Wykorzystanie certyfikatów niekwalifikowanych zaufanych w oprogramowaniu Mozilla Firefox 10.0.x PL wersja 1.3
Spis treści 1. WSTĘP... 3 2. INSTALACJA CERTYFIKATÓW URZĘDÓW POŚREDNICH... 3 3. INSTALACJA WŁASNEGO CERTYFIKATU Z PLIKU... 6 4. INSTALACJA CZYTNIKA W PROGRAMIE MOZILLA FIREFOX... 10 4.1. INSTALACJA CZYTNIKA... 10 5. INSTALACJA CERTYFIKATU Z KARTY... 14 6. UWIERZYTELNIANIE UŻYTKOWNIKA... 16 7. WYKONYWANIE KOPII BEZPIECZEŃSTWA WŁASNEGO CERTYFIKATU... 19 8. USUWANIE CERTYFIKATÓW... 21 9. SPIS RYSUNKÓW... 23
1. Wstęp W niniejszej instrukcji znajdą Państwo informację dotyczące instalacji oraz możliwych zastosowań certyfikatów niekwalifikowanych zaufanych w oprogramowaniu Mozilla Firefox 10.0.x. Szczegółowe informacje na temat certyfikatów niekwalifikowanych zaufanych można znaleźć na stronie www.certum.pl Certyfikaty niekwalifikowane zaufane potwierdzają tożsamość właściciela w Internecie, co gwarantuje pewny i zaufany dostęp do informacji. Posiadają standard X.509 v.3, umożliwiający elektroniczne podpisywanie oraz szyfrowanie wysyłanych wiadomości, zapewniając wysoki poziom bezpieczeństwa przesyłanych danych. Opisywane certyfikaty są wydawane przez CERTUM PCC i posiadają certyfikat WebTrust, co oznacza, że są rozpoznawane przez większość znanych na świecie przeglądarek internetowych oraz produktów Microsoft Corp jako zaufane. 2. Instalacja certyfikatów urzędów pośrednich Przed użyciem własnego certyfikatu należy zainstalować certyfikaty publiczne urzędów pośrednich. Należy zlokalizować w/w certyfikaty na stronie internetowej centrum certyfikacji www.certum.pl (Wsparcie techniczne -> Zaświadczenia i klucze), a następnie zainstalować. W tym celu należy pobrać certyfikat i zapisać na dysku (nacisnąć Instaluj, a następnie wybrać miejsce do zapisania certyfikatu): Rysunek 1: Instalacja certyfikatów pośredniego centrum certyfikacji Certum Aby zainstalować certyfikaty w programie Firefox wchodzimy w Narzędzia->Opcje: 3 3
Rysunek 2: Menu Narzędzia -> Opcje, przeglądarki Mozilla Firefox Następnie wybieramy z górnego paska Zaawansowane, wchodzimy do zakładki Szyfrowanie i wybieramy Wyświetl certyfikaty. W nowym oknie, w zakładce Organy certyfikacji wybieramy Importuj: Rysunek 3: Lista zainstalowanych certyfikatów urzędów pośrednich w oknie menedżera certyfikatów 4 4
Teraz wybieramy certyfikat, który zapisaliśmy wcześniej na dysku twardym naszego komputera: W kolejnym oknie zaznaczamy wszystkie opcje: Rysunek 4: Okno wyboru pliku z certyfikatem urzędu Rysunek 5: Komunikat o dołączeniu nowego organu certyfikacji W taki sam sposób należy zainstalować pozostałe certyfikaty. Wszystkie zainstalowane certyfikaty powinny być widoczne w oknie Menedżera certyfikatów: 5 5
Rysunek 6: Lista zainstalowanych certyfikatów urzędów pośrednich w oknie menedżera certyfikatów 3. Instalacja własnego certyfikatu z pliku Pliki z rozszerzeniem *.pfx oraz *.p12 są plikami zawierającymi kopię bezpieczeństwa naszego certyfikatu osobistego. Jeżeli posiadamy plik z rozszerzeniem *.pfx lub *.p12 zawierający klucz prywatny, klucz publiczny oraz certyfikat, możemy przystąpić do jego importu. W celu zaimportowania własnego certyfikatu z pliku *.pfx lub *.p12 należy wybrać z menu programu Mozilla Firefox Narzędzia, a następnie Opcje: Rysunek 7: Menu Narzędzia -> Opcje, przeglądarki Mozilla Firefox 6 6
W górnej części nowo otwartego okna Opcje wybieramy zakładkę Zaawansowane, aby wyświetlić Ustawienia zaawansowane. Rysunek 8: Zakładka Szyfrowanie w oknie opcji przeglądarki Mozilla Firefox Następnie należy wybrać zakładkę Szyfrowanie, gdzie znajduje się Menedżer certyfikatów (przycisk Wyświetl certyfikaty). Po naciśnięciu, ukaże się okno Menedżer certyfikatów z domyślnie ustawioną zakładką Twoje certyfikaty, w którym wybieramy przycisk Importuj. 7 7
Rysunek 9: Zakładka certyfikatów własnych w oknie menedżera certyfikatów W nowo otwartym oknie Podaj nazwę pliku do odtworzenia, należy zlokalizować plik z własnym certyfikatem i wybrać przycisk Otwórz. W nowo otwartym oknie Proszę podać hasło należy wprowadzić hasło, które będzie użyte przy szyfrowaniu kopii bezpieczeństwa tego certyfikatu (należy wpisać hasło zabezpieczające certyfikat własny; jeżeli importujemy wyeksportowany wcześniej z przeglądarki Mozilla Firefox certyfikat własny, będzie to Hasło kopii bezpieczeństwa certyfikatu - opis w rozdziale 3 - Wykonywanie kopii bezpieczeństwa własnego certyfikatu ). Rysunek 10: Prośba o hasło do kopii bezpieczeństwa certyfikatu Wprowadzone hasło akceptujemy przyciskiem OK. Ukończenie importu certyfikatu osobistego zostanie potwierdzone poniższym komunikatem: Osobiste certyfikaty bezpieczeństwa oraz prywatne klucze zostały pomyślnie odtworzone z kopii zapasowej. Po zakończonym imporcie, w oknie Menedżera certyfikatów będzie znajdował się wcześniej zaimportowany certyfikat własny. Poniżej przedstawiono okno Menedżera certyfikatów po imporcie kliku certyfikatów własnych: 8 8
Rysunek 11: Lista certyfikatów zainstalowanych w oknie menedżera certyfikatów Należy pamiętać, iż Mozilla Firefox oraz Mozilla Thunderbird, inaczej niż w aplikacjach Microsoftu, posiadają osobne magazyny certyfikatów, dlatego oddzielnie należy instalować certyfikat w przeglądarce Mozilla Firefox i oddzielnie w programie pocztowym Mozilla Thunderbird. 9 9
4. Instalacja czytnika w programie Mozilla Firefox Czytnik jest niezbędnym elementem do korzystania z kart procesorowych. W naszej ofercie są czytniki, które można połączyć z komputerem osobistym przez wszystkie powszechnie stosowane interfejsy: RS232 (tzw. serial), USB lub PCMCIA (w laptopach) oraz w różnych systemach operacyjnych. Dla najbardziej wymagających mamy urządzenia odznaczające się wieloma niestandardowymi cechami, np. własnymi klawiaturami do bezpiecznego podawania kodu PIN lub niezależnymi czytnikami odcisku palca. Karty procesorowe (inteligentne) tzw. hard-tokens, są o wiele bezpieczniejsze od swoich software owych odpowiedników (certyfikatów i kluczy zapisanych w systemowych magazynach). Klucz prywatny nigdy nie opuszcza karty, a wszystkie operacje matematyczne odbywają się wewnątrz niej. Nie jest możliwy także atak brutalny na hasło klucza prywatnego po trzech nieudanych próbach wpisania PINU karta zostaje zablokowana. Karta umożliwia poza tym pracę na wielu stanowiskach bez konieczności importowania/eksportowania kluczy (można ją łatwo i wygodnie przenosić np. w portfelu). W przeglądarce Mozilla Firefox oprócz posiadania karty z kluczami i czytnika, konieczne jest zainstalowanie specjalnej biblioteki. Zespół Unizeto Certum dostarcza dll umożliwiającą zainstalowanie czytnika w Mozilli Firefox (instalowane przez aplikację Podpis Elektroniczny Zwykły dostarczanej wraz z Suscriptorem i Auctorem IC). 4.1. Instalacja czytnika Nasi klienci wraz z kartą i czytnikiem otrzymują niezbędne oprogramowanie zawierające odpowiednie biblioteki, które umożliwią integrację czytnika ze środowiskiem Mozilla. Istnieje również możliwość pobrania oprogramowania bezpośrednio z naszych stron. W przypadku problemów, prosimy o kontakt: info@certum.pl. Po zainstalowaniu dołączonych aplikacji i podłączeniu czytnika do aktywnego portu USB (zaświeci się zielona lampka w czytniku), należy uruchomić przeglądarkę Firefox. Z zakładki Narzędzia wybieramy Opcje: Rysunek 12: Menu Narzędzia -> Opcje, przeglądarki Mozilla Firefox W opcjach Zaawansowane -> Szyfrowanie wciskamy przycisk Urządzenia zabezpieczające: 10 10
Rysunek 13: Zakładka Szyfrowanie w oknie opcji przeglądarki Mozilla Firefox Z Menedżera urządzeń wybieramy opcję Załaduj: Rysunek 14: Lista standardowych urządzeń i modułów zabezpieczających w oknie Menedżera Urządzeń Wciskamy Przeglądaj w celu wybrania odpowiedniego pliku modułu (biblioteki). Można także wprowadzić nazwę modułu (np. Czytnik CERTUM), lub zostawić domyślny: 11 11
Rysunek 15: Okno informacji modułu Jeżeli używają Państwo karty z zestawu Certum (z kartą Starcos 3.0), należy wybrać w katalogu c:\windows\system32, bibliotekę crypto3pkcs.dll (instalowaną wraz z aplikacją z zestawu Certum). W przypadku problemów z instalacją czytnika, prosimy o sprawdzenie typu karty. Jeżeli jest to karta Starcos 2.3 (starsza wersja), powinna zostać użyta biblioteka aetpkss1.dll. Rysunek 16: Wybór biblioteki crypto3pkcs.dll z katalogu c:\windows\system32 12 12
Naciskamy OK: i potwierdzamy wybór: Rysunek 17: Okno informacji modułu wraz ze ścieżką dostępu Rysunek 18: Informacja potwierdzająca instalację modułu szyfrującego Firefox poinformuje nas o przebiegu instalacji: Rysunek 19: : Komunikat pomyślnie zakończonej instalacji W Menedżerze urządzeń widzimy już zainstalowane nasze urządzenie. Wciskamy Zaloguj, aby uwierzytelnić się względem karty (wpisując PIN): 13 13
Rysunek 20: Urządzenie Certum widoczne na liście po zainstalowaniu Teraz możemy już bezpiecznie uwierzytelniać się na stronach www, dzięki elektronicznemu paszportowi zapisanemu na karcie. Niekiedy może wystąpić błąd instalacji urządzenia zabezpieczającego, jak na rysunku poniżej: Rysunek 21: Komunikat błędu instalacji modułu W przypadku wystąpienia powyższego komunikatu, należy zamknąć wszystkie okna przeglądarki Mozilla Firefox. Następnie otworzyć nowe okno przeglądarki i od nowa przystąpić do instalacji urządzenia Certum. Komunikat taki może też wystąpić jeżeli w momencie wprowadzania danych w oknie informacji modułu (Rys. 17), nie wybierzemy z listy żadnej biblioteki. 5. Instalacja certyfikatu z karty W przeglądarce Mozilla Firefox, można również korzystać z certyfikatu bezpośrednio z karty. 1. Należy zainstalować urządzenie - czytnik kart z zestawu Certum - i podłączyć go do komputera 2. Następnie należy postępować według poniższych zaleceń: Z menu programu Mozilla Firefox wybieramy Narzędzia, a następnie Opcje. W oknie opcji wybieramy Zaawansowane i zakładkę Szyfrowanie, po czym wciskamy przycisk Wyświetl certyfikaty: 14 14
Rysunek 22: Zakładka Szyfrowanie w oknie opcji przeglądarki Mozilla Firefox Należy włożyć kartę do czytnika. Pokaże się okno: Rysunek 23: Okno hasła do profilu Po podaniu hasła do profilu i zatwierdzeniu go przyciskiem OK, ukaże się okno menedżera z certyfikatem, który znajduje się na karcie: 15 15
Rysunek 24: : Lista certyfikatów z karty widocznych w oknie menedżera certyfikatów Certyfikat z karty nie jest de facto instalowany w przeglądarce a jedynie widoczny w oknie Menedżera certyfikatów. Po wyjęciu karty z czytnika, certyfikat znika z okna Menedżera certyfikatów. Należy pamiętać, iż Mozilla Firefox oraz Mozilla Thunderbird, inaczej niż w aplikacjach Microsoftu, posiadają osobne magazyny certyfikatów, dlatego oddzielnie należy instalować certyfikat w przeglądarce Mozilla Firefox i oddzielnie w programie pocztowym Mozilla Thunderbird. 6. Uwierzytelnianie użytkownika Certyfikaty niekwalifikowane, wydane przez CERTUM Powszechne Centrum Certyfikacji mogą być wykorzystywane nie tylko do zabezpieczania serwerów WWW, ale również do uwierzytelniania użytkowników. Przy łączeniu się z witryna internetową, uwierzytelnić się można na dwa sposoby: 1. Certyfikat do uwierzytelnienia zainstalowany jest w przeglądarce z pliku. Jeżeli serwer, z którym połączył się użytkownik, wymusza identyfikację użytkownika za pomocą certyfikatu, to podczas próby połączenia się z witryną, zostaniemy poproszeni o przedstawienie tego certyfikatu, w celu uwierzytelnienia się. 16 16
Rysunek 25: Okno identyfikacji użytkownika przy próbie łączenia z zabezpieczoną witryną Po wciśnięciu OK, prawidłowo wyświetli się witryna internetowa. 2. Certyfikat do uwierzytelnienia zainstalowany jest w przeglądarce z karty Jeżeli serwer, z którym połączył się użytkownik, wymusza identyfikację użytkownika za pomocą certyfikatu, przy próbie połączenia z witryną zostaniemy poproszeni o hasło do profilu (karta musi znajdować się w czytniku podłączonym do komputera). Po wpisaniu hasła do profilu, użytkownik zostanie uwierzytelniony i prawidłowo połączymy się z zaszyfrowaną witryną internetową. Rysunek 26: Okno hasła do profilu Jeśli wyjmiemy kartę z czytnika, użytkownik nie zostanie uwierzytelniony, nie zostaniemy połączeni z witryną internetową i wystąpi błąd. 17 17
Rysunek 27: Błąd uwierzytelnienia przy próbie łączenia z witryną internetową UWAGA! Jeżeli użytkownik posiada zainstalowany w przeglądarce Mozilla Firefox choćby jeden certyfikat osobisty, który został odwołany, nie będzie możliwe uwierzytelnienie się na serwerze. W takiej sytuacji należy usunąć z Menedżera certyfikatów certyfikat osobisty, który został odwołany. W tym celu należy postępować według wskazówek zawartych w rozdziale 8 Usuwanie certyfikatów. 18 18
7. Wykonywanie kopii bezpieczeństwa własnego certyfikatu Aby wykonać kopie bezpieczeństwa własnego certyfikatu należy wybrać z menu programu Mozilla Firefox Narzędzia, a następnie Opcje. W górnej części nowo otwartego okna Opcje należy wybrać zakładkę Zaawansowane, aby wyświetlić Ustawienia zaawansowane. Następnie należy wybrać zakładkę Szyfrowanie, gdzie znajduje się Menedżer certyfikatów (przyciskamy Wyświetl certyfikaty). Ukaże się okno Menedżer certyfikatów z domyślnie ustawioną zakładką Twoje certyfikaty. Użytkownik posiada możliwość zdecydowania czy będzie eksportował jeden wskazany przez niego certyfikat osobisty czy wszystkie certyfikaty osobiste naraz (jeżeli posiada ich kilka). Jeżeli ma być wyeksportowany jeden certyfikat osobisty należy zaznaczyć określony certyfikat, a następnie wybrać przycisk Kopia Zapasowa. Rysunek 28: Tworzenie kopii zapasowej w Menedżerze certyfikatów Jeżeli mają być wyeksportowane wszystkie certyfikaty osobiste należy wybrać przycisk Kopia zapasowa wszystkich, zaznaczenie certyfikatów nie jest konieczne. Niezależnie czy eksportujemy jeden certyfikat osobisty czy wszystkie ukaże się okno Nazwa pliku kopii zapasowej, w którym wskazujemy lokalizację oraz wpisujemy nazwę pliku w polu Nazwa pliku. 19 19
Rysunek 29: Zatwierdzenie nazwy pliku kopii zapasowej Wprowadzone dane zatwierdzamy przyciskiem Zapisz. Pojawi się okno Podaj hasło, w którym spisujemy hasło, a następnie naciskamy przycisk OK. W nowo otwartym oknie Wybierz hasło kopii bezpieczeństwa certyfikatu wpisujemy w pierwszym polu hasło, a następnie potwierdzamy je wpisując to samo hasło w polu poniżej. Rysunek 30: Ustalenie hasła dla kopii certyfikatu 20 20
Wybieramy przycisk OK w celu zaakceptowania hasła. Pojawi się komunikat o pomyślnym wykonaniu kopii zapasowej. Zatwierdzamy przyciskiem OK. Rysunek 31: Komunikat pomyślnego utworzenia kopii zapasowej Kopia zapasowa określonego certyfikatu osobistego, bądź wszystkich certyfikatów osobistych została utworzona na wcześniej zdefiniowanej lokalizacji. UWAGA! Mozilla Firefox eksportuje certyfikat(y) do pliku z rozszerzeniem *.p12. Jeżeli użytkownik będzie chciał zaimportować certyfikat(y) z pliku *.p12 w programach takich jak Microsoft Office Outlook 2003, Microsoft Outlook Express czy Microsoft Internet Explorer, powinien postępować identycznie jak przy imporcie certyfikatu z pliku *.pfx. 8. Usuwanie certyfikatów UWAGA! Jeżeli nie zainstalowaliśmy certyfikatu w przeglądarce, a jedynie wyświetlamy w menedżerze certyfikat z karty, naciśnięcie przycisku Usuń (Rys. 29) spowoduje nieodwracalne usunięcie certyfikatu z karty. Nie zaleca się wykonywanie takiej czynności Aby usunąć zainstalowane certyfikaty osobiste z przeglądarki, należy wybrać z menu programu Mozilla Firefox Narzędzia, a następnie Opcje. W górnej części nowo otwartego okna Opcje należy wybrać zakładkę Zaawansowane, aby wyświetlić Ustawienia zaawansowane. Następnie należy wybrać zakładkę Szyfrowanie, gdzie znajduje się Menedżer certyfikatów (należy nacisnąć przycisk Wyświetl certyfikaty). Ukaże się okno Menedżer certyfikatów z domyślnie ustawioną zakładką Twoje certyfikaty. 21 21
Rysunek 32: Usuwanie certyfikatów w oknie menedżera certyfikatów Zaznaczamy ten certyfikat, który chcemy usunąć (możemy wyświetlić certyfikat, aby upewnić się czy usuwamy ten certyfikat, który chcemy), a następnie klikamy Usuń. Otworzy się okno potwierdzające usunięcie certyfikatu: Rysunek 33: Potwierdzenie usunięcia certyfikatu Po potwierdzeniu żądania usunięcia, certyfikat zostanie usunięty. 22 22
9. Spis rysunków Rysunek 1: Instalacja certyfikatów pośredniego centrum certyfikacji Certum... 3 Rysunek 2: Menu Narzędzia -> Opcje, przeglądarki Mozilla Firefox... 4 Rysunek 3: Lista zainstalowanych certyfikatów urzędów pośrednich w oknie menedżera certyfikatów... 4 Rysunek 4: Okno wyboru pliku z certyfikatem urzędu... 5 Rysunek 5: Komunikat o dołączeniu nowego organu certyfikacji... 5 Rysunek 6: Lista zainstalowanych certyfikatów urzędów pośrednich w oknie menedżera certyfikatów... 6 Rysunek 7: Menu Narzędzia -> Opcje, przeglądarki Mozilla Firefox... 6 Rysunek 8: Zakładka Szyfrowanie w oknie opcji przeglądarki Mozilla Firefox... 7 Rysunek 9: Zakładka certyfikatów własnych w oknie menedżera certyfikatów... 8 Rysunek 10: Prośba o hasło do kopii bezpieczeństwa certyfikatu... 8 Rysunek 11: Lista certyfikatów zainstalowanych w oknie menedżera certyfikatów... 9 Rysunek 12: Menu Narzędzia -> Opcje, przeglądarki Mozilla Firefox... 10 Rysunek 13: Zakładka Szyfrowanie w oknie opcji przeglądarki Mozilla Firefox... 11 Rysunek 14: Lista standardowych urządzeń i modułów zabezpieczających w oknie Menedżera Urządzeń... 11 Rysunek 15: Okno informacji modułu... 12 Rysunek 16: Wybór biblioteki crypto3pkcs.dll z katalogu c:\windows\system32... 12 Rysunek 17: Okno informacji modułu wraz ze ścieżką dostępu... 13 Rysunek 18: Informacja potwierdzająca instalację modułu szyfrującego... 13 Rysunek 19: : Komunikat pomyślnie zakończonej instalacji... 13 Rysunek 20: Urządzenie Certum widoczne na liście po zainstalowaniu... 14 Rysunek 21: Komunikat błędu instalacji modułu... 14 Rysunek 22: Zakładka Szyfrowanie w oknie opcji przeglądarki Mozilla Firefox... 15 Rysunek 23: Okno hasła do profilu... 15 Rysunek 24: : Lista certyfikatów z karty widocznych w oknie menedżera certyfikatów... 16 Rysunek 25: Okno identyfikacji użytkownika przy próbie łączenia z zabezpieczoną witryną... 17 Rysunek 26: Okno hasła do profilu... 17 Rysunek 27: Błąd uwierzytelnienia przy próbie łączenia z witryną internetową... 18 Rysunek 28: Tworzenie kopii zapasowej w Menedżerze certyfikatów... 19 Rysunek 29: Zatwierdzenie nazwy pliku kopii zapasowej... 20 Rysunek 30: Ustalenie hasła dla kopii certyfikatu... 20 Rysunek 31: Komunikat pomyślnego utworzenia kopii zapasowej... 21 Rysunek 32: Usuwanie certyfikatów w oknie menedżera certyfikatów... 22 Rysunek 33: Potwierdzenie usunięcia certyfikatu... 22 23 23