1.5 Instalace a správa certifikátů - po návštěvě pobočky

aktualizace:

 

Pro instalaci certifikátů je zapotřebí disketa, na kterou byly na kontaktním místě v IPB všechny potřebné certifikáty nahrány.

Při instalaci certifikátů vyvoláte "Průvodce tvorby žádosti o certifikáty" volbou nabídky Správce/Administrace/Certifikáty/Přihlášení v aplikaci Klient IPB HOMEBANKING a přihlásíte se jako uživatel, pro něhož byly vygenerovány příslušné žádosti o certifikáty.

cert_inicializace.gif (6106 bytes)

obr. 1

Po klepnutí na tlačítko "Instalace nového certifikátu " z úvodního okna průvodce proběhne automatická instalace všech potřebných certifikátů z diskety, které patří přihlášenému uživateli. Certifikáty byly nahrány na tuto disketu na kontaktním místě v IPB. Po úspěšném nahrání certifikátů z diskety se zobrazí pouze informační okno, jak operace proběhla. Protože operace je zcela automatizována, tak se nezobrazí žádný dotazovací dialog. Po nahrání certifikátů pro uživatele, který podal žádost jen o podepisovací certifikát, je zobrazena pouze informační hláška o nainstalování certifikátu. Pro uživatele, který podával žádost o přístupový certifikát je zobrazeno okno s návodem, jak tento certifikát nainstalovat do internetového prohlížeče. Instalaci podpisových certifikátů je nutno provést tolikrát, kolik uživatelů aplikace vytvářelo žádosti o podpisový certifikát. Přístupový certifikát je však vždy právě jeden.

obr. 2

Popis instalace těchto certifikátů následuje.

1.5.1 Instalace osobních certifikátů pro Microsoft Internet Explorer


Máte-li nainstalován Internetový prohlížeč Netscape Communicator, přeskočte text až na kapitolu Načtení certifikátu pro Netscape Communicator.

Postup:

  1. Spustíte Microsoft Internet Explorer. Z nabídky vyberete položku "Zobrazit".
  2. Vyberete položku "Možnosti sítě Internet...". V okně "Možnosti sítě Internet" vyberete záložku "Obsah".
  3. Stisknete tlačítko "Osobní...". V okně "Ověřování klienta" stisknete tlačítko "Importovat...". Do kolonky "Soubor certifikátu, který bude importován:" vyberte (nebo vepište) soubor s příponou .p12   z adresáře ..\Program Files\Home Bank\certkeys\firma.000\... Jméno souboru a úplnou cestu k němu je výhodné zkopírovat do schránky z dialogového okna s informacemi při instalaci certifikátů do aplikace klient PC a zde ho vložit ze schránky / clipboardu. (obr. č. 8)
  4. Do kolonky "Heslo:" napíšete své přihlašovací heslo do aplikace IPB HOMEBANKING.
  5. V případě špatné instalace vám prohlížeč zobrazí hlášku: Aplikaci Internet Explorer se nezdařilo naimportovat tento certifikát" V opačném případě je vše v pořádku, certifikát by měl být v seznamu certifikátů.
  6. Zavřete všechna otevřená okna pomocí tlačítek "Zavřít" a "OK".

Průvodce MS-IE 4.0:

moznosti_site_ms.gif (12300 bytes)

obr. 3

obr. 4

MS-IE 5.0 má volbu "Možnosti sítě Internet" uloženu v menu "Nástroje" a místo tlačítka "Osobní" má tlačítko název "Certifikáty".

moznosti_site_ms5.gif (11003 bytes)

obr. 5

moznosti_site_cert.gif (13668 bytes)

obr. 6

Po aktivaci tlačítka "Osobní" (MS IE4.x) případně "Certifikáty" (MS IE5.0) se zobrazí dialogové okno, které umožňuje nahrání certifikátu do prohlížeče případně jeho vyexportování.

Ověření klienta

obr. 7

Po aktivaci tlačítka "Importovat" se Vám zobrazí následující dialog.

obr. 8

Soubor certifikátu:

Pro nalezení souboru můžete použít tlačítko "Procházet". Pokud jste si cestu k souboru certifikátu uložili do schránky / clipboardu, vložte obsah schránky do tohoto řádku.

Heslo:

Je to heslo, pod kterým jste se hlásili do aplikace, když jste vytvářeli žádost o přístupový certifikát. Jestliže jste tedy toto heslo zmenili v době mezi tvorbou žádosti o certifikáty a instalací certifikátů, je očekáváno heslo které bylo použito k přihlášení, když jste vytvářeli žádost o přístupový certifikát.

Jestliže instalujete certifikát ze souboru který vznikl exportem (uložením) "Heslo" se rozumí to, které jste zadali při "Exportu" (uložení) certifikátu.

Pokud vše proběhlo v pořádku, zobrazí se vám v seznamu certifikátů nová položka (pokud již neexistovala).

V případě chyby se zobrazí toto okno:

obr. 9

Případná chyba mohla být způsobena tím, že jste:

 

1.5.2 Uložení a zabezpečení certifikátů


Klíče a certifikáty jsou uloženy v systémových registrech.

Soukromé klíče se standardně nacházejí v: "HKEY_CURRENT_USER\Software\Microsoft\Cryptography\UserKeys\<KeyName>".

Kde <KeyName> je název klíče, tento název není shodný s žádnou hodnotou obsaženou přímo v certifikátu, ale pro HB je shodný s dekadickou hodnotou sériového čísla certifikátu.

Certifikáty se nacházejí standardně v: "HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\My\Certificates\<ID>", kde každé <ID> přísluší jednomu certifikátu. Pozor na rozdíl mezi Win 9x a Win NT. Ve Win NT je <ID> hodnota, ale ve Win 9x je to podklíč (certifikát je uložen až v hodnotě "blob") .

Přístup k databázi certifikátů je chráněn heslem do Windows! Proto uživatelé používající IE by měli při odchodu od počítače se odhlásit od Windows a nebo spustit heslem chráněný šetřič obrazovky, či zamknout stanici u Win NT.

V případě, že toto heslo do Windows uživatel zapomene nebo soubor s registry je poškozen nebo ve Windows 9x je smazán soubor <přihlašovací_jméno.pwl>, ztrácí všechny své soukromé klíče.

 

1.5.3 Export (zálohování) certifikátů


Spusťte dialog pro práci s certifikáty, ke kterému se dostanete stejným postupem, jako při instalaci certifikátu do IE (popsaný v uživatelské příručce).

obr. 10

Vyberte certifikát a stiskněte "Exportovat", vyplňte heslo (toto heslo bude po vás vyžadováno při budoucím načtení certifikátu.

obr. 11

 

Jestliže jste vše provedli v správně, zobrazí se vám následující dialogové okno.

obr. 12

Případná chyba mohla být způsobena tím, že jste:

 

1.5.4. Obnovení certifikátů


Jestliže již končí platnost některého z certifikátů, aplikace vyzve k jeho obnovení (14 dní před koncem platnosti). Certifikáty se obnovují v administrátorské části aplikace tlačítkem "Obnovení certifikátu". Žádost lze na I.CA odeslat v jakoukoliv denní či noční dobu. Následně bude žádost v pracovní době I.CA (8:00 - 17:00) během několika minut vyřízena. Obnovený certifikát lze poté nainstalovat (nezávisle na pracovní době I.CA) do aplikace volbou "Instalace obnoveného certifikátu". Certifikát lze obnovit pouze v případě, že platnost starého certifikátu ještě nevypršela (žádost o obnovený certifikát vyžaduje podepsání starým certifikátem).

Pokud certifikátu již vypršela doba platnosti, nelze funkci "Obnovení certifikátu" použít. V tomto případě je nutné vytvořit žádost o nový certifikát, uložit ji na disketu a navštívit pobočku IPB (tlačítko "Vytvoření nového certifikátu" viz obr. 14).

 

Generování žádosti o obnovu certifikátu

Následně jsou popisovány kroky, které vás povedou při generování žádosti o obnovu certifikátů.

Klepnutím na tlačítko menu Správce-Administrace se zobrazí následující dialogový box (obr 13), v němž zvolíte tlačítko "Certifikáty".

obr, obnova certifi

obr. 13

Po stisku tlačítka "Certifikáty" se zobrazí úvodní okno průvodce žádostí o certifikáty (viz obr. 14).

obr. obnova certifi

obr. 14

V úvodním okně průvodce volíte mezi žádostí o obnovení přístupového nebo podpisového certifikátu.

Význam některých tlačítek

Přihlásit jako nový uživatel Vyvolá okno pro přihlášení uživatele.
Vytvoření nového certifikátu Vyvolá průvodce tvorbou nové žádosti o certifikát (použijete v případě, že platnost dosavadního certifikátu již vypršela).
Obnovení certifikátu Vyvolá průvodce tvorbou žádosti o obnovení přístupového nebo podpisového certifikátu.
Instalace obnoveného certifikátu Instalace obnoveného certifikátu.
Konec Ukončení průvodce žádosti o cerifikáty.

Po aktivaci tlačítka "Obnovení certifikátu" se objeví obrazovka (viz obr. 15) s vyplněnými osobními údaji daného majitele certifikátu. Pokud jsou vyplněné údaje správné, je možné poslat žádost o obnovení certifikátu. V opačném případě (např. změna příjmení po svatbě apod.) je nutné vytvořit novou žádost.

obr. obnova certifi

obr. 15

Klepnutím na tlačítko "Pokračovat" se vygeneruje soukromý klíč a jste vyzváni v dialogovém okně k potvrzení zaslání na zpracování (obr. 16). Žádost může být zpracována pouze v úředních hodinách Certifikační autority I.CA (obr. 17).

obr. obnova certifi

obr. 16

obr. obnova certifi

obr. 17

Instalace obnoveného certifikátu

Informace o možném zpracování se objeví bezprostředně po zaslání žádosti. V této době, nejdříve však po 60 minutách, můžete klepnout na tlačítko "Instalace obnoveného certifikátu" a v případě úspěšného zpracování se vám objeví informace o úspěšné instalaci certifikátu.

Po úspěšné instalaci obnoveného přístupového certifikátu je vygenerován soubor pro instalaci do internetového prohlížeče, který nainstalujte podle návodu v kapitole pojednávající o této problematice. Pokud máte nejnovější verzi prohlížeče, lze záznam o nyní již neplatném certifikátu smazat. Pokud nejnovější verzi nemáte, tlačítkem Import se zařadí nová řádka stejného uživatele a obě budou vizuelně shodné. Je však zachováno pořadí - dole bude vždy aktuální certifikát a nad ním certifikáty neplatné. I v tomto případě však je možné neplatný certifikát smazat - za použití souboru DELCERT.EXE, který je umístěn v instalačním adresáři IPB HOMEBANKING.

 

1.5.5 Odstranění osobních certifikátů pro Microsoft Internet Explorer


IE verze 4.x neobsahuje přímý prostředek na odstranění certifikátu. Certifikáty se dají odstranit zásahem do registrů. Pro jednodušší práci byl vytvořen program pro odstraňování certifikátů DelCert.exe, který je součástí instalace. Před použitím tohoto programu doporučujeme uložit všechny certifikáty všech uživatelů a teprve po té použít tento program (viz obr. 18).

 

del_cert1.gif (3438 bytes)

obr. 18

Práce s tímto programem je velice jednoduchá. Pomocí kursoru vyberte certifikát, který chcete odstranit a stiskněte "Zruš certifikát" (obr. 19).

del_cert2.gif (7392 bytes)

obr. 19

V tomto okamžiku již certifikát není aktivní (viz obr. 20). Po stisku tlačítka "OK" bude certifikát definitivně odstraněn z registru operačního systému. Stiskem tlačítka "Aktivuj certifikát" je možné znovu aktivovat certifikát, jestliže již nebyl definitivně odstraněn použitím tlačítka OK.

del_cert3.gif (7996 bytes)

obr. 20

Jestliže nevlastníte tento program postupujte následně:

  1. proveďte zálohu registrů
  2. z IE uložte (exportujte) všechny certifikáty všech uživatelů
  3. spusťte "regedit.exe"
  4. přepněte se do "HKEY_CURRENT_USER\Software\Microsoft\Cryptography\UserKeys\
  5. smažte klíč s názvem sériového čísla certifikátu (toto platí jen pro HB)
  6. přepněte se do "HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\My\Certificates\"
  7. zobrazte si postupně hodnotu položky "Blob" u všech klíčů (pro Win 9x) nebo položky tohoto klíče (pro Win NT)
  8. smažte klíč (Win 9x) nebo položku (Win NT), který obsahuje řetězec sériového čísla certifikátu, tento řetězec se často nachází na adrese $0048 a je prokládán znaky $00 (zobrazuje se ".")

Body 4 - 8 můžeme provést jednodušeji (za předpokladu, že jsme si uložili všechny certifikáty) a to takto:

  1. přepněte se do "HKEY_CURRENT_USER\Software\Microsoft\Cryptography\UserKeys\
  2. smažte všechny podklíče, které se nacházejí v tomto klíči
  3. přepněte se do "HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\My\Certificates\"
  4. smažte všechny podklíče tohoto klíče (Win 9x) nebo všechny položky tohoto klíče (Win NT)
  5. načtěte certifikáty, které jste nechtěli smazat do IE (každý uživatel po svém vlastním přihlášení do Windows)

IE verze 5.x již obsahují možnost odinstalovat osobní certifikát pomocí dialogového okna pro správu certifikátů.

 

1.5.6 Instalace certifikátů I.CA


Pro správný běh IE je nutné mít nainstalovány certifikáty I.CA, které se nacházejí na adrese "http://pb.ipb.cz/cacert.cgi". Zobrazí se Vám následující obrazovka (s aktuálními daty platností certifikátů).

obr. 21

Vybereme postupně oba dva odkazy a provedeme tyto akce:
Pozor: soubor musíte Otevřít, nesmíte ho ukládat.

obr. 22

a aktivujeme tlačítko "OK".

obr. 23

Aktivujeme tlačítko "OK" Jestliže jsme ještě certifikát na tento počítač nenainstalovali zobrazí se nám výše uvedené okno, na které odpovíme "Ano" a certifikát se nám nainstaluje do Windows.

obr. 24

Jestliže jsme již tento certifikát nainstalovali dříve zobrazí se následující okno:

obr. 25

A odpovíme "Ne".

Stejnou akci provedeme i s druhým certifikátem.

 

1.5.7 Odstranění certifikátů I.CA


Zobrazte si seznam certifikátů certifikačních autorit, následujícím způsobem:
Spusťte si "Možnosti sítě internet -> Obsah":

obr. 26

Klikněte na "Agentury." a zobrazí se vám seznam certifikátů:

obr. 27

Nyní můžete certifikát odstranit tlačítkem "Odstranit".

Dialogová okna IE verze 5 se od verze 4 mírně liší, ale postup práce s certifkáty je stejný.

1.5.8 Instalace osobních certifikátů pro Netscape Navigator


  1. Spustíte Netscape Navigator. Z nabídky vyberete položku "Communicator".
  2. Vyberete položku "Informace o bezpečnosti". V levém sloupci stisknete odkaz "Vaše". Stisknete tlačítko "Importuj Certifikát...".
  3. Pokud se objeví okno "Nastavení hesla vašeho Communicatoru" musíte zadat nové heslo k databázi certifikátů v Communicatoru, pokud se objeví okno "Dotaz na vložení hesla", musíte zadat heslo, které jste zadávali jako nové k databázi certifikátů. Stisknete tlačítko "OK".
  4. Do kolonky pro název souboru napíšete název souboru z adresáře ..\Program Files\Home Bank\certkeys\firma.000\. Stisknete tlačítko pro otevření souboru.
  5. V okně "Dotaz na vložení hesla" zadáte své přihlašovací heslo do aplikace IPB HOMEBANKING a stisknete tlačítko "OK".
  6. V případě úspěchu se vám objeví hláška "Vaše certifikáty byly úspěšně naimportovány".
  7. Zavřete všechna okna pomocí tlačítek "OK".

Následuje instalace certifikátů certifikační autority I.CA. Ty se nainstalují tak, že z internetového prohlížeče se přejde na adresu http://pb.ipb.cz - na této adrese je odkaz na instalaci certifikátů I.CA.

Poté je již vše připraveno k připojení k WWW stránkám Homebankingu a je možné začít posílat platební příkazy, za předpokladu, že máme tuto službu aktivovanou.

 

1.5.9 Soukromé klíče a certifikáty v Netscape Navigatoru verze 4.x


Tato kapitola popisuje způsob uložení a práci s certifikáty a Netscape Navigatoru (dále jen NN) anglické i počeštělé verze. Všechna hesla jsou nejprve uvedena v originální verzi a dále následuje v [česká verze]. Anglické obrazovky jsou nahoře (resp. vlevo), české dole (resp. vpravo).

Uložení a zabezpečení certifikátů

Klíče a certifikáty jsou uloženy v databázích, které jsou uloženy v osobním adresáři každého uživatele. Tyto soubory se standardně nacházejí v adresáři "\Program Files\Netscape\Users\<UserName>\" (dále "osobní adresář").

Přístup k databázi certifikátů může být chráněn heslem, které se nastavuje v NN. Každý uživatel by si měl toto heslo nastavit, aby mu jiný uživatel nemohl zcizit jeho soukromé klíče. V případě, že toto heslo uživatel zapomene nebo je soubor s databází poškozen, ztrácí všechny své soukromé klíče.

Práce s databází certifikátů

Veškeré zabezpečení v NN se provádí v okně "Security Info" ["Informace o bezpečnosti"].

Toto okno vyvoláme v NN menu "Communicator -> Tools -> Security Info" (ve starších verzích "Communicator -> Security Info") ["Communicator -> Informace o bezpečnosti"] nebo z panele nástrojů "Security" ["Bezpečnost"] (symbol visacího zámku) nebo klávesovou zkratkou "Ctrl + Shift + I".

obr. 28a

obr. 28b

Zobrazí se vám následující dialogové okno, pravá strana okna může být různá v závislosti na tom, jakou stránku si prohlížíte.

 

1.5.10 Změna hesla k certifikátům pro Netscape Navigator


obr. 29a

obr. 29b

Pro změnu hesla k databázi certifikátů vybereme položku "Passwords" ["Hesla"]:

obr. 30a

obr. 30b

Dále vybereme "Change Password" ["Nastavit heslo"], jestliže heslo zadáváme poprvé pak se zobrazí tato obrazovka:

obr. 31a

obr. 31b

V případě, že jste již heslo jednou zadali:

Ve druhém případě zadáte staré heslo "Enter your old password:" ["Vložte své staré heslo"] a v obou případech zadáte nové heslo "New Password:" ["Nové heslo"] a kontrola zadání "Type it again to confirm:" ["Vložte jej znovu pro potvrzení"]. (V případě, že nechcete mí databázi chráněnu heslem, ponecháte prázdná políčka.) Stiskněte tlačítko "OK".

V případě, že jste zapomněli heslo k databázi, vypněte NN a smažte soubory "key3.db" a "cert7.db" z vašeho "osobního adresáře" avšak nenávratně ztrácíte své osobní certifikáty.

 

1.5.11 Frekvence kontroly hesla


Po nastavení hesla, ještě nastavíme frekvenci jeho kontrolování (Nastavuje se v položce "Passwords" ["Hesla"] viz výše). Heslo může být kontrolováno v následujících případech:

Práce s certifikáty

Nastavení aktivního certifikátu

obr. 32a

obr. 32b

Nastavení certifikátu, který vás identifikuje na WWW stránkách je v položce "Navigator":

"Certificate to identify you to a web site:" ["Certifikát, který vás identifikuje na web serveru:"]

Seznam certifikátů

Důležitá je sekce "Certificates" ["Certifikáty"], ve které se nacházejí:

obr. 33a

obr. 33b

Osobní certifikáty

V okně "These are your certificates:" ["Toto jsou vaše certifikáty"] vidíte seznam vašich certifikátů, jestliže si jeden z nich označíte, můžete jej:

"Get a Certificate." ["Získat certifikát."] = možnost získání certifikátu z Internetu (nepoužívané).

"Import a Certificate." ["Importovat certifikát."] = načtení certifikátu ze souboru (soubor získáte při dokončení instalace certifikátů do HB nebo po exportu certifikátu). Importovaný soubor má koncovku "p12".

 

1.5.12 Uložení (zálohování) certifikátů


 

obr. 34a,b

Vyberte ze seznamu osobních certifikátů certifikát, který chcete zálohovat, klikněte na tlačítko "Export" ["Exportovat"], zobrazí se vám okno pro zadání heslo k přístupu do databáze certifikátů (pokud máte heslo navoleno).

Vložte heslo a stiskněte "OK"

 

obr. 35a,b

Vložte heslo, kterým bude zašifrován soubor se zálohou (toto heslo bude vyžadováno při importu/instalaci tohoto certifikátu).

 

obr. 36a,b

Potvrďte toto heslo.

 

obr. 37a,b

Zadejte umístění a jméno souboru, do kterého se zašifrovaný certifikát uloží.

obr. 38a,b

Jestliže vše proběhlo v pořádku objeví se vám toto okno.

 

1.5.13 Načtení certifikátu


 

obr. 39a,b

 

obr. 40a,b

Vyberete soubor s certifikátem, který chcete nainstalovat a zmáčknete tlačítko "Open" ["Otevřít"]. Jste vyzváni k zadání hesla, kterým je chráněn tento soubor:

 

obr. 41a,b

Po správně zadaném hesle se zobrazí tato hláška:

A v seznamu certifikátů přibude právě nainstalovaný certifikát (pokud se již v tomto seznamu nevyskytoval!).

 

obr. 42a,b

Jestliže jste heslo vložili chybně nebo je soubor poškozen, zobrazí se vám okno na obr. 42.

 

1.5.14 Přenos certifikátu na jiný počítač


Na počítači, kde máme nainstalovány certifikáty provedeme Uložení certifikátu a na druhém počítači provedeme Načtení certifikátu. Heslo k souboru s certifikátem nikdy nikomu nesdělujte!

Přenos certifikátů mezi Internet Explorerem (IE) a NN

Přenos z NN do IE provedeme jednoduše uložením certifikátu z NN a načtením do IE. Jestliže chceme přenést certifikát z IE do NN, pak musíme certifikát z EI uložit pod názvem s koncovkou "p12" a následně jej načíst do NN.

 

 


[obsah] [Klient IPB HOMEBANKING]