System Zdalnej Obsługi Certyfikatów 2 - docert.nbp.pl · str. 2 System Zdalnej Obsługi...

System Zdalnej Obsługi Certyfikatów 2.0

Instrukcja użytkownika

Departament Bezpieczeństwa, Wydział Kryptografii

Warszawa, 2018

str. 1

System Zdalnej Obsługi Certyfikatów – instrukcja użytkownika

Spis treści

Wstęp 2

1. Generowanie kluczy kryptograficznych i certyfikatów za pomocą kodu jednorazowego 3

2. Zdalne odnawianie kluczy kryptograficznych i certyfikatu na karcie elektronicznej 9

3. Zdalne odnawianie kluczy kryptograficznych i certyfikatu w pliku pfx 13

4. Instalacja kluczy kryptograficznych i certyfikatów w przeglądarce Internet Explorer 19

4.1 Instalacja certyfikatu urzędóu NBP CCK 2 19

4.2 Instalacja kluczy kryptograficznych i certyfikatu użytkownika w przeglądarce Internet Explorer 24

5. Instalacja kluczy kryptograficznych i certyfikatów w przeglądarce Firefox 27

5.1 Instalacja certyfikatu NBP CCK 2 27

5.2 Instalacja kluczy kryptograficznych i certyfikatu użytkownika 30

6. Zmiana hasła do pliku pfx 33

7. Błędy przy zdalnej aktualizacji kluczy i certyfikatów 41

7.1 Warunki niezbędne do uruchomienia Systemu Zdalnej Obsługi Certyfikatów: 41

7.2 Najczęstsze błędy związane z certyfikatami: 41

str. 2


Wstęp

System DOCert to system informatyczny służący do centralnego, elektronicznego wystawiania i

dystrybucji certyfikatów wykorzystywanych w systemach informatycznych NBP.

System Zdalnej Obsługi Certyfikatów 2.0 (zwany dalej SZOC), dostępny na stronie

www.docert.nbp.pl, to element systemu DOCert pozwalający użytkownikom na generowanie

i odnawianie certyfikatów na własnej stacji roboczej, bez konieczności składania wizyty

w siedzibie NBP. Obecna wersja SZOC została przygotowana w technologii Java Web Start tzn.

jest dostępna dla użytkownika w postaci aplikacji kontrolka_u.jnlp (lub kontrolka_t.jnlp w

przypadku certyfikatów testowych) uruchamianej bezpośrednio na stacji użytkownika. Do

prawidłowego działania SZOC wymagana jest Java w wersji 1.8 lub wyższej. Kontrolka została

przetestowana na następujących dystrybucjach Linux: Ubuntu 16.04 64-bit, Debian 8 64-bit,

Fedora 7 64-bit i Centos 7 64-bit a także na systemie macOS.

Generowanie certyfikatów może odbywać się na dwa sposoby:

1. Na podstawie otrzymanego z NBP kodu jednorazowego – w tym przypadku użytkownik

nie musi posiadać żadnego certyfikatu wydanego w systemie DOCert. Uwaga: Ta

funkcjonalność jest dostępna tylko w wybranych systemach informatycznych.

2. Na podstawie posiadanego przez użytkownika certyfikatu systemu DOCert – w tym

przypadku użytkownik musi posiadać kartę lub plik PFX zawierający klucze

kryptograficzne i certyfikat. Dodatkowo, certyfikat musi być w okresie ważności i nie

może być unieważniony.

UWAGA: Do prawidłowego działania systemów informatycznych NBP niezbędne jest

zainstalowanie na stacji roboczej użytkownika certyfikatu urzędu certyfikacji NBP CCK 2.

Należy go dodać do „Zaufanych głównych urzędów certyfikacji” w przeglądarce Internet

Explorer lub do „Organów certyfikacji” w przeglądarce Firefox. Certyfikat ten można pobrać

z następującego adresu:

NBP CCK 2 - http://www.docert.nbp.pl/certyfikaty/pliki/NBPcck2.crt

W przypadku generowania certyfikatów testowych opisane w tym podręczniku czynności należy

przeprowadzać w zakładce “Certyfikaty testowe” a certyfikat NBP CCK 2 należy zastąpić

certyfikatem NBP CCK TEST 2, który jest dostępny pod adresem:

http://www.docert.nbp.pl/certyfikaty/pliki/ccknbp_test_2014.crt

http://www.docert.nbp.pl/

http://www.docert.nbp.pl/certyfikaty/pliki/NBPcck2.crt

http://www.docert.nbp.pl/certyfikaty/pliki/ccknbp_test_2014.crt

str. 3


1. Generowanie kluczy kryptograficznych i certyfikatów za pomocą kodu

jednorazowego

1. W celu wygenerowania kluczy kryptograficznych i certyfikatu użytkownika za pomocą

kodu jednorazowego, należy uruchomić stronę internetową www.docert.nbp.pl i wybrać

zakładkę „Certyfikaty użytkowe” (lub „Certyfikaty testowe”).


str. 4


2. Na wyświetlonej stronie należy kliknąć przycisk „Pobierz aplikację SZOC 2.0” w celu

pobrania pliku kontrolka_u.jnlp (lub kontrolka_t.jnlp w przypadku certyfikatów testowych).

3. W przypadku przeglądarki Google Chrome, przed zapisaniem pliku na dysku, w dolnym

lewym rogu pojawi się ostrzeżenie. Należy wybrać opcję „Zachowaj”, a następnie kliknąć

w ikonę przedstawiającą zapisany plik.

4. W przypadku przeglądarki Internet Explorer, po kliknięciu przycisku „Pobierz aplikację

SZOC 2.0” należy wybrać opcję „Otwórz”.

str. 5


5. W przypadku przeglądarki Firefox należy wybrać opcję „Otwórz za pomocą: Java (TM)

Web Start Launcher” i kliknąć „OK”.

6. Przed uruchomieniem SZOC pojawi się komunikat z prośbą o potwierdzenie

uruchomienia „Kontrolki Recertyfikacyjnej”. Należy kliknąć przycisk „Run.

str. 6


7. Po uruchomieniu aplikacji SZOC należy kliknąć przycisk „Kod jednorazowy”

8. W kolejnym kroku może pojawić się komunikat o braku certyfikatu urzędu certyfikacji

NBP CCK 2, jeśli pojawi się taki komunikat należy go zaakceptować.

9. Następnie należy podać lokalizację, w której zapisany zostanie plik z rozszerzeniem pfx

zawierający wygenerowane klucze kryptograficzne i certyfikat użytkownika. W tym celu

należy wybrać opcję „Wskaż”, a następnie wskazać odpowiednią lokalizację na dysku

str. 7


komputera oraz wpisać nazwę pliku i kliknąć przycisk „Zapisz”.

10.

11. Jeśli w oknie „Wskaż położenie pliku z kluczami” znajduje się prawidłowa ścieżka oraz

nazwa pliku, należy zatwierdzić wybór przyciskiem „OK”.

12. W kolejnym kroku należy ustalić hasło, które będzie zabezpieczać plik pfx i potwierdzić

je przyciskiem „OK”.

str. 8


13. Na koniec należy wprowadzić kod jednorazowy otrzymany z NBP i zatwierdzić go

klikając „OK”.

14. Poniższy komunikat informuje o pomyślnym zakończeniu procesu generowania nowych

kluczy kryptograficznych i certyfikatu.

str. 9


2. Zdalne odnawianie kluczy kryptograficznych i certyfikatu na karcie

elektronicznej

1. W celu odnowenia kluczy kryptograficznych i certyfikatu użytkownika na karcie

elektronicznej, należy włożyć kartę elektroniczną do czytnika i uruchomić stronę

internetową www.docert.nbp.pl i wybrać zakładkę „Certyfikaty użytkowe” (lub

„Certyfikaty testowe”).

2. Na wyświetlonej stronie w zależności od używanego systemu operacyjnego należy

kliknąć przycisk „Pobierz aplikację SZOC 2.0” w celu pobrania pliku kontrolka_u.jnlp (lub

kontrolka_t.jnlp w przypadku certyfikatów testowych).


str. 10




w ikonę przedstawiającą plik z rozszerzeniem jnlp.



str. 11


4. W przypadku przeglądarki Firefox należy wybrać opcję „Otwórz za pomocą: Java ™(TM)




str. 12


6. Po uruchomieniu aplikacji SZOC należy kliknąć przycisk „Karta elektroniczna”

8. Następnie należy podać PIN do karty elektronicznej i kliknąć przycisk „OK”.



str. 13


3. Zdalne odnawianie kluczy kryptograficznych i certyfikatu w pliku pfx

1. W celu odnowenia kluczy kryptograficznych i certyfikatu użytkownika w pliku pfx,

należy uruchomić stronę internetową www.docert.nbp.pl i wybrać zakładkę „Certyfikaty

użytkowe” (lub „Certyfikaty testowe”).

2. Na wyświetlonej stronie należy kliknąć przycisk „Pobierz aplikację SZOC 2.0” w celu

pobrania pliku kontrolka_u.jnlp (lub kontrolka_t.jnlp w przypadku certyfikatów testowych).


str. 14




w ikonę przedstawiającą plik z rozszerzeniem jnlp.



str. 15


4. W przypadku przeglądarki Firefox należy wybrać opcję „Otwórz za pomocą: Java (TM)




6. Po uruchomieniu aplikacji SZOC należy kliknąć przycisk „Klucz firmowy do

przeglądarki”

str. 16


7. Następnie należy podać lokalizację, w której znajduje się plik z rozszerzeniem pfx

zawierający dotychczas wykorzystywane klucze kryptograficzne i certyfikat. W tym celu

należy wybrać opcję „Wskaż” , wskazać odpowiedni plik z rozszerzeniem pfx i kliknąć

przycisk „Zapisz”.

8. Jeśli w oknie „Wskaż położenie pliku z kluczami” znajduje się właściwy plik, należy

zatwierdzić wybór przyciskiem „OK”.

str. 17


9. Następnie należy podać hasło chroniące plik z rozszerzeniem pfx wskazany

w poprzednim kroku i zatwierdzić je przyciskiem „OK”.

10. W kolejnym kroku należy podać lokalizację, w której zapisany zostanie plik z

rozszerzeniem pfx zawierający nowe klucze kryptograficzne i certyfikat. W tym celu

należy wybrać opcję „Wskaż”, wskazać odpowiednią lokalizację na dysku twardym

komputera, wpisać nazwę nowego pliku i kliknąć przycisk „Zapisz”.

str. 18


11. Jeśli w oknie „Plik z kluczami” znajduje się prawidłowa ścieżka oraz nazwa pliku, należy

zatwierdzić wybór przyciskiem „OK”.

UWAGA: Hasło chroniące nowy plik z rozszerzeniem pfx będzie identyczne z hasłem

podanym w kroku 8.



str. 19


4. Instalacja kluczy kryptograficznych i certyfikatów w przeglądarce

Internet Explorer

4.1 Instalacja certyfikatu urzędóu NBP CCK 2

1. W celu zainstalowania w przeglądarce Internet Explorer certyfikatu urzędu certyfikacji

NBP CCK 2, należy uruchomić stronę internetową www.docert.nbp.pl, a następnie z tabeli

znajdującej się w dolnej części strony wybrać certyfikat Centrum Certyfikacji Kluczy NBP.

2. Po wybraniu certyfikatu, na dole strony pojawi się okno z pytaniem „Czy chcesz otworzyć lub

zapisać plik …. z witryny docert.nbp.pl?„. Należy wybrać opcję „Otwórz”


str. 20


3. Po wyświetleniu certyfikatu urzędu certyfikacji należy wybrać opcję „Zainstaluj

certyfikat” w celu uruchomienia „Kreatora importu certyfikatów”. Na kolejnym ekranie

należy kliknąć „Dalej” .

str. 21


4. Na ekranie „Magazyn certyfikatów” należy zaznaczyć opcję „Umieść wszystkie

certyfikaty w następującym magazynie”, kliknąć „Przeglądaj”, wskazać „Zaufane główne

urzędy certyfikacji” i zatwierdzić wybór przyciskiem „OK”.

str. 22


str. 23


5. Po wykonaniu tych czynności należy zakończyć pracę kreatora przyciskiem „Zakończ”.

6. W przypadku, gdy na ekranie zostanie wyświetlone „Ostrzeżenie o zabezpieczeniach”

informujące o próbie zainstalowania certyfikatu urzędu certyfikacji należy kliknąć przycisk

„Tak” by zainstalować ten certyfikat. Instalacja jest potwierdzana komunikatem „Import

został pomyślnie ukończony”.

str. 24


4.2 Instalacja kluczy kryptograficznych i certyfikatu użytkownika w przeglądarce Internet Explorer

1. W celu zainstalowania w przeglądarce Internet Explorer kluczy i certyfikatu użytkownika

zapisanych w pliku pfx, należy kliknąć prawym przyciskiem myszy na wybranym pliku,

a następnie z menu kontekstowego wybrać opcję „Zainstaluj PFX” uruchamiając „Kreator

importu certyfikatów”.

str. 25


2. Na następnym ekranie należy sprawdzić, czy w polu „Nazwa pliku” znajduje się wybrany

w poprzednim kroku plik i jeśli tak, to potwierdzić wybór przyciskiem „Dalej”.

3. Następnie należy podać hasło zabezpieczające plik z kluczami i certyfikatem i potwierdzić

je przyciskiem „Dalej”. UWAGA: Należy dobrze rozważyć czy zaznaczać opcję „Oznacz ten klucz jako eksportowalny”. Jej

zaznaczenie stwarza zagrożenie, gdy do danej stacji roboczej dostęp mają osoby nieupoważnione

(mogą one taki klucz wyeksportować i przenieść na inną stację roboczą). Z drugiej strony,

niezaznaczenie tej opcji, oznacza, iż w przypadku utraty pliku PFX, nie będzie możliwości dokonania

zdalnej odnowy certyfikatu.

str. 26


4. By zakończyć instalację kluczy i certyfikatu należy dodatkowo wskazać magazyn,

w którym mają być one zapisane – w tym przypadku wystarczy zaznaczyć opcję

„Automatycznie wybierz magazyn certyfikatów na podstawie typu certyfikatu”

i potwierdzić wybór przyciskiem „Dalej”.

5. Ostatni ekran zawiera podsumowanie informacji zebranych w trakcie instalacji – jeśli

wszystkie informacje są prawidłowe, należy je zaakceptować przyciskiem „Zakończ”.

str. 27


5. Instalacja kluczy kryptograficznych i certyfikatów w przeglądarce

Firefox

5.1 Instalacja certyfikatu NBP CCK 2

1. W celu zainstalowania w przeglądarce Firefox certyfikatu urzędu certyfikacji NBP CCK 2,

należy uruchomić stronę internetową www.docert.nbp.pl, a następnie z tabeli znajdującej się

w dolnej części strony wybrać certyfikat Centrum Certyfikacji Kluczy NBP.

2. Po wybraniu certyfikatu, w kolejnym oknie należy zaznaczyć opcję „Zaufaj temu CA przy

identyfikacji witryn internetowych” a następnie kliknąć „OK.”


str. 28


3. Następnie należy wybrać drugi certyfikat urzędu certyfikacji i także zaznaczyć „Zaufaj temu

CA przy identyfikacji witryn internetowych”.

4. Ze względu na fakt, iż przeglądarka w żaden sposób nie potwierdza instalacji certyfikatu

urzędu certyfikacji, należy ręcznie zweryfikować czy certyfikat ten został dodany. W tym celu

w górnym rogu należy wybrać „Otwórz menu” a następnie „Opcje”.

5. W „Opcjach” należy wybrać zakładkę „Zaawansowane” a następnie „Certyfikaty” i kliknąć

przycisk „Wyświetl certyfikaty”.

str. 29


6. W kolejnym oknie należy wybrać zakładkę „Organy certyfikacji” i na liście odszukać

Narodowy Bank Polski. Na liście powinien znajdować się certyfikat przypisany do

Narodowego Banku Polskiego – NBP CCK 2.

str. 30


5.2 Instalacja kluczy kryptograficznych i certyfikatu użytkownika

1. W celu zainstalowania w przeglądarce Firefox kluczy i certyfikatu użytkownika zapisanych

w pliku pfx, należy uruchomić przeglądarkę a następnie w górnym rogu wybrać „Otwórz

menu” a następnie „Opcje”.

2. W „Opcjach” należy wybrać zakładkę „Zaawansowane” a następnie „Certyfikaty” i kliknąć

przycisk „Wyświetl certyfikaty”.

str. 31


3. W zakładce „Użytkownik” należy wybrać „Importuj” i wskazać plik pfx zawierający klucze

kryptograficzne i certyfikat użytkownika.

4. Następnie należy podać hasło chroniące plik pfx. Po jego podaniu import zostanie ukończony,

a certyfikat użytkownika pojawi się na liście.

str. 32


str. 33


6. Zmiana hasła do pliku pfx

1. Zmiana hasła do pliku pfx zawierającego klucze kryptograficzne i certyfikat wymaga jego

zainstalowania w przeglądarce internetowej, a następnie wyeksportowania tych kluczy

kryptograficznych do nowego pliku pfx, chronionego innym hasłem.

2. W celu zainstalowania w przeglądarce Internet Explorer kluczy i certyfikatu użytkownika

zapisanych w pliku pfx, należy kliknąć prawym przyciskiem myszy na wybranym pliku,

a następnie z menu kontekstowego wybrać opcję „Zainstaluj PFX” uruchamiając „Kreator

importu certyfikatów”.

str. 34


3. Na następnym ekranie należy sprawdzić, czy w polu „Nazwa pliku” znajduje się wybrany

w poprzednim kroku plik i jeśli tak, to potwierdzić wybór przyciskiem „Dalej”.

4. Następnie należy podać hasło zabezpieczające plik z kluczami i certyfikatem, zaznaczyć

opcję „Oznacz ten klucz jako eksportowalny” i potwierdzić przyciskiem „Dalej”.

str. 35


5. By zakończyć instalację kluczy i certyfikatu należy dodatkowo wskazać magazyn,

w którym mają być one zapisane – w tym przypadku wystarczy zaznaczyć opcję

„Automatycznie wybierz magazyn certyfikatów na podstawie typu certyfikatu”

i potwierdzić wybór przyciskiem „Dalej”.

6. Ostatni ekran zawiera podsumowanie informacji zebranych w trakcie instalacji – jeśli

wszystkie informacje są prawidłowe, należy je zaakceptować przyciskiem „Zakończ”.

str. 36


7. Następnie należy wyeksportować klucze kryptograficzne do pliku pfx. W tym celu

z górnego menu w przeglądarce Internet Explorer należy wybrać „Narzędzia” a następnie

„Opcje internetowe”.

8. W „Opcjach internetowych” należy wybrać zakładkę „Zawartość” a następnie kliknąć przycisk

„Certyfikaty”.

str. 37


9. W kolejnym oknie należy wybrać zakładkę „Osobisty”, wskazać odpowiedni certyfikat

i kliknąć przycisk „Eksportuj”.

10. Po uruchomieniu „Kreatora eksportu certyfikatów” na pierwszym ekranie należy kliknąć

„Dalej”, na kolejnym zaznaczyć opcję „Tak, eksportuj klucz prywatny” i również kliknąć

„Dalej”.

str. 38


11. W kolejnym oknie należy zaznaczyć „Wymiana informacji osobistych – PKCS#12 (.PFX)”

oraz wszystkie trzy opcje poniżej, a następnie kliknąć „Dalej”.

str. 39


12. Następnie należy ustalić nowe hasło chroniące nowy plik pfx. Po dwukrotnym jego

wprowadzeniu, kliknąć „Dalej”.

13. Pozostaje jeszcze wskazać lokalizację oraz nazwę nowego pliku pfx. W tym celu należy

kliknąć „Przeglądaj”, wskazać odpowiednie miejsce na dysku twardym komputera, a

także wpisać nazwę dla pliku pfx. Całość należy zatwierdzić przyciskiem „Dalej”.

str. 40


14. Na koniec zostanie wyświetlone podsumowanie zawierające wszystkie informacje

związane z eksportowanym certyfikatem. Jeśli dane są poprawne należy je

zatwierdzić przyciskiem „Zakończ”.

str. 41


7. Błędy przy zdalnej aktualizacji kluczy i

certyfikatów

7.1 Warunki niezbędne do uruchomienia Systemu Zdalnej Obsługi Certyfikatów: • Należy posiadać ważny certyfikat,

• Należy posiadać kartę lub plik pfx z kluczami kryptograficznymi oraz ważnym

certyfikatem,

• Należy znać hasło do pliku pfx/PIN do karty,

• Na komputerze, z którego wykonywana jest zdalna aktualizacja kluczy musi być

zainstalowana wirtualna maszyna Java w wersji co najmniej 1.8 jednak zalecana jest

najbardziej aktualna wersja pobrana ze strony http://www.java.com/ ,

• Proces należy wykonywać na maszynie fizycznej (nie przez terminal),

• Proces należy wykonywać na komputerze lokalnie (nie wykorzystywać zdalnego

pulpitu ani narzędzi typu VNC),

• Należy posiadać aktualną wspieraną przez producenta wersję systemu operacyjnego

(w przypadku SO Windows, wspierane są wersje od Windows 7 i nowsze)

7.2 Najczęstsze błędy związane z certyfikatami:

1. Certyfikat po okresie ważności. Brak możliwości zdalnego odnowienia.

2. Certyfikat unieważniony. Brak możliwości zdalnego odnowienia.

http://www.java.com/

str. 42


3. Użytkownik nie znaleziony w bazie systemu. Prosimy o kontakt z właściwym

Punktem Rejestracji Użytkowników w oddziale okręgowym NBP (dane kontatkowe

znajdują się na stronie www.docert.nbp.pl).

4. Przekroczona maksymalna liczba certyfikatów dla danego użytkownika. Prosimy o

kontakt z właściwym Punktem Rejestracji Użytkowników w oddziale okręgowym

NBP (dane kontatkowe zawarte są na stronie www.docert.nbp.pl).

5. Nie można nawiązać połączenia z Centaurem WWW

str. 43


Należy włączyć wyświetlania konsoli Java (Panel

sterowania(Programy)JavaAdvancedShow console

Następnie ponownie uruchomić przeglądarkę. Przy kolejnej próbie uruchomienia

kontrolki recertyfikacyjnej powinno się pojawić okno konsoli Java, którego zawartość

prosimy przysłać na adres [email protected] w celu analizy problemu.

mailto:[email protected]

System Zdalnej Obsługi Certyfikatów 2 - docert.nbp.pl · str. 2 System Zdalnej Obsługi...

Documents

Transcript of System Zdalnej Obsługi Certyfikatów 2 - docert.nbp.pl · str. 2 System Zdalnej Obsługi...