NGÂN HÀNG NHÀ NƯỚC VIỆT NAM Hà Nội, 05/2008 Tài liệu cài đặt và hướng dẫn sử dụng Entrust Entelligence Security Provider v7.0 SafeNet iKey 1032 Driver v4.0 HỆ THỐNG BẢO MẬT QUẢN LÝ VÀ CẤP PHÁT MÃ KHÓA CÔNG KHAI NHNN SBV-CA Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032 - 2 - MỤC LỤC U1 UTổng quanU 3 U U 2U UCài đặt phần mềm quản lý thiết bị iKeyU 3 U2.1 UGiới thiệuU 3 U U 2.2 UCài đặt driver và chương trình quản lý cho iKeyU 3 U U 2.3 UKiểm tra IkeyU 8 U U 2.4U UQuản lý iKeyU 9 U2.4.1 UChange SO PIN (Thay đổi SO pin)U 10 U U 2.4.2 UFormat (định dạng iKey)U 10 U U 2.4.3 USet Name:U 11 U U 2.4.4 USet User PIN:U 11 U U 2.4.5 USet Retry Counter:U 11 U U 2.4.6 UUnblock User PINU 12 U U 2.4.7 UInitialize:U 12 U U 2.4.8 UResize:U 13 U U 2.4.9U UUnblock:U 14 U2.5U USử dụng User ToolsU 14 U3U UCài đặt Entrust Entelligence Security ProviderU 16 U3.1 UYêu cầu trước khi cài đặtU 16 U U 3.2 UCác bước cài đặtU 16 U U 3.3U USử dụng Security Provider để lưu chứng chỉ số người dùng vào iKey tokenU 20 U3.3.1 UTạo mới chứng thư sốU 20 U U 3.3.2U UKhôi phục chứng chỉ số người sử dụngU 23 SBV-CA Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032 - 3 - 1 0BTổng quan Tài liệu liệu này hướng dẫn người dùng cuối sử dụng iKey token để lưu trữ chứng chỉ số, sơ lược các bước thực hiện • Người sử dụng được cấp 2 mã số Reference number và Authorization code • Cài đặt phần mềm cho iKey, tìm hiểu các chức năng chính của phần mềm iKey • Cài phần mềm Entrust Entelligence Provider v7.0 • Sử dụng Entrust Entelligence Provider để đưa chứng chỉ số vào iKey 2 1BCài đặt phần mềm quản lý thiết bị iKey 2.1 3BGiới thiệu iKey là thiết bị dùng để lưu trữ chứng chỉ số và khóa bí mật của người sử dụng, hình dạng giống 1 chiếc USB, rất tiện lợi cho người dùng cuối iKey Token 1032 Yêu cầu trước khi cài đặt • Phần mềm quản lý iKey phiên bản SafeNet iKey 1000 Authentication Solution v4.0.0.8 • Thiết bị iKey token • Máy tính chạy hệ điều hành Windows 2000, XP, 2003, Vista 2.2 4BCài đặt driver và chương trình quản lý cho iKey Phần mềm được cung cấp trong đĩa CD cùng với chương trình CI-TAD phiên bản 3.0. Bước 1: vào trong thư mục iKey1000AS4008 SBV-CA Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032 - 4 - Bước 2: nhấp chuột vào IKEY1000AS.EXE, cửa sổ chào mừng xuất hiện, nhấp chuột vào Next để tiếp tục UChú ýU: Nếu không xuất hiện màn hình trên mà lại xuất hiện 1 màn hình thông báo lỗi của InstallShield thì làm như sau: - Xóa thư mục C:\Program Files\Common Files\InstallShield\Professional\RunTime - Đóng cửa sổ thông báo lỗi. Chạy lại file IKEY1000AS.EXE Bước 3: Cửa sổ Readme xuất hiện, nhấp Next để tiếp tục SBV-CA Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032 - 5 - Bước 4: đồng ý license, nhấp chuột vào Yes để tiếp tục Bước 5: chọn đường dẫn thư mục cài đặt, để mặc định C:\Program Files\SafeNet\iKey 1000 Authentication Solution SBV-CA Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032 - 6 - Bước 6: bắt đầu cài đặt, chờ vài phút để chương trình cài đặt các thành phần như: driver, phần mềm quản trị… Bước 7: Khi quá trình cài đặt hoàn tất, chương trình yêu cầu cắm iKey vào cổng USB bất kỳ, thông báo sau sẽ xuất hiện. Sau khi cắm thiết bị iKey vào cổng USB, đợi khoảng 5 giây, rồi nhấp chuột vào nút Close SBV-CA Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032 - 7 - Bước 8: nhấp chuột vào Finish để kết thúc quá trình cài đặt Bước 9: sau khi cài đặt xong, xuất hiện biểu tượng dưới khay System Tray Bước 10: Nhấp chuột phải vào biểu tượng ở System Tray sau đó nhấp vào Open, tại hộp thoại chính nhấp chuột vào Software, hộp thoại thông tin các thành phần của phần mềm iKey được hiện thị SBV-CA Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032 - 8 - 2.3 5BKiểm tra Ikey Bước 1: vào Start->Program->SafeNet->iKey Components->iKey Token Utility Hoặc là nhấp chuột phải vào biểu tượng ở system tray -> nhấp vào Open Giao diện của tiện ích quản lý iKey: gồm 3 tab là: General Information, Admin Tools và User Tools Bước 2: kiểm tra ikey token bằng cách vào menu Token -> Selftest, chú ý ở bước này thì phải cắm ikey token vào cổng usb của máy tính SBV-CA Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032 - 9 - Nếu iKey token hoạt động tốt sẽ hiện ra thông báo 2.4 6BQuản lý iKey Để quản lý iKey, sử dụng Admin tools (chọn Tab “Admin Tools”) Khái niệm về PIN: PIN giống như mật khẩu dùng để truy xuất vào máy ATM để rút tiền, trong trường hợp này có 3 loại PIN - SO PIN (Security Officer PIN) có quyền truy xuất vào token với quyền cao nhất. - User PIN (mã PIN của người dùng thường) để bảo vệ khỏi những truy xuất vào ikey token bất hợp pháp, và nó thường được cấp phát bởi SO được sử dụng cho những ứng dụng khác CI_TAD. SBV-CA Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032 - 10 - - Password (Mật khẩu PKI Storage): Mật khẩu này được dùng để truy xuất chứng thư số PKI trong thiết bị IKey, mật khẩu này được tạo khi khởi tạo vùng PKI Storage tại bước 6 trong mục 2.4.7. - Mật khẩu PKI Storage được sử dụng thường xuyên trong quá trình ký giao dịch điện tử. Mật khẩu này sẽ được yêu cầu nhập vào khi chương trình ứng dụng (CITAD) truy nhập vào khóa bí mật lưu trữ trên ikey. 2.4.1 11BChange SO PIN (Thay đổi SO pin) Khi nhận iKey mới nhà sản xuất cài mặc định SO PIN của ikey token là: “rainbow”, vì vậy để bảo mật nên thay đổi mã số PIN của SO bằng cách 1. Nhấp chuột vào Admin Tools tab. 2. Nhấp vào Change SO PIN. Hộp thoại thay đổi PIN xuất hiện. 3. Nhập SO PIN hiện tại mặc định ban đầu là: “rainbow”. 4. Nhập SO PIN mới (SO PIN có độ dài 6->25 ký tự) 5. Nhập lại SO PIN. 6. Nhấp vào OK. SO PIN mới sẽ được cập nhật và sẽ quay lại giao diện quản trị chính. UChú ýU: SO pin là mật khẩu cao nhất quản trị ikey. Nếu mất hoặc quên SO pin thì sẽ không sử dụng lại thiết bị được (không định dạng lại ikey được) 2.4.2 12BFormat (định dạng iKey) Định dạng lại iKey token dùng trong trường hợp muốn hủy toàn bộ dữ liệu trong iKey Token hoặc muốn ghi cặp khóa mới vào iKey Token. Các bước để định dạng lại iKey token - Chạy tiện ích iKey Token Utility - Chọn Tab “Admin Tools” - Nhấn nút Format. Xuất hiện màn hình cảnh báo sau Chọn Yes. Chương trình yêu cầu nhập mã SO PIN [...]... cài đặt và sử dụng Entrust ESP – iKey 1032 - 17 - SBV-CA Bước 4: Chọn thư mục cài đặt, mặc định sẽ là C:\Program Files \Entrust\ ESP\ Bước 5: chọn loại cài đặt, để mặc định là Typical Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032 - 18 - SBV-CA Bước 6: sẵn sàng cài đặt, nhấp chuột vào Next bắt đầu cài đặt chương trình Bước 7: chờ vài phút để hệ thống cài đặt Tài liệu cài đặt và sử dụng Entrust ESP... bước cài đặt 9B Bước 1: vào thư mục Security Provider 7.0 trong đĩa CD CI-TAD 3.0 Nhấp chuột vào file Setup.exe, hộp thoại chào mừng hiện thị, nhấp chuột vào Next để bắt đầu cài đặt Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032 - 16 - SBV-CA Bước 2: tích vào ô I accept the license agreement và nhấp chuột vào Next Bước 3: nhập thông tin người dùng , nhấp vào Next để tiếp tục Tài liệu cài đặt và sử. .. Change Password: thay đổi mật khẩu của chứng chỉ số khi cần hoặc mật khẩu bị lộ Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032 - 15 - SBV-CA 3 Cài đặt Entrust Entelligence Security Provider 2B 3.1 Yêu cầu trước khi cài đặt 8B Cần các phần mềm sau: • Phần mềm Ikey phiên bản 4.008 đã được cài đặt • Entrust Security Provider phiên bản 7.0 • Hệ điều hành o Microsoft Windows 2000 Professional SP4 o... (format) và khởi tạo (initialize), xem ở mục các cài đặt và quản trị ikey ở phần đầu của tài liệu này, mục 2.4.2 và mục 2.4.7 Bắt buộc phải làm bước 0 trước khi tiến hành các bước sau Bước 1: vào Start->Programs- >Entrust Entelligence- > Enroll for Entrust Digital ID Một cách khác có thể dùng đó là nhấp chuột phải vào biểu tượng ở System Tray chọn Enroll for Entrust ID… Tài liệu cài đặt và sử dụng Entrust. .. Nhấp vào Initialize hộp thoại nhập SO PIN xuất hiện, nhập mã PIN và nhấp vào OK để kết thúc và quay về hộp thoại chính Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032 - 12 - SBV-CA 6 Nhập mật khẩu truy cập chứng chỉ số có độ dài (6-127 ký tự): Mật khẩu này được ứng dụng (Ví dụ như CITAD) sử dụng khi ký duyệt giao dịch, do đó mật khẩu này phải được bảo vệ bí mật tránh trường hợp ikey bị sử dụng. .. đăng ký chứng chỉ số vào hệ điều hành Import: đưa chứng chỉ số có định dạng p12 hoặc pfx mới có thể import bằng tay vào token Auto Registration: tự động đăng ký với hệ thống, tức là khi cắm token vào cổng USB máy tính thì chứng chỉ số tự động được lưu vào hệ thống, có thể xem bằng cách vào Start->Control Panel->Internet Option->Content->Certificates Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032... hiện, nhấp chuột vào Next để tiếp tục Bước 2: nhập 2 số Reference number và Authorization code nhận được ở trên Nhấp vào Next để tiếp tục Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032 - 21 - SBV-CA Bước 3: hộp thoại xác nhận xuất hiện, chọn Next để tiến hành kích hoạt chứng thư số Bước 4: lúc này hộp thoại đòi nhập mật khẩu để truy xuất vào iKey token xuất hiện, nhập mật khẩu vào (Đây chính là... cách, vào iKey Token Utility->User tools->Manage, ta nhìn thấy chứng chỉ số của người dùng ở dưới 3.3.2 Khôi phục chứng chỉ số người sử dụng Người dụng được cấp số mới: 21B Reference number: 89686451 Authorization code: XO8W-TS33-HN8D Các bước thực hiện: Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032 - 23 - SBV-CA Bước 0: làm tương tự như bước 0 ở mục 3.3.1 ở trên Bước 1: nhấp chuột phải vào biểu... tương tự như bước 0 ở mục 3.3.1 ở trên Bước 1: nhấp chuột phải vào biểu tượng Entelligence ở System Tray, nhấp chuột vào Recover Entrust Digital ID Bước 2: cửa số chào mừng xuất hiện, nhấp chuột vào Next để tiếp tục Các bước còn lại làm tương tự các bước từ bước 2 đến bước 5 như trong mục 3.3.1 Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032 - 24 - ... vào Finish để kết thúc quá trình cài đặt Bước 9: sau khi cài đặt thành công sẽ có biểu tượng ở System Tray 3.3 Sử dụng Security Provider để lưu chứng chỉ số người dùng vào iKey token 10B 3.3.1 Tạo mới chứng thư số 20B Khi người dùng được cấp chứng thư số, Tổ chức chứng thư số NHNN sẽ gửi về hai thông tin sau: • Reference number: 89686449 • Authorization code: XJOI-U8UD-OCVK Bước 0: Đưa iKey token vào