Инструкция по получению и регистрации сертификатов
advertisement
Инструкция по получению и регистрации сертификатов открытых ключей для использования в системе «Eximbanк-Online» 1. Общие положения В связи со вступлением в силу Закона РМ «Об электронном документе и цифровой подписи» (с 06.11.2004) появилась легитимная возможность для признания достоверности платежных документов, передаваемых Клиентами посредством системы «Eximbank-Online» (в дальнейшем – Система), даже при отсутствие оригиналов этих документов на бумажном носителе. Согласно указанному Закону, электронные документы юридически равноценны утвержденным (подписанным) документам на бумажном носителе при условие подписания электронных документов необходимым количеством Электронных Цифровых Подписей (ЭЦП) от имени соответствующих должностных лиц. При этом , каждая ЭЦП должна быть обеспечена Сертификатом, удостоверяющим достоверность ЭЦП и ее принадлежность конкретному физическому лицу. Выдачей сертификатов занимаются лицензированные на территории РМ Центры Сертификации (Certificate Authority – CA), либо СА стран, имеющих с РМ соответствующие договора. Таким образом, Закон предусматривает наличие определенной инфраструктуры, занимающейся выдачей и сертификацией ЭЦП (на коммерческой или безвозмездной основе). В РМ данную услугу предоставляет ГП ModSign (www.cts.md). Услуга латная. Также возможно приобретение Сертификатов ЭЦП у мировых производителей данной услуги. Практически все производители оказывают такие услуги на платной основе. Приятным исключением является фирма Thawte (www.thawte.com), базирующаяся в ЮАР и выдающая Сертификаты ЭЦП физическим лицам бесплатно. Поэтому процесс получения Сертификата ЭЦП далее будет рассматривать применительно именно к фирме Thawte. При получение и использование ЭЦП необходимо учитывать следующее: - клиент вправе получать ЭЦП и сертификаты к ним у любого другого СА по своему усмотрению. Ключи ЭЦП должны при этом должны удовлетворять следующим условиям 1. алгоритм шифрования – RSA 2. длина ключа – 1024 3.подпись (hash) – SHA, MD5 4. идентификация пользователя при работе в SSL протоколе 5. online проверка сертификата средствами Браузера MS IE - Полученные ключи и сертификаты являются собственностью Клиента и могут использоваться по усмотрению Клиента в любых других приложениях, требующих аналогичные ЭЦП и Сертификаты. - По мере развития инфраструктуры CA в РМ Банк оставляет за собой право потребовать от Клиента получения сертификата на территории РМ. Все образы экранов, приведенные в разделе 2 данного руководстве взяты с сайта www.thawte.com и являются собственностью фирмы Thawte. - Для получения Сертификатов Вам понадобятся: действующий Е-mail адрес (отдельный для каждого сертификата) документ (паспорт, водительские права - отдельные для каждого сертификата) если при загрузке Windows Вы используете локальный (сетевой) Login для входа в систему, то Сертификат должен быть получен под тем Login, в работе которого он (Сертификат) будет использоваться (и желательно на компьютере будущего пользователя Сертификата). 2. Получение Сертификата В данном разделе описывается процесс получения Сертификата у фирмы производителя Thawte (www.thawte.com). Рекомендуем производить получение и установку Сертификата в среде MS Internet Explorer ver 6.02 и выше. Итак, зайдите на сайт www.thawte.com. Вы увидите следующую картинку: Рис.1 Наведите мышь на пункт «products» и щелкните по ссылке «free personal e-mail certificate». Картинка сменится на следующую: Рис.2 Щелкните по ссылке «Join» to get your personal certificate now. В отдельном окне появится следующее. Прочтите условия и нажмите кнопку «-> next». Рис.3 Укажите на появившемся экране Вашу Фамилию, Имя, дату рождения (Внимание! Используйте только стандартный латинский алфавит). Выберите из списка страну, документами которой (паспорт, водительские права) Вы располагаете. (показано на примере). Нажмите «next» Рис.4 Следующий экран показан двумя частями (по вертикали). (ВНИМАНИЕ. Этот экран может НЕ ПОЯВИТЬСЯ. Перейдите к Рис.6) Введите в поле «Personal Code» значение Идентификационного Номера Вашего удостоверения личности или водительских прав. Щелкните мышкой на радио кнопке «Other» (там должна появиться точка). ВНИМАНИЕ! Данные Ваших документов никогда не будут фигурировать в полях Сертификата. Рис.5.1 В полях «Email Address/Thawte Username» укажите Ваш E-mail адрес (два поля!). ВНИМАНИЕ! E-mail должен быть реальным и действующим адресом. При указание фиктивного адреса получение сертификата будет невозможно. Проверьте введенную информацию и нажмите кнопку «next». Рис.5.2 Здесь просто нажмите «next» Рис.6 Введите пароль в первом поле и повторите его во втором. Внимание! Этот пароль (в дальнейшем THAWTEпароль) будет Вам необходим для управления Вашим Сертификатом. ОБЯЗАТЕЛЬНО запишите пароль и храните его в доступном только Вам месте. Пароль: 1. должен быть от 6 до 20 символов длиной. 2. Содержать ТОЛЬКО символы английского алфавита и цифры (т.е. НЕ может содержать символы национальных алфавитов) 3. Является регистроЗАВИСИМЫМ) Рис.7 После ввода пароля и его повторения нажмите «next» Следующий экран представлен тремя рисунками: Укажите Ваш контактный телефон (для Кишинева – 373 22 городской) Рис.8.1 Ответьте на 5 выбранных контрольных вопроса (отметив их «галочкой»). Внимание! Этот пункт обязателен. В случае, если Вы решите отозвать Ваш Сертификат, Фирма THAWTE может потребовать от Вас ответы на контрольные вопросы. Рис.8.2 ОБЯЗАТЕЛЬНО! Распечатайте эту страницу после заполнения (правая кнопка мыши -> Печать). ТОЛЬКО после завершения печати нажмите «next». Храните распечатанную страницу вместе с THAWTE-паролем. Рис.8.3 Вы получите следующее сообщение : Рис.9 Согласно этому сообщению Вы должны в течение 15 минут получить на указанный Е-mail письмо от фирмы THAWTE c указанием, как продолжить процесс получения Сертификата. Если Вы не получили это письмо в течение ДНЯ, то Вам надо начать процесс с начала. После получения на Ваш E-mail письма от фирмы Thawte Вам надо зайти по ссылке, указанной в полученном письме. После входа Вы увидите в Вашем Браузере следующее: Аккуратно скопируйте (наберите) содержимое полей «Probe» и «Ping» из полученного письма в одноименные поля данной формы. Нажмите «next». Рис.10 Появится следующий экран: Данное сообщение оповещает Вас о том, что Вы зарегистрированы в THAWTE c указанным именем. Ничего не изменяя, нажмите «next». При запросе введите User Name – это ваш email и Password – это THAWTEпароль. Рис.11 Нажмите Request под фразой X.509 Format Certificates Рис.11.1 На следующем (отдельном) экране Вам надо : подтвердить Ваш E-mail (поставить «галочку») и нажать «next» Рис.12 ВНИМАНИЕ! В дальнейшем в данном сеансе Служба Безопасности Вашего Браузера может запрашивать различные подтверждения и выдавать различные предупреждения о работе с сертификатами и (или) ключами. На ВСЕ такие предупреждения (подтверждения) отвечайте только ПОЛОЖИТЕЛЬНЫМИ ответами. Укажите тип Вашего Браузера и нажмите «request» Рис.13 Здесь Здесьпросто просто нажмите нажмите«next» «next» Рис.14 Здесь просто нажмите «next» Рис.15 ОБЯЗАТЕЛЬНО! Нажмите «accept». Рис.16 Выберите из списка CSP указанное на рисунке и нажмите «Next». Рис.17 Рис.18 После нажатия кнопки «Finish» у Вас появится: Рис.19 На этом первая часть (Ваша регистрация на Thawte) завершена. Вы можете закрыть Браузер. Для получения сертификата Вам надо дождаться двух писем на Ваш E-mail от Thawte. После получения этих писем, Вам надо зайти на сайт фирмы Thawte, перейти по ссылке «free personal e-mail certificate» (Рис.1 и 2 данного раздела). Затем нажмите кнопку «login». От Вас потребуют ваше регистрационное имя и THAWTEпароль. После ввода этих параметров Вы увидите экран, аналогичный следующему. Нажмите на ссылку «certificates». Рис.20 Нажмите на ссылку «view certificate status». Вы увидите следующее: Рис.21 Рис.22 Если в поле «Status» стоит слово «pending», то Ваш Сертификат еще не выдан, и Вам надо зайти на эту страницу позже. Если же статус Сертификата «issued», то Вы можете получить и установить Сертификат в Ваш Браузер. Для этого щелкните на ссылку под словом «Type». Появится: Рис.24 После нажатия на «Install Your Cert» Браузер произведет установку Сертификата и выдаст сообщение, показанное в центре окна. На этом процедура получения и установки Сертификата завершена. 3. Сохранение Сертификатов После получения и установки Сертификатов (раздел 2.) необходимо изготовить резервные копии этих Сертификатов. Копии Вам будут необходимы в случаях, когда надо перенести Сертификат с одного компьютера на другой (или переустановить на тот же компьютер) после замены (ремонта) техники, восстановления или модификаций Операционной Системы. Помимо этого Сертификат может убираться/восстанавливаться владельцем Сертификата в случаях, когда компьютер разделяется многими пользователями, включая лиц, не уполномоченных для работы с приложениями, использующими Сертификат. Все действия по сохранению Сертификатов описаны для Браузера MS Internet Explorer v 6. - Итак, для сохранения Вашего Сертификата выполните следующее: Запустите Ваш Браузер Откройте окно «Сервис - Свойства Обозревателя – Содержание – Сертификаты» Рис.1 - Выберите сохраняемый Сертификат и нажмите кнопку «Экспорт» - В открывшемся окне «Мастер экспорта Сертификатов» нажмите кнопку «Далее», затем укажите «Да, экспортировать открытый ключ» и опять нажмите «Далее» Рис.2 Рис.3 - Установите все флажки так, как это показано на Рис.3 и нажмите «Далее» - В следующем окне укажите и повторите пароль доступа к файлу ключа (этот пароль Вам понадобиться при восстановление Сертификата). ВНИМАНИЕ! При вводе пароля не используйте символы национальных алфавитов и учитывайте то, что пароль является регистроЗАВИСИМЫМ. После ввода и повторения пароля нажмите кнопку «Далее». - В следующем окне укажите имя сохраняемого файла. Расширение НЕ указывайте (расширением будет .pfx). При вводе имени укажите букву носителя и (или ) имя директория, на (в) которые будет сохранен файл. Рекомендуем проводить сохранение на съемный носитель (дискета, флэш-память). Например a:/mycert – сохранение файла mycert.pfx на дискете a: . Нажмите кнопку «Далее». - В итоговом окне проверьте информацию и нажмите кнопку «Готово». - Дайте положительный ответ на запрос Службы Безопасности Браузера. - Ваш Сертификат и ключи скопированы в указанный файл и могут быть перенесены на другой компьютер. - ВНИМАНИЕ! Если Вы делали сохранение Сертификата на жесткий диск, то перепишите файл на съемный носитель и сотрите его с жесткого диска. Если в качестве съемного носителя использовалась дискета, то изготовьте ее копию на еще одну (ввиду ненадежности данного типа носителей). - ВНИМАНИЕ! Храните съемные носители и пароль доступа к файлу в месте, недоступном для посторонних лиц и лиц, неавторизованных для работы с Сертификатом. 4. Вход в Систему «Eximbank-Online» с использованием Сертификата Вход в Систему с использованием сертификата нужен для: - регистрации Вашего Сертификата в Системе или - подписания леевых платежных документов (платежных поручений). Для работы в информационных режимах Вы можете работать без Сертификата с Вашей стороны. Запустите Систему. Перед входом Браузер предупредит Вас о переходе в закрытое (SSL) соединение. Подтвердите вход. Затем Браузер предложит Вам выбор Вашего Сертификата из числа установленных на Вашем компьютере. Выберите нужный Вам Сертификат и подтвердите выбор. Если Ваш Сертификат не прошел проверку, то в Систему (окно Login) Вы не попадете. Если Вы не выбрали Сертификат при входе в Систему, отказались от выбора или на Вашем компьютере нет пригодного Сертификата (список выбора, предложенный Браузером был пуст), то в окне Login Вы увидите сообщение «Вы работаете без SSL сертификата с Вашей стороны». Если же выбор Сертификата был успешным, то окно Login имеет следующий вид: Рис.1 (где данные соответствуют данным Вашего Сертификата). 5. Регистрация Сертификатов в Системе «Eximbank-Online» Для регистрации Вашего Сертификата в Системе необходимо войти в Систему с использованием Сертификата (раздел 3). Убедитесь, что Вы вошли в Систему с нужным Сертификатом и завершите процедуру идентификации (Login, пароль). При работе с использованием Сертификата в Главном Меню Системы появится пункт (ссылка) «Безопасность». До регистрации Вашего Сертификата в нижней-правой части экрана будет видна надпись «Ваш Сертификат не зарегистрирован» (красного цвета). приведенные в Рис.1 Нажмите на ссылку (пиктограмму) «Безопасность» и откроется окно регистрации Сертификата: Рис.2 Укажите Вашу Фамилию, Имя(инициалы) в соответствующих полях (используйте только стандартный английский алфавит). Укажите, в качестве какого должностного лица Вы будете подписывать платежные документы. При работе в Системе Вам потребуются минимум две подписи: одна от имени Руководителя, другая – от имени Бухгалтера. Если Ваши внутрифирменные стандарты требуют согласования платежных документов дополнительными лицами, и Вы являетесь таким лицом, то укажите, что Вы подписываете документы в качестве «Другого лица» и установите флажок «Подпись данным сертификатом ОБЯЗАТЕЛЬНА». Это гарантирует, что платежные документы не будут обработаны до момента их подписания данным сертификатом (даже если они подписаны Руководителем и Бухгалтером). После ввода указанных выше данных нажмите на ссылку «Сохранить данные о Сертификате и Владельце». Система произведет запись соответствующих данных в соответствующие базы данных сервера Банка. После обновления экрана Вы увидите: Рис.3 У Вас добавился пункт меню «Печать приложения N2 к Договору» (только если Вы регистрируете Сертификат Руководителя или Бухгалтера). Для «Другого лица» печать приложения N2 не нужна. Нажмите на ссылку «Печать приложения N2 к Договору». У Вас появится Рис.4 Нажмите на пиктограму принтера в правом верхнем углу окна и распечайте форму приложения N2 (будут распечатаны два экземпляра). Подпишите и заверьте оба экземпляра и принесите их в Банк. После подписания и заверения приложений Банком, Администратор системы проставит соответствующие признаки в базах данных и Ваш сертификат примет статус «Зарегистрирован». После этого Вы сможете использовать Ваш Сертификат в качестве подписи Руководителя (или Бухгалтера) на платежных документах. Для того, чтобы убедиться в том, что Ваш Сертификат зарегистрирован в Системе, войдите в Систему с использованием Сертификата (раздел 3). В главном Меню Системы Вы увидите надпись «Ваш Сертификат зарегистрирован за Фамилия Имя». Рис.5 Теперь, если Вы зайдете в режим «Безопасность», то там появится пункт меню «Приостановить действие Сертификата» для действующего Сертификата или «Возобновить действие Сертификата» для Сертификата, действие которого приостановлено. Приостановка действия сертификата используется в тех случаях, когда Владелец данного Сертификата не может исполнять свои обязанности (отпуск, командировка и т.п.). Соответственно, восстановление действия сертификата производится тогда, когда его Владелец вернулся к исполнению должностных обязанностей. ВНИМАНИЕ! В каждый момент у Вас (фирмы) должно быть, как минимум, ДВА действующих сертификата: один от имени Руководителя и второй – от имени Бухгалтера). В противном случае Вы не сможете проводить платежи через Систему. Рис.6 Кроме того, в данном окне Вы можете просмотреть полный список Сертификатов, зарегистрированных за Вашим Login (Вашей Фирмой). Необходимые замечания. - Login (Фирма) ДОЛЖНА иметь минимум ДВА действующих сертификата: один от имени Руководителя и второй – от имени Бухгалтера). В противном случае Вы не сможете проводить платежи через Систему. - Login (Фирма) МОЖЕТ иметь сколько угодно действующих сертификатов как от имени Руководителей, так и от имени Бухгалтеров (т.е. каждое должностное лицо, имеющее право подписи на платежных документах, может (и должно) иметь свой Сертификат). Системе безразлично, кто из Руководителей и Бухгалтеров подписал платежные документы. - Если некоторые действующие сертификаты Login (Фирмы) имеют статус «Подпись данным Сертификатом ОБЯЗАТЕЛЬНА», то платежные документы должны быть подписаны всеми должностными лицами, имеющими Сертификаты данного статуса, независимо от наличия подписей других должностных лиц. - В случае изменения Фамилии, Имени или должности Владельца Сертификата Руководителя или Бухгалтера, Сертификат перестает быть зарегистрированным. Вам надо распечатать Приложение N2 для новых данных и принести его в Банк для регистрации. Исключением является случай, когда сертификат регистрируется за «Другим лицом». В этом случае печатать и приносить Приложение N2 НЕ НАДО. - Система НЕ ПОЗВОЛИТ зарегистрировать один и тот же Сертификат за разными Должностными Лицами одновременно (см. предыдущий пункт). - Изменить данные о Владельце Сертификата может ТОЛЬКО Владелец Сертификата (иначе говоря, Вы можете изменить данные только того Сертификата, с использованием которого Вы вошли в Систему). - Сертификаты, действие которых приостановлено, НЕ МОГУТ использоваться для подписания платежных документов. 6. Подписание платежных документов в Системе «Eximbank-Online» Для подписания платежных документов Вашим Сертификатом в Системе необходимо войти в Систему с использованием Сертификата (раздел 3). Убедитесь, что Вы вошли в Систему с нужным Сертификатом и завершите процедуру идентификации (Login, пароль). Если Ваш Сертификат принадлежит Руководителю или Бухгалтеру, то подписание этим Сертификатом производится автоматически в момент сохранения платежного документа (как в режиме ручного ввода, так и при импорте платежных документов). Если же Вы не имеете действующего Сертификата или вошли в Систему без использования Сертификата, то введенные в таком сеансе документы потребуют последующего подписания всеми необходимыми Сертификатами. Подписание производится в режиме «Список ПП» нажатием пункта меню «Подписать» для всего списка платежных документов (верхнее меню) или для отдельного документа. Документы, требующие подписания, имеют статус «Подпись». Кроме того, в списке платежных документов отражаются проставленные подписи (Фамилия, Имя должностного лица и печать Публичного Ключа его Сертификата). Подписание должно быть произведено: - одним Бухгалтером с действующим Сертификатом - одним Руководителем с действующим Сертификатом - всеми должностными лицами, действующие Сертификаты которых имеют статус «Подпись данным Сертификатом ОБЯЗАТЕЛЬНА». Документы, требующие подписания, Системой НЕ ИСПОЛНЯЮТСЯ до их подписания всеми необходимыми Сертификатами. Если Вы пользуетесь Кодом Авторизации, то подписание Сертификатами НЕ ОТМЕНЯЕТ и НЕ ЗАМЕНЯЕТ авторизации документов Кодом Авторизации. 7. Обновление Сертификатов. Из-за ограниченного срока действия Сертификатов, их потерь при поломках компьютеров или переустановках Windows, а также по другим причинам появляется необходимость обновления Сертификатов. В действительности при обновление Сертификата происходит не продление жизни старого сертификата, а выдача нового. Для того чтобы обновить сертификат надо: -Дойти до Рис 2. параграфа 2 -Нажать ссылку «Login» -В ответ на запрос указать User Name (это Ваш e-mail ) и Password (это TНAWTE –пароль) -Продолжить с Рис 11.1 параграфа 2 до параграфа 5 включительно
