Urzędy podpisywania

W systemie ERP możliwe jest elektroniczne podpisywanie zawartości bazy danych. Dzięki temu mogą być wykrywane późniejsze zmiany w wcześniej podpisanych danych. Podpis odbywa się przez jednostkę podpisującą przy użyciu certyfikatu typu Root-Zertifikat lub CA-Zertifikat na podstawie klucza prywatnego. W zależności od przypadku użycia certyfikat ten może zostać zaimportowany dla urzędu podpisywania lub wygenerowany samodzielnie.

W artykule została opisana aplikacja Urzędy podpisywania. Ponadto zawarte zostały instrukcje dotyczące pracy z urzędami podpisywania, np. sposób rejestrowania urzędów podpisywania. Ogólne informacje o certyfikatach znajdują się w artykule Generowanie certyfikatu.


Grupa docelowa

  • Administratorzy systemu

  • Konsultanci techniczni

Definicje terminów

Certyfikat — można porównać z dokumentem tożsamości, np. paszportem, za pomocą którego identyfikowane są osoby. Certyfikat służy do weryfikacji tożsamości użytkowników, usług i serwerów. Stanowi on klucz publiczny powiązany z informacjami o jego właścicielu. To powiązanie jest zazwyczaj potwierdzane przez urząd certyfikacji (Certificate Authority, CA) przy użyciu podpisu cyfrowego.

Rozróżnia się certyfikaty użytkownika i serwera. Na podstawie certyfikatu użytkownika system identyfikuje użytkownika, który chce zalogować się do systemu ERP. Po sprawdzeniu ważności certyfikatu, tj. gdy jest to certyfikat zarejestrowany i tym samym zaufany, użytkownikowi przyznawany jest dostęp do systemu. System ERP identyfikuje się w analogiczny sposób wobec użytkownika, który chce się zalogować, za pomocą certyfikatu serwera. Dzięki temu użytkownik ma pewność, że jest połączony z właściwym serwerem, do którego chce się zalogować.

Opis aplikacji

Za pomocą aplikacji Urzędy podpisywania możliwe jest rejestrowanie lub edytowanie urzędów podpisywania oraz generowanie lub importowanie certyfikatów, przy pomocy których dane mogą być podpisywane. Aplikacja zawiera tylko jeden obszar identyfikacji.

Obszar identyfikacji

Opis pól

Urząd podpisywania – pole to zawiera unikalną identyfikację urzędu podpisywania w systemie. Identyfikacja może składać się z dowolnego tekstu i jest edytowalna tylko do momentu pierwszego zapisu.

Wskazówka

Należy pamiętać, że podczas używania znaków specjalnych są one z powodów technicznych zamieniane na następujące symbole zastępcze:

  • gwiazdka (*) → podkreślnik (_)

  • znak zapytania (?) → procent (%)

Użycie podkreślnika w kryterium wyszukiwania spowoduje, że system wyszuka nie tylko podkreślnik, ale dowolny znak. Z kolei znak procenta odpowiada także brakowi znaku, jednemu lub wielu znakom. Dlatego stosowanie podkreślników i znaków procenta w ciągach wyszukiwania powinno być ograniczone, ponieważ może prowadzić do znalezienia większej liczby obiektów niż zamierzono.

Oznaczenie – oznaczenie służy jako dodatkowy element identyfikacyjny. Może składać się z dowolnego tekstu. Zaleca się wprowadzenie jednoznacznego i możliwie najbardziej opisowego oznaczenia, aby ułatwić wyszukiwanie.

Należy pamiętać, że podczas używania znaków specjalnych są one z powodów technicznych zamieniane na następujące symbole zastępcze:

  • gwiazdka (*) → podkreślnik (_)

  • znak zapytania (?) → procent (%)

Wskazówka
Użycie podkreślnika w kryterium wyszukiwania spowoduje, że system wyszuka nie tylko podkreślnik, ale dowolny znak. Z kolei znak procenta odpowiada także brakowi znaku, jednemu lub wielu znakom. Dlatego stosowanie podkreślników i znaków procenta w ciągach wyszukiwania powinno być ograniczone, ponieważ może prowadzić do znalezienia większej liczby obiektów niż zamierzono.

Algorytm wyznaczania wartości skrótu – określa, za pomocą którego algorytmu urząd podpisywania ma tworzyć podstawę do algorytmu podpisu
Dostępne opcje:

  • SHA1

  • SHA256

Algorytm podpisu powstaje z połączenia algorytmu wyznaczania wartości skrótu urzędu podpisywania oraz algorytmu klucza certyfikatu. Wynik jest prezentowany w polu Algorytm podpisu.

Algorytm podpisu – w tym polu wyświetlany jest algorytm utworzony z połączenia algorytmu wyznaczania wartości skrótu urzędu podpisywania i algorytmu klucza certyfikatu. Algorytm podpisu służy do obliczenia odcisku cyfrowego certyfikatu, który ma być wygenerowany lub zaimportowany.

Przykład
Algorytm skrótu SHA256 i certyfikat z RSA (2048 bitów) daje wynik SHA256withRSA.

Zaimportowane – pole wyboru, wskazuje, czy certyfikat urzędu podpisywania został zaimportowany

Używane – pole wyboru, wskazuje, czy urząd podpisywania był już używany do podpisywania zawartości bazy danych. Jeżeli urząd podpisywania został już wykorzystany, to nie może zostać np. usunięty.

Zakładka Dane certyfikatu

Wystawca – urząd certyfikacji, który wystawił certyfikat

Obowiązujący od – data, od której certyfikat jest aktywny

Obowiązujący do – data zakończenia ważności certyfikatu

Nazwa wspólna – nazwa właściciela certyfikatu. W przypadku certyfikatów użytkowników jest to zazwyczaj identyfikacja użytkownika. W przypadku certyfikatów serwerów, np. serwera aplikacyjnego lub ERP-System-Output-Managera, jest to nazwa hosta odpowiedniego komputera, bez wskazania protokołu.

Elementy nazwy domeny – składniki nazwy domeny. Pole opcjonalne.

Organizacja – organizacja, w której pracuje lub którą reprezentuje właściciel certyfikatu

Organizacje – jednostki organizacyjne w ramach organizacji, w której pracuje lub którą reprezentuje właściciel certyfikatu

Kraj – kraj właściciela certyfikatu

Region – region właściciela certyfikatu

Miejscowość – miejscowość właściciela certyfikatu

Ulica – ulica właściciela certyfikatu

E-mail – adres e-mail właściciela certyfikatu. To pole jest dostępne i istotne wyłącznie w certyfikatach użytkowników.

Algorytm kluczy – pokazuje użyty algorytm i długość klucza certyfikatu. Możliwe wartości:

  • RSA (1024 Bits) – klucz certyfikatu utworzony algorytmem RSA o długości 1024 bitów

  • RSA (2048 Bits) – klucz certyfikatu utworzony algorytmem RSA o długości 2048 bitów

  • RSA (4096 Bits) – klucz certyfikatu utworzony algorytmem RSA o długości 4096 bitów

  • ECDSA (256 Bits) – klucz certyfikatu utworzony algorytmem ECDSA o długości 256 bitów

Algorytm podpisu – pokazuje algorytm używany do obliczenia odcisku cyfrowego. Wartość wyświetlana w polu Odcisk palca zależy od tego algorytmu.
Możliwe wartości:

  • SHA1 – odcisk cyfrowy obliczony algorytmem SHA1.

  • SHA256 – odcisk cyfrowy obliczony algorytmem SHA256.

Wyświetlany jest także algorytm klucza w połączeniu z algorytmem podpisu, ale bez podawania długości klucza.

Przykład
Algorytm klucza RSA (2048 Bits) i algorytm podpisu SHA1. Wyświetlana wartość: SHA1withRSA.

Odcisk palca – pokazuje odcisk cyfrowy SHA-1 certyfikatu. Umożliwia szybkie porównanie dwóch certyfikatów. Jeśli odciski się różnią, certyfikaty są różne. Dzięki temu można sprawdzić np., czy w przeglądarce zainstalowany jest ten sam certyfikat użytkownika co w bazie konfiguracyjnej.

Numer seryjny – pokazuje numer seryjny certyfikatu. Umożliwia podobne porównanie jak odcisk cyfrowy, ale jest krótszy i niezależny od algorytmu.

Akcja [Utwórz lub zaimportuj certyfikat]

Za pomocą akcji [Utwórz lub zaimportuj certyfikat] można utworzyć certyfikat dla urzędu podpisywania i wyeksportować go jako plik albo zaimportować już istniejący certyfikat. Po uruchomieniu akcji otwierane jest okno dialogowe, w którym można wybrać, czy certyfikat ma zostać wygenerowany, czy zaimportowany.

Poniżej opisane są pola dostępne w tym oknie dialogowym.

Zakładka Generuj

Aby utworzyć certyfikat, należy wskazać urząd podpisywania który został wcześniej zarejestrowany w aplikacji Panel System. Dodatkowo trzeba określić algorytm wyznaczania wartości skrótu. Na podstawie tego algorytmu oraz algorytmu klucza certyfikatu powstaje algorytm podpisu.

Wskazówka
Za pomocą przycisku [Zastosuj] można po wyborze wystawcy przenieść część danych urzędu certyfikacji do pól w oknie dialogowym. Wprowadzone wcześniej dane w tych polach zostaną przy tym nadpisane.

Opis pól

Wystawca – należy wybrać urząd certyfikacji, który wystawia certyfikat. Urzędy certyfikacji rejestrowane są w aplikacji Panel System, typ Urząd certyfikacji.

Obowiązujący od – określa datę rozpoczęcia ważności certyfikatu. Domyślnie podawana jest bieżąca data.

Obowiązuje do – określa datę zakończenia ważności certyfikatu. Domyślnie podawana jest bieżąca data przesunięta o jeden rok.

Nazwa wspólna – nazwa właściciela certyfikatu. Domyślną wartością jest identyfikacja urzędu podpisywania.

Elementy nazwy domeny – składniki nazwy domeny. Pole opcjonalne.

Organizacja – opcjonalnie można wprowadzić nazwę organizacji, w której pracuje lub którą reprezentuje właściciel certyfikatu

Jednostki organizacyjne – opcjonalnie można wprowadzić jednostki organizacyjne w ramach organizacji, w której pracuje lub którą reprezentuje właściciel certyfikatu

Kraj – kraj właściciela certyfikatu

Region / Miejscowość / Ulica – w razie potrzeby można podać dodatkowe dane adresowe właściciela certyfikatu

E-mail – adres e-mail, na który ma zostać wysłany plik certyfikatu, jeśli przy eksporcie wybrano opcję plik PFX w wiad. jako e-mail do użytkownika

Algorytm kluczy – należy wybrać algorytm, za pomocą którego zostanie obliczony klucz prywatny certyfikatu, oraz długość klucza.
Dostępne opcje:

  • RSA (1024 Bits) – klucz obliczony algorytmem RSA o długości 1024 bitów.

  • RSA (2048 Bits) – klucz obliczony algorytmem RSA o długości 2048 bitów.

  • RSA (4096 Bits) – klucz obliczony algorytmem RSA o długości 4096 bitów.

  • ECDSA (256 Bits) – klucz obliczony algorytmem ECDSA o długości 256 bitów.

Algorytm podpisu – należy wybrać algorytm używany do obliczania odcisku cyfrowego.
Dostępne opcje:

  • SHA1

  • SHA256

Zakładka Eksport jako plik certyfikatu

Format – wybór formatu pliku certyfikatu do eksportu.
Dostępne opcje:

  • Brak pliku – plik nie jest tworzony. Opcja stosowana, gdy certyfikat ma być zapisany wyłącznie w bazie konfiguracyjnej.

  • Plik JKS – tworzony jest plik .jks, zawierający część prywatną i publiczną certyfikatu

  • Plik PFX – tworzony jest plik .pfx, zawierający część prywatną i publiczną certyfikatu

  • Plik PFX i JKS – tworzony jest plik .pfx oraz plik .jks, oba zawierające część prywatną i publiczną certyfikatu

  • Plik PFX w wiad. e-mail do użytkownika – tworzony jest plik .pfx, zawierający część prywatną i publiczną certyfikatu, który następnie zostaje wysłany na wskazany adres e-mail

Dodatkowe informacje znajdują się w artykule Generowanie certyfikatu.

Hasło – hasło dla pliku certyfikatu. Wymagane podczas eksportu certyfikatów w formatach PFX i JKS.

Folder eksportu – folder, do którego certyfikat ma zostać wyeksportowany. Można użyć pomocy kontekstowej pola lub wprowadzić ścieżkę ręcznie, podając pełną ścieżkę w schemacie file:/// lub kstore://.

Zakładka Import

Do importu certyfikatów obsługiwane są formaty PFX i JKS. Plik musi zawierać również klucz prywatny.

Uwaga:
Ponieważ dla urzędów podpisywania dopuszczalne są wyłącznie certyfikaty z kluczem prywatnym, nie można używać certyfikatów zakodowanych w formacie BASE64.

Format – wybór formatu pliku certyfikatu do importu.
Dostępne opcje:

  • Plik JKS – wymagany jest plik .jks, zawierający część prywatną i publiczną certyfikatu

  • Plik PFX – wymagany jest plik .pfx, zawierający część prywatną i publiczną certyfikatu

Hasło – hasło do pliku certyfikatu. Bez podania hasła plik nie może zostać zaimportowany

Plik certyfikatu – należy wybrać przy użyciu pomocy kontekstowej plik certyfikatu, który ma zostać zaimportowany, albo wpisać w polu pełną ścieżkę do pliku w formacie file:/// lub kstore://

Konfiguracja

Aplikacja Urzędy podpisywania nie wymaga dodatkowych ustawień w aplikacji Konfiguracja.

Jednostki biznesowe

Jednostka biznesowa com.cisag.sys.services.signing.obj.SigningAuthority wykorzystywana jest przez aplikację Urzędy podpisywania między innymi w celu:

  • Przyporządkowywania uprawnień
  • Konfigurowania definicji działań
  • Importu i eksportu danych

Uprawnienia

Uprawnienia mogą zostać przypisane za pomocą ról uprawnień jak również poprzez przyporządkowanie organizacji. Szczegółowe informacje można znaleźć w artykule Uprawnienia.

Uprawnienia specjalne

Dla aplikacji Urzędy podpisywania nie ma dostępnych uprawnień specjalnych.

Przyporządkowania organizacji

Dla aplikacji Urzędy podpisywania nie są wymagane przyporządkowania organizacji.

Uprawnienia specjalne

Dla aplikacji Urzędy podpisywania nie ma dostępnych uprawnień specjalnych.

Uprawnienia dla partnerów biznesowych

Aplikacja Urzędy podpisywania nie jest udostępniana partnerom biznesowym.

Instrukcje

W aplikacji Urzędy podpisywania dostępne są następujące działania:

  • Rejestrowanie nowego urzędu podpisywania

  • Duplikowanie urzędu podpisywania

  • Otwieranie i edycja urzędu podpisywania

  • Usuwanie urzędu podpisywania

  • Tworzenie certyfikatu

  • Eksportowanie certyfikatu jako pliku

  • Importowanie certyfikatu

Tworzenie nowego urzędu podpisywania

  1. Otworzyć aplikację Urzędy podpisywania.
  2. W standardowym pasku narzędzi nacisnąć przycisk [Nowy]. Aplikacja przełącza się w tryb dodawania, a pole identyfikacji zostaje automatycznie aktywowane.
  3. Wprowadzić identyfikację dla nowej jednostki podpisującej.
  4. Przejść do pola Oznaczenie i wprowadzić oznaczenie jednostki podpisującej.
  5. Przejść do pola Algorytm wyznaczania wartości skrótu i wybrać odpowiednią wartość.
  6. W standardowym pasku narzędzi nacisnąć [Zapisz].
  7. Po zapisaniu możliwe jest wygenerowanie lub zaimportowanie certyfikatu. Pozostałe pola zostaną uzupełnione na podstawie utworzonego lub zaimportowanego certyfikatu.

Duplikowanie urzędu podpisywania

  1. Otworzyć aplikację Urzędy podpisywania.

  2. Otworzyć urząd podpisywania, który ma zostać zduplikowany.

  3. W standardowym pasku narzędzi nacisnąć przycisk [Duplikuj].

  4. Aplikacja przełącza się w tryb dodawania i wyświetla nowy urząd podpisywania z danymi skopiowanymi z poprzedniego. Identyfikacja oraz dane certyfikatu nie są duplikowane.

  5. Wprowadzić identyfikację dla nowego urzędu podpisywania.

  6. W razie potrzeby zmienić dane w pozostałych polach.

  7. W standardowym pasku narzędzi nacisnąć [Zapisz]

  8. Po zapisaniu możliwe jest wygenerowanie lub zaimportowanie certyfikatu. Pozostałe pola zostaną uzupełnione na podstawie utworzonego lub zaimportowanego certyfikatu.

Otwieranie i edytowanie urzędu podpisywania

Jeżeli urząd podpisywania został już użyty, możliwa jest jedynie zmiana jego oznaczenia.

Dane przypisanego certyfikatu nie mogą zostać zmienione. W celu użycia innego certyfikatu należy wygenerować lub zaimportować nowy certyfikat.

  1. Otworzyć aplikację Urzędy podpisywania.

  2. Otworzyć urząd podpisywania, który ma zostać edytowany.

  3. Zmienić dane urzędu podpisywania. Identyfikacja nie może być zmieniona po pierwszym zapisaniu.

  4. W standardowym pasku narzędzi nacisnąć [Zapisz].

Usuwanie urzędu podpisywania

Urząd podpisywania może zostać usunięty tylko wtedy, gdy nie został wcześniej użyty.

Wymagania wstępne:

Do usunięcia wymagane są administracyjne uprawnienia dla jednostki biznesowej.

Instrukcja:

  1. Otworzyć aplikację Urzędy podpisywania.

  2. Otworzyć urząd podpisywania, który ma zostać usunięty.

  3. Na standardowym pasku narzędzi nacisnąć przycisk [Usuń].

  4. Zostaje otwarte okno dialogowe.

    • Uwaga
      Naciśnięcie [Nie] powoduje przerwanie procesu usuwania.

  5. Potwierdzić usunięcie obiektu, naciskając [Tak].

  6. Urząd podpisywania zostaje usunięty.

Generowanie certyfikatu

  1. Otworzyć aplikację Urzędy podpisywania.

  2. Otworzyć urząd podpisywania, dla którego ma zostać wygenerowany certyfikat.

  3. W standardowym pasku narzędzi wybrać akcję [Utwórz lub zaimportuj certyfikat]. Zostaje otwarte okno dialogowe Generowanie lub import: Certyfikat urzędu podpisywania. Automatycznie otwierana jest zakładka Generuj.

  4. W polu Wystawca wskazać urząd certyfikacji za pomocą funkcji: Pomoc wyszukiwania wartości.

  5. W oknie dialogowym Wyszukiwania: Urząd certyfikacji (CA) nacisnąć [Zastosuj]. Pola w sekcji Dane certyfikatu zostają uzupełnione na podstawie danych wystawcy certyfikatu.

  6. W razie potrzeby zmienić dane certyfikatu.

  7. Aby wyeksportować plik certyfikatu, w sekcji Eksport jako plik certyfikatu wybrać format pliku.

    • Jeśli plik certyfikatu nie ma być eksportowany, przejść do kroku 12.

  8. Jeżeli dla wybranego formatu pliku wymagane jest hasło, należy je wprowadzić.

  9. W polu Folder eksportu wskazać lokalizację pliku certyfikatu za pomocą funkcji: Pomoc wyszukiwania wartości.

  10. Nacisnąć przycisk [OK].

Certyfikat zostaje wygenerowany. Jeśli wypełniono pola sekcji Eksport jako plik certyfikatu, wówczas jednocześnie generowany i zapisywany lub wysyłany jest plik certyfikatu.

Eksport certyfikatu jako plik

Certyfikat może zostać wyeksportowany jako plik już w momencie jego tworzenia. W tym celu należy postępować zgodnie z instrukcją w sekcji Generowanie certyfikatu.

Jeżeli urząd podpisywania nie został jeszcze użyty, możliwe jest także późniejsze wyeksportowanie certyfikatu jako pliku. W tym celu należy ponownie wybrać akcję [Utwórz lub zaimportuj certyfikat] i uzupełnić pola w sekcji Eksport jako plik certyfikatu. Certyfikat zostaje wówczas ponownie wygenerowany.

Import certyfikatu

  1. Otworzyć aplikację Urzędy podpisywania.

  2. Otworzyć urząd podpisywania, dla którego ma zostać zaimportowany certyfikat.

  3. Na standardowym pasku narzędzi wybrać akcję [Utwórz lub zaimportuj certyfikat]. Zostaje otwarte okno dialogowe Generowanie lub import: Certyfikat urzędu podpisywania.

  4. Przejść na zakładkę Importuj.

  5. Wybrać format pliku przeznaczonego do importu w polu Format.

  6. Wprowadzić hasło wymagane do użycia pliku certyfikatu.

  7. W polu Plik certyfikatu wskazać lokalizację pliku za pomocą funkcji: Pomoc wyszukiwania wartości..

  8. Nacisnąć przycisk [OK].

Plik zostaje zaimportowany i przypisany do urzędu podpisywania. Pole wyboru Zaimportowane zostaje automatycznie zaznaczone.

Czy ten artykuł był pomocny?

( 1 )
( 0 )
Wyślij opinie