- Created by Malkom, last modified on Feb 28, 2017
System QR-CERT umożliwia utworzenie urzędów certyfikacji (CA) typu:
- Główny Urząd CA (RootCA)
- Urząd Podrzędy (SubCA)
Tworzenie nowego urzędu
W celu utworzenia nowego urzędu należy kliknąć prawym klawiszem myszy w oknie zawartości dla grupy obiektów Urzędy CA i z menu podręcznego wybrać Nowy urząd…
Po wybraniu opcji tworzenia nowego urzędu aplikacja operatorska wyświetla okno z parametrami do uzupełnienia.
Rysunek: Okno tworzenia nowego urzędu, kolejne numery seryjne
Parametry niezbędne do wypełnienia:
Typ urzędu CA – typ urzędu CA (Główny urząd CA, Urząd SubCA)
Profil X.509 urzędu – zdefiniowany wcześniej profil X.509 certyfikatu urzędu CA (Root CA, SubCA itd.)
Nazwa – nazwa identyfikująca urząd w systemie QR-CERT
Dodatkowe opcje:
Udzielanie odpowiedzi OCSP dozwolone – w ramach danego urzędu będzie możliwe uzyskiwanie odpowiedzi o unieważnieniach certyfikatów za pomocą serwisu OCSP
Kontroluj unikalność kluczy – zaznaczenie (aktywacja tej opcji) spowoduje że system przed wydaniem certyfikatu będzie weryfikował czy w ramach urzędu CA został już wydany certyfikat z identycznym kluczem publicznym i jeżeli ustali że taki certyfikat został wydany to nie zezwoli na wydanie kolejnego certyfikatu z takim samym kluczem publicznym.
Numery seryjne certyfikatów mogą być generowane z wykorzystaniem:
- algorytmu AES256
- iteracji od wartości początkowej
- generatora liczb pseudolosowych
Numery generowane z wykorzystaniem algorytmu AES256 – numery seryjne certyfikatów będą generowane z wykorzystaniem algorytmu AES256, Klucz aes256 i IV aes256 stanowią wartości startowe dla algorytmu, które można podać ręcznie lub wygenerować losowo poprzez naciśnięcie ikony .
Numery kolejne rosnące o jeden od podanej wartości początkowej – numery seryjne certyfikatów będą generowane kolejno od liczby całkowitej w polu Wartość początkowa. Zawsze należy podać parzystą liczbę znaków zgodną z systemem szesnastkowym.
Numery losowe generowane z wykorzystaniem generatora liczb losowych – numery seryjne certyfikatów będą generowane kolejno z wykorzystaniem generatora liczb losowych z ograniczeniem maksymalnej długości ciągu wskazanej w polu Maksymalna długość.
Edycja urzędu
Jeśli urząd nie został aktywowany można dokonać jego edycji. Pojawi się okno tworzenia urzędu jak w punkcie Tworzenie nowego urzędu umożliwiając zmianę parametrów urzędu.
Tworzenie nowego urzędu na podstawie wskazanego
Możliwe jest utworzenie urzędu na podstawie już istniejącego, umożliwia np. tworzenie urzędu o podobnych parametrach do źródłowego. Należy kliknąć prawym klawiszem w oknie zawartości dla grupy obiektów Urzędy CA na wpisie urzędu i z menu podręcznego wybrać Utwórz na podstawie wskazanego urzędu…. Pojawi się okno tworzenia urzędu jak w punkcie Tworzenie nowego urzędu umożliwiając zmianę jego parametrów.
Zmiana statusu urzędu na aktywny
Aby można było użyć urzędu do dalszych operacji należy zmienić jego status na aktywny. W tym celu należy kliknąć prawym klawiszem w oknie zawartości dla grupy obiektów Urzędy CA na wpisie urzędu i z menu podręcznego wybrać Aktywuj urząd. Aplikacja potwierdzi poprawność operacji lub wyświetli kod błędu.
Rysunek: Potwierdzenie aktywowania urzędu
Zmiana statusu urzędu na nieaktywny
Aby zmienić status urzędu na nieaktywny należy kliknąć prawym klawiszem myszy wpis dotyczący urzędu w oknie zawartości dla grupy obiektów Urzędy CA i z menu podręcznego wybrać Zablokuj urząd. Aplikacja potwierdzi poprawność operacji lub wyświetli kod błędu.
Rysunek: Potwierdzenie zablokowania urzędu
Generowanie auto-certyfikatu
Urząd CA do pracy (podpisywanie certyfikatów, podpisywanie lista CRL i in.) potrzebuje certyfikatu (autocertyfikatu) i kluczy urzędu.
Aby wygenerować autocertyfikat (certyfikat samopodpisany - ang. self-signed) dla urzędu CA, należy kliknąć prawym klawiszem myszy wpis dotyczący urzędu w oknie zawartości dla grupy obiektów Urzędy CA i z menu podręcznego wybrać Generuj autocertyfikat…
Zostanie wyświetlone okno dostosowania parametrów generowanego certyfikatu. W oknie generowania autocertyfikatu należy określić termin ważności klucza prywatnego, termin ważności certyfikatu oraz wybrać moduł HSM do przechowywania klucza prywatnego urzędu. Autocertyfikat może być wygenerowany w oparciu o istniejący klucz przechowywany w module kryptograficznym
Tożsamość podmiotu - sekcja umożliwiająca wpisanie pełnej nazwy Distinguished Name (DN). Sposób tworzenia nazw DN został opisany w rozdziale Pola opisujące tożsamość (podstawowe).
W poniższym przykładzie aplikacja wyświetla 5 pól, które wcześniej zostały zdefiniowane podczas tworzenia profilu X.509 dla głównego urzędu CA (wybrany typ profilu: X.509/Certyfikat RootCA):
- commonName – używany do zapisania nazwy urzędu CA. Atrybut wymagany i edytowalny.
- organizationalUnitName – używany do zapisu nazwy działu/departamentu. Atrybut wymagany i edytowalny.
- organizationName – używany do zapisu nazwy organizacji. Atrybut wymagany i edytowalny.
- countryName – używany do zapisu dwu znakowego kodu kraju. Atrybut wymagany i edytowalny.
- description - uzywany do przechowywania ogólnego opisu dodatkowego. Atrybut niewymagany i edytowalny.
Termin ważności klucza prywatnego - pola Od, Do definiują okres czasu w którym będzie ważny certyfikat urzędu CA
Termin ważności certyfikatu - pola Od, Do definiują okres czasu w którym będzie ważny certyfikat urzędu CA. Termin ważności certyfikatu nie musi być identyczny jak termin ważności kluczy.
Moduł kryptograficzny w ramach którego będzie zarządzany klucz urzędu - pole wyboru z którego należy wybrać wartość zdefiniowaną przez Administratora w rozdziale - Modyfikuj przestrzeń. Domyślna wartość softHSM1 definiuje emulator programowy modułu HSM jako źródło kluczy dla urzędu CA.
Opcje w sekcji Metoda uzyskania klucza urzędu:
Generuj nowy klucz z użyciem mechanizmów modułu kryptograficznego - opcja pozwala wygenerować nowy klucz prywatny dla urzędu CA we wskazanym powyżej module kryptograficznym.
Użyj istniejący klucz zarządzany przez moduł kryptograficzny - opcja pozwala wykorzystać wygenerowany wcześniej klucz prywatny urzędu CA znajdujący się we wskazanym powyżej module kryptograficznym. Niezbędne jest podanie identyfikatora klucza prywatnego. Zgodnie z zaleceniami RFC, identyfikatorem klucza prywatnego może być wynik funkcji skrótu z klucza publicznego.
Rysunek: Okno generowania autocertyfikatu (certyfikatu samopodpisanego)
Generowanie wniosku PKCS#10 o certyfikat dla urzędu
Aby wygenerować wniosek PKCS#10 o certyfikat dla urzędu należy kliknąć prawym klawiszem myszy wpis dotyczący urzędu w oknie zawartości dla grupy obiektów Urzędy CA i z menu podręcznego wybrać Generuj wniosek PKCS#10 o certyfikat dla urzędu…
Uwaga
Wybranie opcji Generuj wniosek PKCS#10 o certyfikat dla urzędu… jest możliwe tylko dla podrzędnego typu urzędu CA: Urząd SubCA.
Zostanie wyświetlone okno dostosowania parametrów generowanego wniosku. W oknie generowania wniosku o certyfikację należy określić tożsamość podmiotu, moduł HSM do przechowywania klucza prywatnego urzędu oraz funkcję skrótu do podpisania wniosku PKCS#10. Wniosek może być wygenerowany w oparciu o istniejący klucz przechowywany w module kryptograficznym.
Tożsamość podmiotu - sekcja umożliwiająca wpisanie pełnej nazwy Distinguished Name (DN). Sposób tworzenia nazw DN został opisany w rozdziale Pola opisujące tożsamość (podstawowe). W poniższym przykładzie aplikacja wyświetla 3 póla, które wcześniej zostały zdefiniowane podczas tworzenia profilu X.509 dla podrzędnego urzędu CA (wybrany typ profilu: X.509/Certyfikat SubCA)::
- commonName – używany do zapisania nazwy urzędu CA. Atrybut wymagany i edytowalny.
- organizationName – używany do zapisu nazwy organizacji. Atrybut wymagany i edytowalny.
- countryName – używany do zapisu dwu znakowego kodu kraju. Atrybut wymagany i edytowalny.
Funkcja skrótu do podpisania wniosku PKCS#10 - pole umożliwia wskazanie, jaka funkcja skrótu zostanie zastosowana do podpisania wniosku PKCS#10. Dostępne funkcje skrótu:
- md5
- sha-1
- sha-224
- sha-256
- sha-384
- sha-512
Moduł kryptograficzny w ramach którego będzie zarządzany klucz urzędu - pole wyboru z którego należy wybrać wartość zdefiniowaną przez Administratora w rozdziale - Modyfikuj przestrzeń. Domyślna wartość softHSM1 definiuje emulator programowy modułu HSM jako źródło kluczy dla urzędu CA.
Opcje w sekcji Metoda uzyskania klucza urzędu:
Generuj nowy klucz z użyciem mechanizmów modułu kryptograficznego - opcja pozwala wygenerować nowy klucz prywatny dla urzędu CA we wskazanym powyżej module kryptograficznym.
Użyj istniejący klucz zarządzany przez moduł kryptograficzny - opcja pozwala wykorzystać wygenerowany wcześniej klucz prywatny urzędu CA znajdujący się we wskazanym powyżej module kryptograficznym. Niezbędne jest podanie identyfikatora klucza prywatnego. Zgodnie z zaleceniami RFC, identyfikatorem klucza prywatnego może być wynik funkcji skrótu z klucza publicznego.
Operację należy zatwierdzić przyciskiem Wykonaj. W wyświetlonym oknie należy wybrać miejsca zapisu pliku i zatwierdzić operację przyciskiem Zapisz. Aplikacja potwierdzi poprawność operacji lub wyświetli kod błędu.
Rysunek: Okno generowania wniosku PKCS#10 o certyfikację
Import certyfikatu urzędu wydanego do wniosku PKCS#10
Aby zaimportować certyfikat urzędu wydanego do wniosku PKCS#10 należy kliknąć prawym klawiszem myszy wpis dotyczący urzędu w oknie zawartości dla grupy obiektów Urzędy CA i z menu podręcznego wybrać Importuj certyfikat urzędu dla wniosku PKCS#10…
Aplikacja wyświetli okno dialogowe wyboru pliku z certyfikatem urzędu CA do importu.
Rysunek: Okno dialogowe wyboru certyfikatu.
Następnie zostanie wyświetlone okno importu certyfikatu urzędu, w którym należy określić Termin ważności klucza prywatnego urzędu. Wciskając przycisk Pokaż certyfikat można podejrzeć importowany certyfikat.
Termin ważności klucza prywatnego Od - określa termin od kiedy ważny jest klucz prywatny. Domyślnie jest to data wystawienia certyfikatu.
Termin ważności klucza prywatnego Do - określa termin do kiedy ważny jest klucz prywatny. Domyślnie jest to data wygaśnięcia certyfikatu.
Operację należy zatwierdzić przyciskiem Wykonaj. Aplikacja potwierdzi poprawność operacji lub wyświetli kod błędu.
Importowanie certyfikatu i klucza pochodzącego od innego urzędu
Aby zaimportować certyfikat z kluczem od innego urzędu należy kliknąć prawym klawiszem myszy wpis dotyczący urzędu w oknie zawartości dla grupy obiektów Urzędy CA i z menu podręcznego wybrać Importuj certyfikat i klucz urzędu…
W wyświetlonym oknie należy odnaleźć ścieżkę i wybrać odpowiedni certyfikat. Następnie zostanie wyświetlone okno importu certyfikatu dla urzędu, w którym należy określić: Termin ważności klucza prywatnego urzędu, Moduł przechowujący klucz prywatny oraz ID Klucza w module.
Operację należy zatwierdzić przyciskiem Wykonaj. Aplikacja potwierdzi poprawność operacji lub wyświetli kod błędu.
Rysunek: Okno importu certyfikatu dla urzędu
Uzyskiwanie informacji o historii zmiany statusów urzędu
W celu uzyskania informacji o zamianach statusu danego urzędu CA należy kliknąć prawym klawiszem myszy na wpis dotyczący urzędu w oknie zawartości dla grupy obiektów Urzędy CA i z menu podręcznego wybrać Historia zmian statusu…
Zostanie wyświetlone okno informacyjne o historii zmian statusu wybranego urzędu CA.
Rysunek: Okno historii zmian statusu
Szukaj w dokumentacji