červen 2001 MONET+, a.s. Zlín PVT Chip

I.CA CryptoPlus Manažer v. 1.0.20 UŽIVATELSKÁ PŘÍRUČKA červen 2001 MONET+, a.s. Zlín PVT Chip

1. Obsah: 1. Obsah:...2 2. I.CA CryptoPlus jak začít...3 2.1. Úvod...3 2.2. HW a SW předpoklady...3 Požadavky na HW...3 Požadavky na SW...3 3. Dříve než začnete s konfigurací...4 3.1. Manažer I.CA CryptoPlus...5 3.2. Postup instalace...5 Instalace manažeru...5 Odinstalování I.CA CryptoPlus manažeru...7 Přeinstalování I.CA CryptoPlus manažeru...8 3.3. Registrace certifikátu...9 3.4. Změna PIN/PUK...11 Postup při změně PIN a PUK:...11 4. Konfigurace aplikací...12 4.1. Nastavení prohlížeče Internet Explorer 5.x...13 4.2. Konfigurace programu MS Outlook 2000...13 4.3. Konfigurace programu Outlook Express 5...15 4.4. Konfigurace programu Netscape Communicator...16 5. Co byste měli vědět o certifikátech...21 5.1. Jak lze certifikát získat?...21 5.2. Generování žádosti o certifikát...21 5.3. Obnova certifikátu...22 6. FAQ aneb Jak to funguje?...22 6.1. Jak funguje používání certifikátu ve Windows?...22 6.2. Musí být vždy certifikát na kartě?...23 6.3. Jaký je rozdíl mezi využitím karty v Internet Exploreru a Netscape Communicatoru?...23 7. Řešení možných problémů...24 7.1. Manažer chybně zobrazuje nápovědu...24 7.2. Manažer nekomunikuje se čtečkou...24 8. Závěrem...26 8.1. On-line informace a podpora produktu:...26 8.2. Update produktu Cryptoplus...26 Uživatelská příručka 2

2. I.CA CryptoPlus jak začít 2.1. Úvod Vážený zákazníku, dostal se Vám do rukou produkt, jehož primárním úkolem je zvýšení bezpečnosti elektronických komunikací na síti Internet. Základní komponentou systému je kryptografická čipová karta, která je schopna spolehlivě uchovat tajemství jí svěřené privátní kryptografický klíč. Kromě tohoto tajemství je na kartě uložen i Váš certifikát X.509, tj. veřejný blok dat popisující vaší identitu (e-mail, adresu, pracovní zařazení, atd.) a certifikát certifikační autority I.CA. Tento dokument si však neklade za cíl seznámit Vás s použitými principy zabezpečení, ale měl by Vám pomoci s první konfigurací internetového prohlížeče a programu pro posílání e-mailových zpráv, tak aby spolupracovaly s čipovou kartou. Manažer I.CA CryptoPlus je vybaven podrobnou nápovědou a uživateli průběžně zobrazuje pokyny a možnosti práce s programem. Proto uživatelská příručka, kterou právě čtete, popisuje jen základní postupy a nezabývá se všemi dialogy a možnými chybovými stavy, což by v konečném důsledku bylo na úkor přehlednosti a stručnosti. 2.2. HW a SW předpoklady Požadavky na HW HW s odpovídajícím výkonem, který umožňuje provozování operačního systému Windows 95 ve verzi OSR 2.1, Windows 98, Windows NT, Windows 2000, volný sériový (případně USB, PCMCIA) port pro připojení čtečky čipových karet (požadavky pro připojení jsou specifikovány jednotlivými výrobci). Zejména u starších typů PC, které nepoužívají pro připojení klávesnice či myši konektory typu PS/2, konzultujte s certifikační autoritou použití vhodného typu čtečky. Požadavky na SW Současná verze produktu I.CA CryptoPlus je nativně integrována do kryptografického podsystému operačního systému Microsoft Windows (byla testována s verzemi Win95 OSR 2.1, Win98, NT4.0 a Win 2000). Znamená to, že všechny aplikace využívající tohoto kryptografického podsystému mohou spolupracovat i s čipovou kartou I.CA CryptoPlus. Uživatelská příručka 3

Jedná se zejména o aplikace: Microsoft Internet Explorer (min.verze 5.0 a vyšší) Microsoft Outlook Express (min. verze 5.0 a vyšší) Microsoft Outlook (testováno s verzí Outlook 2000) Dále je dodáván Cryptoki modul pro Netscape, který je primárně určen pro verze 4.7x (zatím je k dispozici pouze v Beta verzi). 3. Dříve než začnete s konfigurací Pokud chcete použít čipovou kartu pro šifrování a podepisování e-mailových zpráv, popř. k autorizaci na bezpečném spojení s web serverem, musí být splněno několik podmínek: 1. Na čipové kartě musí být Váš privátní klíč. 2. Kryptografický systém MS Windows musí znát Váš certifikát X.509. Obě předešlé podmínky by Vám měla pomoci splnit Vaše certifikační autorita. Používáte-li CryptoPlus v produktu Netscape Communicator, není nutné certifikát ležící na kartě registrovat. Netscape vyčítá certifikáty přímo z karty CryptoPlus. Pokud od certifikační autority dostanete kartu I.CA CryptoPlus s již nainstalovaným certifikátem, stačí tento certifikát zaregistrovat do Windows pomocí utility I.CA CryptoPlus (součást instalace balíku I.CA CryptoPlus). Aktivní operace s kartou (např. výpočet elektronického podpisu) jsou chráněny pomocí PIN (Personal Identification Number osobní identifikační číslo). Pokud potřebujete PIN odblokovat nebo jej chcete změnit, použijte utilitu I.CA CryptoPlus. Z hlediska bezpečnosti je velmi důležité, aby PIN kód, respektive PUK znal jen a pouze majitel karty. Pokud PIN či PUK prozradíte jiné osobě, vystavujete se nebezpečí zneužití Vaší karty nositele Vaší elektronické identity Uživatelská příručka 4

3.1. Manažer I.CA CryptoPlus Utilita I.CA CryptoPlus je program sloužící pro správu čipové karty I.CA CryptoPlus. Tato utilita je vybavena speciální funkčností, která se snaží detekovat různé problémy a pokusí se navrhnout způsob jejich řešení. Kompletní popis funkcí utility I.CA CryptoPlus naleznete přímo v programu a části Nápověda. Zde se zaměříme hlavně na prvotní instalaci a způsob registrace certifikátu do MS Windows a na změnu PIN a PUK. 3.2. Postup instalace 1. Proveďte instalaci ovládacího software pro čtečku čipových karet (postup pro body 1. a 2. je popsán v samostatné uživatelské příručce Instalace čteček a ovladačů, která je rovněž součástí instalačního balíčku produktu CryptoPlus). 2. Následně po instalaci ovladačů při vypnutém PC připojte čtečku čipových karet 3. Proveďte instalaci manažeru I.CA CryptoPlus. 4. Proveďte změnu PIN a PUK na kartě. 5. Vygenerujte žádost o certifikát. 6. Získejte certifikát u Registrační autority I.CA. 7. Zaregistrujte si certifikát. 8. Proveďte konfiguraci Vašeho poštovního klienta a internetového prohlížeče. Instalace manažeru 1. Během instalace manažeru nesmějí být spuštěny žádné jiné aplikace! 2. Pro instalaci ve Windows NT4 a Windows 2000 je nutné oprávnění správce systému! Ovládací SW utilitu manažeru Cryptoplus I.CA jste buď získali od certifikační autority na CD nosiči, nebo je možné ho získat volně na webové adrese: http://www.ica.cz, případně http://www.cryptoplus.cz Postup pro Windows 9x: Vložte do počítače instalační CD (pokud máte zakoupeno). Instalační utilita Vám nabídne spuštění instalace automaticky. Pokud chcete provést instalaci z instalačního balíčku, který jste získal jeho stažením z internetu, spusťte program Install.exe, který je přístupný po rozpakování. Uživatelská příručka 5

V hlavním menu klikněte na Instalace SW I.CA CryptoPlus a vyberte Pokračovat přečtěte si pozorně elektronické licenční ujednání a potvrďte kliknutím na ikonu Souhlasím nebo Nesouhlasím (nesouhlas má za následek ukončení instalace). Obr. 1: Úvodní okno po spuštění instalátoru Proveďte výběr funkcí a nastavení, s jakým se má SW instalovat (implicitní adresář pro instalaci programu je C:\Program Files\CryptoPlus\I.CA CryptoPlus\). V dalším dialogu se zobrazí rekapitulace zvoleného nastavení. Tlačítkem Zpět je možné vrátit se k předchozímu kroku a nastavení upravit. Tlačítko Instalovat spustí proces instalace. Obr. 2: Dialogové okno pro zadání parametrů instalace Během instalace se může objevit dialogové okno informující Vás o kolizi typů registrovaných karet. Jestliže v budoucnu nehodláte používat ani jednu ze jmenovaných karet, můžete jejich registraci smazat. Obr. 3: Varovná zpráva instalátoru pro případ, že jsou ve Windows zjištěny již dříve zaregistrované karty Uživatelská příručka 6

Nejste-li si jisti nebo používáte-li podobný typ karty s jiným software, doporučujeme registraci kolidujících karet nemazat, ale v tom případě je nanejvýš vhodné přidat tyto karty do seznamu podporovaných karet. Obr. 4: Okno pro aktualizaci seznamu karet v systému Po dokončení instalace je zobrazen protokol. Zkontrolujte, zda je protokol ukončen konstatováním Instalace proběhla úspěšně. Pokud tomu tak není, prohlédněte si zobrazený protokol a zkontrolujte, kde došlo k nějaké chybě. Pokud je ve Vašich možnostech chybu odstranit, opakujte instalaci znovu, případně se obraťte na prodejce produktu. Pokud Vás instalační program vyzve k provedení restartu PC, tak jej proveďte. Odinstalování I.CA CryptoPlus manažeru Pro odinstalování ve Windows NT4 a Windows 2000 je nutné oprávnění správce systému!! Odinstalování je možné třemi způsoby: 1. Z nabídky Start Programy I.CA CryptoPlus spusťte aplikační modul s názvem UnInstall. 2. Spuštěním instalačního souboru z CD. Postup: Vložte do počítače instalační CD. V hlavním menu klikněte na Instalace SW I.CA CryptoPlus, případně pomocí Průzkumníka spusťte z CD instalační soubor /Install/CSP/Install.exe. Pokud instalační program zjistí na Vašem PC přítomnost aplikace I.CA CryptoPlus, automaticky nabídne možnost odinstalování. Teprve potvrzením nabídky Pokračovat spustíte proces vlastní proces odinstalování. Nabídku tedy potvrďte, nebo zrušte. Po dokončení instalace na výzvu programu proveďte restart PC. Uživatelská příručka 7

Obr. 5: Menu nabídky Start a úvodní okno instalátoru v případě, že je v systému aplikace nalezena 3. Pomocí standardní procedury Windows Přidat nebo ubrat programy Klikněte na ikonu Tento Počítač a nabídku Ovládací panely. Vyberte nabídku Přidat nebo ubrat programy a v následujícím okně vyberte záložku Aplikace a v seznamu programů pak aplikaci I.CA CryproPlus a potvrďte operaci Přidat či odebrat. Obr. 6: Dialogové okno Přidat nebo ubrat programy Přeinstalování I.CA CryptoPlus manažeru Přeinstalování manažeru I.CA CryptoPlus umožní nahradit stávající aplikaci novější verzí, přičemž zůstanou zachována nastavení aplikace a registrace certifikátů. Postup je identický jako u nové instalace a rovněž platí stejné zásady! Instalovat novou verzi manažeru je možné také tak, že původní aplikaci odinstalujete a v druhém kroku nainstalujete aplikaci novou. Uživatelská příručka 8

3.3. Registrace certifikátu 1. Vložte čipovou kartu do čtečky. 2. Spusťte utilitu I.CA CryptoPlus (po standardní instalaci ji najdete na pracovní ploše popř. v nabídce Start Programy I.CA CryptoPlus I.CA CryptoPlus.) Obr. 7: Příklad menu nabídky Start 3. Po startu utility by se měly v hlavním okně objevit Návrhy řešení a zpráva Nejsou přečtena data z karty. Vložte kartu do čtečky a stiskněte podtržené slovo obnovit nebo z nabídky programu zvolte Zobrazit Obnovit (stejnou funkci vyvoláte i stiskem klávesy F5). Obr. 8: Informační okno manažeru Pokud je ve hlavním okně zobrazen jiný problém, pokuste se jej vyřešit (v případě vážnějších problémů kontaktujte pracovníky technické podpory). Může se např. jednat o chybně připojenou či nainstalovanou čtečku. 4. Po načtení údajů z karty by měl automatický detektor problémů zobrazit seznam certifikátů, které nejsou zaregistrovány. Kliknutím na podtržený nápis zaregistrovat postupně zaregistrujte všechny certifikáty, které chcete aktivně používat. Uživatelská příručka 9

Obr. 9: Alternativa informačního okna manažeru po načtení dat z karty Poznámka 1: Při registraci kořenového (root) certifikátu se systém dotáže, zda chcete tento certifikát skutečně přidat do seznamu kořenových certifikátů.. Než tuto operaci povolíte, zkontrolujte, zda se shodují hodnoty SHA-1 hashe certifikátu zobrazené utilitou I.CA CryptoPlus a dialogem dotazujícím se na povolení přidání root certifikátu Poznámka 2: Takto zaregistrovaný certifikát je ihned vyjmut ze seznamu problémových certifikátů. Certifikát je možné zaregistrovat i tak, že v levém okně vyberete certifikát, který chcete zaregistrovat a v menu zvolíte funkci Certifikát Registrovat. Obr. 10: Přímá registrace certifikátu z menu 5. Je-li certifikát platný a zaregistrovaný ve Windows, můžete s ním pracovat v aplikacích, které využívají kryptografický podsystém MS Windows. Uživatelská příručka 10

3.4. Změna PIN/PUK Aktivní operace s kartou (např. výpočet elektronického podpisu) jsou chráněny pomocí PIN (Personal Identification Number osobní identifikační číslo). Pokud PIN zadáte ve třech po sobě jdoucích pokusech chybně, dojde k jeho zablokování. Odblokovat jej lze pomocí tzv. PUK (PIN unblock code kód pro odblokování PIN). Při zadávání PUK čipová karta toleruje čtyři po sobě jdoucí chybná zadání. Po páté po sobě jdoucí chybě zadání PUK je karta zablokována a nelze ji odblokovat! Prvotní PIN a PUK pro karty typu ČSOB obdržíte společně s kartou v zapečetěné obálce. Pokud potřebujete prvotní PIN změnit, případně kartu odblokovat, použijte program I.CA CryptoPlus a postupujte podle následujícího návodu. Pokud PIN a PUK s kartou neobdržíte (platí pro karty vydávané Certifikační autoritou I.CA), jsou při výrobě karty zadány tyto prvotní hodnoty PIN a PUK: PIN: 1111 PUK: 44444444 Na tomto místě si dovolím znovu opakovat, že je z hlediska bezpečnosti je velmi důležité a nutné, aby PIN a PUK kódy znal jen a pouze majitel karty. Pokud PIN či PUK prozradíte jiné osobě, vystavujete se nebezpečí zneužití Vaší karty nositele Vaší elektronické identity. Postup při změně PIN a PUK: 1. Vložte čipovou kartu do čtečky. 2. Ukončete všechny aplikace, které používají kartu I.CA CryptoPlus. 3. Spusťte utilitu I.CA CryptoPlus (po standardní instalaci ji najdete na pracovní ploše popř. v nabídce Start Programy I.CA CryptoPlus I.CA CryptoPlus). 4. Přečtěte údaje o vložené kartě pomocí nabídky Zobrazit Obnovit. 5. V levém okně vyberte kartu CryptoPlus. Obr. 11: Okno po prvotním načtení údajů z karty 6. Z nabídky programu I.CA CryptoPlus zvolte Soubor Změna / Odblokování PIN. Uživatelská příručka 11

Obr. 12: Okno s informacemi o kartě a vyvoláním funkce pro změnu PIN V dialogovém okně zvolte požadovanou operaci, zadejte potřebné údaje a potvrďte je tlačítkem OK. Mějte na paměti, že délka nového PIN či PUK musí mít nejméně 4 číslice a nejvíce 8 číslic. Tlačítko OK se povolí až po té, kdy jsou splněny podmínky pro délku PIN/PUK a nová hodnota je stejná jako zopakování nové hodnoty Obr. 13: Okno pro zadání typu operace a hodnot PIN/PUK 7. Pokud proběhla operace úspěšně, bude karta pracovat s novým PIN popř. PUK. 4. Konfigurace aplikací Následující text popisuje postupy, jak nakonfigurovat některé vybrané aplikace tak, aby používaly zabezpečení pomocí certifikátů. Vyobrazené dialogy se mohou lišit od těch, které se zobrazují Vám, dokonce i názvy položek menu mohou být naprosto odlišné. V okamžiku tvorby tohoto dokumentu nejsou jeho autoři schopni popsat konfiguraci poměrně širokého spektra verzí aplikací, které mohou používat karty CryptoPlus. Proto Vám doporučujeme, abyste upřednostnili postupy uvedené v dokumentaci Vašeho software. Ta by měla být vždy aktuální. Uživatelská příručka 12

4.1. Nastavení prohlížeče Internet Explorer 5.x Pokud je certifikát zaregistrován v MS Windows (viz. předchozí kapitola) a je platný, je možné jej použít pro klientskou autentizaci na bezpečném spojení s web serverem bez nutnosti další konfigurace prohlížeče. Je samozřejmé, že certifikát musí být vydán k tomuto účelu a že web server musí rozpoznat certifikáty Vaší certifikační autority. 4.2. Konfigurace programu MS Outlook 2000 1. Vložte čipovou kartu do čtečky. 2. Spusťte MS Outlook 3. V nabídce aplikace zvolte Nástroje Možnosti. Obr. 14: Záložka Nástroje aplikace Outlook 2000 4. V dialogovém okně Možnosti zmáčkněte tlačítko Změnit nastavení. Uživatelská příručka 13

Obr. 15: Panel Možnosti pro konfiguraci Outlook 2000 5. V dialogovém okně Změnit nastavení zabezpečení zvolte Formát zabezpečených zpráv: S/MIME. V sekci Osvědčení a algoritmy by se měly samy objevit názvy Vašeho certifikátu pro elektronický podpis ( Podpisové osvědčení ) a pro šifrování ( Osvědčení zašifrování ). Pokud tomu tak není (např. máte více certifikátů), vyberte vhodné certifikáty pomocí tlačítek Vybrat. Nastavení potvrďte tlačítkem OK. Obr. 16: Panel pro změnu nastavení aplikace Outlook 2000 Uživatelská příručka 14

6. V dialogovém okně Možnosti (viz. bod 4) podle potřeby zaškrtněte políčka Zašifrovat obsah a přílohy odesílaných zpráv a Přidat digitální podpis do odesílaných zpráv. 7. Pokud je Váš certifikát platný a má příslušná oprávnění, můžete jej spolu s kartou I.CA CryptoPlus používat pro vytváření elektronického podpisu a dešifrování příchozích zpráv. 4.3. Konfigurace programu Outlook Express 5 1. Vložte čipovou kartu do čtečky. 2. Spusťte Outlook Express 3. V nabídce aplikace zvolte Nástroje Účty. 4. V záložce Vše nebo Pošta vyberte účet, ke kterému chcete používat kartu CryptoPlus. Obr. 17: Okno se seznamem účtů pro elektronickou poštu 5. Stiskněte tlačítko Vlastnosti. 6. V dialogovém okně pro nastavení vlastností účtu vyberte záložku Zabezpečení. Uživatelská příručka 15

Obr. 18: Okno Vlastnosti pro aktualizaci parametrů vybraného účtu 7. Vyberte si vhodný certifikát k danému účelu a je-li to možné, vyberte i preferovaný algoritmus pro šifrování (čím silnější, tím větší míra utajení) 8. Tlačítkem OK potvrďte výběr. 4.4. Konfigurace Netscape Communicatoru Netscape Communicator na rozdíl od standardních Microsoft aplikací nevyžaduje registraci certifikátu do systému. Automaticky totiž pracuje s daty uloženými na čipové kartě. Pro to, abyste mohli využívat výhod karty CryptoPlus v tomto prohlížeči, je nutné, abyste měli zaregistrován kryptografický modul I.CA CryptoPlus. Pokud instalátor detekuje prohlížeč Netscape, tak Vám instalátor automaticky registraci nabídne. 1. Pro správnou funkci I.CA CryptoPlus je nutné, aby byla karta CryptoPlus vložena ve čtečce v okamžiku spouštění programu Netscape 2. Po registraci modulu I.CA CryptoPlus Netscape startuje o něco déle. Ještě před zobrazením prvního okna jsou totiž načítány veškeré údaje z čipové karty (pokud máte povoleny animace na taskbaru, uvidíte na nich jednotlivé kroky). Uživatelská příručka 16

Kontrola registrace kryptografického modulu v Netscape 4.7x 1. Spusťte Netscape 2. V menu vyberte Communicator Tools Security Info (Ctrl+Shift+I). Obr. 19: Ukázka menu pro výběr potřebné funkce pro konfiguraci prohlížeče V dialogu Security Info" klikněte na Cryptographic Modules. V seznamu kryptografických modulů musí být kromě interního PKCS#11 modulu i modul I.CA CryptoPlus (+označení verze). Obr. 20: Příklad okna se zobrazením seznamu instalovaných kryptografických modulů Uživatelská příručka 17

3. Vybráním I.CA CryptoPlus a stisknutím tlačítka View/Edit můžete otevřít okno s podrobnějšími informacemi o tomto modulu. Uvidíte-li informace podobné těm, co jsou na následujícím obrázku, pak by měl modul pracovat správně a karta by měla být připravena k činnosti. Klinutím na tlačítko More Info získáte další informace o slotu (tj. čtečce) a tokenu (tj. čipové kartě). Obr. 21: Příklad okna se zobrazením podrobných informací k instalovanému modulu Konfigurace použití certifikátu v Netscape Navigator (klientská autentizace na SSL) 1. Spusťte Netscape 2. V menu vyberte Communicator Tools Security Info (Ctrl+Shift+I). 3. V dialogu Security Info klikněte na Navigator. Uživatelská příručka 18

Obr. 22: Ukázka konfiguračního okna pro použití certifikátu v prohlížeči 4. Ze seznamu certifikátů Certificate to identify you to a web site vyberte pro Vás nejvhodnější volbu. 1. To že je daný certifikát i s privátním klíčem na kartě CryptoPlus poznáte podle toho, že název certifikátu začíná slovem CRYPTOPLUS. 2. Pokud místo názvu vidíte nic neříkající shluky písmen a číslic, tak pro přesnější identifikaci certifikátu a klíče můžete použít buď utilitu I.CA CryptoPlus nebo přímo v okně Security Info kliněte na Yours (pod nápisem Certificates) a prohlídněte si odpovídající certifikáty. 5. Nastavení potvrďte tlačítkem OK. Konfigurace použití certifikátu v Netscape Messenger (e-mail a news klient) 1. Spusťte Netscape 2. V menu vyberte Communicator Tools Security Info (Ctrl+Shift+I). 3. V dialogu Security Info klikněte na Messenger. Uživatelská příručka 19

Obr. 23: Ukázka konfiguračního okna pro použití certifikátu v Netscape Messengeru 4. Ze seznamu certifikátů Certificate for your Signed and Encrypted Messages vyberte Váš certifikát. Poznámka 1: To že je daný certifikát i s privátním klíčem na kartě CryptoPlus poznáte podle toho, že název certifikátu začíná slovem CRYPTOPLUS. Poznámka 2: Pokud místo názvu vidíte nic neříkající shluky písmen a číslic, tak pro přesnější identifikaci certifikátu a klíče můžete použít buď utilitu I.CA CryptoPlus nebo přímo v okně Security Info kliněte na Yours (pod nápisem Certificates) a prohlídněte si odpovídající certifikáty. 5. Nastavení potvrďte tlačítkem OK. Uživatelská příručka 20

5. Co byste měli vědět o certifikátech 5.1. Jak lze certifikát získat? Váš osobní certifikát můžete získat pouze návštěvou u Registrační autority I.CA (po dohodě je možnost objednat i výjezd mobilní Registrační autority). Na Registrační autoritu si s sebou nezapomeňte vzít: 1. disketu s vygenerovanou žádostí 2. čipovou kartu 3. platný občanský průkaz Na registrační autoritě Vám vystaví osobní certifikát a uloží Vám ho na disketu. Po získání certifikátu je nutná jeho registrace do systému Windows. 5.2. Generování žádosti o certifikát Čipovou karta je určena pro využití v oblasti bezpečné komunikace. Po dodání tato karta obsahuje pouze certifikát certifikační autority I.CA, poskytovatele certifikačních služeb. Před využíváním karty je nutné provést následující operace: Vytvoření dat pro tvorbu elektronického podpisu. Získání certifikátu pro data pro tvorbu elektronického podpisu, která byla na kartě vytvořena. Registrace vašeho certifikátu v systému Windows. Vytvoření dat pro tvorbu elektronického podpisu Data pro tvorbu elektronického podpisu si vygenerujete přímo na kartě při generování žádosti o certifikát pouze v případě, že dodržíte následující postup: 1. Vložte do počítače instalační CD a v hlavním menu klikněte na Získání certifikátu I.CA nebo se připojte k Internetu a otevřete stránku http://www.ica.cz. 2. V hlavním menu zvolte Žádost o certifikát a vyberte Osobní certifikát. 3. Postupujte podle pokynů na této stránce a vyplňte žádost o certifikát. 4. Po odeslání žádosti ke kontrole vyberte v okně Typ klíče hodnotu I.CA CryptoPlus CSP v1.0 a odešlete žádost k vytvoření. 5. Povolte vytvoření prostoru pro klíč a certifikát na kartě a potvrďte operaci s kartou zadáním PIN. Uživatelská příručka 21

6. Povolte generování klíče na kartě a potvrďte operaci s kartou zadáním PIN. 7. Povolte digitální podpis dat pro dokončení žádosti a potvrďte operaci s kartou zadáním PIN. 8. Podepsaná žádost o osobní certifikát se Vám uloží na disketu. Pokud od certifikační autority dostanete kartu I.CA CryptoPlus s již nainstalovaným certifikátem, stačí tento certifikát zaregistrovat do Windows pomocí utility I.CA CryptoPlus (součást instalace I.CA CryptoPlus) přejděte rovnou ke kapitole 3.3. této příručky 5.3. Obnova certifikátu Karta je určena pro 3 certifikáty s roční platností. Obnovu certifikátu před vypršením platnosti starého certifikátu je možno provést prostřednictvím Internetu. K obnovení certifikátu budete vyzváni e-mailovou zprávou od certifikační autority. 6. FAQ aneb Jak to funguje? 6.1. Jak funguje používání certifikátu ve Windows? Pokud chcete, aby byla standardní Windows aplikace schopna aktivně využívat funkce spojené s certifikátem X.509, musí tento být zaregistrován v systému. Poznámka: Pod pojmem aktivně využívat funkce rozumějme tvorbu elektronického podpisu a rozšifrování dat. Během procesu registrace certifikátu do systému, jsou k tomuto certifikátu uloženy i informace, pomocí nichž dokáže systém najít odpovídající privátní klíč (tj. klíč, který se používá právě při vytváření elektronického podpisu nebo dešifrování dat). Schematicky lze zaregistrovaný certifikát znázornit takto: Aplikace, která potřebuje použít privátní klíč patřící k certifikátu, se nejdřív podívá na informace o registraci certifikátu a tam zjistí, kde má hledat příslušný privátní klíč. Po té požádá kryptografický podsystém Windows o přístup k tomuto klíči a pokud jej získá, může požadovanou operaci provést. Uživatelská příručka 22

6.2. Musí být vždy certifikát na kartě? Pokud používáte certifikát v aplikacích využívajících kryptografický podsystém Windows, pak ho nutně nemusíte mít uložen na kartě. Stačí, aby byl zaregistrován ve Windows, tj. systém ví, kde leží odpovídající privátní klíč. Pokud používáte certifikát v programu Netscape Communicator, musí být certifikát uložen na kartě. 6.3. Jaký je rozdíl mezi využitím karty v Internet Exploreru a Netscape Communicatoru? Internet Explorer (ale i Outlook a Outlook Express) jsou programy integrované výhradně do systémů Microsoft Windows. Proto standardně využívají i kryptografických služeb tohoto systému (prostřednictvím Crypto API, a to dál využívá kryptografických modulů CSP). Pro standardní použití privátního klíče ve zmíněných aplikacích je tedy nutné, aby k privátnímu klíči existoval zaregistrovaný a platný certifikát X.509 s informací o tom, kde privátní klíč nalézt. Produkty Netscape nejsou vázány pouze na systém Microsoft Windows, proto nespoléhají na jejich kryptografický podsystém, ale využívají vlastních kryptografických modulů. Tyto moduly jsou implementovány dle standardů PKCS (Publicly-Key Cryptography Standards), konkrétně PKCS#11. Každý takový modul je zodpovědný za uložení kompletní elektronické identity, tj. musí nést klíč veřejný i privátní a odpovídající certifikát X.509. Chcete-li používat čipovou kartu CryptoPlus coby nositele Vaší elektronické identity i v programu Netscape Communicator, musíte na ní mít kromě klíče uložen i odpovídající certifikát X.509. Obr. 24: Zaregistrovaný certifikát Uživatelská příručka 23

7. Řešení možných problémů 7.1. Manažer chybně zobrazuje nápovědu Manažer I.CA Cryptoplus může na některých počítačích chybně zobrazovat nápovědu. Je to zapříčiněno tím, že Vámi používaný operační systém Windows 9x nemá nainstalovanou správně (nebo vůbec ne) systémovou podporu pro zobrazování souborů typu Help. Doporučujeme tuto podporu do Windows doinstalovat, buď nejlépe z instalačního CD I.CA CryptoPlus, kde ji naleznete v adresáři Utility\Microsoft\. Soubor HHUpd.exe spusťte pomocí Průzkumníka a po dokončení instalace restartujte PC. Obr. 25: Příklad okna se strukturou nápovědy 7.2. Manažer nekomunikuje se čtečkou Může nastat případ, kdy manažer ohlásí chybu komunikace se čtečkou. Příčin může být hned několik, ale nejčastěji to bude: čtečka může být odpojená od PC pokud byl produkt předtím funkční, zkontrolujte správnost zapojení konektorů) při prvním spuštění manažeru ICA Cryptoplus se na obrazovce zobrazí chybové hlášení Není nainstalována PC/SC podpora čtečky a následně zobrazí podrobnější informace o možných příčinách chyby. Uživatelská příručka 24

Obr. 26: Chybová zpráva bezprostředně po spuštění programu Obr. 27: Chybová zpráva manažeru Odinstalujte manažer Cryptoplus a pak odinstalujte čtečku ze systému. Po restartu PC celý postup opakujte přesně tak, jak je popsáno v uživatelské dokumentaci. Pokud se chyba projeví opět, bude s největší pravděpodobností závada ve čtečce. Doporučujeme obrátit se na Vašeho prodejce produktu. Uživatelská příručka 25

8. Závěrem Tento dokument je tvořen jako jakási první pomoc pro práci s produktem I.CA CryptoPlus. Více informací o práci s certifikáty získáte u Vaší certifikační autority. 8.1. On-line informace a podpora produktu: Více informací o produktu I.CA CryptoPlus můžete získat buď u Vašeho dodavatele nebo si je můžete najít na internetu na adresách: a) www.ica.cz b) www.cryptoplus.cz c) www.pvt.cz/chip Elektronická adresa pro podporu a diskusi: support@cryptoplus.cz 8.2. Update produktu Cryptoplus Tvůrci produktu Cryptoplus budou nové verze produktu nabízet k volnému stažení na výše uvedených internetových adresách. Instalační balíček bude pro Vaši jednodušší orientaci přímo ve jménu souboru označen číslem verze (např. icacsobcspinst1020.exe) a bude připojena stručná popiska změn oproti předchozím verzím. K dispozici bude rovněž aktuální uživatelská dokumentace. Ta bude zásadně nabízena ve formátu PDF a pro její prohlížení budete potřebovat volně šiřitelný prohlížeč Adobe Acrobat Reader, který získáte např. na serveru výrobce, tj. www.adobe.com. Děkujeme za Váš zájem o produkt I.CA CryptoPlus a přejeme Vám mnoho úspěchů. Tým tvůrců CryptoPlus MONET+, a.s., Zámecká 365, 763 14 Zlín-Štípa (2001) CRYPTOPLUS je registrovanou ochrannou známkou ve smyslu zákona 137/1995 Sb. Uživatelská příručka 26