Wykorzystanie certyfikatów niekwalifikowanych zaufanych w oprogramowaniu Microsoft Internet Explorer 7.0 PL wersja 1.1
Spis treści 1. WSTĘP... 3 2. WYKORZYSTANIE CERTYFIKATÓW SERWERÓW WWW... 3 3. WYKORZYSTANIE CERTYFIKATÓW UŻYTKOWNIKÓW DO UWIERZYTELNIANIA... 20 3.1 INSTALACJA WŁASNEGO CERTYFIKATU Z PLIKU *.PFX... 20 3.2. INSTALACJA WŁASNEGO CERTYFIKATU Z KARTY... 29 3.3. UWIERZYTELNIANIE UŻYTKOWNIKA... 31 3.4 WYKONYWANIE KOPII BEZPIECZEŃSTWA WŁASNEGO CERTYFIKATU... 33 4. USUWANIE CERTYFIKATÓW... 40 5. SPIS RYSUNKÓW... 43
1. Wstęp W niniejszej instrukcji znajdą Państwo informację dotyczące instalacji oraz możliwych zastosowań certyfikatów niekwalifikowanych zaufanych w oprogramowaniu Microsoft Internet Explorer 7.0, służącym m.in. do obsługi poczty elektronicznej. Szczegółowe informacje na temat certyfikatów niekwalifikowanych zaufanych można znaleźć na stronie www.certum.pl Certyfikaty niekwalifikowane zaufane potwierdzają tożsamość właściciela w Internecie, co gwarantuje pewny i zaufany dostęp do informacji. Posiadają standard X.509 v.3, umożliwiający elektroniczne podpisywanie oraz szyfrowanie wysyłanych wiadomości, zapewniając wysoki poziom bezpieczeństwa przesyłanych danych. Opisywane certyfikaty są wydawane przez CERTUM PCC i posiadają certyfikat WebTrust, co oznacza, że są rozpoznawane przez większość znanych na świecie przeglądarek internetowych oraz produktów Microsoft Corp jako zaufane. 2. Wykorzystanie certyfikatów serwerów WWW Powszechne wykorzystanie Internetu oraz stron WWW do wymiany danych osobowych, danych kart kredytowych (płatności on-line) oraz przeprowadzania transakcji naraża dane na szereg zagrożeń. Zagrożenia te polegają przede wszystkim na próbach przechwycenia (podsłuchania) przesyłanych danych oraz ich kradzieży poprzez podstawienie fałszywych stron WWW. Zabezpieczenie danych wymienianych za pośrednictwem stron WWW możliwe jest dzięki wykorzystaniu certyfikatów przez serwery WWW. Strona internetowa przedstawiająca się certyfikatem gwarantuje internaucie: 1. pewność, że strona, z którą się połączył, jest autentyczna, wiarygodna i nie została przez kogoś podstawiona. Ponieważ w certyfikacie, którym przedstawia się strona WWW, jest zapisany jej adres, a wiarygodność właściciela strony potwierdził wystawca certyfikatu, możemy być pewni jej autentyczności. Każda próba przedstawienia strony WWW o innym adresie niż zapisany w certyfikacie spowoduje wywołanie stosownego komunikatu ostrzegającego użytkownika o tym fakcie. 2. szyfrowane połączenie pomiędzy jego przeglądarką internetową a serwerem WWW (stroną WWW). Szyfrowanie możliwe jest przy wykorzystaniu protokołu SSL (Secure Sockets Layer). Dzięki temu wszelkie dane przekazywane przez przeglądarkę i stronę WWW są bezpieczne nawet wtedy, gdy zostaną przechwycone w czasie transmisji. Ma to szczególne znaczenie w przypadku wypełniania na stronach WWW formularzy z danymi osobowymi lub danymi kart kredytowych podczas robienia zakupów w Internecie. 3 3
Przeglądarka Microsoft Internet Explorer nawiązując połączenie szyfrowane z serwerem WWW wyświetli poniższy komunikat (przy założeniu, że użytkownik korzysta z domyślnych ustawień zabezpieczeń w w/w przeglądarce): Rysunek 1: Komunikat bezpiecznego połączenia z witryną internetową Ustawienia zabezpieczeń można wyświetlić wybierając z menu pozycję Narzędzia, a następnie Opcje internetowe. W nowo otwartym oknie Opcje internetowe, należy wybrać zakładkę Zaawansowane, w której przewijamy listę, aż ukaże się kategoria Zabezpieczenia. Bezpieczne połączenie zostanie nawiązane, jeżeli użytkownik naciśnie w powyższym oknie przycisk OK. Jeżeli wybrany zostanie przycisk Więcej informacji, ukaże się okno informujące o ochronie prywatności i zabezpieczeń komputera. Rysunek 2: Okno informacji funkcje ochrony prywatności i zabezpieczeń komputera 4 4
W oknie tym znajduje się również opis zabezpieczeń przy połączeniu ze stronami WWW. Tematy pogrupowane są w zagadnienia. Po najechaniu kursorem myszy na każdy z tematów, wskazany temat podświetli się na biało. Po wciśnięciu, w prawym oknie ukaże się szukane zagadnienie. Temat aktualnie ukazany w prawym oknie, zaznaczony jest na niebiesko w oknie lewym. Rysunek 3: Okno : Okno informacji zabezpieczenia przy połączeniu z www W prawym oknie, poniżej, znajdują się najczęściej zadawane pytanie i odpowiedzi na nie. Na dole, pod wszystkimi pytaniami, umieszczony jest link Tematy pokrewne. Po naciśnięciu na Tematy pokrewne, wyświetli się okno z większą ilością informacji bliskich szukanemu tematowi. 5 5
Rysunek 4: Okno tematów pokrewnych Na wybranym temacie dwukrotnie wciskamy przycisk myszy. Temat ukaże się w oknie głównym po prawej stronie. Każde z powyższych okien można zamknąć wciskając znak, znajdujący się w prawym górnym rogu okna. Jeżeli zaznaczymy opcję Nie pokazuj tego ostrzeżenia w przyszłości, komunikat o bezpiecznym połączeniu nie będzie więcej wyświetlany. UWAGA! Zaznaczenie opcji Nie pokazuj tego ostrzeżenia w przyszłości, w chwili nawiązywania bezpiecznego połączenia, spowoduje również wyłączenie komunikatu o zakończeniu bezpiecznego połączenia z serwerem. Jeżeli wybrano opcję Nie pokazuj tego ostrzeżenia w przyszłości, aby przywrócić poprzednie ustawienia, należy w menu przeglądarki Microsoft Internet Explorer wybrać pozycję Narzędzia, a potem Opcje internetowe. Rysunek 5: Menu Narzędzia -> Opcje internetowe przeglądarki Internet Explorer 6 6
W nowo otwartym oknie Opcje internetowe wybieramy zakładkę Zaawansowane, w której zaznaczamy opcję Ostrzegaj przy zmianie trybu zabezpieczonego na niezabezpieczony. Rysunek 6: Okno opcji zmiana trybu zabezpieczonego na niezabezpieczony Aby program zapamiętał wprowadzone zmiany, naciskamy przycisk OK. Jeżeli w oknie informującym o próbie nawiązania bezpiecznego połączenia naciśniemy OK, nastąpi zamknięcie tego okna (Rys.7 ). Rysunek 7: Komunikat bezpiecznego połączenia z witryną internetową 7 7
Następnie przeglądarka Internet Explorer nawiąże bezpieczne (szyfrowane) połączenie z serwerem WWW. Nawiązanie połączenia szyfrowanego sygnalizuje użytkownikowi ikona zamkniętej kłódki widoczna z prawej strony paska adresu przeglądarki. Drugą oznaką nawiązania szyfrowanego połączenia pomiędzy przeglądarką a serwerem WWW jest zmiana adresu widocznego w pasku adresu. Standardowy wpis http rozpoczynający każdy adres strony zmieni się na https (od skrótu HyperText Transfer Protocol Secure). Rysunek 8: Pasek adresu przeglądarki z elementami bezpiecznego połączenia W przeciwieństwie do połączenia ze stronami WWW, których adres rozpoczyna się od https, połączenie ze stroną o adresie rozpoczynającym się od http (od skrótu HyperText Transfer Protocol) nie jest szyfrowane. Po przesunięciu kursora myszy na ikonę kłódki widocznej z prawej strony paska adresu, ukaże się komunikat Raport zabezpieczeń. W raporcie tym znajduje się szczegółowe informacje o użyciu protokołu SSL (ang. Secure Sockets Layer), który zapewnia poufność i integralność przesyłanych danych oraz umożliwia przeprowadzanie uwierzytelnienia dzięki wykorzystaniu certyfikatów. Rysunek 9: Kłódka sygnalizująca bezpieczne połączenie Jeżeli użytkownik naciśnie dwukrotnie ikonę kłódki, ukaże się okno Identyfikacja witryny sieci web. W celu uzyskania informacji na temat zabezpieczeń przeglądanej strony WWW, należy nacisnąć Wyświetl certyfikaty: Rysunek 10: Raport zabezpieczeń witryny internetowej połączenie szyfrowane 8 8
Otworzy się okno Certyfikat, w którym znajdują się 3 zakładki: Ogólne, Szczegóły oraz Scieżka certyfikacji. Rysunek 11: Okno informacji o certyfikacie SSL - Ogólne W zakładce Ogólne znajdują się informacje o certyfikacie: przeznaczenie certyfikatu, nazwa domeny, dla której został wystawiony, nazwa wystawcy certyfikatu oraz jego okres ważności. W zakładce Szczegóły można zapoznać się z bardziej szczegółowymi informacjami. Zaznaczenie na liście wybranej pozycji spowoduje wyświetlenie szczegółowych informacji na jej temat w dolnej części okna. 9 9
Rysunek 12: Okno informacji o certyfikacie SSL - Szczegóły W zakładce Ścieżka certyfikacji, użytkownik może zapoznać się ze ścieżką certyfikacji certyfikatu serwera WWW. Ścieżka certyfikacji jest to drzewiasta struktura obrazująca hierarchiczne powiązanie między certyfikatem zabezpieczającym daną stronę WWW a certyfikatami centrum certyfikacji. Na najwyższym poziomie w ścieżce certyfikacji zawsze znajduje się certyfikat centrum certyfikacji (w tym przypadku Certum CA), tzw. root. Na najniższym poziomie umieszczony jest certyfikat zabezpieczający przeglądaną stronę (np. *.unizeto.pl). Pomiędzy certyfikatem serwera WWW, a certyfikatem centrum certyfikacji może znajdować się szereg innych certyfikatów pośrednich urzędów certyfikacji. Na rysunku poniżej przedstawiono sytuację, gdy w ścieżce certyfikacji znajduje się tylko jeden taki certyfikat (Certum Level IV). Każdy certyfikat w ścieżce powinien posiadać wpis Ten certyfikat jest prawidłowy w polu Stan certyfikatu. Jeżeli jest inaczej, oznacza to, że centrum certyfikacji, które wystawiło certyfikat dla oglądanej właśnie strony WWW, nie jest zaufane, a strona może być niebezpieczna lub podstawiona. 10 10
Rysunek 13: Okno informacji o certyfikacie SSL Ścieżka certyfikacji Aby zamknąć okno należy wybrać przycisk OK. W przypadku przejścia ze strony WWW zabezpieczonej certyfikatem i wymuszającej szyfrowane połączenie na stronę, która certyfikatu nie posiada, ukaże się poniższy komunikat: Rysunek 14: Komunikat opuszczenia bezpiecznego połączenia z witryną internetową 11 11
UWAGA! Zaznaczenie opcji Nie pokazuje tego ostrzeżenia w przyszłości, w chwili zamykania bezpiecznego połączenia spowoduje również wyłączenie komunikatu o nawiązywaniu bezpiecznego połączenia. Aby kontynuować przeglądanie stron, należy wybrać przycisk Tak. Trzeba jednak wziąć pod uwagę, że bezpieczne połączenie zostanie zakończone i dalsza wymiana danych będzie przebiegać w niezaszyfrowanym połączeniu. Jeżeli zostanie wybrany przycisk Nie, Internet Explorer zablokuje zmianę strony na niezabezpieczoną certyfikatem. W celu uzyskania dodatkowych informacji, należy wcisnąć przycisk Więcej informacji. Funkcjonalność okna została opisana powyżej (Rys 2.) Jeżeli zabezpieczona certyfikatem strona WWW zawiera elementy, których lokalizacji nie można bezpośrednio powiązać z adresem serwera (lub nazwą domeny umieszczoną w certyfikacie), bądź też zawiera elementy pobierane z innego serwera (np. banery reklamowe), przeglądarka nawiązując połączenie z taką stroną wyświetli komunikat: Rysunek 15: Komunikat połączenia się z witryną o elementach mieszanych Wybór przycisku Tak spowoduje, że przeglądarka nie wyświetli dla nowo otwartej strony ikony kłódki przy pasku adresu przeglądarki, ale nawiązane połączenie będzie szyfrowane, a adres strony będzie rozpoczynał się od wpisu https. Na stronach, z którymi nawiązano szyfrowane połączenie (adres rozpoczynający się od https), oraz dla których nie jest wyświetlana ikona kłódki przy pasku adresu, również możliwe jest wyświetlenie certyfikatu. Żeby to zrobić należy kliknąć w pustą kratkę na pasku stanu, która znajduje się u dołu przeglądarki. Rysunek 16: Pasek stanu przeglądarki pole z informacją o certyfikacie Jeżeli w oknie Informacje o zabezpieczeniach użytkownik wybierze przycisk Nie, nowo wyświetlona strona będzie zawierała jedynie elementy, do przesłania których zostało użyte połączenie szyfrowane. Inne elementy nie zostaną wyświetlone. Wyświetlona strona będzie oznaczona ikoną kłódki pasku adresu, a adres strony będzie rozpoczynał się od połączenia szyfrowanego https. przy Wybór przycisku Więcej informacji spowoduje ponowne wyświetlenie okna z informacjami o połączeniu, które możemy nawiązać z nową stroną. Informacja dotyczy głównie tego, że strona WWW zawiera również elementy, dla których nie są używane protokoły zabezpieczeń. 12 12
Rysunek 17: Okno informacji połączenie z www o zawartości mieszanej Powyższe okno zamykamy wciskając znak, znajdujący się w prawym górnym rogu okna. Jeżeli przeglądana strona nie jest zabezpieczona certyfikatem, a użytkownik naciśnie dwukrotnie w miejsce na pasku stanu u dołu przeglądarki (druga kratka od prawej), ukaże się poniższy komunikat: Rysunek 18: Komunikat braku certyfikatu SSL Będzie to potwierdzenie informacji, że serwer WWW nie ma certyfikatu i przeglądarka nie może nawiązać bezpiecznego połączenia z umieszczonymi na nim stronami WWW. Identyczny komunikat możemy uzyskać wybierając z górnego menu przeglądarki Microsoft Internet Explorer Plik, a następnie Właściwości. 13 13
Rysunek 19: : Menu Narzędzia -> Właściwości Ukaże się okno Właściwości, w którym należy nacisnąć przycisk Certyfikaty. Wyświetlony zostanie identyczny komunikat: Rysunek 20: Komunikat braku certyfikatu SSL Jeżeli za pomocą przeglądarki połączymy się z serwerem WWW, którego certyfikat wygasł (skończył się jego okres ważności), Internet Explorer wyświetli poniższy komunikat: 14 14
Rysunek 21: Alert zabezpieczeń zakończony okres ważności certyfikatu SSL Jeśli przyciśniemy dwukrotnie na drugą kratkę (od prawej) na pasku stanu u dołu przeglądarki, ukaże się poniższa informacja: Rysunek 22: : Komunikat braku certyfikatu SSL Aby uzyskać Więcej informacji (Rys 20), na dole alertu zabezpieczeń, można rozwinąć strzałkę: Jeżeli użytkownik nie chce dalej przeglądać strony ze względu na brak zabezpieczeń (nieważny certyfikat), powinien wybrać przycisk Kliknij tutaj, aby zamknąć tę stronę sieci Web. Spowoduje to, że dalsze przeglądanie stron WWW, które są opatrzone certyfikatem tego serwera, nie będzie możliwe. Użytkownik może dalej przeglądać strony, wybierając przycisk Kontynuuj przeglądanie tej witryny sieci Web. Spowoduje to nawiązanie szyfrowanego połączenia między przeglądarką a serwerem, jednak należy brać pod uwagę, że certyfikat serwera jest nieważny, a przeglądane strony niewiarygodne. Podawanie danych osobowych na takich stronach może spowodować przechwycenie ich przez osoby niepowołane. 15 15
Po wybraniu Kontynuuj przeglądanie tej witryny sieci Web, wyświetlona zostanie dana strona WWW. Pasek adresu będzie podświetlony na czerwono, aby zasygnalizować warunkowe połączenie z serwerem strony, która nie posiada ważnego certyfikatu. Obok paska adresu, gdzie powinna znajdować się kłódka, wyświetla się napis Błąd certyfikatu. Po najechaniu na to pole, ukaże się komunikat: Rysunek 23: Raport zabezpieczeń witryny internetowej połączenie nieszyfrowane Po wybraniu z menu Wyświetl certyfikaty, ukaże się poniższe okno: Certyfikat, gdzie w zakładce Ogólne będzie wyświetlona poniższa informacja: Rysunek 24: Informacje o nieważnym certyfikacie Po wybraniu zakładki Szczegóły okna Certyfikat, możemy zapoznać się z okresem ważności certyfikatu i upewnić się, że certyfikat wygasł. Pola związane z okresem ważności to Ważny od oraz Ważny do. W zakładce Ścieżka certyfikacji z lewej strony certyfikatu który wygasł, ukaże się znak. Jeżeli zaznaczymy certyfikat, który wygasł, w polu Stan certyfikatu znajdującym się w dolnej części zakładki, będzie widniał wpis Ten certyfikat wygasł lub nie uzyskał jeszcze ważności. Rysunek 25: Okno stanu certyfikatu Okno Certyfikat zamykamy przyciskiem OK. 16 16
Jeżeli za pomocą przeglądarki połączymy się z serwerem WWW, którego certyfikat został unieważniony, a w ustawieniach przeglądarki włączona jest opcja Sprawdź, czy certyfikat serwera nie został cofnięty, ukaże się poniższy komunikat: Rysunek 26: Alert zabezpieczeń unieważniony certyfikat SSL Zaleca się zamknięcie takiej witryny z powodu nieważnego certyfikatu SSL. Jeżeli w przeglądarce nie włączono opcji Sprawdź, czy certyfikat serwera nie został cofnięty, podczas łączenia sie z serwerem WWW, którego certyfikat jest unieważniony, nie pojawi sie żadne ostrzeżenie, a przeglądarka pokaże żądaną stronę WWW. Ukaże się też ikona kłódki przy pasku adresu przeglądarki. Wciśnięcie kłódki ukaże informacje o certyfikacie serwera WWW, ale nie będzie w niej informacji o jego unieważnieniu. UWAGA! W domyślnych ustawieniach przeglądarki internetowej Microsoft Internet Explorer opcja Sprawdź, czy certyfikat serwera nie został cofnięty, jest wyłączona. Żeby zapewnić wysoki poziom bezpieczeństwa, użytkownik powinien zaznaczyć w/w opcję postępując według poniższych zaleceń. Aby włączyć opcję Sprawdź, czy certyfikat serwera nie został cofnięty, należy w menu przeglądarki Internet Explorer wybrać Narzędzia, a następnie Opcje internetowe. 17 17
Rysunek 27: Menu Narzędzia -> Opcje internetowe W nowo otwartym oknie Opcje internetowe wybieramy zakładkę Zaawansowane, w której zaznaczamy opcję Sprawdź, czy certyfikat serwera nie został cofnięty. Rysunek 28: Opcje internetowe zaznaczenie opcji sprawdzania certyfikatu SSL 18 18
Wprowadzone zmiany zatwierdzamy przyciskiem OK, a potem zamykamy wszystkie otwarte okna przeglądarki. Jeżeli przeglądarka nawiąże połączenie z serwerem WWW udostępniającym certyfikat, który został wystawiony dla innej domeny niż domena witryny z którą się łączymy, ukazane zostanie poniższe okno. Rysunek 29: Alert zabezpieczeń nieprawidłowy certyfikat SSL Aby uzyskać Więcej informacji, na dole komunikatu można rozwinąć strzałkę: Jeżeli użytkownik nie chce dalej przeglądać strony ze względu na brak zabezpieczeń (nieważny certyfikat), powinien wybrać przycisk Kliknij tutaj, aby zamknąć tę stronę sieci Web. Spowoduje to, że dalsze przeglądanie stron WWW, które są opatrzone certyfikatem tego serwera, nie będzie możliwe. Po wybraniu Kontynuuj przeglądanie tej witryny sieci Web, wyświetlona zostanie dana strona WWW. Pasek adresu będzie podświetlony na czerwono, aby zasygnalizować warunkowe połączenie z serwerem strony, która nie posiada właściwego certyfikatu. 19 19
3. Wykorzystanie certyfikatów użytkowników do uwierzytelniania Poza opisaną w poprzednim rozdziale obsługą certyfikatów serwerowych, potwierdzających wiarygodność odwiedzanych stron WWW oraz umożliwiających szyfrowanie połączeń z tymi stronami, Internet Explorer pozwala na obsługę certyfikatów osobistych. Certyfikaty te, zawierające adres e-mail oraz dane określonej osoby, mogą być użyte za pomocą przeglądarki do uwierzytelniania użytkownika do określonych zasobów. Zasobami tymi mogą być zarówno internetowe strony WWW, strony WWW w sieci wewnętrznej dowolnej organizacji (firmy, urzędu, korporacji) lub aplikacje działające w technologii tzw. cienkiego klienta, czyli takie, które pracują na serwerze, a dostęp do nich odbywa się poprzez przeglądarkę internetową. Zasoby te zazwyczaj dostępne są po uwierzytelnieniu się użytkownika. Najczęściej w tym celu stosowana jest metoda polegająca na podaniu loginu i hasła, jednak jest ona mało praktyczna i ma wiele wad (niski poziom bezpieczeństwa, łatwość utraty lub zapomnienia hasła itp.). Obecnie coraz powszechniejszą metodą uwierzytelnienia się jest użycie certyfikatu osobistego do identyfikacji użytkownika i przydzielenie mu na tej podstawie określonych uprawnień oraz dostępu do wybranych zasobów. Konieczne jest do tego posiadanie i zainstalowanie w przeglądarce własnego certyfikatu 3.1 Instalacja własnego certyfikatu z pliku *.pfx Pliki z rozszerzeniem *.pfx są plikami, które zawierają kopię bezpieczeństwa naszego certyfikatu osobistego. Jeżeli posiadamy plik z rozszerzeniem *.pfx zawierający klucz prywatny, klucz publiczny oraz certyfikat, możemy przystąpić do jego importu. Możemy to zrobić na trzy sposoby: 1. Lokalizujemy plik na dysku, naciskamy nań dwa razy lewym przyciskiem myszy. Uruchomi się Kreator importu certyfikatów, w którym naciskamy przycisk Dalej. Następnie wskazujemy lokalizację pliku, z którego będziemy pobierać certyfikat (program domyślnie tworzy ścieżkę do importowanego certyfikatu). 20 20
Rysunek 30: Okno główne Kreatora importu certyfikatów Naciskamy Przeglądaj. Ukaże się okno, w którym w polu Pliki typu wybieramy Wymiana informacji osobistych (*.pfx; *.p12). Rysunek 31: : Wybór rodzaju pliku dla certyfikatu z listy rozwijalnej Lokalizujemy plik *.pfx z certyfikatem, a później zaznaczamy go i zatwierdzamy wybór przyciskiem Otwórz. Naciskamy Dalej, następnie podajemy hasło, którym zabezpieczony jest klucz prywatny. Hasło to zostało ustawione przy eksporcie certyfikatu do pliku. W tym samym oknie można zaznaczyć dwie dodatkowe opcje: Włącz silną ochronę klucza prywatnego oraz Oznacz ten klucz jako eksportowalny. 21 21
Zaznaczenie opcji Włącz silną ochronę klucza prywatnego spowoduje, że użytkownik będzie informowany o każdym użyciu klucza prywatnego przez aplikację. Zaznaczenie opcji Oznacz ten klucz jako eksportowalny, umożliwi użytkownikowi wykonanie w przyszłości kopii bezpieczeństwa kluczy, a następnie przeniesienie certyfikatu i kluczy na inna stację roboczą. Naciskamy przycisk Dalej. Rysunek 32: Okno wpisywania klucza do hasła prywatnego Następnie zaznaczamy Automatycznie wybierz magazyn certyfikatów na podstawie typu certyfikatu i zatwierdzamy wybór przyciskiem Dalej. 22 22
Rysunek 33: Automatyczny wybór magazynu certyfikatów z okna Kreatora importu certyfikatów Można również wybrać samodzielnie magazyn, do którego zostanie przypisany importowany certyfikat. W tym celu należy zaznaczyć Umieść wszystkie certyfikaty w następującym magazynie i wybrać Przeglądaj. Rysunek 34: Ręczny Wybór magazynu certyfikatów z okna Kreatora importu certyfikatów 23 23
Następnie wybieramy magazyn Osobisty i potwierdzamy wybór przyciskiem OK. Rysunek 35: Okno wyboru magazynu certyfikatów Po wciśnięciu Dalej ukaże się okno z wcześniej określonymi przez nas danymi związanymi z importem certyfikatu. Dane te można tu ponownie zweryfikować. Operację kończymy wciskając Zakończ. Rysunek 36: Weryfikacja ustawień przed zakończeniem pracy Kreatora importu certyfikatów Poprawne zainstalowanie certyfikatu będzie potwierdzone następującym komunikatem: 24 24
Rysunek 37: Komunikat potwierdzający prawidłowe zainstalowania certyfikatu Certyfikat osobisty jest już zainstalowany w programie Microsoft Internet Explorer. 2. Kreator importu certyfikatów możemy także uruchomić wybierając z menu programu Microsoft Internet Explorer pozycję Narzędzia, a potem Opcje internetowe. Rysunek 38: Menu Narzędzia -> Opcje internetowe W oknie opcji internetowych wybieramy zakładkę Zawartość. 25 25
Rysunek 39: Opcje internetowe -> zakładka Zawartość W części okna dotyczącej certyfikatów naciskamy przycisk Certyfikaty. W nowo otwartym oknie Certyfikaty naciskamy przycisk Importuj. Teraz postępujemy tak, jak w punkcie 1 podrozdziału 3.1, od momentu pojawienia się Kreatora importu certyfikatów. 3. Trzecią metodą na zainstalowanie własnego certyfikatu z pliku *.pfx jest uruchomienie Kreatora importu certyfikatów z Panelu Sterowania w systemie operacyjnym Windows. Z menu Start wybieramy Ustawienia, a następnie Panel sterowania. 26 26
Rysunek 40: : Przejście do panelu sterowania w celu wyboru opcji internetowych Ukaże się okno Panel sterowania. Rysunek 41: Wybór opcji internetowych z panelu sterowania systemu Windows Wybieramy Opcje Internetowe. W nowo otwartym oknie wybieramy zakładkę Zawartość. 27 27
Rysunek 42: Opcje internetowe -> zakładka Zawartość Naciskamy przycisk Certyfikaty. Pojawi się okno Certyfikaty. Wybieramy Importuj. Teraz postępujemy tak, jak w punkcie 1 podrozdziału 3.1, od chwili pojawienia się Kreatora importu certyfikatów. 28 28
3.2. Instalacja własnego certyfikatu z karty W celu zainstalowania certyfikatu z karty, należy pobrać oprogramowanie o nazwie procertum CardManager, do zarządzania kartą kryptograficzną. Oprogramowanie to dostępne jest na stronie http://www.unizeto.pl/unizeto/unizeto,pz_pliki_do_pobrania.xml. Po zainstalowaniu oprogramowania, można przystąpić do importu certyfikatu z karty. Aby zainstalować certyfikat z karty, należy: a. podłączyć czytnik kart do komputera b. włożyć kartę do czytnika c. uruchomić aplikację procertum CardManager. Aby program wykrył czytnik, zaleca się postępowanie według powyższej kolejności. Automatycznie zostanie odnaleziony rodzaj czytnika: Rysunek 43: Główne okno aplikacji ProCertum CardManager Po naciśnięciu przycisku Czytaj kartę, ukaże się okno z informacją o karcie i zakładki do wyboru profilu. Należy wybrać zakładkę Profil zwykły: Ukaże się poniższe okno: Rysunek 44: Okno wyboru profilu 29 29
Rysunek 45: Okno profilu zwykłego z widocznym certyfikatem W tym momencie można zainstalować certyfikat z karty w przeglądarce Internet Explorer. Aby tego dokonać, w oknie Profil Zwykły programu CardManager, należy nacisnąć Rejestruj Certyfikaty. Po chwili, ukaże się informacja: Rysunek 46: Komunikat poprawnej rejestracji certyfikatów Aby sprawdzić czy certyfikat zainstalowany został pomyślnie, należy otworzyć okno przeglądarki Internet Explorer, wybrać z menu Narzędzia wybrać Opcje Internetowe, a następnie wybrać zakładkę Zawartość. W zakładce tej należy wybrać przycisk Certyfikaty. W odpowiedniej zakładce (magazynie) na liście, wyświetli się zaimportowany certyfikat. 30 30
Rysunek 47: Okno zainstalowanych certyfikatów programu Outlook Express Przeglądarka Internet Explorer jak i program pocztowy Outlook/Outlook Express, mają wspólny magazyn (katalog) certyfikatów. Wynika z tego zależność: Przy instalacji certyfikatu z karty (lub z pliku) w przeglądarce Internet Explorer, automatycznie instalowany jest certyfikat w programach pocztowych Outlook/Outlook Express. Podobnie odwrotnie: instalacja certyfikatu z karty w programach pocztowych Outlook/Outlook Express, instaluje jednocześnie certyfikat w przeglądarce Internet Explorer. 3.3. Uwierzytelnianie użytkownika Certyfikaty niekwalifikowane, wydane przez CERTUM Powszechne Centrum Certyfikacji, można wykorzystać nie tylko do zabezpieczania serwerów WWW, ale również do uwierzytelniania użytkowników. Jeżeli serwer, z którym połączył się użytkownik, wymusza jego identyfikację za pomocą certyfikatu, ukaże się okno Wybieranie certyfikatu cyfrowego, w którym należy wskazać swój certyfikat osobisty. Wybór potwierdzamy wciskając przycisk OK. 31 31
Rysunek 48: Wybór certyfikatu cyfrowego z listy Kiedy pojawi się okno informujące o tym, że aplikacja żąda dostępu do elementu chronionego, wybieramy przycisk OK. Rysunek 49: Żądanie do elementu chronionego Kliknięcie przycisku OK spowoduje przesłanie do serwera certyfikatu użytkownika, a po jego weryfikacji przez serwer uwierzytelnienie danej osoby. Powyższe okno (Rys. 49) ukaże się w przypadku certyfikatu zainstalowanego w przeglądarce z pliku. Jeśli certyfikat do uwierzytelniania znajduje się na karcie, klucz prywatny nie jest wtedy importowany do przeglądarki, lecz zostaje na karcie. Przy próbie uwierzytelnienia, ukaże się w takim przypadku inne okno o nazwie Logowanie do profilu zwykłego. Należy wpisać PIN. 32 32
Rysunek 50: Okno logowania do profilu zwykłego Po wpisaniu prawidłowego PINu, zostaniemy uwierzytelnieni i zaszyfrowana strona internetowa otworzy się prawidłowo. 3.4 Wykonywanie kopii bezpieczeństwa własnego certyfikatu Aby wykonać kopie bezpieczeństwa własnego certyfikatu, należy z menu programu Microsoft Internet Explorer wybrać Narzędzia, a następnie Opcje internetowe. Rysunek 51: Menu Narzędzia -> Opcje przeglądarki W nowo otwartym oknie Opcje internetowe wybieramy zakładkę Zawartość. 33 33
Rysunek 52: Opcje internetowe -> zakładka Zawartość Naciskamy przycisk Certyfikaty, a potem w zakładce Osobisty okna Certyfikaty zaznaczamy certyfikat, który będzie eksportowany i naciskamy przycisk Eksportuj. 34 34
Rysunek 53: Wybór certyfikatu w celu jego eksportowania Pojawi się Kreator eksportu certyfikatów, w którym naciskamy przycisk Dalej. 35 35
Rysunek 54: Okno główne Kreatora importu certyfikatów Następnie należy wybrać, czy certyfikat ma być eksportowany z kluczem prywatnym. Rysunek 55: Opcja wyboru eksportu klucza prywatnego Zaznaczamy opcję Tak, eksportuj klucz prywatny, co spowoduje umieszczenie klucza prywatnego w pliku z certyfikatem. Dzięki temu w trakcie późniejszego importu certyfikatu z tego pliku, Internet Explorer będzie rozpoznawał certyfikat, jako certyfikat osobisty. UWAGA! W przypadku zaznaczenia opcji Nie eksportuj klucza prywatnego utworzony zostanie plik z certyfikatem, którego nie będzie można zaimportować jako certyfikatu osobistego. Możliwy będzie jedynie import tego certyfikatu jako certyfikatu innej osoby. Po dokonaniu wyboru klikamy Dalej. W kolejnym oknie należy zwrócić uwagę na opcję Włącz silną ochronę. Zaznaczenie opcji Włącz silną ochronę, może uniemożliwić import certyfikatu w przeglądarkach internetowych i programach pocztowych innych producentów niż Microsoft. Jeżeli zatem planujemy import certyfikatu z utworzonego pliku w programach innych producentów, nie należy zaznaczać opcji Włącz silną ochronę. 36 36
Rysunek 56: Wybór opcji formatu pliku *.pfx Następnie wybieramy przycisk Dalej. Wpisujemy hasło, które będzie zabezpieczało nasz klucz prywatny, a następnie potwierdzamy wpisując je ponownie w polu poniżej. Przyciskamy Dalej. Rysunek 57: Podanie hasła w celu zabezpieczenia klucza prywatnego Kreator eksportu certyfikatów poprosi o podanie nazwy pliku. Naciskamy przycisk Przeglądaj. W nowo otwartym oknie wskazujemy lokalizację oraz wpisujemy nazwę pliku w polu Nazwa pliku. Wprowadzone dane zatwierdzamy przyciskiem Zapisz. 37 37
Rysunek 58: Zapisanie certyfikatu jako pliku *.pfx na dysku twardym Po powrocie do głównego okna Kreatora eksportu certyfikatów klikamy Dalej. Rysunek 59: Okno eksportu pliku z pełną ścieżką dostępu 38 38
Kreator pokaże okno ze wszystkimi określonymi przez nas informacjami związanymi z eksportem. Jeżeli informacje są prawidłowe, wciskamy przycisk Zakończ. Ukaże się okno informujące, że program żąda dostępu do elementu chronionego. Rysunek 60: Żądanie do elementu chronionego Naciskamy OK. Zakończenie operacji eksportu będzie potwierdzone komunikatem Eksport zakończył się pomyślnie. Aby zatwierdzić, przyciskamy OK. Rysunek 61: : Komunikat prawidłowego zakończenia eksportu certyfikatu We wcześniej wybranym katalogu został utworzony plik z certyfikatem osobistym. 39 39
4. Usuwanie certyfikatów Aby usunąć własny certyfikat, należy w górnym menu programu Microsoft Internet Explorer wybrać Narzędzia, a następnie Opcje internetowe. Rysunek 62: Menu Narzędzia -> Opcje internetowe W nowo otwartym oknie Opcje internetowe, wybieramy zakładkę Zawartość. Rysunek 63: Opcje internetowe -> zakładka Zawartość 40 40
Naciskamy przycisk Certyfikaty, a potem w oknie Certyfikaty zaznaczamy własny certyfikat, który chcemy usunąć. Rysunek 64: Certyfikaty własne w oknie Certyfikaty Później naciskamy przycisk Usuń. Ukaże się komunikat z pytaniem czy jesteśmy pewni naszej decyzji. Rysunek 65: Komunikat pytający o usunięcie certyfikatu Wybieramy przycisk Tak. 41 41
Usunięcie własnego certyfikatu powoduje utratę możliwości deszyfrowania dokumentów, które inni użytkownicy zaszyfrowali przy użyciu usuniętego certyfikatu. Jeżeli użytkownik przechowuje dokumenty, które są zaszyfrowane jego certyfikatem, nie powinien go usuwać. Po usunięciu certyfikatu nie ma żadnej możliwości odszyfrowania dokumentów zaszyfrowanych tym certyfikatem. Certyfikaty innych osób oraz certyfikaty urzędów certyfikacji usuwa się tak samo, jak certyfikat własny, z tą tylko różnicą, że wyszukujemy je w innych zakładkach okna Certyfikaty. Różnica polega jedynie na wyświetleniu innego komunikatu przy wciśnięciu przycisku Usuń. 42 42
5. Spis rysunków Rysunek 1: Komunikat bezpiecznego połączenia z witryną internetową... 4 Rysunek 2: Okno informacji funkcje ochrony prywatności i zabezpieczeń komputera... 4 Rysunek 3: Okno : Okno informacji zabezpieczenia przy połączeniu z www... 5 Rysunek 4: Okno tematów pokrewnych... 6 Rysunek 5: Menu Narzędzia -> Opcje internetowe przeglądarki Internet Explorer... 6 Rysunek 6: Okno opcji zmiana trybu zabezpieczonego na niezabezpieczony... 7 Rysunek 7: Komunikat bezpiecznego połączenia z witryną internetową... 7 Rysunek 8: Pasek adresu przeglądarki z elementami bezpiecznego połączenia... 8 Rysunek 9: Kłódka sygnalizująca bezpieczne połączenie... 8 Rysunek 10: Raport zabezpieczeń witryny internetowej połączenie szyfrowane... 8 Rysunek 11: Okno informacji o certyfikacie SSL - Ogólne... 9 Rysunek 12: Okno informacji o certyfikacie SSL - Szczegóły... 10 Rysunek 13: Okno informacji o certyfikacie SSL Ścieżka certyfikacji... 11 Rysunek 14: Komunikat opuszczenia bezpiecznego połączenia z witryną internetową... 11 Rysunek 15: Komunikat połączenia się z witryną o elementach mieszanych... 12 Rysunek 16: Pasek stanu przeglądarki pole z informacją o certyfikacie... 12 Rysunek 17: Okno informacji połączenie z www o zawartości mieszanej... 13 Rysunek 18: Komunikat braku certyfikatu SSL... 13 Rysunek 19: : Menu Narzędzia -> Właściwości... 14 Rysunek 20: Komunikat braku certyfikatu SSL... 14 Rysunek 21: Alert zabezpieczeń zakończony okres ważności certyfikatu SSL... 15 Rysunek 22: : Komunikat braku certyfikatu SSL... 15 Rysunek 23: Raport zabezpieczeń witryny internetowej połączenie nieszyfrowane... 16 Rysunek 24: Informacje o nieważnym certyfikacie... 16 Rysunek 25: Okno stanu certyfikatu... 16 Rysunek 26: Alert zabezpieczeń unieważniony certyfikat SSL... 17 Rysunek 27: Menu Narzędzia -> Opcje internetowe... 18 Rysunek 28: Opcje internetowe zaznaczenie opcji sprawdzania certyfikatu SSL... 18 Rysunek 29: Alert zabezpieczeń nieprawidłowy certyfikat SSL... 19 Rysunek 30: Okno główne Kreatora importu certyfikatów... 21 Rysunek 31: : Wybór rodzaju pliku dla certyfikatu z listy rozwijalnej... 21 Rysunek 32: Okno wpisywania klucza do hasła prywatnego... 22 Rysunek 33: Automatyczny wybór magazynu certyfikatów z okna Kreatora importu certyfikatów... 23 Rysunek 34: Ręczny Wybór magazynu certyfikatów z okna Kreatora importu certyfikatów... 23 Rysunek 35: Okno wyboru magazynu certyfikatów... 24 Rysunek 36: Weryfikacja ustawień przed zakończeniem pracy Kreatora importu certyfikatów... 24 Rysunek 37: Komunikat potwierdzający prawidłowe zainstalowania certyfikatu... 25 Rysunek 38: Menu Narzędzia -> Opcje internetowe... 25 Rysunek 39: Opcje internetowe -> zakładka Zawartość... 26 Rysunek 40: : Przejście do panelu sterowania w celu wyboru opcji internetowych... 27 Rysunek 41: Wybór opcji internetowych z panelu sterowania systemu Windows... 27 Rysunek 42: Opcje internetowe -> zakładka Zawartość... 28 Rysunek 43: Główne okno aplikacji ProCertum CardManager... 29 43 43
Rysunek 44: Okno wyboru profilu... 29 Rysunek 45: Okno profilu zwykłego z widocznym certyfikatem... 30 Rysunek 46: Komunikat poprawnej rejestracji certyfikatów... 30 Rysunek 47: Okno zainstalowanych certyfikatów programu Outlook Express... 31 Rysunek 48: Wybór certyfikatu cyfrowego z listy... 32 Rysunek 49: Żądanie do elementu chronionego... 32 Rysunek 50: Okno logowania do profilu zwykłego... 33 Rysunek 51: Menu Narzędzia -> Opcje przeglądarki... 33 Rysunek 52: Opcje internetowe -> zakładka Zawartość... 34 Rysunek 53: Wybór certyfikatu w celu jego eksportowania... 35 Rysunek 54: Okno główne Kreatora importu certyfikatów... 36 Rysunek 55: Opcja wyboru eksportu klucza prywatnego... 36 Rysunek 56: Wybór opcji formatu pliku *.pfx... 37 Rysunek 57: Podanie hasła w celu zabezpieczenia klucza prywatnego... 37 Rysunek 58: Zapisanie certyfikatu jako pliku *.pfx na dysku twardym... 38 Rysunek 59: Okno eksportu pliku z pełną ścieżką dostępu... 38 Rysunek 60: Żądanie do elementu chronionego... 39 Rysunek 61: : Komunikat prawidłowego zakończenia eksportu certyfikatu... 39 Rysunek 62: Menu Narzędzia -> Opcje internetowe... 40 Rysunek 63: Opcje internetowe -> zakładka Zawartość... 40 Rysunek 64: Certyfikaty własne w oknie Certyfikaty... 41 Rysunek 65: Komunikat pytający o usunięcie certyfikatu... 41 44 44