Шаблон документов Mailbank - Интернет-Банк

© 2010, СООО "СИСТЕМНЫЕ ТЕХНОЛОГИИ"
Управление развития систем Клиент-банк.
Установка криптозащиты в системе Интернет-банк
Руководство пользователя
УСТАНОВКА КРИПТОЗАЩИТЫ В СИСТЕМЕ
ИНТЕРНЕТ-БАНК
АННОТАЦИЯ
Применение криптозащиты позволяет безопасно пересылать
сообщения между клиентом и банком. Используется защищенное соединение
по протоколу HTTPS, расширение протокола HTTP, поддерживающее
шифрование. Данные, передаваемые по протоколу HTTP, «упаковываются» в
криптографический протокол SSL.
Для удостоверения платежных и иных документов, передаваемых
клиентом в банк, применяется электронная цифровая подпись (ЭЦП) этих
документов с помощью системы криптозащиты, разработанной фирмой
Авест. Криптографические алгоритмы, реализованные в данной системе
криптозащиты, сертифицированы Государственным Центром Безопасности
Информации при Президенте Республики Беларусь. Проверка ЭЦП
осуществляется на банковской стороне.
В системе Интернет-банк реализована возможность входа в систему
при помощи ЭЦП. В этом случае для проверки доступа клиента в систему
используется не псевдоним и пароль, а его личный электронный ключ. Здесь
также используются функции ЭЦП и проверки ЭЦП системы криптозащиты
фирмы Авест.
В данной инструкции рассмотрены очередность установки
программного обеспечения криптозащиты WebSTAvest2, криптопровайдера
Авест CSP и программы «Персональный менеджер сертификатов Авест».
Показаны выпуски запросов на сертификат в системе Интернет-банк и в
программе «Персональный менеджер сертификатов Авест»; экспорт в
Интернет−банк запроса на сертификат, выпущенного в «Персональном
менеджере сертификатов Авест». Рассмотрена очередность действий при
установке присланного из банка сертификата на компьютер пользователя.
Приведены пример подписания электронных документов и входа по
электронной цифровой подписи в системе «Интернет−банк» (СИБ).
2
СОДЕРЖАНИЕ
1. Установка программного криптографического обеспечения в системе
Интернет−банк......................................................................................................... 3
1.1. Установка криптозащиты WebSTAvest2 .................................................... 3
1.2. Установка программного средства криптографической защиты
информации «Криптопровайдер Авест CSP» ................................................... 8
1.3. Установка программного комплекса «Персональный менеджер
сертификатов АВЕСТ». ....................................................................................... 8
2. Отправка запроса на сертификат ....................................................................... 9
2.1. Создание запроса на сертификат через сайт банка ................................... 9
2.2. Отправка сертификата, сгенерированного средствами Авест ............... 11
3. Установка сертификата..................................................................................... 12
3.1. Получение сертификата ............................................................................. 12
3.2. Импорт сертификата................................... Error! Bookmark not defined.
4. Использование криптозащиты в Интернет−банке ......................................... 13
4.1. Подписание платежных документов ........................................................ 13
4.2. Вход по ЭЦП ............................................................................................... 14
5. Пользователи системы «Клиент−банк» .......................................................... 16
6. Использованные сокращения и аббревиатуры............................................... 19
3
1. УСТАНОВКА ПРОГРАММНОГО
КРИПТОГРАФИЧЕСКОГО ОБЕСПЕЧЕНИЯ В СИСТЕМЕ
ИНТЕРНЕТ−БАНК
Актуальное в настоящее время использование криптографических
ключей в системах повышенной надежности требует запоминания пароля.
В стандартных процедурах индентификации пользователя систем
повышенной надежности используется 2 или 3 параметра: идентификатор
пользователя, пароль и, обычно, капча (графическое изображение или
результат задания).
В системе «Интернет−банк» использование криптоключей возможно
после установки минимального программного обеспечения криптозащиты
WebSTAvest2, криптопровайдера Авест CSP и программы «Персональный
менеджер сертификатов Авест», выпуска запроса на сертификат, его
экспорта.
Юридические лица − пользователи системы «Клиент−банк» разработки
СООО «Системные технологии» устанавливают минимальное программное
обеспечение криптозащиты WebSTAvest2 и отправляют 129 запрос в системе
«Клиент−банк» (СКБ) Mailbank.
1.1.1. Установка криптозащиты WebSTAvest2
На сайте системы «Интернет−банк» выбирается закладка «Вход по
ЭЦП».
4
Так как система «Интернет−банк» определила отсутствие библиотеки
ActiveX, то нажимается ссылка на мастера установки. В возникшем окне
приведена информация о начале работы мастера установки электронной
цировой подписи (ЭЦП), используемой для авторизации и электронного
подписывания платежных и бухгалтерских документов.
Нажимаем кнопка «Далее». Возникает окно выбора варианта
установки. Для пользователей системы «Клиент − Банк» разработки СООО
«Системные технологии» необходимо установить минимальный набор
библиотек WebSTAvest2. При этом уже установлен криптопровайдер Авест
CSP и программа «Персональный менеджер сертификатов Авест», выпущен
и импортирован сертификат юридического лица. Выбирается вариант
установки.
Пользователи системы «Клиент−банк» разработки СООО «Системные
технологии» выбирают «Да».
5
Для них устанавливается в существующий каталог с системой
«Клиент−банк» криптозащита WebSTAvest2. После завершения установки
выводится сообщение: «ActiveX компонент успешно установлен!
WebSTAvest2.1.dll Версия 1.0 © 2010 Системные технологии»
Новые пользователи услуг удаленного доступа к банку выбирают
«Нет» и «Далее» и переходят к третьему шагу.
Возможен выбор между установкой программ, чтением инструкций
или выходом из мастера установки криптозащиты.
6
По ссылке «установки криптозащиты» можно ознакомиться с
инструкциями о порядке установки и настройки критпозащиты, в том числе и
с настоящей инструкцией,.
По ссылке «программное обеспечение» получаем возможность выбора
установки программ. Новые пользователи удаленного доступа к банку
устанавливают все компоненты, пользователи Клиент−банк только
минимальную установку.
7
По ссылке «Минимальной установки» попадаем в мастер установки.
Выбираем путь и тип установки «Just me». В случае использования
системы «Интернет−банк» несколькими пользователями операционной
системы выбирается пункт «Everyone».
8
Новым пользователям удаленного доступа к банку необходимо
установить программное обеспечение:
1. программное средство криптографической защиты информации
«криптопровайдер Авест CSP»;
2. программный комплекс «Персональный менеджер сертификатов
АВЕСТ».
1.1.2. Установка программного средства криптографической
защиты информации «Криптопровайдер Авест CSP»
Установка программного средства криптографической защиты
информации «криптопровайдер Авест CSP» осуществляется в соответствии с
руководством оператора РБ.ЮСКИ.08000−1 указанного средства.
Производится
после
установки
драйверов
носителей
криптографической защиты. Например, драйвера SafeNet iKey Driver
3.4.6.115 при использовании шифроключей торговой марки iKey. Установку
производить без смены системного пароля, в предлагаемые по умолчанию
пути.
1.1.3. Установка программного комплекса «Персональный
менеджер сертификатов АВЕСТ».
Установка программного комплекса «Персональный менеджер
сертификатов АВЕСТ» осуществляется в соответствии с руководством
оператора программного продукта РБ.ЮСКИ.08000−1 указанного комплекса.
9
2. ОТПРАВКА ЗАПРОСА НА СЕРТИФИКАТ
Для подключения нового клиента Интернет-банк необходимо
выполнить на клиентской стороне, уполномоченным лицом клиента (далее
Администратор системы) подписку на услугу через «Центр сертификации»
сайта банка. После этого оформить юридический договор с банком. На
основании подписанного договора Банк производит «проверку» и «подпись»
заявки клиента. Можно произвести активизацию системы.
Администратор системы производит активизацию системы через
«Центр сертификации» на сайте банка.
Данные действия описаны в «Руководстве пользователя с правами
администратора Интернет−банка» РКЮД.21003-02 34 03.
По активизации администратора системы производится выпуск запроса
на сертификат открытого ключа.
2.1.1. Создание запроса на сертификат через сайт банка
Войдите на сайт банка администратором системы.
Выберите пункт меню «Настройка − Сертификаты − Запрос на
сертификат − Создать в браузере – Создать сертификат».
Регистрационный номер администратора системы Интернет−банк
указываем в поле «Идентификатор абонента»(можно посмотреть зайде в
меню НАСТРОЙКА\ПОЛЬЗОВАТЕЛИ) и в поле «Имя ключа».
Носитель криптографических сертификатов должен быть подключен.
Жмем «Далее»
10
Жмем «Далее»
Жмем «Далее»
11
После нажатия кнопки «Далее» появится диалог носителя с просьбой
ввести пароль дважды для хранилища.
Потом попросят подвигать мышкой небольшое время. Нажимаем
«Далее» и печатаем карточку открытого ключа в 2-х экземплярах, с подписью
директора, расшифровкой подписи и печатью организации 2 экземпляра
передаеться в Банк. Запрос на сертификат сгенерирован. И уходит в банк
после нажатия на кнопку «Оправить».
Там запрос регистрируется и на его основе выпускается сертификат
открытого ключа клиента, который используется им для удостоверения
электронных документов, передаваемых в банк и входа в систему
Интернет−банк.
2.1.2. Отправка сертификата, сгенерированного средствами
Авест
Войдите на сайт банка администратором системы.
Выберите пункт меню «Настройка − Сертификаты − Запрос на
сертификат − Загрузить файл».
Кнопкой «Обзор»(«Browse») укажите файл с запросом на сертификат.
Подтвердите выбор. Запрос уйдет на банк для выпуска сертификата
открытого ключа.
Методика создания запроса в персональном менеджере описана в
руководстве оператора программного продукта РБ.ЮСКИ.08000−1
программного комплекса «Персональный менеджер сертификатов АВЕСТ».
12
3. УСТАНОВКА СЕРТИФИКАТА
3.1.1. Получение и импорт сертификата
Администратор системы должен перейти в пункт меню «Настройка» −
«Сертификаты» − «Мои сертификаты».
Жмем
- «Установить Сертификат»
- «Импортировать»
Ничего не изменяя жмем «Далее», «Далее», «Далее»
Вводим пароль к контейнеру и жмем ОК
Ничего не изменяя жмем «Далее», «Закрыть»
13
4. ИСПОЛЬЗОВАНИЕ КРИПТОЗАЩИТЫ В
ИНТЕРНЕТ−БАНКЕ
4.1.1. Подписание платежных документов
Электронная цифровая подпись платежных документов производится
путём выделения документа или группы документов и нажимается кнопка
«Подписать» либо в контекстном меню(вызывается правой кнопкой мыши)
«Подписать документ».
Принимается решение о подписывании документов по нажатии кнопки
подписи.
14
Возникает окно выбора сертификата. При подписи первого документа
из списка запрашивается ввод пароля для доступа к личному ключу (сам
личный ключ находится на USB-устройстве i-Key).
Сформированный блок ЭЦП вместе с подписываемым блоком данных
передается на банк.
Банк, имеющий подключение к системе криптозащиты на своей
стороне, выполняет проверку ЭЦП переданного ему блока информации. При
успешной проверке запрос переводится в следующее состояние («готов к
отправке»), при неуспешной – выдается ошибка, которую web-сервер
отображает клиенту.
4.1.2. Вход по ЭЦП
При подключении к системе «Интернет−банк» можно не вводить
псевдоним пользователя и пароль, а использовать криптоключ (носитель
ЭЦП) и известный пароль.
На сайте выбираем «Вход в систему − Вход по ЭЦП».
15
Если на электронном ключе − носителе сертификата − один ключ, то
вводится один пароль по нажатию кнопки «Вход». Иначе пароль указывается
для выбранного сертификата.
16
5. ПОЛЬЗОВАТЕЛИ СИСТЕМЫ «КЛИЕНТ−БАНК»
Пользователи системы «Клиент−банк» разработки СООО «Системные
технологии» устанавливают минимальный набор криптозащиты с сайта
системы «И−Б».
Выбирают «Да»:
Устанавливается в существующий каталог с системой «Клиент−банк»
криптозащита
WebSTAvest2.
Осталось
зарестрировать
сертификат
безопасности. Для этого нужно войти в программу «Клиент−банк» и создать
соответствующий запрос к банку.
17
Пользователь системы «Клиент−банк» формирует
назначения сертификата для системы «Интернет−банк».
129
запрос
В запросе указываются сертификат, фамилия, имя и отчество
физического лица, использующего носитель с сертификатом – пользователя
системы «Интернет−банк», которому назначается данный сертификат, а
также его регистрационный номер в системе «Интернет−банк».
Сформированный запрос подписывается текущей ЭЦП пользователя
системы «Клиент−банк», шифруется и отправляется на почтовый ящик банка.
На стороне банка запрос принимается обработчиком запросов СЭП,
укладывается в базу данных в исходном виде (зашифрованный и
подписанный), затем расшифровывается, проверяется электронная подпись.
При успешном прохождении этих операций выполняется первичная
логическая проверка параметров запроса, а именно: имеет ли право данный
пользователь системы «Клиент−банк» на указанный в запросе сертификат.
Если хоть одна проверка не прошла, выдается ошибка, которая
отправляется приславшему запрос клиенту.
При успешном прохождении проверок происходит назначение данному
пользователю СДБО указанного в запросе сертификата криптозащиты, и
сообщение об успешной обработке запроса отправляется пользователю
«Клиент−банк». После это пользователь «Клиент−банк» может входить по
криптоключу в систему через пункт меню «Вход по ЭЦП».
18
Ввод пароля обязателен.
19
6. ИСПОЛЬЗОВАННЫЕ СОКРАЩЕНИЯ И АББРЕВИАТУРЫ
CSP − Cryptographic Service Provider − криптопровайдер, то есть
поставщик криптографических услуг.
HTTP − HyperText Transfer Protocol — «протокол передачи
гипертекста».
HTTPS (Hypertext Transfer Protocol Secure) — расширение протокола
HTTP, поддерживающее шифрование.
SSL (англ. Secure Sockets Layer — уровень защищённых сокетов) —
криптографический протокол, обеспечивающий безопасную передачу данных
по сети Интернет.
ЭЦП − электронная цифровая подпись − обеспечивает индивидуальное
и уникальное ответное число большого размера. Невозможность его подбора
обеспечивает надежность электронного документооборота в соответсвии со
Стандартом Республики Беларусь.
СКБ − система «Клиент−банк», система электронных платежей
Mailbank.
СИБ − система «Интернет−банк».