Page tree
Skip to end of metadata
Go to start of metadata

Tworzenie nowej polityki

W celu utworzenia nowej polityki wydawania certyfikatów należy kliknąć prawym klawiszem myszy w oknie zawartości dla grupy obiektów Polityki wydawania certyfikatów i z menu podręcznego wybrać Nowa polityka generacji certyfikatów…

Po wybraniu opcji tworzenia nowej polityki wydawania certyfikatów aplikacja operatorska wyświetla okno z parametrami do uzupełnienia.

Zakładka Polityka wydawania certyfikatów:

Rysunek: Okno tworzenia nowej polityki wydawania certyfikatów

 

Parametry:

  • Profil obiektu - nazwa profilu subskrybenta, który zostanie wykorzystany podczas wydawania certyfikatów.

Uwaga

 Przed przystąpieniem do tworzenia polityki wydawania certyfikatów, należy wcześniej zdefiniować profil subskrybenta (np.: osoba, serwer, urządzenie) dla którego będą wydawane certyfikaty.

  • Urząd CA – urząd CA, który będzie wydawał certyfikaty
  • Profil – zdefiniowany wcześniej profil certyfikatu.
  • Nazwa polityki – nazwa identyfikująca politykę w systemie QR-CERT

Wskazówka

Poprzez kliknięcie na ikonie  można uzyskać informację czy polityka wydawania certyfikatów o wybieranej nazwie istnieje w systemie QR-CERT. Pozwala to upewnić się, że dana polityka jest możliwa do utworzenia.

  • Opis polityki - ogólny opis dodatkowy umożliwiający bardziej szczegółowe opisanie zastosowania polityki
  • Definicja unikalności certyfikatów subskrybenta – reguła zbudowana w oparciu o inteligentne znaczniki pozwalająca jednoznacznie przypisać certyfikat jednemu subskrybentowi
  • Polityka CRL – polityka generowania list unieważnień certyfikatów bieżącej polityki wydawania certyfikatów
  • Maksymalny termin ważności wydanych certyfikatów – nieprzekraczalny okres ważności wydawanych certyfikatów
  • Termin ważności użycia kluczy prywatnych – okres czasu w którym można używać kluczy prywatnych skojarzonych z certyfikatem
  • Wniosek jest zatwierdzany przez „x" operatorów(a) – liczba operatorów potrzebna do zatwierdzenia wniosku o wydanie certyfikatu
  • Certyfikat jest unieważniany przy użyciu kodu – subskrybent lub operator może unieważnić certyfikat tylko po wpisani kodu, który jest generowany automatycznie podczas wystawiania certyfikatu.
  • Certyfikat jest unieważniany przez „x" operatorów(a) – liczba operatorów potrzebna do zatwierdzenia wniosku o zmianę statusu certyfikatu.
  • Publikacja certyfikatów – sposób publikacji certyfikatów do repozytoriów zewnętrznych (Publikuj certyfikaty wyłącznie na wniosek operatora; Publikuj certyfikaty automatycznie o ile subskrybent wyraził na to zgodę oraz na wniosek operatora; Publikuj certyfikaty automatycznie bez względu na zgodę subskrybenta oraz na wniosek operatora; Nie publikuj certyfikatów)
  • Automatycznie unieważnij zawieszone certyfikaty po – po jakim okresie czasu ma automatycznie unieważniać zawieszone certyfikaty
  • Archiwizuj klucz prywatny – klucze prywatne z certyfikatów subskrybentów zostaną zarchiwizowane w systemie QR-CERT

Uwaga

Po zaznaczeniu tej opcji zostanie wyświetlone ostrzeżenie: Wnioski o wydanie certyfikatu na podstawie PKCS#10 w pliku i klucza publicznego w pliku nie zawierają klucza prywatnego więc nie może on zostać zarchiwizowany.

Kolejną konsekwencją zaznaczenia tej opcji jest zmiana procedury generowania kluczy, oba klucze są generowane przez system QR-CERT, a następnie osadzane na karcie (nie może być wykorzystana procedura generowania kluczy z wykorzystaniem mechanizmów tokenu kryptograficznego)

  • Reguły wydawania certyfikatów dla unikalnego subskrybenta – parametr określa ile ważnych certyfikatów może posiadać dany subskrybent (Wiele ważnych certyfikatów, Jeden ważny certyfikat, Dwa ważne certyfikaty zakładkowe); w przypadku certyfikatów zakładkowych należy zdefiniować okres zakładki, w którym ważne są oba certyfikaty zakładkowe.


Zakładka Polityka odnowienia certyfikatów:

Opcje na zakładce pozwalają na określenie parametrów umożliwiających odnowienie certyfikatów.

Rysunek: Zakładka polityki odnawiania certyfikatów

 

Parametry:

  • Opcje odnawiania certyfikatów – określa możliwości odnawiania certyfikatów subskrybenta (Brak możliwości odnawiania certyfikatów; Można odnowić jedynie ważne certyfikaty; Można odnowić ważne lub przeterminowane certyfikaty)

Uwaga

Odnowieniu nie podlegają certyfikaty unieważnione i zawieszone, ponadto jeśli w ramach urzędu włączono kontrolę unikalności kluczy wówczas odnowione certyfikatu będą musiały posiadać nową parę kluczy.

  • Wymagaj zachowania odnawianego certyfikatu i klucza subskrybenta – umożliwia zachowanie klucza i certyfikatu przed odnowieniem (archiwizacja).
  • Dopuszczalna ilość odnowień certyfikatu – dopuszczalna ilość odnowień certyfikatu przez operatora
  • Okno czasowe w którym można odnowić certyfikat – okres czasu liczony od końca ważności odnawianego certyfikatu, w którym można go jeszcze odnowić
  • Początek okresu ważności nowego certyfikatu – w jaki sposób zostanie ustalona data początku ważności odnowionego certyfikatu (data wydania nowego certyfikatu, data wygaśnięcia odnawianego certyfikatu)
  • Okres ważności nowego certyfikatu i klucza prywatnego – okresy ważności odnowionego klucza oraz certyfikatu.

 

Zakładka Procesy powydawnicze obsługiwane przez użytkownika (SelfService):
Parametry na zakładce umożliwiają zdefiniowanie procesów związanych z samodzielną obsługą certyfikatów przez użytkownika z poziomu serwisu QR-CERT Portal lub aplikacji korzystających z API portalu (np. QR-CARD Manager).

Rysunek: Zakładka procesów obsługiwanych przez użytkownika.

 

Parametry:

  • Zezwalaj na samodzielne odnawianie certyfikatów – określa możliwości odnawiania certyfikatów wydanych subskrybentowi (innych niż na tokenie kryptograficznym). Możliwe opcje wyboru:
    • Bez autoryzacji - nie jest wymagana żadna autoryzacja podczas odnawiania certyfikatu.
    • Wymagaj podpisanego wniosku o odnowienie certyfikatu aktualnym kluczem - autoryzacja polega na podpisaniu elektronicznym wniosku o odnowienie certyfikatu.
    • Wymagaj uwierzytelnienia kodem - autoryzacja polega na podania przez użytkownika sekretu (dotyczący: certyfikatu lub użytkownika), który został mu przekazany w bezpiecznej kopercie.
    • Wymagaj uwierzytelnienia kodem współdzielonym portalu QR-CERT Portal - autoryzacja polega na podaniu sekretu, który jest udostępniany użytkownikom. Sekret jest taki sam dla każdego użytkownika.
  • Zezwalaj na samodzielne odnawianie certyfikatów wydanych dla tokenu – określa możliwości odnawiania certyfikatów wydanych subskrybentowi na tokenie kryptograficznym. Możliwe opcje wyboru:
    • Bez autoryzacji - nie jest wymagana żadna autoryzacja podczas odnawiania certyfikatu.
    • Wymagaj podpisanego wniosku o odnowienie certyfikatu - autoryzacja polega na podpisaniu elektronicznym wniosku o odnowienie certyfikatu.
    • Wymagaj uwierzytelnienia kodem - autoryzacja polega na podania przez użytkownika sekretu (dotyczący: certyfikatu, karty lub użytkownika), który został mu przekazany w bezpiecznej kopercie.
    • Wymagaj uwierzytelnienia kodem współdzielonym portalu QR-CERT Portal - autoryzacja polega na podaniu sekretu, który jest udostępniany użytkownikom. Sekret jest taki sam dla każdego użytkownika.
  • Maksymalna ilość operacji pobrania odnowionego certyfikatu przez subskrybenta – dopuszczalna ilość samodzielnych odnowień certyfikatu przez użytkownika

Edycja polityki

Jeśli polityka nie została aktywowana można dokonać jej edycji. Pojawi się okno jak w punkcie Tworzenie nowej polityki umożliwiając zmianę parametrów.

Tworzenie nowej polityki na podstawie wskazanej

Możliwe jest utworzenie polityki na podstawie już istniejącej, pozwala to tworzyć polityki o zbliżonych parametrach. Należy kliknąć prawym klawiszem w oknie zawartości dla grupy obiektów Polityki wydawania certyfikatów na wpisie polityki i z menu podręcznego wybrać Utwórz na podstawie wskazanej polityki….

Pojawi się okno jak w punkcie Tworzenie nowej polityki umożliwiając zmianę parametrów i zapisanie polityki pod nową nazwą.

Zmiana statusu polityki na aktywny

Aby można było użyć polityki do dalszych operacji należy zmienić jej status na aktywny. W tym celu należy kliknąć prawym klawiszem w oknie zawartości dla grupy obiektów Polityki wydawania certyfikatów na wpisie polityki i z menu podręcznego wybrać Aktywuj politykę.

Aplikacja potwierdzi poprawność operacji lub wyświetli kod błędu.

Zmiana statusu polityki na nieaktywny

Aby zmienić status polityki na nieaktywny należy kliknąć prawym klawiszem myszy wpis dotyczący polityki w oknie zawartości dla grupy obiektów Polityki wydawania certyfikatów i z menu podręcznego wybrać Zablokuj politykę.

Aplikacja potwierdzi poprawność operacji lub wyświetli kod błędu.

Powiadomienia o wygasaniu certyfikatów

System QR-CERT został wyposażony w mechanizm powiadamiania o wygasających certyfikatach w ramach polityki za pomocą poczty elektronicznej.

Aby ustawić parametry powiadamiania należy kliknąć prawym klawiszem myszy wpis dotyczący polityki w oknie zawartości dla grupy obiektów Polityki wydawania certyfikatów i z menu podręcznego wybrać Powiadomienia o wygasaniu certyfikatów….

System wyświetli okno umożliwiające ustawienie parametrów powiadamiania dla danej polityki wydawania certyfikatów.

Rysunek: Okno konfiguracji powiadomień o wygasaniu certyfikatów

 

Parametry:

  • Powiadom subskrybenta o wygasaniu certyfikatów wydanych według wskazanej polityki – należy zaznaczyć aby system powiadamiał o wygasaniu certyfikatów
  • Powiadomienia o wygasaniu certyfikatu z … dni – ilość pozostałych dni ważności certyfikatu po upływie których system zacznie wysyłać powiadomienia
  • Moment czasu w ciągu doby – czas dnia w którym powiadomienie zostanie wysłane
  • Okresowość – ilość dni po którym wysłane zostanie powiadomienie powtórne (jeśli poprzednie nie dotarło do adresata)
  • FROM: - pole nadawcy powiadomienia
  • TO: - pole adresata powiadomienia
  • Tytuł powiadomienia – wpis w temacie powiadomienia e-mail
  • Treść powiadomienia – treść wysłanej wiadomość e-mail
  • CC: - pole „do wiadomości" e-mail
  • BCC: - pole „ukryte do wiadomości" e-mail

Informacja

W polach: FROM, TO, CC, BCC, Tytuł powiadomienia oraz Treść powiadomienia istnieje możliwość używania wbudowanych oraz zdefiniowanych w profilu subskrybenta (wybranym dla danej polityki wydawania certyfikatów,) tagów inteligentnych.

Przydzielanie kanałów publikacji

Kanały publikacji umożliwiają publikowanie certyfikatów do repozytoriów zewnętrznych za pomocą różnych protokołów internetowych.

Aby przydzielić kanał publikacji do polityki należy kliknąć prawym klawiszem myszy wpis dotyczący polityki w oknie zawartości dla grupy obiektów Polityki wydawania certyfikatów i z menu podręcznego wybrać Kanały publikacji.

Aplikacja wyświetli listę dostępnych kanałów, z których należy wybrać spełniające wymagania i przydzielić do danej polityki poprzez kliknięcie przycisku Dodaj.

Rysunek: Okno przydziału kanałów publikacji dla polityk wydawania certyfikatów

Reguły automatycznego wypełniania pól certyfikatu

Opcja automatycznego wypełniania pól certyfikatu polega na mapowania pól zdefiniowanych w profilu subskrybenta (np.: osoby, serwera, aplikacji), na pola zdefiniowane w profilu certyfikatu.

Aby zdefiniować regułę automatycznego wypełniania pól certyfikatu, należy kliknąć prawym klawiszem myszy wpis dotyczący polityki w oknie zawartości dla grupy obiektów Polityki wydawania certyfikatów i z menu podręcznego wybrać Reguły automatycznego wypełniania pól certyfikatu.

Rysunek: Okno reguł automatycznego wypełniania pól certyfikatu

 

Aby przejść do trybu mapowania należy kliknąć dwa razy w wiersz pola, dla którego będzie wprowadzana reguła.

Restrykcje stosowania reguły - opcja określa, czy podczas wydawania certyfikatu możliwa jest zmiana zdefiniowanej reguły.


Rysunek: Okno mapowania pól

Publikacja wszystkich certyfikatów z polityki

Opcja publikacji wszystkich certyfikatów z danej polityki umożliwia uruchomienie procesu publikacji zgodnie z wybranym kanałem publikacji.

Aby zdefiniować regułę automatycznego wypełniania pól certyfikatu, należy kliknąć prawym klawiszem myszy wpis dotyczący polityki w oknie zawartości dla grupy obiektów Polityki wydawania certyfikatów i z menu podręcznego wybrać Reguły automatycznego wypełniania pól certyfikatu.

Następnie należy przepisać kod potwierdzający wykonanie operacji i nacisnąć przycisk OK.

Rysunek: Okno mapowania pól

Uzyskiwanie informacji o zmianach statusu polityki

W celu uzyskania informacji o zamianach statusu polityki wydawania certyfikatów należy kliknąć prawym klawiszem myszy na wpis dotyczący polityki w oknie zawartości dla grupy obiektów Polityki wydawania certyfikatów i z menu podręcznego wybrać Historia zmian statusu…

Zostanie wyświetlone okno informacyjne o historii zmian statusu wybranego obiektu polityki wydawania certyfikatów.

Na tej stronie

Szukaj w dokumentacji