On-Line Request Instructions

Инструкция за Генериране на двойка частен/публичен ключ и PKCS#10 заявка за сертификат

Kлиентът има възможност да генерира при себе си двойката Частен и Публичен ключ, както и PKCS#10 заявка за сертификат.

За сертификати от "Клас 2" Клиентът трябва да генерира двойката върху смарт карта, която има сертифицирано ниво на сигурност "EAL-3" и по-високо или приравнимо на това ниво. За да се генерира двойката върху смарт карта е необходимо Клиентът предварително да е инсталирал и правилно да е конфигурирал драйвърите за карточетец и смарт-карта.

За момента On-Line генерацията се поддържа само за Интернет баузъри Microsoft Internet Explorer v.5.0 или по-висока. За конкретната реализация е необходимо да са инсталирани MS CSP(Microsoft Crypto Service Provider) за съответната смарт картата.

Клиентът е необходимо да изпълни следните стъпки:

1. След като Клиентът е попълнил и/или редактирал On-Line заявката си за сертификат, той получава Уникален Номер на Заявка. Посредством този номер, предварително въведената от Клиента парола и натискане на бутона "Търси за генериране на заявка", той влиза в режим на генерация на двойка частен/публичен ключ и PKCS#10 заявка за Сертификат на адрес: On-Line Заявка | Генериране на двойка.

2. При първо влизане в страницата e възможно да се появи диалог за инсталиране на ActiveX контрола на Microsoft Corp. При запитване дали да се инсталира, Клиентът проверява сертификата чрез натискане на бутона "More Info" и ако той е съгласен маркира "Always trust content from Microsoft Corp." и отговаря с YES.
Инсталирането на тази контрола е задължително за понататъшната работа на приложението.

3. Клиентът преглежда данните в своята заявка. Ако желае да промени нещо, е необходимо да излезе от режим на генерация на двойка частен/публичен ключ и PKCS#10 заявка за сертификат посредством бутона "Отказ" в долния край на екрана и да премине в режим на редакция на заявката.

4. В долният край на екрана Клиентът избира MS CSP (Microsoft Crypto Service Provider), т.е. устройството/услугата която ще ползва за генериране на двойката частен/публичен ключ и PKCS#10 заявката за сертификат:

За B-Trust® сертификати "КЛАС 2" допустимите MS CSP са:
- Siemens Card API CSP
- Datakey RSA CSP
- Utimaco Universal Smartcard CSP
- Activecard GOLD Cryptographic Service Provider

Ако смарт-картата има B-Trust® сериен номер, то последните му 8 символа се въвеждат в полето "Номер на смарт карта":

5. Клиентът натиска бутона "Генериране на двойка ( Частен и Публичен Ключ )" в долния край на екрана с което започва обработката на Клиентските данни.

6. Първоначално се визуализират следните данни:

- DN на Генерираната заявка: - Това са полетата, които ще бъдат включени в Сертификата.
- Дължина на Генерирания Сертификат: - показва предполагаемата големина в байтове на Сертификата.

Клиентът натиска бутона "ОК".

---------------------------------------------------------------
ОСОБЕННОСТ ПРИ Utimaco Universal Smartcard CSP:

Смарт картите на Utimaco имат фабрично ограничение на дължината на записания ключ до 1532 байта.
Ако избраният CSP е и предполагаемата големина в байтове на Сертификата надвишава 1531 байта, на Клиента се извежда предупреждение:

Клиентът натиска бутона "OK". Предлага му се възможността да не се включва полето за дата и час "DT" за да се спести от рамера на Сертификата. Съществува обаче вероятност ако вече има издаден сертификат напълно съвпадащ с дадения, новата заявка да бъде отказана.

В повечето случаи е възможно да се отговори с натискане на бутона "OK".
Ако отново излезне съобщение за грешка, то Клиентът трябва да редактира и намали данните в сертификата, за да може да се вмести в посоченото по-горе ограничение.
---------------------------------------------------------------

На екрана се визуализира информационен прозорец, за наличието на евентуално забавяне при генерирането на двойката частен/публичен ключ. Клиентът отново натиска бутона "ОК".

7. Започва процеса по генериране на двойката частен/публичен ключ от избрания MS CSP:

- Ако Клиентът не желае да генерира двойката, натиска бутона "No".
- Ако Клиентът желае да генерира двойката, натиска бутона "Yes". Ако двойката се генерира на смарт карта, Клиентът трябва предварително да е поставил в каточетеца инициализирана смарт-карта.

Следват екрани, специфични за различните MS CSP-и. Ако избраното CPS-то е на смарт карта, то от Клиентът се изисква да въведе 2 пъти своя PIN код: Веднъж за Генерация (generate RSA key pair) на двойката частен/публичен ключ и втори път за подписване на генерираната PKCS#10 заявка(sign hash value).

8. Ако всичко е приключило успешно (генерирала се е двойката чатсен/публичен ключ и PKCS#10 заявката) на екрана се визуализира информация за генерираната PKCS#10 заявка.
- При първо влизане в тази страницата e възможно да се появи диалог за инсталиране на ActiveX контрола на Bankservice AD, която е подписана със сертификат на B-Trust®. При запитване дали да се инсталира, Клиентът проверява сертификата чрез натискане на бутона "More Info" и ако той е съгласен маркира "Always trust content from Bankservice AD" и отговаря с YES. Инсталирането на тази контрола е задължително за понататъшната работа на приложението.

9. Клиентът внимателно проверява верността на обработените данни извлечени от генерираната заявка за сертификат:

- Ако е съгласен с данните ги потвърждава чрез бутона "Потвърди PKCS#10 заявката".
- Ако иска да генерира нова двойка, Клиентът натиска бутона "Назад" и преминава на предходната стъпка. За смарт карти се препоръчва внимателно да се изтриват ненужните двойки посредством програмните средствата на съответната смарт карта, за да има място за генериране на нови двойки.
- Клиентът може да се откаже от заявката и да натисне бутона "Отказ". В този случай неизползваната генерирана двойка остава в SCP и Клиента сам трябва я изтрие посредством програмните средствата на съответната смарт карта.

10. След потвърждение, Клиентът получава информация за успешно записана PKCS#10 заявка за сертификат.
- Клиентът отново може да редактира данните за заявката, но при запис новите данни ще унищожат PKCS#10 заявка за сертификат.
- Клиентът отново може да генерира нова двойка частен/публичен ключ и PKCS#10 заявка за сертификат, но при запис новите данни ще унищожат PKCS#10 заявка за сертификат.