce pro instalaci certifikátu ve webovém prohlížeči Mozilla Firefox. Poslední zmiňovaná funkce se však pouze pokouší odeslat certifikát v PEM kódování na neexistující adresu http://s.ica.cz/cgi-bin/returncert.cgi. Nefunkčních adres je v HML souboru více. Je to patrně důsledek toho, že pět dní před vydáním certifikátu (a tedy i vygenerováním HML souboru) došlo k výrazné aktualizaci webového serveru I.CA. Webová stránka pro instalaci certifikátu používá komponentu ICApki, podobně jako tomu je u generování klíčů. Stránka netestuje, jestli je na počítači nainstalováno potřebné běhové prostředí Java. Pokud není na počítači nainstalováno, zobrazí se hláška Chyba - 9 -
nelze spouštět ActiveX komponenty. Instalace certifikátu pomocí webové stránky byla ve Windows 7 úspěšná (narozdíl od HML souboru). - 10 -