MUITINĖS DEPARTAMENTAS PRIE LIETUVOS RESPUBLIKOS FINANSŲ MINISTERIJOS BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO VERSIJA: v0.10 Vilnius 2018
TURINYS 1 Windows (certreq)... 3 2 Linux / Windows Subsystem for Linux (openssl)... 18
1 WINDOWS (CERTREQ) 1. Susikurkite failą request.inf. Failo turinys pateiktas žemiau. Pastaba: paruoštą request.inf failą galite atsisiųsti sertifikato generavimo lange arba prisijungimo puslapyje. Atsisiuntus failą eilutėje Subject vietoje Vardenis Pavardenis įrašykite savo vardą ir pavardę. Pav. 1 Failo request.inf atsisiuntimas prisijungusiam prie BAP naudotojui Pav. 2 Failo request.inf atsisiuntimas neprisijungusiam naudotojui ;----------------- request.inf ----------------- [Version] Signature="$Windows NT$" [NewRequest] Subject = "CN=Vardenis Pavardenis" KeySpec = 1 KeyLength = 2048 Exportable = True MachineKeySet = False SMIME = False PrivateKeyArchive = FALSE UserProtected = FALSE UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12 RequestType = PKCS10 KeyUsage = 0xa0 [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 ;----------------------------------------------- Pav. 3 Failo request.inf sukūrimas 2. Atidarykite cmd komandinę eilutę ir paleiskite žemiau aprašytą komandą. Komandinę eilutė atidarykite Start meniu paieškos lauke įvedę cmd ir pasirinkę Command Prompt. D:\bapcrt> certreq -new request.inf request.csr Sėkmingai sukūrus request.csr, komandinėje eilutėje gausite atsakymą: CertReq: Request Created Pav. 4 Failo request.csr sukūrimas 3. Perduokite request.csr failą BAP administratoriams ir gaukite pasirašyta sertifikatą sertifikatas.crt. Pastaba: jeigu prie BAP galite jungtis naudojantis elektroninių valdžios vartų teikiama tapatybės nustatymo paslauga, tai failą request.csr prisekite skiltyje Profilis paspaudus mygtuką Generuoti sertifikatą. Atsisiųskite sertifikatas.crt failą paspaudę mygtuką Atsisiųsti modaliniame lange arba sertifikato duomenų lentelėje.
Pav. 5 CSR failo įkėlimo vieta Pav. 6 CRT failo atsisiuntimas Pav. 7 CRT sertifikato atsisiuntimas iš sertifikato duomenų lentelės
Pav. 8 Failo sertifikatas.crt sukūrimas 4. Importuokite sertifikatą į vartotojo sertifikatų talpyklą. Ant failo sertifikatas.crt paspauskite pelės dešinį klavišą, atidarytame iššokstančiame lange pasirinkite funkciją Install Certificate. Pav. 9 Sertifikato importavimas į vartotojo sertifikatų talpyklą
Pav. 10 Sertifikato importavimo vedlys: talpinimo vietos pasirinkimas
Pav. 11 Sertifikato importavimo vedlys: lokacijos specifikavimas
Pav. 12 Sertifikato importavimo vedlys: nustatymų peržiūra Pav. 13 Sertifikato importavimo vedlys: informavimas apie sėkmingai baigtą sertifikato importavimą 5. Atidarykite sertifikatų valdymo įskiepį (standartinis Windows komponentas). D:\bapcrt> certmgr Atsidariusiame lange turėtumete matyti suimportuotą sertifikatą.
Pav. 14 Importuoto sertifikato peržiūra 6. Patikrinkite, ar sertifikatas turi atitinkamą privatų raktą. Turite matyti užrašą You have a private key that corresponds to this certificate. Pav. 15 Sertifikato privataus rakto patikrinimas 7. Išeksportuokite sertifikatą kartu su privačiu raktu į failą, kad galėtumėte naudoti kituose kompiuteriuose ir turėti atsarginę kopiją:
Pav. 16 Sertifikato eksportavimas Pav. 17 Sertifikato eksportavimo vedlys
Pav. 18 Sertifikato eksportavimo vedlys: formato pasirinkimas Pažymėkite, kad privatus raktas būtu eksportuotas kartu su sertifikatu.
Pav. 19 Sertifikato eksportavimo vedlys: privataus rakto eksportavimas Sugalvokite slaptažodį, kuriuo bus apsaugotas sertifikato privatus raktas.
Pav. 20 Sertifikato eksportavimo vedlys: slaptažodžio sukūrimas
Pav. 21 Sertifikato eksportavimo vedlys: failo pavadinimo sukūrimas
Pav. 22 Sertifikato eksportavimo vedlys: nustatymų peržiūra Pav. 23 Sertifikato eksportavimo vedlys: informavimas apie sėkmingai baigtą sertifikato eksportavimą Atsiradęs failas sertifikatas.pfx turi savyje jūsų sertifikatą ir jo privatų raktą. Jį lengvai galėsite importuoti kitame kompiuteryje.
Pav. 24 Eksportuoto failo sertifikatas.pfx atvaizdavimas
2 LINUX / WINDOWS SUBSYSTEM FOR LINUX (OPENSSL) Jeigu naudojate Linux operacinę sistemą arba WSL, sertifikato užklausą galite sugeneruoti naudojant openssl komandą. 1. Sugeneruokite sertifikato užklausą naudojant openssl komandą: /mnt/d/bapcrt/linux$ openssl req -out request.csr -new -newkey rsa:2048 -nodes -keyout certificate.key "Country Name" = LT Country Name (2 letter code) [AU]:LT State or Province Name (full name) [Some-State]:n/a Locality Name (eg, city) []:n/a Organization Name (eg, company) [Internet Widgits Pty Ltd]:n/a Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []:Vardas Pavardauskas Pavyzdys: user@pc:/mnt/d/bapcrt/linux$ openssl req -out request.csr -new -newkey rsa:2048 -nodes -keyout certificate.key Generating a 2048 bit RSA private key...+++...+++ writing new private key to 'certificate.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:LT State or Province Name (full name) [Some-State]:n/a Locality Name (eg, city) []:n/a Organization Name (eg, company) [Internet Widgits Pty Ltd]:n/a Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []:Vardas Pavardauskas Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Patikrinkite turimus failus: user@pc:/mnt/d/bapcrt/linux$ ls -l total 8 -rwxrwxrwx 1 root root 1704 May 7 15:37 certificate.key -rwxrwxrwx 1 root root 980 May 7 15:37 request.csr
2. Perduokite request.csr failą BAP administratoriams ir gaukite pasirašyta sertifikatą sertifikatas.crt. Pastaba: jeigu prie BAP galite jungtis naudojantis elektroninių valdžios vartų teikiama tapatybės nustatymo paslauga, tai failą request.csr prisekite skiltyje Profilis paspaudus mygtuką Generuoti sertifikatą. Atsisiųskite sertifikatas.crt failą paspaudę mygtuką Atsisiųsti modaliniame lange arba sertifikato duomenų lentelėje. Pav. 25 CSR failo įkėlimo vieta Pav. 26 CRT failo atsisiuntimas Pav. 27 CRT sertifikato atsisiuntimas iš sertifikato duomenų lentelės user@pc:/mnt/d/bapcrt/linux$ ls -l total 12 -rwxrwxrwx 1 root root 1704 May 7 15:37 certificate.key
-rwxrwxrwx 1 root root 980 May 7 15:37 request.csr -rwxrwxrwx 1 root root 1127 May 7 15:41 sertifikatas.crt 3. Sugeneruokite PFX failą iš sertifikato ir rakto failų. Sugalvokite slaptažodį, kuriuo bus apsaugotas privatus raktas. pavpai@pavelpaidempc:/mnt/d/bapcrt/linux$ openssl pkcs12 -export -out sertifikatas.pfx -inkey certificate.key -in sertifikatas.crt Enter Export Password: Verifying - Enter Export Password: Patikrinkite kokius failus turite: pavpai@pavelpaidempc:/mnt/d/bapcrt/linux$ ls -l total 16 -rwxrwxrwx 1 root root 1704 May 7 15:37 certificate.key -rwxrwxrwx 1 root root 980 May 7 15:37 request.csr -rwxrwxrwx 1 root root 1127 May 7 15:41 sertifikatas.crt -rwxrwxrwx 1 root root 2389 May 7 15:43 sertifikatas.pfx sertifikatas.pfx - failas, kuris turi savyje jūsų sertifikatą ir jo privatų raktą. 4. Sertifikato importavimas naudojimui Windows sistemoje Pav. 28 Sertifikato importavimas
Pav. 29 Sertifikato importavimo vedlys: lokacijos specifikavimas
Pav. 30 Sertifikato importavimo vedlys: failo, kurį norima importuoti, nurodymas Įrašykite privataus rakto slaptažodį. Pažymėkite Mark this key as exportable jeigu norėsite vėliau iš šio kompiuterio eksportuoti sertifikatą kartu su raktu.
Pav. 31 Sertifikato importavimo vedlys: slaptažodžio sukūrimas
Pav. 32 Sertifikato importavimo vedlys: lokacijos specifikavimas
Pav. 33 Sertifikato importavimo vedlys: nustatymų peržiūra Po įdiegimo, atidarykite certmgr, kad įsitikintumėte, kad sertifikatas yra ir jūs turite privatų raktą. certmgr Pav. 34 Sukurto sertifikato atvaizdaivmas
Pav. 35 Sertifikato privataus rakto patikrinimas