Page tree
Skip to end of metadata
Go to start of metadata

System QR-CERT umożliwia utworzenie urzędów certyfikacji (CA) typu:

  • Główny Urząd CA (RootCA)
  • Urząd Podrzędy (SubCA)

Tworzenie nowego urzędu

W celu utworzenia nowego urzędu należy kliknąć prawym klawiszem myszy w oknie zawartości dla grupy obiektów Urzędy CA i z menu podręcznego wybrać Nowy urząd…

Po wybraniu opcji tworzenia nowego urzędu aplikacja operatorska wyświetla okno z parametrami do uzupełnienia.

Rysunek: Okno tworzenia nowego urzędu, kolejne numery seryjne

 

Parametry niezbędne do wypełnienia:

Typ urzędu CA – typ urzędu CA (Główny urząd CA, Urząd SubCA)

Profil X.509 urzędu – zdefiniowany wcześniej profil X.509 certyfikatu urzędu CA (Root CA, SubCA itd.)

Nazwa – nazwa identyfikująca urząd w systemie QR-CERT

Dodatkowe opcje:

Udzielanie odpowiedzi OCSP dozwolone – w ramach danego urzędu będzie możliwe uzyskiwanie odpowiedzi o unieważnieniach certyfikatów za pomocą serwisu OCSP

Kontroluj unikalność kluczy – zaznaczenie (aktywacja tej opcji) spowoduje że system przed wydaniem certyfikatu będzie weryfikował czy w ramach urzędu CA został już wydany certyfikat z identycznym kluczem publicznym i jeżeli ustali że taki certyfikat został wydany to nie zezwoli na wydanie kolejnego certyfikatu z takim samym kluczem publicznym.

Numery seryjne certyfikatów mogą być generowane z wykorzystaniem:

  • algorytmu AES256
  • iteracji od wartości początkowej
  • generatora liczb pseudolosowych

Numery generowane z wykorzystaniem algorytmu AES256 – numery seryjne certyfikatów będą generowane z wykorzystaniem algorytmu AES256, Klucz aes256 i IV aes256 stanowią wartości startowe dla algorytmu, które można podać ręcznie lub wygenerować losowo poprzez naciśnięcie ikony .

Numery kolejne rosnące o jeden od podanej wartości początkowej – numery seryjne certyfikatów będą generowane kolejno od liczby całkowitej w polu Wartość początkowa. Zawsze należy podać parzystą liczbę znaków zgodną z systemem szesnastkowym.

Numery losowe generowane z wykorzystaniem generatora liczb losowych – numery seryjne certyfikatów będą generowane kolejno z wykorzystaniem generatora liczb losowych z ograniczeniem maksymalnej długości ciągu wskazanej w polu Maksymalna długość.

Edycja urzędu

Jeśli urząd nie został aktywowany można dokonać jego edycji. Pojawi się okno tworzenia urzędu jak w punkcie Tworzenie nowego urzędu umożliwiając zmianę parametrów urzędu.

Tworzenie nowego urzędu na podstawie wskazanego

Możliwe jest utworzenie urzędu na podstawie już istniejącego, umożliwia np. tworzenie urzędu o podobnych parametrach do źródłowego. Należy kliknąć prawym klawiszem w oknie zawartości dla grupy obiektów Urzędy CA na wpisie urzędu i z menu podręcznego wybrać Utwórz na podstawie wskazanego urzędu…. Pojawi się okno tworzenia urzędu jak w punkcie Tworzenie nowego urzędu umożliwiając zmianę jego parametrów.

Zmiana statusu urzędu na aktywny

Aby można było użyć urzędu do dalszych operacji należy zmienić jego status na aktywny. W tym celu należy kliknąć prawym klawiszem w oknie zawartości dla grupy obiektów Urzędy CA na wpisie urzędu i z menu podręcznego wybrać Aktywuj urząd. Aplikacja potwierdzi poprawność operacji lub wyświetli kod błędu.

Rysunek: Potwierdzenie aktywowania urzędu

Zmiana statusu urzędu na nieaktywny

Aby zmienić status urzędu na nieaktywny należy kliknąć prawym klawiszem myszy wpis dotyczący urzędu w oknie zawartości dla grupy obiektów Urzędy CA i z menu podręcznego wybrać Zablokuj urząd. Aplikacja potwierdzi poprawność operacji lub wyświetli kod błędu.

Rysunek: Potwierdzenie zablokowania urzędu

Generowanie auto-certyfikatu

Urząd CA do pracy (podpisywanie certyfikatów, podpisywanie lista CRL i in.) potrzebuje certyfikatu (autocertyfikatu) i kluczy urzędu.

Aby wygenerować autocertyfikat (certyfikat samopodpisany - ang. self-signed) dla urzędu CA, należy kliknąć prawym klawiszem myszy wpis dotyczący urzędu w oknie zawartości dla grupy obiektów Urzędy CA i z menu podręcznego wybrać Generuj autocertyfikat…

Zostanie wyświetlone okno dostosowania parametrów generowanego certyfikatu. W oknie generowania autocertyfikatu należy określić termin ważności klucza prywatnego, termin ważności certyfikatu oraz wybrać moduł HSM do przechowywania klucza prywatnego urzędu. Autocertyfikat może być wygenerowany w oparciu o istniejący klucz przechowywany w module kryptograficznym

Tożsamość podmiotu - sekcja umożliwiająca wpisanie pełnej nazwy Distinguished Name (DN). Sposób tworzenia nazw DN został opisany w rozdziale Pola opisujące tożsamość (podstawowe).

W poniższym przykładzie aplikacja wyświetla 5 pól, które wcześniej zostały zdefiniowane podczas tworzenia profilu X.509 dla głównego urzędu CA (wybrany typ profilu: X.509/Certyfikat RootCA):

  • commonName – używany do zapisania nazwy urzędu CA. Atrybut wymagany i edytowalny.
  • organizationalUnitName – używany do zapisu nazwy działu/departamentu. Atrybut wymagany i edytowalny.
  • organizationName – używany do zapisu nazwy organizacji. Atrybut wymagany i edytowalny.
  • countryName – używany do zapisu dwu znakowego kodu kraju. Atrybut wymagany i edytowalny.
  • description - uzywany do przechowywania ogólnego opisu dodatkowego. Atrybut niewymagany i edytowalny.

Termin ważności klucza prywatnego - pola OdDo definiują okres czasu w którym będzie ważny certyfikat urzędu CA

Termin ważności certyfikatu - pola OdDo definiują okres czasu w którym będzie ważny certyfikat urzędu CA. Termin ważności certyfikatu nie musi być identyczny jak termin ważności kluczy.

Moduł kryptograficzny w ramach którego będzie zarządzany klucz urzędu - pole wyboru z którego należy wybrać wartość zdefiniowaną przez Administratora w rozdziale - Modyfikuj przestrzeń. Domyślna wartość softHSM1 definiuje emulator programowy modułu HSM jako źródło kluczy dla urzędu CA.

Opcje w sekcji Metoda uzyskania klucza urzędu:

Generuj nowy klucz z użyciem mechanizmów modułu kryptograficznego - opcja pozwala wygenerować nowy klucz prywatny dla urzędu CA we wskazanym powyżej module kryptograficznym.

Użyj istniejący klucz zarządzany przez moduł kryptograficzny - opcja pozwala wykorzystać wygenerowany wcześniej klucz prywatny urzędu CA znajdujący się we wskazanym powyżej module kryptograficznym. Niezbędne jest podanie identyfikatora klucza prywatnego. Zgodnie z zaleceniami RFC, identyfikatorem klucza prywatnego może być wynik funkcji skrótu z klucza publicznego.

Rysunek: Okno generowania autocertyfikatu (certyfikatu samopodpisanego)

Generowanie wniosku PKCS#10 o certyfikat dla urzędu

Aby wygenerować wniosek PKCS#10 o certyfikat dla urzędu należy kliknąć prawym klawiszem myszy wpis dotyczący urzędu w oknie zawartości dla grupy obiektów Urzędy CA i z menu podręcznego wybrać Generuj wniosek PKCS#10 o certyfikat dla urzędu…

Uwaga

Wybranie opcji Generuj wniosek PKCS#10 o certyfikat dla urzędu… jest możliwe tylko dla podrzędnego typu urzędu CA: Urząd SubCA.

Zostanie wyświetlone okno dostosowania parametrów generowanego wniosku. W oknie generowania wniosku o certyfikację należy określić tożsamość podmiotu, moduł HSM do przechowywania klucza prywatnego urzędu oraz funkcję skrótu do podpisania wniosku PKCS#10. Wniosek może być wygenerowany w oparciu o istniejący klucz przechowywany w module kryptograficznym.

Tożsamość podmiotu - sekcja umożliwiająca wpisanie pełnej nazwy Distinguished Name (DN). Sposób tworzenia nazw DN został opisany w rozdziale Pola opisujące tożsamość (podstawowe). W poniższym przykładzie aplikacja wyświetla 3 póla, które wcześniej zostały zdefiniowane podczas tworzenia profilu X.509 dla podrzędnego urzędu CA (wybrany typ profilu: X.509/Certyfikat SubCA)::

  • commonName – używany do zapisania nazwy urzędu CA. Atrybut wymagany i edytowalny.
  • organizationName – używany do zapisu nazwy organizacji. Atrybut wymagany i edytowalny.
  • countryName – używany do zapisu dwu znakowego kodu kraju. Atrybut wymagany i edytowalny.

Funkcja skrótu do podpisania wniosku PKCS#10 - pole umożliwia wskazanie, jaka funkcja skrótu zostanie zastosowana do podpisania wniosku PKCS#10. Dostępne funkcje skrótu:

  • md5
  • sha-1
  • sha-224
  • sha-256
  • sha-384
  • sha-512

Moduł kryptograficzny w ramach którego będzie zarządzany klucz urzędu - pole wyboru z którego należy wybrać wartość zdefiniowaną przez Administratora w rozdziale - Modyfikuj przestrzeń. Domyślna wartość softHSM1 definiuje emulator programowy modułu HSM jako źródło kluczy dla urzędu CA.

Opcje w sekcji Metoda uzyskania klucza urzędu:

Generuj nowy klucz z użyciem mechanizmów modułu kryptograficznego - opcja pozwala wygenerować nowy klucz prywatny dla urzędu CA we wskazanym powyżej module kryptograficznym.

Użyj istniejący klucz zarządzany przez moduł kryptograficzny - opcja pozwala wykorzystać wygenerowany wcześniej klucz prywatny urzędu CA znajdujący się we wskazanym powyżej module kryptograficznym. Niezbędne jest podanie identyfikatora klucza prywatnego. Zgodnie z zaleceniami RFC, identyfikatorem klucza prywatnego może być wynik funkcji skrótu z klucza publicznego.

Operację należy zatwierdzić przyciskiem Wykonaj. W wyświetlonym oknie należy wybrać miejsca zapisu pliku i zatwierdzić operację przyciskiem Zapisz. Aplikacja potwierdzi poprawność operacji lub wyświetli kod błędu.

Rysunek: Okno generowania wniosku PKCS#10 o certyfikację

Import certyfikatu urzędu wydanego do wniosku PKCS#10

Aby zaimportować certyfikat urzędu wydanego do wniosku PKCS#10 należy kliknąć prawym klawiszem myszy wpis dotyczący urzędu w oknie zawartości dla grupy obiektów Urzędy CA i z menu podręcznego wybrać Importuj certyfikat urzędu dla wniosku PKCS#10…

Aplikacja wyświetli okno dialogowe wyboru pliku z certyfikatem urzędu CA do importu.

Rysunek: Okno dialogowe wyboru certyfikatu.

Następnie zostanie wyświetlone okno importu certyfikatu urzędu, w którym należy określić Termin ważności klucza prywatnego urzędu. Wciskając przycisk Pokaż certyfikat można podejrzeć importowany certyfikat.

Termin ważności klucza prywatnego Od - określa termin od kiedy ważny jest klucz prywatny. Domyślnie jest to data wystawienia certyfikatu.

Termin ważności klucza prywatnego Do - określa termin do kiedy ważny jest klucz prywatny. Domyślnie jest to data wygaśnięcia certyfikatu.

Operację należy zatwierdzić przyciskiem Wykonaj. Aplikacja potwierdzi poprawność operacji lub wyświetli kod błędu.

Rysunek: Okno dialogowe importu certyfikatu.

Importowanie certyfikatu i klucza pochodzącego od innego urzędu

Aby zaimportować certyfikat z kluczem od innego urzędu należy kliknąć prawym klawiszem myszy wpis dotyczący urzędu w oknie zawartości dla grupy obiektów Urzędy CA i z menu podręcznego wybrać Importuj certyfikat i klucz urzędu… 

W wyświetlonym oknie należy odnaleźć ścieżkę i wybrać odpowiedni certyfikat. Następnie zostanie wyświetlone okno importu certyfikatu dla urzędu, w którym należy określić: Termin ważności klucza prywatnego urzędu, Moduł przechowujący klucz prywatny oraz ID Klucza w module.

Operację należy zatwierdzić przyciskiem Wykonaj. Aplikacja potwierdzi poprawność operacji lub wyświetli kod błędu.

Rysunek: Okno importu certyfikatu dla urzędu

Uzyskiwanie informacji o historii zmiany statusów urzędu

W celu uzyskania informacji o zamianach statusu danego urzędu CA należy kliknąć prawym klawiszem myszy na wpis dotyczący urzędu w oknie zawartości dla grupy obiektów Urzędy CA i z menu podręcznego wybrać Historia zmian statusu…

Zostanie wyświetlone okno informacyjne o historii zmian statusu wybranego urzędu CA.

Rysunek: Okno historii zmian statusu

 

Na tej stronie

Szukaj w dokumentacji