Uživatelská příručka Popis instalace security packu pro IS OTE na WINDOWS Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 1 z 30
OBSAH 1 Kontrola správné verze Internet Explorer...3 2 Připojení zařízení...3 3 Nahrání SW...3 Čtečka GEMSAFE...3 USB token ikey 2032, resp. CIP Utilities v6.1...6 4 Automatická regitrace certifikátů...9 Čtečka 9 USB token ikey 2032...9 5 Importování a registrace OTECA do úložiště certifikátů Windows...9 6 Příloha 1 Nastavení Internet Exploreru pro přístup k OTE...12 7 Příloha 2 Instalace SUN Java a konfigurace...18 Odinstalování MS Java...18 Kontrola a konfigurace Sun Java na klientské stanici...19 Návod na instalaci Sun Java...20 Nastavení internetového prohlížeče...23 Nastavení Sun Java...24 Instalace certifikátu...27 Vytvoření práv...27 8 Příloha 2 Registrace přípon pro import/export dat aplikace OTE...28 Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 2 z 30
1 Kontrola správné verze Internet Explorer Pro správnou činnost security v IS OTE je třeba aby byl užíván MS Internet Exporer verze 6.0 s aplikovanými bezpečnostními záplatami (SP2) a servisními balíčky vydávanými společností Microsoft a s podporou High encryption nebo MS Internet Exporer verze 7.0. Kontrola: Spustit IE / Nápověda / O aplikaci Internet Explorer 2 Připojení zařízení Čtečku připojujeme před instalací odpovídajícího SW, kdežto USB token je nutno připojit až po instalaci! Před připojením čtečky na seriový port je nutno vypnout počítač, aby nedošlo k poškození portu či čtečky! 3 Nahrání SW Pro instalaci je třeba, aby uživatel měl práva lokálního administrátora. Čtečka GEMSAFE Spusťte instalaci aplikace GemSAFE 3.2.2 spuštěním souboru setup.exe z instalačního adresáře GEMSAFE a proveďte přednastavenou instalaci podle pokynů instalačního programu. Postup instalace je znázorněn na následujících obrázcích. Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 3 z 30
Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 4 z 30
Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 5 z 30
Před restartem počítače se ještě zkontroluje, zda-li instalace Windows obsahuje knihovnu VB6FR.DLL v adresáři %SystemRoot%\system32. Pokud ne, je třeba ji dokopírovat (je součástí instalační sady). Poté je možno počítáč restartovat: USB token ikey 2032, resp. CIP Utilities v6.1 Je třeba nejdříve instalovat ovladač pro Ikey 2032 (SafeNet ikey Driver v4.0.0.1011) Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 6 z 30
Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 7 z 30
Dále je třeba instalovat CIP Utilities v6.1 (SafeNet BorderLess Security PK Klient) Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 8 z 30
. 4 Automatická regitrace certifikátů Čtečka CertReg se spouští po startu počítače a zajišťuje registraci certifikátů při vložení, resp. vyjmutí karty do čtečky, resp. ze čtečky. Jeho činnost je znázorněna ikonou čtečky v systémové liště: USB token ikey 2032 Instalace CIP Utilities obsahuje win32 službu, která se spouští po startu počítače a detekuje vložení tokenu. Tímto je zajištěn automatický import, resp. odebrání certifikátů uložených na tokenu. 5 Importování a registrace OTECA do úložiště certifikátů Windows Do systému Windows 2000/Windows XP je potřeba dále naimportovat kořenový certifikát pro práci s IS OTE (OTECA) NEW_OTECA.cer, jež je součástí instalační sady. Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 9 z 30
Certifikát naimportujeme volbou Instalovat certifikát z kontextového menu anebo tlačítkem z dialogu zobrazující informace o certifikátu: Zde je možno ponechat automatický výběr, protože systém rozpozná, že se jedná o certifikát autority: Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 10 z 30
Pokud se objeví tento dialog, certifikát byl úspěšně naimportován: POZOR: Registrace všech importovaných certifikátů se váže k profilu WINDOWS 2000/Windows XP uživatele, který je právě přihlášen. Při prvním přihlášení k IS OTE zaškrtněte při zobrazeníinformací výše importovaných certifikátů kontrolní pole Vždy důvěřovat tomuto certifikátu, aby uživatel nebyl opakovaně dotazován. Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 11 z 30
6 Příloha 1 Nastavení Internet Explorer pro přístup k OTE Kontrola instalace a nastavení prohlížeče Microsoft Internet Explorer SP2 pro aplikace OTE Dále popsaný postup zaručuje korektní spolupráci prohlížeče s aplikací OTE portálového serveru. Důležité: Prohlížeč MS IE6 a 7 je schopen komunikovat s WEB serverem OTE protokolem https pouze na úrovni silného šifrování (High Encryption) 128bit. Ověření: Kliknout na horní liště okna Microsoft Internet Explorer na Nápověda a vybrat z menu O aplikaci Internet Explorer. V okně O aplikaci Internet Explorer musí být údaje: Verze: 6.0 nebo 7.0... Úroveň šifrování: 128-bit... Aktualizované verze: ; SP2 (pro IE6.0) Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 12 z 30
V okně... - Microsoft Internet Explorer kliknout na horní liště na Nástroje a vybrat z nabídky roletového menu položku Možnosti Internetu... * V okně Možnosti Internetu před prvním spojením se serverem OTE vybrat záložku a na její kartě v bloku provést následující akce --------- ------------------------ --------------------------- Obecné Dočasné soubory Internetu kliknout na tlačítko Odstranit soubory... a v okně Odstranit soubory zvolit Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 13 z 30
[x] Odstranit veškerý obsah offline a kliknout na tlačítko OK [x] Při každé návštěvě stránky kliknout na tlačítko Nastavení..., v okně Nastavení vybrat a kliknout na tlačítko OK kliknout na tlačítko Usnadnění..., u dolního okraje okna Možnosti sítě internet v okně Usnadnění přístupu ponechat všechny volby vypnuté a kliknout na tlačítko OK Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 14 z 30
vybrat záložku a na její kartě v bloku provést následující akce --------- ------------------------ --------------------------- Zabezpečení Vyberte zónu obsahu označit zónu Internet Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 15 z 30
Úroveň zabezpečení této zóny nastavit podle místní bezpečnostní politiky a kliknout na tlačítko OK Obsah Certifikáty kliknout na tlačítko Certifikáty..., v okně Certifikáty vybrat záložku Důvěryhodné kořenové certifikační úřady, na její kartě ověřit přítomnost řádku Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 16 z 30
Vydáno pro OTECA Vydavatel OTECA a kliknout na tlačítko Ukončit Připojení Nastavení místní sítě kliknout na tlačítko Nastavení místní sítě..., v okně Lnastavení místní sítě (LAN) nastavit volby podle místních podmínek a kliknout na tlačítko OK Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 17 z 30
7 Příloha 2 Instalace SUN Java a konfigurace Pokud je nutné mít v provozu pro IE oba nástroje, MS Java i Sun Java, je třeba mezi nimi přepínat v nastavení IE. Při současném zaktivnění obou nástrojů Java (MS i Sun) nefunguje MS Java: Pokud MS Java není již na vaši stanici již vyžadována (tedy neexistuje-li jiná aplikace než IS OTE, která by MS Java používala), pak doporučujeme její odebrání (odinstalaci) a to dle návodu v kapitole 0. Doporučujeme, aby odebrání aplikace prováděl správce systému! Odinstalování MS Java Doporučujeme, aby odebrání nástroje Microcost VM (MS Java) z klientské stanice prováděl správce systému, a to dle následujícího postupu: 1. Nejdříve je nutné zneaktivnit Microsoft VM v IE, a to přes menu Nastavení Možnosti internetu záložka Upřesnit. Zde se najde položka Microsoft VM a zneaktivní se všechny její vnořené položky. Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 18 z 30
2. Stáhněte z webových stránek OTE http://www.ote-cr.cz/ucastnici-trhu/registrace-asmlouvy2/files-instalacni-postup-sun-java tyto soubory MS_JAVA_Uninstall.bat a MS_JAVA_Uninstall_2.bat, ty uložíme do kořenového adresáře na disku např.: c: 3. Spustíme soubor MS_JAVA_Uninstall.bat z kořenového adresáře na disku c: 4. Po zadání se zobrazí dialogové okno Microsoft VM uninstall. Klikněte na tlačítko Ano 5. Pokud je nutné po dokončení akce restartovat systém, proveďte restart počítače 6. Po restartu spustíme soubor MS_JAVA_Uninstall_2.bat 7. Nyní je z klientské stanice odinstalován nástroj Microsoft VM (MS Java). V případě, že odinstalování neproběhlo v pořádku, v dodatku A je podrobný postup odinstalace rozepsaný do jednotlivých kroků. V případě úspěšné odinstalace se tento postup popisovaný v dodatku A již neaplikuje. Kontrola a konfigurace Sun Java na klientské stanici Verzi SUN Java zjistíte tak, že otevřete ovládací panely z menu Start -> Ovládácí panely. V ovládacích panelech spusťte položku Java. Otevře se okno, ve kterém bude tlačítko About. To spustí okno s verzí SUN Javy. Jestliže v ovládacích panelech položka Java neexistuje, musíte ji nainstalovat. Důležité: Je-li na Vašem počítači již nainstalována SUN Java, je nutné provést tyto kontrolní kroky: Máte-li Sun Javu verze J2SE(TM) Runtime Environment 5.0 Update 6 (označení 1.5.0_06), není třeba dále tento program stahovat a instalovat. Pokračuje se rovnou nastavením IE v kapitole 0. Máte-li vyšší verzi, než je uvedená v předchozím bodě, není třeba dále tento program stahovat a instalovat. Pokračuje se rovnou nastavením IE. Je však nutné nastavit certifikát do správné složky (viz. kapitola 0). Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 19 z 30
Máte-li nižší verzi, je nutné nejdříve odinstalovat ze stanice veškeré verze a updaty Sun Java a pokračovat dále kapitolou 0. V každém případě je nutné nainstalovat korektní certifikát pro správné fungování aplikace WEBSIOM, a to dle kapitoly 0. Návod na instalaci Sun Java Nastavením z MS Java na Sun Java mohou přestat fungovat některé aplikace, které pro svou správnou funkčnost MS Javu potřebují. Nastane-li situace, kdy je nutné mít v provozu jak MS Java tak i Sun Java, je nutné se nejdříve poradit s administrátorem. Následující postupy neřeší problematiku současného využívání obou programů Java. Pokud je požadavek na odebrání nástroje Microsoft VM (MS Java) z klientské stanice a využívání jen Sun Java, před instalací Sun Java proveďte odinstalaci Microsoft VM dle postupu v kapitole 0 Následuje postup instalace nástroje Sun Java. Nejdříve je nutné si stáhnout instalační balík Sun Java: 1. Otevře se Internet Explorer a zadáním adresy se načte webová stránka: https://cds.sun.com/is-bin/intershop.enfinity/wfs/cds-cds_developer- Site/en_US/-/USD/ViewProductDetail-Start?ProductRef=jre-1.5.0_06-oth- JPR@CDS-CDS_Developer. 2. Zobrazí-li se při načítání následující okno, klikne se na tlačítko Ano : 3. Otevře se stránka s názvem J2SE(TM) Runtime Environment 5.0 Update 6. 4. Na této stránce uživatel zvolí v položce Platform platformu Windows, nastavení Language ponechá na Multi-language. Zaškrtne se I agree a klikne se na tlačítko Continue. 5. Načte se nová stránka s názvem Download J2SE(TM) Runtime Environment 5.0 Update 6 for Windows, Multi-language (předchází-li načtení stránky opět okno zabezpečení z bodu 2, opět se klikne na Ano). Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 20 z 30
6. Na této stránce uživatel v části Required Files zvolí Windows Offline Instalation, tedy levým tlačítkem myši klikne na odkaz jre-1_5_0_06-windows-i586-p.exe (na konci řádku je pro upřesnění určena velikost souboru 16,00 MB). 7. Po kliknutí na odkaz se zobrazí okno, ve kterém je třeba zvolit tlačítko Spustit : 8. Zobrazí se v dialogu průběh stahování souboru ze stránek společnosti SUN: Instalace Java SUN: 9. Po stažení souboru se zobrazí okno pro instalaci, ve kterém je nutné zvolit tlačítko Spustit : Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 21 z 30
10. Po menší době čekání se instalační aplikace spustí a zobrazí se okno s Licence agreement, kde je třeba ponechat zaškrtnutou položku Typical setup a po té zvolit tlačítko Accept 11. Zobrazí se průběh instalace, která se dokončí kliknutím na tlačítko Finish 12. Po dokončení instalace se může objevit na obrazovce výzva k restartu počítače, pokud se objeví, zvolíme tlačítko Yes pro restart počítače. Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 22 z 30
13. Typicky se instalace provádí na systémový disk (obvykle C:\, dále v textu bude označovat pojmem systémový_disk) do adresáře Program Files\Java\jre1.5.0_06 (dále jen Java_adresář). Nastavení internetového prohlížeče Po restartování počítače a přihlášení se do systému spustíme prohlížeč Internet Explorer a provedeme následující akce: V menu Nástroje vybereme položku Možnosti internetu. Otevře se následující okno. V tomto okně zvolíme nahoře záložku Upřesnit. Na otevřené záložce by se měla v seznamu nacházet také položka Java (Sun). Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 23 z 30
Vnořená položka Use Java 2 v 1.5.0_06 for <applet> (requires restart) by měla být zaškrtnutá, pokud tomu tak není, zaškrtneme ji. Pokud se v seznamu vyskytuje položka Microsoft VM, všechny její vnořené položky odškrtneme. Po provedení těchto úprav můžeme změny potvrdit stisknutím tlačítka Použít a poté zavřít okno stisknutím tlačítka OK. Ukončíme všechna spuštěná okna aplikace Internet Explorer. Nastavení Sun Java Pro správnou funkčnost Sun Javy je třeba provést zásah do nastavení tohoto prostředí. Provedeme následující akce: Otevřeme Java Control Panel z menu Start -> Ovládací panely -> Java a přepneme se na záložku Advanced: Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 24 z 30
Rozbalíme skupinu Debugging a zkontrolujeme, že není zatržená žádná volba v této skupině. Pokud bude některá volba zatržená, odškrtneme ji. Rozbalíme skupinu Java console a zkontrolujeme, že je zvolena volba Hide console. Pokud není zvolena, zvolíme ji. Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 25 z 30
Rozbalíme skupinu Security a zkontrolujeme, že jsou zaškrtnuty všechny volby kromě jedné volby: Use TLS 1.0. Pokud je zvolena, odškrtneme ji. Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 26 z 30
Instalace certifikátu Pro správnou funkci nově instalovaných appletů je třeba instalovat kořenový certifikát OTECA, který je možno stáhnout z webových stránek OTE. Tento certifikát musí být uložen v uložišti důvěryhodných certifikačních autorit prostředí Java Runtime Environment, které jsme instalovali podle návodu v kapitole Error! Reference source not found.. Provedeme to následovně: 1. Z webových stránek OTE (http://www.ote-cr.cz/ucastnici-trhu/registrace-asmlouvy2/instalacni-postupy-logicacmg) pod označením Certifikát autority OTECA (formát DER) stáhneme potřebný certifikát a uložíme jej do kořenového adresáře na disku c:\ - Po kliknutí na certifikát se zobrazí okno, ve kterém je nutno zvolit volbu Uložit. Cestu nastavíme do kořenového adresáře C:\. 2. Z webové stránky OTE http://www.ote-cr.cz/ucastnici-trhu/registrace-a-smlouvy2/filesinstalacni-postup-sun-java stáhněte soubor Certificate_Import.bat. Následně ho spustíme. Nyní je certifikát úspěšně nainstalován. 3. V případě, že instalace neproběhla v pořádku, v dodatku B je podrobný postup instalace. Vytvoření práv 1. Z webové stránky OTE http://www.ote-cr.cz/ucastnici-trhu/registrace-a-smlouvy2/filesinstalacni-postup-sun-java stáhněte soubor.java.policy. 2. Soubor.java.policy uložíme do adresáře c:\documents and Settings\jméno_uživatele, kde jméno_uživatele je název adresáře dle přihlášovaného uživatele, Nyní je prohlížeč Internet Explorer připraven pro spuštění aplikace IS OTE s novými applety v Sun Java 1.5.0_06. Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 27 z 30
8 Příloha 2 Registrace přípon pro import/export dat aplikace OTE Registrace přípony pro import/export dat nabídek a dvojstranných smluv Nastavení W2kpro pro aplikaci OTE: ----------------------------------------------------------- V systému je třeba svázat přípony souborů 'NAB' a 'DVS' s typem souboru 'Application Data Control', a pro akci 'open' s tímto typem souboru určit program C:\WINNT\NOTEPAD.EXE. * Na pracovní ploše dvakrát kliknout na ikonu Tento počítač * V okně Tento počítač vybrat z příkazové lišty Nástroje \ Možnosti složky... NAB Přípona * V okně Možnosti složky kliknout na záložku Typy souborů a na její kartě pod seznamem Registrované typy souborů: kliknout na tlačítko Nový * V okně Vytvoření nové přípony doplnit Přípona souboru: NAB a kliknout na tlačítko Upřesnit * V okně Vytvoření nové přípony vybrat Asociované typy souborů: Application Data Control a kliknout na tlačítko OK * V okně Možnosti složky na kartě záložky Typy souborů označit v seznamu Registrované typy souborů: řádek Přípona Typ souboru ---------- ------------------------ NAB Application Data Control a v bloku detaily přípony 'NAB' kliknout na tlačítko Upřesnit * V okně Upravit typ souboru ponechat v horním rámečku údaj Application Data Control a kliknout na tlačítko Nový * V okně Nové akce doplnit údaje: Akce: OPEN Application used to perform actions: [C:\WINNT\]NOTEPAD.EXE a kliknout na tlačítko OK * V okně Upravit typ souboru Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 28 z 30
- zkontrolovat, že v horní části je ikona programu NOTEPAD.EXE vlevo od rámečku s Application File Control a v seznamu Akce: je řádek OPEN - zkontrolovat, zda po označení akce OPEN v seznamu Akce: a kliknutí na tlačítko Upravit... je v poli Application used to perform actions: vložen následující text [C:\WINNT\]NOTEPAD.EXE - vybrat volbu a kliknout na tlačítko OK [x] Potvrdit otevření po stažení DVS Přípona * V okně Možnosti složky na kartě záložky Typy souborů pod seznamem Registrované typy souborů: kliknout na tlačítko Nový * V okně Vytvoření nové přípony doplnit Přípona souboru: DVS a kliknout na tlačítko Upřesnit * V okně Vytvoření nové přípony vybrat Asociované typy souborů: Application Data Control a kliknout na tlačítko OK * V okně možnosti složky na kartě záložky Typy souborů označit v seznamu Registrované typy souborů: řádek Přípona Typ souboru ---------- ------------------------ DVS Application Data Control a v bloku detaily přípony 'DVS' kliknout na tlačítko Upřesnit * V okně Upravit typ souboru - zkontrolovat, že v horní části je ikona programu NOTEPAD.EXE vlevo od rámečku s Application File Control a v seznamu Akce: je řádek OPEN - zkontrolovat, zda po označení akce OPEN v seznamu Akce: a kliknutí na tlačítko Upravit... je v poli Application used to perform actions: vložen následující text [C:\WINNT\]NOTEPAD.EXE - vybrat volbu a kliknout na tlačítko OK [x] Potvrdit otevření po stažení Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 29 z 30
* V okně Možnosti složky kliknout na tlačítko Zavřít Verze: I 28.11.2008 Instalace_sec_pack.doc Strana 30 z 30