Instrukcja postępowania w celu uzyskania certyfikatu niekwalifikowanego SC Wersja 1.5 z dnia 14.08.2015 r. www.e-clo.gov.pl
Spis treści SŁOWNIK PRZYJĘTYCH SKRÓTÓW I TERMINÓW... 3 1. URUCHOMIENIE OPROGRAMOWANIA DO GENEROWANIA CERTYFIKATU... 4 2. GENEROWANIE CERTYFIKATU... 9 2.1. GENEROWANIE CERTYFIKATU PRZY WYKORZYSTANIU CSP... 10 2.1.1. POBRANIE WYGENEROWANEGO CERTYFIKATU... 13 2.1.2. INSTALACJA CERTYFIKATU WYGENEROWANEGO PRZY WYKORZYSTANIU CSP W SYSTEMIE WINDOWS... 14 2.2. GENEROWANIE CERTYFIKATU PRZY WYKORZYSTANIU PKCS#11... 18 2.3. GENEROWANIE CERTYFIKATU PRZY WYKORZYSTANIU KEYSTORE... 20 3. PROCEDURA POBRANIA CERTYFIKATU LUB DOKUMENTU POTWIERDZENIA WYDANIA CERTYFIKATU.... 23 2
Słownik przyjętych skrótów i terminów Skrót/termin Certyfikat niekwalifikowany SC ID SISC Instrukcja e-klient SC Osoba zarejestrowana PUESC Regulamin SC SISC HelpDesk Wyjaśnienie W rozumieniu niniejszej instrukcji jest to certyfikat tj. elektroniczne zaświadczenie wydane przez Służbę Celną, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umożliwiają identyfikację tej osoby; Unikalny numer identyfikacyjny nadawany osobom podczas procesu rejestracji w SISC; Instrukcja elektronicznej rejestracji dla potrzeb zarządzania użytkownikami korzystającymi z usług SISC; Osoba fizyczna, posiadająca konto na PUESC i posiadająca aktywny ID SISC, która w przyszłości zamierza składać dokumenty i/lub przesyłać komunikaty do SISC; Platforma Usług Elektronicznych Służby Celnej; Regulamin dla certyfikatów cyfrowych emitowanych przez Centrum Certyfikacji Służby Celnej Służba Celna; System Informacyjny Służby Celnej; Centrum wsparcia użytkowników systemów Służby Celnej. W kontekście certyfikatów PKI umożliwia Unieważnianie, Zawieszanie, Cofanie zawieszenia certyfikatów. Nr telefonu: (0-33) 483-20-55 Dane kontaktowe: HelpDesk: adres e-mail: helpdesk-eclo@mf.gov.pl numer telefonu/fax: (33) 483-20-55 (całodobowo) Centrum Informacji Służby Celnej (InfoSC): adres e-mail: info.sluzbacelna@kat.mofnet.gov.pl numer telefonu: 0 801-470-477 oraz +48 33 857-62-51 www.e-clo.gov.pl
1. Uruchomienie oprogramowania do generowania certyfikatu Certyfikat niekwalifikowany SC może uzyskać wyłącznie osoba zarejestrowana w SISC posiadająca aktywny numer ID SISC. Niezarejestrowany w SISC użytkownik PUESC powinien w pierwszej kolejności dokonać rejestracji, wypełniając Wniosek o rejestrację osoby fizycznej w SISC (patrz Instrukcja e-klient SC). Warunkiem koniecznym do poprawnego działania aplikacji jest posiadanie zainstalowanego i nie zablokowanego w przeglądarce internetowej oprogramowania Java 8 update 51 w wersji 32 bitowej. Oprogramowanie można pobrać ze strony http://www.java.com W przypadku generowania certyfikatu przy użyciu biblioteki PKCS#11 należy zainstalować oprogramowanie Java 7 update 75 w wersji 32 bitowej http://www.oracle.com/technetwork/java/javase/downloads/java-archive-downloads-javase7-521261.html - należy wybrać Java SE Runtime Environment 7u75 - Windows x86). Zainstalowaną wersje oprogramowana Java można zweryfikować na stronie https://www.java.com/verify W celu uzyskania certyfikatu, po zalogowaniu się na PUESC, należy otworzyć zakładkę moje konto (pole w prawym górnym rogu ekranu). Wybrać opcję Generuj niekwalifikowany certyfikat S.C. www.e-clo.gov.pl
Przed przejściem do kolejnego kroku należy złożyć oświadczenie o zapoznaniu się z Regulaminem i Instrukcją oraz wyrazić zgodę na przetwarzanie danych osobowych. Należy zaznaczyć oba pola wyboru (1) oraz poprawnie wprowadzić kod weryfikacyjny znajdujący się na obrazku (2). Następnie zatwierdzić przyciskiem Potwierdź (3). W przeglądarce internetowej może wyświetlić się komunikat informujący o konieczności uruchomienia wtyczki Java. Należy pozwolić na jej uruchomienie wybierając opcję pozwalającą na uruchomienie apletu Java. Sposób postępowania jest uzależniony od rodzaju używanej przeglądarki internetowej. W przeglądarce Firefox mogą wyświetlić się następujące okna informujące o konieczności odblokowania możliwości uruchomienia apletu dostęp do nich można uzyskać poprzez kliknięcie ikony oznaczonej na rysunku czerwonym kółkiem: 5
W powyższym przypadku należy oznaczyć Pozwól i zapamiętaj (1), a następnie zatwierdzić przyciskiem OK". W powyższym przypadku należy użyć przycisku Pozwól i zapamiętaj W przeglądarce Chrome wyświetla się w prawym górnym rogu przeglądarki następująca informacja: Po kliknięciu na ikonę oznaczoną na poniższym rysunku czerwonym kółkiem, wyświetla się okno informujące o zablokowanych wtyczkach Java. Należy zaznaczyć Zawsze zezwalaj na korzystanie z wtyczek w witrynie puesc.gov.pl (1), a następnie zatwierdzić przyciskiem Gotowe (2). Po zatwierdzeniu regulaminu następuje pobranie i uruchomienie na komputerze użytkownika oprogramowania do generacji certyfikatu. Na ekranie zostanie wyświetlona następująca informacja: 6
Należy poczekać na załadowanie apletu. Nie używać przycisku Zamknij, gdyż przerywa on ładowanie apletu. Proces ten może trwać dłuższą chwilę. 7
W trakcie procesu ładowania i uruchomienia apletu mogą zostać wyświetlone następujące okna: W powyższym oknie należy zaznaczyć pole wyboru (1.) i następnie użyć przycisku Run (2.) W powyższym oknie należy zaznaczyć pole wyboru (1.) i następnie użyć przycisku Allow (2.) Po dokonaniu powyższych operacji uruchamia się oprogramowanie do generowania certyfikatu. Na ekranie wyświetli się następujący komunikat: 8
2. Generowanie certyfikatu Aby wygenerować certyfikat, niezbędne jest przeprowadzenie podstawowej konfiguracji usług kryptograficznych. W tym celu należy dokonać wyboru jednego z dostępnych sposobów przechowywania certyfikatu: 1. CSP domyślny sposób przechowywania certyfikatów w systemie Windows. Certyfikaty zapisane w systemie Windows umożliwiają wyeksportowanie ich i zainstalowanie na innym komputerze. Jeżeli w systemie Windows zainstalowano uprzednio sterowniki karty kryptograficznej zgodne ze standardem CSP, możliwe będzie zapisanie wygenerowanego certyfikatu bezpośrednio na karcie posiadanej przez użytkownika. Jest to najbezpieczniejsza metoda przechowywania kluczy kryptograficznych i certyfikatu umożliwiająca wykorzystanie certyfikatu na wielu komputerach. 2. PKCS #11 alternatywny sposób przechowywania certyfikatów, niezależny od posiadanego systemu operacyjnego. Może mieć zastosowanie między innymi w systemie Linux. Wygenerowany certyfikat zostanie zapisany na karcie kryptograficznej. Jest to najbezpieczniejsza metoda przechowywania kluczy kryptograficznych i certyfikatu umożliwiająca wykorzystanie certyfikatu na wielu komputerach. W procesie konfiguracji konieczne będzie wskazanie lokalizacji sterownika PKCS #11 (informacje o tym powinny być uprzednio dostarczone przez producenta lub dystrybutora posiadanej karty kryptograficznej); 3. Keystore alternatywny sposób przechowywania certyfikatów obsługiwany przez mechanizmy Java (JKS Java KeyStore). Metoda ta jest niezależna od posiadanego systemu operacyjnego, który musi pozwalać na uruchomienie apletów Java. Należy jednak mieć na uwadze, że wygenerowane w ten sposób certyfikaty mogą być niewidoczne dla aplikacji systemu Windows.Wyboru sposobu przechowywania certyfikatu dokonuje się zaznaczając właściwą opcję w poniższym oknie (opis sposobu generacji certyfikatu znajduje się w rozdziałach poniżej): W przypadku użytkowników wykorzystujących system Windows sugerowanym wyborem jest opcja CSP 9
2.1. Generowanie certyfikatu przy wykorzystaniu CSP Należy zaznaczyć opcję CSP (1) i potwierdzić wybór przyciskiem OK (2). Gdy dokonano wyboru opcji CSP, należy w następnym kroku dokonać wyboru usługi służącej do generowania certyfikatu. W tym celu należy wskazać usługę wybranego dostawcy kart kryptograficznych zgodnych z CSP. W przypadku przechowywania kluczy na komputerze użytkownika w magazynie systemowym Windows, zalecane jest wybranie z listy rozwijanej opcji Microsoft Enhanced Cryptographic Provider (1) i zatwierdzenie przyciskiem OK". (2) 10
Następnie wyświetli się okno zabezpieczeń generowanego klucza. Należy w nim wybrać opcję Ustaw poziom zabezpieczeń Następnie należy podać hasło zabezpieczające i je potwierdzić (1). Hasło powinno składać się z minimum 6 znaków, zawierających duże i małe litery. Hasło jest poufne i niezbędne do obsługi certyfikatu. Należy zabezpieczyć je w sposób uniemożliwiający dostęp innym osobom. Po wpisaniu hasła należy kliknąć Zakończ (2). 11
W kolejnym oknie należy potwierdzić wybór ustawienia wysokiego poziomu zabezpieczeń, poprzez użycie przycisku OK. Następuje generowanie kluczy kryptograficznych i certyfikatu. Proces ten jest niewizualny i może potrwać kilka minut. 12
2.1.1. Pobranie wygenerowanego certyfikatu Po zakończeniu procesu generowania certyfikatu wyświetli się okno pozwalające na pobranie certyfikatu oraz dokumentu potwierdzającego wydanie certyfikatu. Dokument potwierdzający wydanie certyfikatu pobiera się wybierając opcję pobierz PDF. Wyświetlone okno zawiera także certyfikat w postaci tekstowej. Zawartość okna można skopiować i zapisać w pliku nadając mu rozszerzenie.cer. Dokument potwierdzający wydanie certyfikatu należy wydrukować i przechowywać w bezpiecznym miejscu, ponieważ zawiera on kod pozwalający na zawieszenie lub unieważnienie certyfikatu za pośrednictwem HelpDesk. Dokument potwierdzający wydanie certyfikatu, oraz certyfikat można pobrac ponownie wykorzystując procedurę opisana w Rozdziale 3. 13
2.1.2. Instalacja certyfikatu wygenerowanego przy wykorzystaniu CSP w systemie Windows Wygenerowany certyfikat należy pobrać. W tym celu należy wybrać opcję Zapisz certyfikat (obok opcji Pobierz PDF). W wyświetlonym komunikacie należy wybrać przycisk Zapisz. Pobranie certyfikatu zostanie potwierdzone następująca informacją: W celu zainstalowania certyfikatu w systemie należy wybrać przycisk Otwórz, a w kolejnym oknie należy wybrać Zainstaluj certyfikat. Po prawidłowym wykonaniu powyższych operacji zostanie uruchomiony Kreator importu certyfikatów. 14
W powyższym oknie należy wybrać przycisk Dalej. W kolejnym oknie należy zaznaczyć opcję Umieść wszystkie certyfikaty w następującym magazynie (1), następnie wybrać Przeglądaj (2). 15
Otworzy się okno wyboru magazynu certyfikatów. Należy wybrać Osobisty (1) i zatwierdzić wybór przyciskiem OK. (2). Po poprawnym wykonaniu wszystkich operacji otworzy się poniższe okno: Należy wybrać przycisk Dalej. 16
Otworzy się okno Kończenia pracy kreatora importu certyfikatów. W celu zakończenia procesu importu certyfikatu należy użyć przycisku Zakończ. Po poprawnym zakończeniu procesu importu certyfikatu pojawia się następujący komunikat: 17
2.2. Generowanie certyfikatu przy wykorzystaniu PKCS#11 Opcja ta wykorzystywana jest w przypadku certyfikatów zapisywanych na kartach kryptograficznych, niezależnie od posiadanego systemu operacyjnego. Jest to najbezpieczniejsza metoda przechowywania kluczy kryptograficznych i certyfikatu. Wykorzystując tą metodę użytkownik musi posiadać zgodny ze standardem PKSC#11 sterownik karty kryptograficznej dostarczony przez jej producenta. Certyfikaty generowane są bezpośrednio na karcie kryptograficznej, co umożliwia użytkownikowi bezpieczne wykorzystanie certyfikatu na wielu komputerach. W trakcie procesu generowania certyfikatu należy wskazać ścieżkę dostępu do posiadanego sterownika Po zaznaczeniu opcji PKCS#11 (1) należy wybrać przycisk wybierz bibliotekę PKCS#11 (2) i zatwierdzić przyciskiem OK" (3). 18
Należy podać kod PIN do karty kryptograficznej (1.) i zatwierdzić przyciskiem OK (2.) Certyfikat zostanie wygenerowany i zapisany na karcie. W trakcie operacji zapisu certyfikatu na karcie konieczne będzie ponowne podanie kodu PIN do karty. Proces ten jest niewizualny i może potrwać kilka minut. W celu pobrania certyfikatu należy postępować z opisem w rozdziale 2.1.1 Pobranie wygenerowanego certyfikatu 19
2.3. Generowanie certyfikatu przy wykorzystaniu Keystore Wybranie tej opcji umożliwia proste przenoszenie certyfikatu pomiędzy komputerami, bez konieczności importowania certyfikatu do systemu Windows. Należy jednak mieć na uwadze, że wygenerowane w ten sposób certyfikaty mogą być niewidoczne dla aplikacji systemu Windows. Po zaznaczeniu opcji Keystore (1) uaktywnią się następujące przyciski: Utwórz plik Keystore oraz Wybierz plik Keystore, widoczne w poniższym oknie: Jeśli plik Keystore nie został wcześniej utworzony należy wybrać opcję Utwórz plik Keystore (2). W przypadku wskazania pliku już istniejącego (2a), utworzone klucze i certyfikaty zostaną dopisane do tego pliku. Wybór należy potwierdzić przyciskiem OK. (3). W przypadku wyboru opcji opisanej jako (1a) pojawia się następujące okno: 20
Należy wskazać nazwę istniejącego pliku Keystore (1) i użyć przycisku Open (2). W przypadku wyboru opcji opisanej jako (1) pojawia się następujące okno: Należy podać nazwę pliku (3) i zatwierdzić przyciskiem Save (4). 21
Następnie należy wprowadzić hasło chroniące dostęp do kluczy i certyfikatów zapisanych w pliku Keystore. Należy wprowadzić hasło (1) i je powtórzyć w celu weryfikacji poprawności, po czym zatwierdzić przyciskiem OK (2). Następuje wygenerowanie certyfikatu i przesłanie go na komputer użytkownika. Proces ten jest niewizualny i może potrwać kilka minut. W celu zapisania wygenerowanego certyfikatu należy podać hasło wprowadzone w trakcie generowania klucza prywatnego. należy wprowadzić hasło (1), a następnie zatwierdzić przyciskiem OK (2). 22
Certyfikat zostanie zapisany automatycznie na komputerze użytkownika. Proces ten jest niewizualny i może potrwać kilka minut. W kolejnym kroku należy pobrać dokument potwierdzający wydanie certyfikatu. Dokument potwierdzający wydanie certyfikatu pobiera się wybierając opcję pobierz PDF. Wyświetlone powyżej okno zawiera także certyfikat w postaci tekstowej. Zawartość okna można skopiować i zapisać w pliku nadając mu rozszerzenie.cer. Dokument potwierdzający wydanie certyfikatu należy wydrukować i przechowywać w bezpiecznym miejscu, ponieważ zawiera on kod pozwalający na zawieszenie lub unieważnienie certyfikatu za pośrednictwem HelpDesk. Dokument potwierdzający wydanie certyfikatu, oraz certyfikat można pobrać ponownie wykorzystując procedurę opisana w Rozdziale 3. 3. Procedura pobrania certyfikatu lub dokumentu potwierdzenia wydania certyfikatu. W celu pobrania wcześniej wygenerowanego certyfikatu PKI lub dokumentu potwierdzającego wydanie certyfikatu należy, po zalogowaniu się na PUESC, należy otworzyć zakładkę moje konto (pole w prawym górnym rogu ekranu). UWAGA! Pobrana zostaje tylko część publiczna certyfikatu, część prywatna nie jest przechowywana w systemach Służby Celnej i nie jest możliwe jej odzyskanie przez system PKI Służby Celnej. 23
Wybrać opcję Lista niekwalifikowanych certyfikatów S.C. Wyświetlone zostanie okno zawierające wszystkie wydane użytkownikowi certyfikaty niekwalifikowane S.C. W celu pobrania certyfikatu lub dokumentu potwierdzenia wydania certyfikatu należy kliknąć na nr seryjny certyfikatu (1). Zostanie wyświetlone następujące okno: 24
W celu pobrania dokutemu potwierdzającego wydanie certyfikatu należy kliknąć przycisk pobierz PDF (1). Dokument ten zawiera kod pozwalający na zawieszenie lub unieważnienie certyfikatu za pośrednictwem HelpDesk. W celu pobrania certyfikatu (część publiczna) należy kliknąć przycisk Zapisz niekwalifikowany certyfikat (2) procedura instalacji certyfikatu opisana jest w pkt. 2.1.2 Instalacja certyfikatu wygenerowanego przy wykorzystaniu CSP w systemie Windows W przypadku, gdy certyfikat niekwalifikowany SC ma być używany w celu uwierzytelniania dokumentów przesyłanych poza SISC tj. do Systemów Celnych CELINA, ECS, ICS i/lub INTRASTAT, należy złożyć Wniosek o umożliwienie dostępu i korzystania z Systemów Celnych, stanowiący załącznik nr 1 do Instrukcji nadania kodu identyfikacyjnego (loginu) oraz rejestracji osób i podmiotów gospodarczych w Podsystemie Danych Referencyjnych (PDR) dla celów przesyłania elektronicznych zgłoszeń i pozostałych dokumentów do Systemów Celnych: CELINA, ECS, ICS oraz INTRASTAT. 25