|
Pro instalaci certifikátů je zapotřebí disketa, na kterou byly na kontaktním místě v IPB všechny potřebné certifikáty nahrány.
Při instalaci certifikátů vyvoláte "Průvodce tvorby žádosti o certifikáty" volbou nabídky Správce/Administrace/Certifikáty/Přihlášení v aplikaci Klient IPB HOMEBANKING a přihlásíte se jako uživatel, pro něhož byly vygenerovány příslušné žádosti o certifikáty.
obr. 1
Po klepnutí na tlačítko "Instalace nového certifikátu " z úvodního okna průvodce proběhne automatická instalace všech potřebných certifikátů z diskety, které patří přihlášenému uživateli. Certifikáty byly nahrány na tuto disketu na kontaktním místě v IPB. Po úspěšném nahrání certifikátů z diskety se zobrazí pouze informační okno, jak operace proběhla. Protože operace je zcela automatizována, tak se nezobrazí žádný dotazovací dialog. Po nahrání certifikátů pro uživatele, který podal žádost jen o podepisovací certifikát, je zobrazena pouze informační hláška o nainstalování certifikátu. Pro uživatele, který podával žádost o přístupový certifikát je zobrazeno okno s návodem, jak tento certifikát nainstalovat do internetového prohlížeče. Instalaci podpisových certifikátů je nutno provést tolikrát, kolik uživatelů aplikace vytvářelo žádosti o podpisový certifikát. Přístupový certifikát je však vždy právě jeden.
obr. 2
Popis instalace těchto certifikátů následuje.
1.5.1 Instalace osobních certifikátů pro Microsoft Internet Explorer
Máte-li nainstalován Internetový prohlížeč Netscape Communicator, přeskočte text až na kapitolu Načtení certifikátu pro Netscape Communicator.
Postup:
- Spustíte Microsoft Internet Explorer. Z nabídky vyberete položku "Zobrazit".
- Vyberete položku "Možnosti sítě Internet...". V okně "Možnosti sítě Internet" vyberete záložku "Obsah".
- Stisknete tlačítko "Osobní...". V okně "Ověřování klienta" stisknete tlačítko "Importovat...". Do kolonky "Soubor certifikátu, který bude importován:" vyberte (nebo vepište) soubor s příponou .p12 z adresáře ..\Program Files\Home Bank\certkeys\firma.000\... Jméno souboru a úplnou cestu k němu je výhodné zkopírovat do schránky z dialogového okna s informacemi při instalaci certifikátů do aplikace klient PC a zde ho vložit ze schránky / clipboardu. (obr. č. 8)
- Do kolonky "Heslo:" napíšete své přihlašovací heslo do aplikace IPB HOMEBANKING.
- V případě špatné instalace vám prohlížeč zobrazí hlášku: Aplikaci Internet Explorer se nezdařilo naimportovat tento certifikát" V opačném případě je vše v pořádku, certifikát by měl být v seznamu certifikátů.
- Zavřete všechna otevřená okna pomocí tlačítek "Zavřít" a "OK".
Průvodce MS-IE 4.0:
obr. 3
obr. 4
MS-IE 5.0 má volbu "Možnosti sítě Internet" uloženu v menu "Nástroje" a místo tlačítka "Osobní" má tlačítko název "Certifikáty".
obr. 5
obr. 6
Po aktivaci tlačítka "Osobní" (MS IE4.x) případně "Certifikáty" (MS IE5.0) se zobrazí dialogové okno, které umožňuje nahrání certifikátu do prohlížeče případně jeho vyexportování.
obr. 7
Po aktivaci tlačítka "Importovat" se Vám zobrazí následující dialog.
obr. 8
Soubor certifikátu:
Pro nalezení souboru můžete použít tlačítko "Procházet". Pokud jste si cestu k souboru certifikátu uložili do schránky / clipboardu, vložte obsah schránky do tohoto řádku.
Heslo:
Je to heslo, pod kterým jste se hlásili do aplikace, když jste vytvářeli žádost o přístupový certifikát. Jestliže jste tedy toto heslo zmenili v době mezi tvorbou žádosti o certifikáty a instalací certifikátů, je očekáváno heslo které bylo použito k přihlášení, když jste vytvářeli žádost o přístupový certifikát.
Jestliže instalujete certifikát ze souboru který vznikl exportem (uložením) "Heslo" se rozumí to, které jste zadali při "Exportu" (uložení) certifikátu.
Pokud vše proběhlo v pořádku, zobrazí se vám v seznamu certifikátů nová položka (pokud již neexistovala).
V případě chyby se zobrazí toto okno:
obr. 9
Případná chyba mohla být způsobena tím, že jste:
- neuvedli správně heslo,
- soubor s daným názvem neexistuje,
- nejste přihlášeni do Windows! (stiskli jste "Storno" při přihlašování do windows),
- certifikát s daným jménem již existuje u jiného uživatele.
1.5.2 Uložení a zabezpečení certifikátů
Klíče a certifikáty jsou uloženy v systémových registrech.
Soukromé klíče se standardně nacházejí v: "HKEY_CURRENT_USER\Software\Microsoft\Cryptography\UserKeys\<KeyName>".
Kde <KeyName> je název klíče, tento název není shodný s žádnou hodnotou obsaženou přímo v certifikátu, ale pro HB je shodný s dekadickou hodnotou sériového čísla certifikátu.
Certifikáty se nacházejí standardně v: "HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\My\Certificates\<ID>", kde každé <ID> přísluší jednomu certifikátu. Pozor na rozdíl mezi Win 9x a Win NT. Ve Win NT je <ID> hodnota, ale ve Win 9x je to podklíč (certifikát je uložen až v hodnotě "blob") .
Přístup k databázi certifikátů je chráněn heslem do Windows! Proto uživatelé používající IE by měli při odchodu od počítače se odhlásit od Windows a nebo spustit heslem chráněný šetřič obrazovky, či zamknout stanici u Win NT.
V případě, že toto heslo do Windows uživatel zapomene nebo soubor s registry je poškozen nebo ve Windows 9x je smazán soubor <přihlašovací_jméno.pwl>, ztrácí všechny své soukromé klíče.
1.5.3 Export (zálohování) certifikátů
Spusťte dialog pro práci s certifikáty, ke kterému se dostanete stejným postupem, jako při instalaci certifikátu do IE (popsaný v uživatelské příručce).
obr. 10
Vyberte certifikát a stiskněte "Exportovat", vyplňte heslo (toto heslo bude po vás vyžadováno při budoucím načtení certifikátu.
obr. 11
Jestliže jste vše provedli v správně, zobrazí se vám následující dialogové okno.
obr. 12
Případná chyba mohla být způsobena tím, že jste:
- neuvedli dvakrát stejné heslo,
- nelze vytvořit soubor s daným názvem,
- disk je plný,
- disketa není v mechanice,
- nemáte přístup k tomuto certifikátu = tato možnost může nastat, jestliže se na jednom počítači přihlašují uživatelé do domény windows (Win 9x) a nepřihlašují do samotných windows. V tomto případě se v okně s certifikáty, zobrazí všechny certifikáty, které jsou na daném počítači nainstalovány, ale používat lze pouze certifikát aktuálně přihlášeného uživatele.
1.5.4. Obnovení certifikátů
Jestliže již končí platnost některého z certifikátů, aplikace vyzve k jeho obnovení (14 dní před koncem platnosti). Certifikáty se obnovují v administrátorské části aplikace tlačítkem "Obnovení certifikátu". Žádost lze na I.CA odeslat v jakoukoliv denní či noční dobu. Následně bude žádost v pracovní době I.CA (8:00 - 17:00) během několika minut vyřízena. Obnovený certifikát lze poté nainstalovat (nezávisle na pracovní době I.CA) do aplikace volbou "Instalace obnoveného certifikátu". Certifikát lze obnovit pouze v případě, že platnost starého certifikátu ještě nevypršela (žádost o obnovený certifikát vyžaduje podepsání starým certifikátem).Pokud certifikátu již vypršela doba platnosti, nelze funkci "Obnovení certifikátu" použít. V tomto případě je nutné vytvořit žádost o nový certifikát, uložit ji na disketu a navštívit pobočku IPB (tlačítko "Vytvoření nového certifikátu" viz obr. 14).
Generování žádosti o obnovu certifikátu
Následně jsou popisovány kroky, které vás povedou při generování žádosti o obnovu certifikátů.
Klepnutím na tlačítko menu Správce-Administrace se zobrazí následující dialogový box (obr 13), v němž zvolíte tlačítko "Certifikáty".
obr. 13
Po stisku tlačítka "Certifikáty" se zobrazí úvodní okno průvodce žádostí o certifikáty (viz obr. 14).
obr. 14
V úvodním okně průvodce volíte mezi žádostí o obnovení přístupového nebo podpisového certifikátu.
Význam některých tlačítek
Přihlásit jako nový uživatel Vyvolá okno pro přihlášení uživatele. Vytvoření nového certifikátu Vyvolá průvodce tvorbou nové žádosti o certifikát (použijete v případě, že platnost dosavadního certifikátu již vypršela). Obnovení certifikátu Vyvolá průvodce tvorbou žádosti o obnovení přístupového nebo podpisového certifikátu. Instalace obnoveného certifikátu Instalace obnoveného certifikátu. Konec Ukončení průvodce žádosti o cerifikáty. Po aktivaci tlačítka "Obnovení certifikátu" se objeví obrazovka (viz obr. 15) s vyplněnými osobními údaji daného majitele certifikátu. Pokud jsou vyplněné údaje správné, je možné poslat žádost o obnovení certifikátu. V opačném případě (např. změna příjmení po svatbě apod.) je nutné vytvořit novou žádost.
obr. 15
Klepnutím na tlačítko "Pokračovat" se vygeneruje soukromý klíč a jste vyzváni v dialogovém okně k potvrzení zaslání na zpracování (obr. 16). Žádost může být zpracována pouze v úředních hodinách Certifikační autority I.CA (obr. 17).
obr. 16
obr. 17
Instalace obnoveného certifikátu
Informace o možném zpracování se objeví bezprostředně po zaslání žádosti. V této době, nejdříve však po 60 minutách, můžete klepnout na tlačítko "Instalace obnoveného certifikátu" a v případě úspěšného zpracování se vám objeví informace o úspěšné instalaci certifikátu.
Po úspěšné instalaci obnoveného přístupového certifikátu je vygenerován soubor pro instalaci do internetového prohlížeče, který nainstalujte podle návodu v kapitole pojednávající o této problematice. Pokud máte nejnovější verzi prohlížeče, lze záznam o nyní již neplatném certifikátu smazat. Pokud nejnovější verzi nemáte, tlačítkem Import se zařadí nová řádka stejného uživatele a obě budou vizuelně shodné. Je však zachováno pořadí - dole bude vždy aktuální certifikát a nad ním certifikáty neplatné. I v tomto případě však je možné neplatný certifikát smazat - za použití souboru DELCERT.EXE, který je umístěn v instalačním adresáři IPB HOMEBANKING.
1.5.5 Odstranění osobních certifikátů pro Microsoft Internet Explorer
IE verze 4.x neobsahuje přímý prostředek na odstranění certifikátu. Certifikáty se dají odstranit zásahem do registrů. Pro jednodušší práci byl vytvořen program pro odstraňování certifikátů DelCert.exe, který je součástí instalace. Před použitím tohoto programu doporučujeme uložit všechny certifikáty všech uživatelů a teprve po té použít tento program (viz obr. 18).
obr. 18
Práce s tímto programem je velice jednoduchá. Pomocí kursoru vyberte certifikát, který chcete odstranit a stiskněte "Zruš certifikát" (obr. 19).
obr. 19
V tomto okamžiku již certifikát není aktivní (viz obr. 20). Po stisku tlačítka "OK" bude certifikát definitivně odstraněn z registru operačního systému. Stiskem tlačítka "Aktivuj certifikát" je možné znovu aktivovat certifikát, jestliže již nebyl definitivně odstraněn použitím tlačítka OK.
obr. 20
Jestliže nevlastníte tento program postupujte následně:
- proveďte zálohu registrů
- z IE uložte (exportujte) všechny certifikáty všech uživatelů
- spusťte "regedit.exe"
- přepněte se do "HKEY_CURRENT_USER\Software\Microsoft\Cryptography\UserKeys\
- smažte klíč s názvem sériového čísla certifikátu (toto platí jen pro HB)
- přepněte se do "HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\My\Certificates\"
- zobrazte si postupně hodnotu položky "Blob" u všech klíčů (pro Win 9x) nebo položky tohoto klíče (pro Win NT)
- smažte klíč (Win 9x) nebo položku (Win NT), který obsahuje řetězec sériového čísla certifikátu, tento řetězec se často nachází na adrese $0048 a je prokládán znaky $00 (zobrazuje se ".")
Body 4 - 8 můžeme provést jednodušeji (za předpokladu, že jsme si uložili všechny certifikáty) a to takto:
- přepněte se do "HKEY_CURRENT_USER\Software\Microsoft\Cryptography\UserKeys\
- smažte všechny podklíče, které se nacházejí v tomto klíči
- přepněte se do "HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\My\Certificates\"
- smažte všechny podklíče tohoto klíče (Win 9x) nebo všechny položky tohoto klíče (Win NT)
- načtěte certifikáty, které jste nechtěli smazat do IE (každý uživatel po svém vlastním přihlášení do Windows)
IE verze 5.x již obsahují možnost odinstalovat osobní certifikát pomocí dialogového okna pro správu certifikátů.
1.5.6 Instalace certifikátů I.CA
Pro správný běh IE je nutné mít nainstalovány certifikáty I.CA, které se nacházejí na adrese "http://pb.ipb.cz/cacert.cgi". Zobrazí se Vám následující obrazovka (s aktuálními daty platností certifikátů).
obr. 21
Vybereme postupně oba dva odkazy a provedeme tyto akce:
Pozor: soubor musíte Otevřít, nesmíte ho ukládat.
obr. 22
a aktivujeme tlačítko "OK".
obr. 23
Aktivujeme tlačítko "OK" Jestliže jsme ještě certifikát na tento počítač nenainstalovali zobrazí se nám výše uvedené okno, na které odpovíme "Ano" a certifikát se nám nainstaluje do Windows.
obr. 24
Jestliže jsme již tento certifikát nainstalovali dříve zobrazí se následující okno:
obr. 25
A odpovíme "Ne".
Stejnou akci provedeme i s druhým certifikátem.
1.5.7 Odstranění certifikátů I.CA
Zobrazte si seznam certifikátů certifikačních autorit, následujícím způsobem:
Spusťte si "Možnosti sítě internet -> Obsah":
obr. 26
Klikněte na "Agentury." a zobrazí se vám seznam certifikátů:
obr. 27
Nyní můžete certifikát odstranit tlačítkem "Odstranit".
Dialogová okna IE verze 5 se od verze 4 mírně liší, ale postup práce s certifkáty je stejný.
1.5.8 Instalace osobních certifikátů pro Netscape Navigator
- Spustíte Netscape Navigator. Z nabídky vyberete položku "Communicator".
- Vyberete položku "Informace o bezpečnosti". V levém sloupci stisknete odkaz "Vaše". Stisknete tlačítko "Importuj Certifikát...".
- Pokud se objeví okno "Nastavení hesla vašeho Communicatoru" musíte zadat nové heslo k databázi certifikátů v Communicatoru, pokud se objeví okno "Dotaz na vložení hesla", musíte zadat heslo, které jste zadávali jako nové k databázi certifikátů. Stisknete tlačítko "OK".
- Do kolonky pro název souboru napíšete název souboru z adresáře ..\Program Files\Home Bank\certkeys\firma.000\. Stisknete tlačítko pro otevření souboru.
- V okně "Dotaz na vložení hesla" zadáte své přihlašovací heslo do aplikace IPB HOMEBANKING a stisknete tlačítko "OK".
- V případě úspěchu se vám objeví hláška "Vaše certifikáty byly úspěšně naimportovány".
- Zavřete všechna okna pomocí tlačítek "OK".
Následuje instalace certifikátů certifikační autority I.CA. Ty se nainstalují tak, že z internetového prohlížeče se přejde na adresu http://pb.ipb.cz - na této adrese je odkaz na instalaci certifikátů I.CA.
Poté je již vše připraveno k připojení k WWW stránkám Homebankingu a je možné začít posílat platební příkazy, za předpokladu, že máme tuto službu aktivovanou.
1.5.9 Soukromé klíče a certifikáty v Netscape Navigatoru verze 4.x
Tato kapitola popisuje způsob uložení a práci s certifikáty a Netscape Navigatoru (dále jen NN) anglické i počeštělé verze. Všechna hesla jsou nejprve uvedena v originální verzi a dále následuje v [česká verze]. Anglické obrazovky jsou nahoře (resp. vlevo), české dole (resp. vpravo).
Uložení a zabezpečení certifikátů
Klíče a certifikáty jsou uloženy v databázích, které jsou uloženy v osobním adresáři každého uživatele. Tyto soubory se standardně nacházejí v adresáři "\Program Files\Netscape\Users\<UserName>\" (dále "osobní adresář").
Přístup k databázi certifikátů může být chráněn heslem, které se nastavuje v NN. Každý uživatel by si měl toto heslo nastavit, aby mu jiný uživatel nemohl zcizit jeho soukromé klíče. V případě, že toto heslo uživatel zapomene nebo je soubor s databází poškozen, ztrácí všechny své soukromé klíče.
Práce s databází certifikátů
Veškeré zabezpečení v NN se provádí v okně "Security Info" ["Informace o bezpečnosti"].
![]()
Toto okno vyvoláme v NN menu "Communicator -> Tools -> Security Info" (ve starších verzích "Communicator -> Security Info") ["Communicator -> Informace o bezpečnosti"] nebo z panele nástrojů "Security" ["Bezpečnost"] (symbol visacího zámku) nebo klávesovou zkratkou "Ctrl + Shift + I".
obr. 28a
obr. 28b
Zobrazí se vám následující dialogové okno, pravá strana okna může být různá v závislosti na tom, jakou stránku si prohlížíte.
1.5.10 Změna hesla k certifikátům pro Netscape Navigator
obr. 29a
obr. 29b
Pro změnu hesla k databázi certifikátů vybereme položku "Passwords" ["Hesla"]:
![]()
obr. 30a
obr. 30b
Dále vybereme "Change Password" ["Nastavit heslo"], jestliže heslo zadáváme poprvé pak se zobrazí tato obrazovka:
obr. 31a
obr. 31b
V případě, že jste již heslo jednou zadali:
Ve druhém případě zadáte staré heslo "Enter your old password:" ["Vložte své staré heslo"] a v obou případech zadáte nové heslo "New Password:" ["Nové heslo"] a kontrola zadání "Type it again to confirm:" ["Vložte jej znovu pro potvrzení"]. (V případě, že nechcete mí databázi chráněnu heslem, ponecháte prázdná políčka.) Stiskněte tlačítko "OK".
V případě, že jste zapomněli heslo k databázi, vypněte NN a smažte soubory "key3.db" a "cert7.db" z vašeho "osobního adresáře" avšak nenávratně ztrácíte své osobní certifikáty.
1.5.11 Frekvence kontroly hesla
Po nastavení hesla, ještě nastavíme frekvenci jeho kontrolování (Nastavuje se v položce "Passwords" ["Hesla"] viz výše). Heslo může být kontrolováno v následujících případech:
- "The first time your certificate is needed" ["Poprvé, když bude certifikát třeba"] = při první práci s databází certifikátů (jednou po spuštění NN).
- "Every time your certificate is needed" ["Pokaždé, kdy je certifikát třeba"] = pokaždé, když je přistupováno k databázi certifikátů (pokaždé, když přecházíme z jedné bezpečné WWW stránky na jinou, někdy i několikrát na jedné stránce).
- "After XX minutes of inactivity" ["Po XX minutách neaktivity"] = pokaždé, když nepřistupujete k databázi certifikátů déle než XX minut (výhodná volba, jestliže často odcházíte od počítače).
Práce s certifikáty
Nastavení aktivního certifikátu
obr. 32a
obr. 32b
Nastavení certifikátu, který vás identifikuje na WWW stránkách je v položce "Navigator":
"Certificate to identify you to a web site:" ["Certifikát, který vás identifikuje na web serveru:"]
- v rozbalovacím menu se nachází seznam vašich osobních certifikátů a dvě následující položky:
- "Ask Every Time" ["Ptej se pokaždé"] = dotazovat se na certifikát pokaždé, když je vyžadován.
- "Select Automatically" ["Automatická volba"] = certifikát je vybrán automaticky bez dotazu (vhodné nastavit).
- jestliže vyberete konkrétní certifikát, bude vždy tento používán bez dotazování, až na případ, že vybraný certifikát nevyhovuje bezpečné komunikaci, jste vyzván pro zadání správného certifikátu (pokud takový mezi vašimi certifikáty existuje).
Seznam certifikátů
Důležitá je sekce "Certificates" ["Certifikáty"], ve které se nacházejí:
- "Yours" ["Vaše"] = vaše osobní certifikáty,
- "People" ["Lidé"] = certifikáty jiných lidí a organizací,
- "Web Sites" ["Web servery"] = certifikáty serverů a
- "Signers" ["Autority"] = certifikáty Certifikačních autorit (CA).
obr. 33a
obr. 33b
Osobní certifikáty
V okně "These are your certificates:" ["Toto jsou vaše certifikáty"] vidíte seznam vašich certifikátů, jestliže si jeden z nich označíte, můžete jej:
- zobrazit pomocí tlačítka "View" ["Zobrazit"],
- zkontrolovat tlačítkem "Verify" ["Ověřit"],
- odstranit ze seznamu "Delete" ["Smazat"] (tato akce nenávratně smaže váš certifikát i privátní klíč, nebudete moci již přistupovat na některé WWW stránky! ) nebo
- zálohovat (uložit do souboru) tlačítkem "Export" ["Exportovat"] (je vhodné si zálohovat všechny vaše osobní certifikáty!).
"Get a Certificate." ["Získat certifikát."] = možnost získání certifikátu z Internetu (nepoužívané).
"Import a Certificate." ["Importovat certifikát."] = načtení certifikátu ze souboru (soubor získáte při dokončení instalace certifikátů do HB nebo po exportu certifikátu). Importovaný soubor má koncovku "p12".
1.5.12 Uložení (zálohování) certifikátů
![]()
obr. 34a,b
Vyberte ze seznamu osobních certifikátů certifikát, který chcete zálohovat, klikněte na tlačítko "Export" ["Exportovat"], zobrazí se vám okno pro zadání heslo k přístupu do databáze certifikátů (pokud máte heslo navoleno).
Vložte heslo a stiskněte "OK"
![]()
obr. 35a,b
Vložte heslo, kterým bude zašifrován soubor se zálohou (toto heslo bude vyžadováno při importu/instalaci tohoto certifikátu).
![]()
obr. 36a,b
Potvrďte toto heslo.
![]()
obr. 37a,b
Zadejte umístění a jméno souboru, do kterého se zašifrovaný certifikát uloží.
obr. 38a,b
Jestliže vše proběhlo v pořádku objeví se vám toto okno.
1.5.13 Načtení certifikátu
![]()
obr. 39a,b
![]()
obr. 40a,b
Vyberete soubor s certifikátem, který chcete nainstalovat a zmáčknete tlačítko "Open" ["Otevřít"]. Jste vyzváni k zadání hesla, kterým je chráněn tento soubor:
![]()
obr. 41a,b
Po správně zadaném hesle se zobrazí tato hláška:
A v seznamu certifikátů přibude právě nainstalovaný certifikát (pokud se již v tomto seznamu nevyskytoval!).
![]()
obr. 42a,b
Jestliže jste heslo vložili chybně nebo je soubor poškozen, zobrazí se vám okno na obr. 42.
1.5.14 Přenos certifikátu na jiný počítač
Na počítači, kde máme nainstalovány certifikáty provedeme Uložení certifikátu a na druhém počítači provedeme Načtení certifikátu. Heslo k souboru s certifikátem nikdy nikomu nesdělujte!
Přenos certifikátů mezi Internet Explorerem (IE) a NN
Přenos z NN do IE provedeme jednoduše uložením certifikátu z NN a načtením do IE. Jestliže chceme přenést certifikát z IE do NN, pak musíme certifikát z EI uložit pod názvem s koncovkou "p12" a následně jej načíst do NN.
[obsah]
[Klient IPB HOMEBANKING]