Certifikáty pro autentizaci PKI-SILNA-AUTENTIZACE (např. vzdálený přístup, MNP, P2000 ) Aktivace a obnova uživatelem Interní certifikační autorita CA - postupy
Předání aktivačních kódů Žadatel o certifikát k autentizaci (PKI-SILNA-AUTENTIZACE) obdrží aktivační kódy rozdělené na dvě části (e-mail: Reference Number + 1.část Authorization Code, SMS: 2.část Authorization Code ). Platnost kódů je 30 dní od jejich vytvoření. Příklad: (e-mail: Reference Number + Authorization Code část 1: 21250030, FCHG- SMS: Authorization Code část 2 : KVZC-UKVF Aktivační kód (příklad): cn=jan Pokus + serialnumber=aa004321, ou=auth USERS, o=o2, c=cz (pro zaměstnance O2 CZ a O2 SK) cn=jan Pokus + serialnumber=x0504321, ou=ext, o=o2, c=cz (pro externisty) Reference Number: 21250030 Authorization Code: FCHG-KVZC-UKVF (Authorization Code vznikl složením části 1 zaslané e-mailem s částí 2 zaslané pomocí SMS!) 3/10/2015 2:49 PM Slide2
WebConnector WebConnector je dostupný na dvou nezávislých URL (uvedené v e-mailu s kódy): (A) internet: http://ca.cz.o2.com/cda-cgi/clientcgi?action=start (B) intranet: http://hxeca401.ux.to2cz.cz/cda-cgi/clientcgi?action=start V případě použití IE 11 a odkazu A) (aktivace přes internet) je nutné použít kompatibilní mód 3/10/2015 2:49 PM Slide3
Použití kódů žadatelem (WebConnector) Po přístupu na WebConnector volte nabídku Create Web Browser Certificate V Pozor: v případě IE8 nevolat adresu web connectoru přímo s e-mailu s kódy (!), ale otevřít odkaz buď v nové záložce nebo rovnou v novém okně a to z důvodu designu stránky s frames. Toto Lze doporučit i pro IE 9, 10, 11. 3/10/2015 2:49 PM Slide4
Volby (type, CSP, kódy) Uživatel vyplní aktivační kód ( Reference Number a sestavený Authorization Code ) a dále vybere CSP type a CSP (volba dle obrázku). V IE11 se položky CSP a CSP type nabízejí v odkazu na intranetu, na internetu ne a proto je právě potřeba volit kompatibilní mód a pak se zobrazí! 3/10/2015 2:49 PM Slide5
Dialog žádosti o vytvoření certifikátu Následuje dialog s žadatelem, během něhož dochází k vytvoření žádosti o certifikát. Pozor! Dle verze Windows se může následující dialog odlišovat (zejména může být v angličtině a může se lišit i pořadí dotazů). Příklad IE11 Volba: ANO Příklad IE8 Volba : ANO 3/10/2015 2:49 PM Slide6
Generování klíče a vytvoření certifikátu Volte OK. Střední úroveň zajišťuje to, že při použití klíče je uživatel o tom informován, ale nemusí zadávat heslo k přístupu ke klíči. Volba Vysoká úroveň zabezpečení je bezpečnostně sice výhodnější, neboť vede k doplňkové ochraně privátních klíčů uživatele v úložišti MS CAPI CSP. Při této úrovni však musí uživatel během exportu specifikovat heslo, které je nadále vyžadováno při každém pokusu CAPIkompatibilních aplikací o provedení operace s privátním klíčem z daného úložiště. Toto heslo pak musí uživatel zadávat, kdykoli nějaká aplikace chce klíč použít. Současná bezpečnostní politika toto nevyžaduje. 3/10/2015 2:49 PM Slide7
Dialog generování klíče a vytvoření certifikátu Následuje dialog s žadatelem, během něhož dochází ke generování klíče na PC uživatele a jeho uložení do MS CAPI a dále k zaslání podepsaného certifikátu z CA O2 a uložení do MS úložiště osobních certifikátů. Pozor! Opět platí, že dle verze IE a OS Windows se následující dialog odlišuje (zejména může být v angličtině, může se lišit i pořadí dotazů, některá okna jsou vynechána). Volba IE 11 : ANO Příklad IE8 Volba : ANO 3/10/2015 2:49 PM Slide8
Informace o úspěšném ukončení procesu Po úspěšném vytvoření a uložení certifikátu se zobrazí toto okno. Tím je proces vytvoření certifikátu ukončen. Stránku s WebConnectorem lze zavřít. 3/10/2015 2:49 PM Slide9
Certifikát lze zkontrolovat z MS úložiště Kontrolu certifikátu v úložišti MS CAPI lze provést přes Internet Explorer (volba: Nástroje, Možnosti Internetu, Obsah, Certifikáty) Zde by měl být vidět nově vytvořený certifikát a to mezi ostatními osobními certifikáty (pokud existují). Doprovodný obrázek viz následující snímek. Nepoužívané a propadlé certifikáty odstraňte! Odeberte propadlé certifikáty. To jsou ty, které mají uveden termín vypršení vyšší než je aktuální datum! V úložišti vám zůstane zpravidla jen platný certifikát pro silnou autentizaci (vystavitel O2) a uživatelům používající aplikaci Entrust Security Provider certifikát pro šifrování (Entrust encryption) a certifikát pro ověření podpisu (Entrust verification). Případně kvalifikovaný certifikát pro ověření podpisu (vydáván PostSignum nebo I.CA) Propadlé a nepotřebné certifikáty zbytečně komplikují výběr certifikátu při konfiguraci VPN klienta resp. při výběru vhodného certifikátu při přihlášení k PKI aplikaci. Postup odebrání certifikátu je jasný z následujícího snímku. 3/10/2015 2:49 PM Slide10
3/10/2015 2:49 PM Slide11
Certifikát lze exportovat z MS úložiště V případě potřeby lze provést export klíče a certifikátu (např. pro přenesení na druhé PC nebo na mobilní zařízení..). Výstup je ve formátu *.pfx. Volba Exportovat (Doprovodný obrázek viz následující slide.) Pro účely vlastní zálohy nebo přenesení na jiné vlastní PC je nutné exportovat certifikát včetně klíče! POZOR! V případě předání certifikátu třetí straně NIKDY NEXPORTOVAT s klíčem! Soukromý klíč by tím byl kompromitován a uživatel by musel zažádat o jeho zneplatnění!!! 3/10/2015 2:49 PM Slide12
3/10/2015 2:49 PM Slide13
Další informace (včetně spojení na podporu druhého stupně) můžete najít na stránce Interní CA: http://webca.cz.o2/ http://ca.cz.o2.com/