M4 Tájékoztató a KRA WEB interfészen keresztüli használatához szükséges futtatókörnyezet beállításáról Feltételezzük, hogy a felhasználó az elektronikus aláírással és az elektronikus aláírás létrehozásához szükséges tanúsítványokkal kapcsolatban alapismeretekkel rendelkezik. A KRA használatának előfeltétele, hogy a felhasználó hozzáfér az NMHH-tól kapott hozzáférési (autentikációs vagy SSL) tanúsítványához és a magyarországi hitelesítés szolgáltatótól vásárolt aláíró tanúsítványát számítógépére letöltötte, illetve kártyaolvasón keresztül eléri, és a használatához szükséges jelszót is ismeri. Erről bővebben az M3. Mellékletben írtunk. A számhordozási rendszer oldalait biztonságos (tanúsítvánnyal hitelesített) http kapcsolatokon keresztül (https) lehet elérni. 1. Tanúsítványok ellenőrzése Hitelesítés szolgáltatótól vásárolt aláíró tanúsítványok ellenőrzéséhez a szolgáltató tanúsítványtárából lehet letölteni a megfelelő legfelső szintű és közbenső szintű tanúsítványokat. A KRA is ezen tanúsítványokkal ellenőrzi a felhasználók aláíró tanúsítványait. A KRA-ban csak a KRA-ban regisztrált kiadóktól származó tanúsítványok használhatóak. A KRAban regisztrált legfelső szintű és közbenső szintű hitelesítés szolgáltatói tanúsítványok listája megtekinthető a KRA vagy a teszt rendszer súgójában: Súgó > Tanúsítványtár > Kiadói tanúsítványok > Hitelesítés szolgáltatói tanúsítványok A KRA felhasználó gépére további tanúsítványok telepítése ajánlott, melyekre a többi említett tanúsítvány hitelességének ellenőrzéséhez, a következőkben szereplő, elektronikus aláírással hitelesített Java kisalkalmazás telepítéséhez, továbbá a számhordozási rendszerek által kibocsátott listák és üzenetek aláírásának ellenőrzéséhez lehet szükség. Ezek az ellenőrzési célú tanúsítványok telepíthetők a KRA vagy a teszt rendszer súgójából: Súgó > Tanúsítványtár > Kiadói tanúsítványok, vagy az alábbi helyek bármelyikéről közvetlenül: https://kra-test.nmhh.hu/lists/archivum/kiadoi_tanusitvanytar https://kra.nmhh.hu/lists/archivum/kiadoi_tanusitvanytar A letöltésekhez KRA vagy teszt rendszer hozzáférési jogosultság szükséges. Javasoljuk az itt található összes tanúsítvány telepítését a hasonló nevű régiek esetleges törlésével együtt. A KRA futtatható MS Internet Explorer 6+ vagy Mozilla Firefox 3+ böngésző alatt, azonban a tanúsítványok letöltésének további lépései a két programban fogalmilag hasonlóak, de a konkrét lépések tekintetében gyakran különbözőek. 1.1. Tanúsítványok telepítése az MS Internet Explorer böngészőbe A tanúsítványok közvetlenül telepíthetők a MS Internet Explorer tanúsítványtárába: Tanúsítvány kiválasztása > Open (Megnyitás) > Install Certificate (Tanúsítvány telepítése) majd kövessük a Certificate Import Wizard(Tanúsítvány Importálás Varázsló) utasításait, a lépések során válasszuk a Tárolóhely automatikus kiválasztásával (Automatically select the certificate store based on the type of certificate) lehetőséget. Úgy is eljárhatunk, hogy a tanúsítványokat először letöltjük egy mappába, és ezt követően importáljuk azokat a böngésző tanúsítványtárába: MS Internet Explorer > Tools(Eszközök) > Internet Options(Internet beállítások)... > Content(Tartalom) > Certificates(Tanúsítványok) > Import (Importálás) majd kövessük a Nemzeti Média- és Hírközlési Hatóság 2012.09.24. 1/5
Certificate Import Wizard(Tanúsítvány Importálás Varázsló) utasításait, a lépések során válasszuk a Tárolóhely automatikus kiválasztásával (Automatically select the certificate store based on the type of certificate) lehetőséget. 1.2. Tanúsítványok telepítése a Mozilla Firefox böngészőbe A tanúsítványokat először le kell tölteni egy mappába: Tanúsítvány kiválasztása jobb egérkattintással > Hivatkozás mentése más néven Mappa kiválasztása > Mentés Minden letöltött tanúsítványra hajtsuk végre: Mozilla Firefox > Eszközök > Beállítások > Titkosítás > Tanúsítványkezelő > Kiszolgálók (Hitelesítésszolgáltatók) lap > Importálás. 2. Java futtatókörnyezet telepítése 2.1. Windows operációs rendszer Az elektronikus aláírás elvégzését egy kisalkalmazás (Java Applet) segíti. A Java kisalkalmazás működéséhez mivel Java programozási nyelven került kifejlesztésre, előzetesen egy Java futtatókörnyezet (Java Runtime Environment - JRE) telepítése szükséges a web böngészőt futtató számítógépre, amennyiben az még nem történt meg más okból. Ellenőrzés Windows operációs rendszer esetén: Start > Beállítások(Settings) > Vezérlőpult(Control Panel) > Java > General > About: Itt megtekinthető a telepített változat sorozat és frissítés száma. Az elvárt érték min 6.21. Amennyiben nem található a felhasználó számítógépén ez a program, akkor ezt az alábbi helyen elérhető megfelelő változatú program futtatásával lehet telepíteni: http://www.oracle.com/technetwork/java/archive-139210.html A fenti oldalon válasszuk ki a megfelelő változatot majd az operációs rendszerünknek megfelelő jre állományt töltsük le illetve futtassuk. A KRA használata során a Java kisalkalmazás a háttérben működik. Ha nem sikerült minden tanúsítványt telepíteni, vagy a böngészőnek különleges biztonsági beállításai vannak, akkor Windows operációs rendszerben egy figyelmeztető ablak jelenhet meg (Warning Security). Ekkor a Run gombra kattintva engedélyezhetjük a kisalkalmazás futását, esetleg az Always trust content from this publisher. lehetőség bejelölésével, azonban ajánlott az előzőekben leírt lépések ellenőrzése és a pontos beállítások elvégzése. A kisalkalmazás futása a következő módon ellenőrizhető: Start > Beállítások(Settings) > Vezérlőpult(Control Panel) > Java > General > View > Java Cache Viewer (Show: Applications): A felbukkanó táblázatban meg kell jelennie egy vagy két KRAXmlSigner sornak (Vendor: IQSYS). A böngésző, illetve a telepített Java futtatókörnyezet változatától függően előfordulhat, hogy a KRAXmlSigner kisalkalmazás egyik összetevője biztonsági figyelmeztetést generál: A helyes válasz ebben az esetben: No! Nemzeti Média- és Hírközlési Hatóság 2012.09.24. 2/5
Ha azt szeretnénk, hogy ez a figyelmeztetés többet ne jelenjen meg, akkor a Java Control Panel beállítási lehetőségei között jelöljük meg az Enable hide warning and run with protections lehetőséget! Ezt a következőképpen tehetjük: Start > Beállítások(Settings) > Vezérlőpult(Control Panel) > Java > Advanced > Security > Mixed Code: Itt válasszuk az: Figyelem! Ez a beállítás minden más Java kisalkalmazás futására is vonatkozik. A beállítással kapcsolatban további tudnivalók találhatóak a http://download.oracle.com/javase/6/docs/technotes/guides/jweb/mixed_code.html oldalon. 2.2. Linux operációs rendszer: Egyes Linux disztribúciók (pl. Ubuntu) alapértelmezetten nem a SUN Java verzióját használják, mely a kisalkalmazás hibás vagy egyáltalán nem működését okozhatja. Ubuntu esetén 10.04 változatnál újabbak esetén a következő lépések segítségével lehet telepíteni a Sun Java futtató környezetet: https://help.ubuntu.com/community/java#sun Java 3. Aláíró tanúsítvány konvertálása pfx kiterjesztésű fájlba Amennyiben a felhasználó az aláíró tanúsítványát az azt kiállító hitelesítés szolgáltatótól MS Internet Explorerébe letöltve kapta meg, akkor szükség van azt onnan exportálni, és pfx vagy p12 kiterjesztésű fájlként a felhasználó által elérhető helyen tárolni. Az exportálás menete a következő: MS Internet Explorer > Tools(Eszközök) > Internet Options(Internet beállítások)... > Content(Tartalom) > Certificates(Tanúsítványok) A Személyes(Personal) lapon válasszuk ki az exportálandó tanúsítványt > Exportálás (Export), majd kövessük a Tanúsítványexportáló varázsló(certificate Export Wizard) utasításait, és a lépések során válasszuk a következőket: Személyes kulcs exportálása(export Private Key) oldalon: Igen, a személyes kulcs exortálásását választom(yes, export the private key) lehetőséget, Nemzeti Média- és Hírközlési Hatóság 2012.09.24. 3/5
Exportfájlformátum(Export File Format) oldalon: Személyes információcsere PKCS #12 (*.PFX): (Personal Information Exchange PKCS #12 (*.PFX)): Erős védelem(enable strong protection), Jelszó(Password) oldalon : adjuk meg a jelszót és megerősítésképpen ismételjük meg a jelszót, amelyet a tanúsítvánnyal való aláíráskor kell majd minden esetben megadni, Exportálandó fájl(file to Export) oldalon: adjuk meg a fájl nevét és azt a helyet, ahol a pfx kiterjesztésű fájlt tárolni kívánjuk, Tanúsítványexportálás a varázsló befejezése(completing the Certificate Export Wizard) oldalon: ellenőrizzük a beállításokat, majd Befejezés(Finish), ezt követően A személyes kulcs exportálása(exporting your private exchange key) oldalon: válasszuk az Igen(OK) lehetőséget, mely után értesítést kapunk a sikeres exportálásról. Megjegyzés: Ha a Személyes kulcs exportálása(export Private Key) oldalon nem lehet kiválasztani az Igen, a személyes kulcs exportálásását választom(yes, export the private key) lehetőséget, az azt jelentheti, hogy nem közvetlenül az exportálást végző számítógépére került letöltésre a hitelesítés szolgáltatótól a tanúsítvány, vagy arra úgy került telepítésre a tanúsítvány, hogy nem engedélyezték a személyes kulcs exportálását. Ebben az esetben forduljunk segítségért ahhoz a személyhez, aki az aláíró tanúsítványt a számítógépre telepítette. 4. Kártyaolvasóval és kártyával kapcsolatos futtatókörnyezet ellenőrzése és beállítása Amennyiben a felhasználó az aláíró tanúsítványát kártyán vagy más biztonsági eszközön (pl. usb token) tárolja, akkor az ezek működéséhez szükséges fájlokat is telepítenie kellett. Ellenőrizendő, hogy a telepítés során a Windows operációs rendszer C:\WINDOWS\system32 mappájában a kártya típusától függően az alábbi listában szereplő, a kártyának megfelelő dll kiterjesztésű fájl megtalálható-e! ORGA Micardo ActivCard Gold Oberthur Oberthur AuthentIC Oberthur ID One Schlumberger Cyberflex Rainbow ikey 3000 Giesecke Giesecke SmartSign Giesecke SmartSign (ht) Rainbow ikey 2000 Rainbow CryptoSwift HSM OpenSmartCard dll MicardoPKCS11.dll acpkcs.dll OCSCryptolib_P11.dll OCSCryptoki.dll AuCryptoki2-0.dll slbck.dll aetpkss1.dll htaetfix.dll hthlkfix.dll htsspk11.dll dkck201.dll iveacryptoki.dll etpkcs11.dll opensc-pkcs11.dll Nemzeti Média- és Hírközlési Hatóság 2012.09.24. 4/5
Axalto Gemalto Cryptoflex.NET Gemalto Classic V3 GemP15-1 Touch&Sign2048 dll xltck.dll gtop11dotnet.dll gclib.dll bit4ipki.dll Ha a kártyaolvasó működik, de a kívánt dll nem található, akkor a dll helye megadható a Java kisalkalmazás részére. Ehhez egy hordozási tranzakció végzése során, az Elküld gombra kattintva, a megjelenő KRA Digitális Aláírás ablakon válasszuk a Beállítások > Kártyaolvasó telepítése lehetőséget, majd adjuk meg a dll helyét. Linux operációs rendszer esetén az alábbi táblázat mutatja az alapértelmezetten támogatott kártyák listáját: so libetpkcs11.so MacOS esetén a támogatott kártyák: GemP15-1 dylib libetpkcs11.dylib libgclib.dylib 5. Mozilla Firefox böngésző beállítása A KRA oldal megnyitásához a Mozilla Firefox böngésző újabb változatai esetében szükség lehet a következő beállításra: a) Írjuk be a böngésző címsorába: about:config, majd nyomjuk meg az Enter gombot! b) Olvassuk el a megjelenő figyelmeztetést, és kattintsunk az ígéretet jelentő gombra! c) A megjelenő listában keressük meg a security.ssl.allow_unrestricted_renego_everywhere temporarily_available_pref sort, és kattintással állítsuk true-ra! Nemzeti Média- és Hírközlési Hatóság 2012.09.24. 5/5