Sertifikato parengimas Windows aplinkoje
Sertifikato pasirašymo prašymo kūrimas
Sekančiuose skyriuose yra aprašyti du būdai, kaip tai galima padaryti Windows aplinkoje. Pasirinkite Jums labiau tinkantį ir sekite žingsnius toliau.
Naudojantis „Microsoft“ valdymo konsole (Microsoft Management Console)
1. Pirmiausia savo kompiuteryje pasiruoškite vietą, kurioje vėliau išsaugosite tolimesniuose instrukcijos žingsniuose sukurtą sertifikato užklausą. Adresu „Computer“ → „Local Disc (C:)“ rekomenduojame sukurti katalogą „bapcrt“. Žemiau pateiktame pavyzdyje parodytas analogiškoje lokacijoje adresu „This PC“ → „Windows (C:)“ sukurtas katalogas „bapcrt“.
1 pav. Katalogo „bapcrt“ sukūrimas
2. Kad atsidarytumėte naudotojo sertifikatų valdymo langą, „Windows Start“ juostoje įrašykite „certificates“ atlikite paiešką ir pasirinkite „Manage user certificates“.
2 pav. Paieška „Windows Start“ juostoje
3. Pasirinkite „Personal“ katalogą, spauskite dešinį pelės klavišą, kad iškviestumėte vidinį meniu, ir pasirinkite „All Tasks“→„Advanced Operations“ → „Create custom request“.
3 pav. Sertifikatų valdymo langas
4. Atsidariusiame „Certificates Enrollment“ lange spauskite mygtuką „Next“.
4 pav. „Certificate Enrollment“ langas
5. Sekantis langas pasiūlys strategiją, kaip taikyti sertifikatą. „Custom Request“ pasirinkite „Proceed without enrollment policy“ ir spausti „Next“.
5 pav. Strategijos pasirinkimo langas
6. Sekančiame žingsnyje „Template“ išskleidžiamajame meniu ir pasirinkite „(No template) Legacy key“, pažymėkite formatą „PKS #10“ ir spauskite mygtuką „Next“.
6 pav. Šablono pasirinkimas
7. Sertifikato informacijos lange išskleiskite „Details“ ir paspauskite mygtuką „Properties“.
7 pav. Sertifikato informacijos langas
8. Atsidariusiame lange pasirinkite skirtuką „Subject“.
8 pav. „Subject“ skirtukas
9. „Type“ išskleidžiamajame lauke pasirinkite „Common name“ .
9 pav. „Subject name“ tipo pasirinkimas
10. Lauke „Value“ nurodykite savo vardą ir pavardę ir spauskite mygtuką „Add >“.
10 pav. „Subject name“ reikšmės įvedimas
11. „Type“ išskleidžiamajame lauke pasirinkite „Given name“, lauke „Value“ įrašykite savo vardą ir spauskite mygtuką „Add >“.
11 pav. „Subject“ duomenų užpildymas
12. „Type“ išskleidžiamajame lauke pasirinkite „Surname“, lauke „Value“ įrašykite savo pavardę ir spauskite mygtuką „Add >“.
12 pav. „Subject“ duomenų užpildymas
13. Užpildžius „Subject name“ reikšmes, dešinėje pusėje matomi atributai CN, G ir SN.
13 pav. „Subject name“ rezultatas
14. Skyriuje „Alternative name“, „Type“ išskleidžiamajame sąraše pasirinkite „Email“, lauke „Value“ įrašykite savo elektroninį paštą ir spauskite mygtuką „Add >“.
14 pav. „Alternative name“ duomenų užpildymas
15. Užpildžius „Alternative name“ reikšmę, dešinėje pusėje matomas el. pašto atributas.
15 pav. „Alternative name“ rezultatas
16. Pasirinkite skirtuką „Private Key“.
16 pav. „Private key“ skirtukas
17. Išskleiskite „Key type“ sritį ir pasirinkite „Exchange“ reikšmę.
17 pav. Rakto tipo pasirinkimas
18. Pasirinkus rakto tipą, reikia pasirinkti, kokiu algoritmu bus šifruojami duomenys. Tam išskleiskite „Cryptographic Service Providers“ skiltį ir įsitikinkime, kad ten yra pasirinkta tik viena reikšmė – „Microsoft RSA SChannel Cryptographic Provider (Encryption)“.
18 pav. Algoritmo pasirinkimas
19. Galiausiai reikia nurodyti rakto dydį. Tam išskleiskite „Key options“ skiltį, „Key size“ pasirinkite "2048" ir pažymėkite varnelę ant „Make private key exportable“.
19 pav. Rakto dydžio pasirinkimas
20. Atlikę visus aukščiau minimus veiksmus, spauskite mygtuką „OK“ ir būsite grąžinti į „Certificate Enrollment“ į vedlį.
20 pav. „Certificate properties“ lango uždarymas
21. Vedlyje spauskite mygtuką „Next“.
21 pav. „Certificate Enrollment“ vedlys
22. Sekančiame žingsnyje reikalinga nurodyti disko vietą, kurioje norime išsaugoti sertifikato užklausą. Tam spauskite mygtuką „Browse...“.
22 pav. Užklausos išsaugojimo dialogas
23. Pasirinkite, kur norite išsaugoti failą.
23 pav. Failo išsaugojimo dialogas
24. Išsaugokite failą su CSR plėtiniu – kad tai padarytumėte, prie failo pavadinimo pridėkite „.csr“ ir „Save as type“ lauke nurodykite „All files (*.*)" reikšmę. Atlikę šiuos veiksmus, dialogo lange paspauskite mygtuką „Save“.
24 pav. Failo išsaugojimo dialogas
25. Būsite grąžinti į „Certificate Enrollment“ vedlį. Spauskite mygtuką „Finish“. CSR sugeneruotas sėkmingai ir išsaugotas į jūsų nurodytą failą.
25 pav. Vedlio pabaiga
Naudojantis komandine eilute (Command Promt)
1. Susikurkite failą „request.inf“. Failo turinys pateiktas žemiau.
26 pav. Failo „request.inf“ atsisiuntimas prisijungusiam prie BAP naudotojui
Atsisiuntę failą, eilutėje „Subject“ vietoje „Vardenis Pavardenis“ įrašykite savo vardą ir pavardę (CN, G, SN) bei eilutėje „_continue_“ įrašykite savo elektroninį pašto adresą.
;----------------- request.inf -----------------[Version]Signature="$Windows NT$" [NewRequest]Subject = "CN=Vardenis Pavardenis, G=Vardenis, SN=Pavardenis"KeySpec = 1KeyLength = 2048Exportable = TrueMachineKeySet = FalseSMIME = FalsePrivateKeyArchive = FALSEUserProtected = FALSEUseExistingKeySet = FALSEProviderName = "Microsoft RSA SChannel Cryptographic Provider"ProviderType = 12RequestType = PKCS10KeyUsage = 0xa0[Extensions]2.5.29.17 = "{text}"_continue_ = "email=el.pastas@pastas.lt"[EnhancedKeyUsageExtension]OID=1.3.6.1.5.5.7.3.1;-----------------------------------------------
27 pav. Failo koduotės pasirinkimas
2. Atidarykite „cmd“ komandinę eilutę. Kad tai padarytumėte esamame kataloge „bapcrt“ į adreso juostą įveskite „cmd“ ir spauskite „Enter“ klavišą klaviatūroje.
28 pav. CMD atidarymas per adreso juostą
29 pav. CMD eilutės langas
3. Atsidariusiame lange suveskite šią komandą:
C:\bapcrt> certreq -new request.inf request.csr
30 pav. Komandos įvedimo pavyzdys
Sėkmingai sukūrus „request.csr“, komandinėje eilutėje gausite atsakymą:
CertReq: Request Created
31 pav. Gautas astakymas
32 pav. Failo „request.csr“ sukūrimas
Sertifikato atsisiuntimas ir diegimas
1. Jei BAP sistema iki šiol nesinaudojote ir neturite galimybės prisijungti per Elektroninius valdžios vartus, paruoštą „request.csr“ failą siųskite el. paštu į muitinę, kai būsite to paprašytas. Gausite atsakymą su prikabintu failu sertifikatas.crt, kurį išsaugokite į susikurtą katalogą „bapcrt“.
Jeigu prie BAP galite jungtis naudojantis Elektroninių valdžios vartų teikiama tapatybės nustatymo paslauga arba jau anksčiau naudojote BAP sistemą ir galite prie jos prisijungti, skiltyje „Profilis“ spauskite mygtuką „+Pridėti naują“, modaliniame lange „Naujo sertifikato pridėjimas“ pasirinkite reikšmę „LR muitinės išduotą sertifikatą – prisijungimui prie muitinės portalų ir prieigai prie sistema-sistema būdu teikiamų muitinės el. paslaugų.“ ir spauskite mygtuką „Tęsti“.
33 pav. LR muitinės sertifikato, naudojamą prisijungimui, pasirinkimas
Failą „request.csr“ prisekite „Generuoti sertifikatą“ lange ir spauskite mygtuką „Generuoti sertifikatą“.
34 pav. CSR failo įkėlimo vieta
Atsisiųskite „sertifikatas.crt“ failą paspaudę mygtuką „Atsisiųsti“ iššokančiame lange arba sertifikato duomenų lentelėje. Atsiųstą failą perkelkite į katalogą „bapcrt“.
35 pav. CRT failo atsisiuntimas
36 pav. Failo „sertifikatas.crt“ sukūrimas
2. Importuokite sertifikatą į naudotojo sertifikatų talpyklą. Ant failo „sertifikatas.crt“ paspauskite dešinį pelės klavišą ir atidarytame iššokančiame lange pasirinkite funkciją „Install Certificate“.
37 pav. Sertifikato importavimas į naudotojo sertifikatų talpyklą
38 pav. Sertifikato importavimo vedlys: talpinimo vietos pasirinkimas
39 pav. Sertifikato importavimo vedlys: lokacijos specifikavimas
40 pav. Sertifikato importavimo vedlys: nustatymų peržiūra
41 pav. Sertifikato importavimo vedlys: informavimas apie sėkmingai baigtą sertifikato importavimą
Sertifikato paruošimas darbui kitame kompiuteryje
1. Kad atsidarytumėte naudotojo sertifikatų valdymo langą , „ Windows Start“ juostoje įrašykite „ certificates“ atlikite paiešką ir pasirinkite „ Manage user certificates “.
42 pav. Paieška „Windows Start“ juostoje
„Certificates“ kataloge turėtumėte matyti suimportuotą sertifikatą.
43 pav. Importuoto sertifikato peržiūra
6. Patikrinkite, ar sertifikatas turi atitinkamą privatų raktą. Du kartus paspaudę kairiuoju pelės klavišu ant sertifikato, turite matyti užrašą „You have a private key that corresponds to this certificate“.
44 pav. Sertifikato privataus rakto patikrinimas
7. Išeksportuokite sertifikatą kartu su privačiu raktu į failą, kad galėtumėte naudoti kituose kompiuteriuose ir turėti atsarginę kopiją:
45 pav. Sertifikato eksportavimas
8. Sertifikato eksportavimo vedlyje spauskite mygtuką „Next“.
46 pav. Sertifikato eksportavimo vedlys
9. Pasirinkite „Personal Information Exchange - PKCS #12 (.PFX)“, varnele pažymėkite „Include all certificates in the certification path is possible“ ir „Enable certificate privacy“ ir spauskite mygtuką „Next“.
47 pav. Sertifikato eksportavimo vedlys: formato pasirinkimas
10. Pažymėkite „Yes, export the private key“, kad privatus raktas būtų eksportuotas kartu su sertifikatu ir spauskite mygtuką „Next“.
48 pav. Sertifikato eksportavimo vedlys: privataus rakto eksportavimas
11. Įveskite sugalvotą slaptažodį, kuriuo bus apsaugotas sertifikato privatus raktas ir spauskite mygtuką „Next“.
49 pav. Sertifikato eksportavimo vedlys: slaptažodžio sukūrimas
12. Nurodykite eksportavimo vietą ir failo pavadinimą per funkciją „Browse...“ ir spauskite mygtuką „Next“.
50 pav. Sertifikato eksportavimo vedlys: failo pavadinimo sukūrimas
13. Paskutiniame žingsnyje peržiūrėkite nustatymus ir eksportavimo veiksmus ir paspauskite mygtuką „Finish“.
51 pav. Sertifikato eksportavimo vedlys: nustatymų peržiūra
14. Atlikę šį veiksmą, būsite informuoti apie sėkmingą eksportavimo užbaigimą.
52 pav. Sertifikato eksportavimo vedlys: informavimas apie sėkmingai baigtą sertifikato eksportavimą
15. Atsiradęs failas „sertifikatas.pfx“ turi savyje jūsų sertifikatą ir jo privatų raktą. Jį lengvai galėsite importuoti kitame kompiuteryje.
53 pav. Eksportuoto failo „sertifikatas.pfx“ atvaizdavimas