MUITINĖS DEPARTAMENTAS PRIE LIETUVOS RESPUBLIKOS FINANSŲ MINISTERIJOS
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
SERTIFIKATO GENERAVIMO INSTRUKCIJA
VERSIJA: 2.00
Vilnius 2021
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 2
TURINYS
1 Įžanga ................................................................................................................................... 3
2 Sertifikatų tvarkymas Windows aplinkoje ............................................................................. 4
2.1 Sertifikato pasirašymo prašymo kūrimas ............................................................................................................ 4
2.1.1 Naudojantis „Microsoft“ valdymo konsole (Microsoft Management Console) ............................................. 4
2.1.2 Naudojantis komandine eilute (Command Promt) ....................................................................................... 17
2.2 Sertifikato atsisiuntimas ir diegimas ................................................................................................................. 20
2.3 Sertifikato paruošimas darbui kitame kompiuteryje......................................................................................... 25
3 Sertifikatų tvarkymas MacOS aplinkoje ............................................................................... 37
3.1 Sertifikato pasirašymo prašymo kūrimas .......................................................................................................... 37
3.2 Sertifikato atsisiuntimas ir diegimas ................................................................................................................. 39
3.3 Sertifikato paruošimas darbui kitame kompiuteryje......................................................................................... 44
4 Sertifikatų tvarkymas Linux aplinkoje .................................................................................. 45
4.1 Sertifikato pasirašymo prašymo kūrimas .......................................................................................................... 45
4.2 Sertifikato atsisiuntimas ir diegimas ................................................................................................................. 46
4.3 Sertifikato paruošimas darbui kitame kompiuteryje......................................................................................... 50
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 3
1 ĮŽANGA
Norint prisijungti prie BAP naudojantis sertifikatu pirmiausia Jums reikia pasiruošti sertifikato pasirašymo prašymą. Su šiuo prašymu
yra sugeneruojamas sertifikatas, kuris turi būti įdiegtas į Jūsų kompiuterį. Žemiau yra pateikiamos instrukcijos kaip kiekvienoje
operacinėje sistemoje sugeneruoti sertifikato pasirašymo prašymą, kaip persisiųsti sertifikatą, jį sudiegti, bei perkelti į kitą
kompiuterį.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 4
2 SERTIFIKATŲ TVARKYMAS WINDOWS APLINKOJE
2.1 Sertifikato pasirašymo prašymo kūrimas
Windows aplinkoje yra aprašyti du būdai, sekančiuose skyriuose, kaip tai galima padaryti. Pasirinkite Jums labiau tinkantį ir sekite
žingsnius toliau.
2.1.1 Naudojantis „Microsoft“ valdymo konsole (Microsoft Management Console)
1. Pirmiausia savo kompiuteryje pasiruoškite vietą, kurioje vėliau išsaugosite tolimesniuose instrukcijos žingsniuose sukurtą
sertifikato užklausą. Adresu Computer → Local Disc (C:) rekomenduojame sukurti katalogą „bapcrt“. Žemiau pateiktame pavyzdyje
parodytas analogiškoje lokacijoje adresu This PC → Windows (C:) sukurtas katalogas „bapcrt“.
Pav. 1 Katalogo „bapcrt“ sukūrimas
2. Kad atsidarytumėte Microsoft Management Console, „Windows Start“ juostoje įrašydami „mmc“ atlikite paiešką ir paleiskite
rastą programą.
Pav. 2 Paieška "Windows Start" juostoje
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 5
Pav. 3 Microsoft Management Console langas
3. Atsidariusiame lange pasirinkite „File→Add/Remove Snap-in“. Iššokusiame lange pasirinkite „Certificates“ opciją.
Pav. 4 Certificates skilties pasirinkimas
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 6
4. Spauskite mygtuką „Add >“ esantį pasirinkimo dešinėje pusėje. Naujame lange pasirinkite opciją „My user account“ ir spauskite
„Finish“ mygtuką esantį lango apačioje.
Pav. 5 "My user account" pasirinkimas
5. Spauskite „Ok“, kad uždarytumėte „Snap-in“ langą.
6. Išskleiskite „Certificates“ ir susiraskite „Personal“ skiltį. Ant jos spauskite dešinį pelės mygtuką, kad iškviestumėte vidinį meniu.
Šiame meniu pasirinkite „All Tasks“→„Advanced Operations“ → „Create custom request“.
7. Atsidariusiame lange spauskite „Next“. Sekantis langas pasiūlys strategiją kaip taikyti sertifikatą - čia reikia pasirinkti „Proceed
without enrollment policy“ ir spausti „Next“.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 7
Pav. 6 Strategijos pasirinkimo langas
8. Trečiajame lange mūsų paprašys nurodyti šabloną. Išskleidžiame meniu ir pasirenkame „(No template) Legacy key“. Pažymime
formatą „PKS #10“. Pasirinkus šiuos variantus, spaudžiame „Next“.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 8
Pav. 7 Šablono pasirinkimas
9. Sertifikato informacijos lange reikia išskleisti detales ir paspausti mygtuką „Properties“.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 9
Pav. 8 Sertifikato informacijos langas
10. Atsidariusiame lange reikia pasirinkti skirsnį „Subject“. „Type“ laukelyje pasirenkame „Common name“ ir „Value“ lauke
nurodome savo vardą ir pavardę.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 10
Pav. 9 "Subject" skrisnis
11. Kai reikšmės užpildytos, spaudžiame dešinėje esantį „Add >“ mygtuką.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 11
Pav. 10 "Subject" duomenų užpildymas
12. Tolimesni veiksmai atliekami „Private Key“ skirsnyje. Išskleidžiame „Key type“ sritį ir pasirenkame „Exchange“ opciją.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 12
Pav. 11 Rakto tipo pasirinkimas
13. Pasirinkus rakto tipą, reikia pasirinkti, kokiu algoritmu bus šifruojami duomenys. Tam išskleiskime „Cryptographic Service
Providers“ skiltį ir įsitikinkime, kad ten yra pasirinkta tik viena opcija – „Microsoft RSA SChannel Cryptographic Provider
(Encryption)“.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 13
Pav. 12 Šifravimo algoritmo pasirinkimas
14. Galiausiai reikia nurodyti rakto dydį – tam išskleidžiame „Key options“ skiltį, prie „Key size“ pasirenkame 2048 ir pažymime
varnelę „Make private key exportable“.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 14
Pav. 13 Rakto dydžio pasirinkimas
15. Atlikus visus aukščiau minimus veiksmus spaudžiame „OK“ – tai uždarys iššokantį langą ir grąžins mus į vedlį. Vedlyje
spaudžiame „Next“. Mūsų paprašys nurodyti disko vietą, kurioje norime išsaugoti sertifikato užklausą.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 15
Pav. 14 Užklausos išsaugojimo dialogas
16. Spauskime mygtuką „Browse...“ ir pasirinkime, kur norime išsaugoti failą. Rekomenduojama failą saugoti 1. žingsnyje nurodytu
adresu sukurtame kataloge „bapcrt“. Svarbu failą išsaugoti su csr plėtiniu – kad tai padarytumėte, prie failo vardo reikia pridėti
„.csr“ ir „Save as type“ lauke nurodyti „All files (*.*)" opciją. Atlikus visus veiksmus dialogo lange paspauskite „Save“.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 16
Pav. 15 Failo išsaugojimo dialogas
17. Būsime grąžinti į vedlį, kuriame spaudžiame „Finish“. CSR sugeneruotas sėkmingai ir išsaugotas į jūsų nurodytą failą. Tęskite
sertifikato generavimą nuo „Sertifikato atsisiuntimas ir diegimas“ skyriaus.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 17
Pav. 16 Vedlio pabaiga
2.1.2 Naudojantis komandine eilute (Command Promt)
1. Susikurkite failą „request.inf“. Failo turinys pateiktas žemiau. Pastaba: paruoštą „request.inf“ failą galite atsisiųsti sertifikato
generavimo lange arba prisijungimo puslapyje. Atsisiuntus failą eilutėje „Subject“ vietoje „Vardenis Pavardenis“ įrašykite savo vardą
ir pavardę.
Pav. 17 Failo „request.inf“ atsisiuntimas prisijungusiam prie BAP naudotojui
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 18
Pav. 18 Failo „request.inf“ atsisiuntimas neprisijungusiam naudotojui
;----------------- request.inf -----------------
[Version]
Signature="$Windows NT$"
[NewRequest]
Subject = "CN=Vardenis Pavardenis"
KeySpec = 1
KeyLength = 2048
Exportable = True
MachineKeySet = False
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
;-----------------------------------------------
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 19
2. Atidarykite „cmd“ komandinę eilutę. Kad tai padarytumėte esamame kataloge „bapcrt“ į adreso juostą įveskite „cmd“ ir
spauskite „Enter“ klavišą klaviatūroje.
Pav. 19 cmd atidarymas per adreso juostą
Pav. 20 cmd eilutės langas
3. Atsidariusiame lange suveskite šią komandą:
C:\bapcrt> certreq -new request.inf request.csr
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 20
Pav. 21 Komandos suvedimo pavyzdys
Sėkmingai sukūrus „request.csr“, komandinėje eilutėje gausite atsakymą:
CertReq: Request Created
2.2 Sertifikato atsisiuntimas ir diegimas
1. Jei BAP sistema iki šiol nesinaudojote ir neturite galimybės prisijungti per Elektroninius valdžios vartus, paruoštą request.csr failą
siųskite el. paštu į muitinę, kai būsite to paprašytas. Gausite atsakymą su sertifikatas.crt, kurį pasidedame į susikurtą katalogą
„bapcrt“.
Jeigu prie BAP galite jungtis naudojantis Elektroninių valdžios vartų teikiama tapatybės nustatymo paslauga arba jau anksčiau
naudojote BAP sistemą ir galite prie jos prisijungti, tokiu atveju failą „request.csr“ prisekite skiltyje „Profilis“ paspaudę mygtuką
„Generuoti naują sertifikatą“. Atsisiųskite „sertifikatas.crt“ failą paspaudę mygtuką „Atsisiųsti“ modaliniame lange arba sertifikato
duomenų lentelėje. Atsiųstą failą perkelkite į katalogą „bapcrt“.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 21
Pav. 22 CSR failo įkėlimo vieta
Pav. 23 CRT failo atsisiuntimas
Pav. 24 CRT sertifikato atsisiuntimas iš sertifikato duomenų lentelės
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 22
Pav. 25 Failo „sertifikatas.crt“ sukūrimas
2. Importuokite sertifikatą į vartotojo sertifikatų talpyklą. Ant failo „sertifikatas.crt“ paspauskite pelės dešinį klavišą, atidarytame
iššokančiame lange pasirinkite funkciją „Install Certificate“.
Pav. 26 Sertifikato importavimas į vartotojo sertifikatų talpyklą
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 23
Pav. 27 Sertifikato importavimo vedlys: talpinimo vietos pasirinkimas
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 24
Pav. 28 Sertifikato importavimo vedlys: lokacijos specifikavimas
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 25
Pav. 29 Sertifikato importavimo vedlys: nustatymų peržiūra
Pav. 30 Sertifikato importavimo vedlys: informavimas apie sėkmingai baigtą sertifikato importavimą
2.3 Sertifikato paruošimas darbui kitame kompiuteryje
1. Tam, kad atsidarytumėte Microsoft Management Console į „Windows Start“ juostoje esantį paieškos lauką įveskite „mmc“ ir
paleiskite rastą programą.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 26
Pav. 31 Paieška "Windows Start" juostoje
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 27
Pav. 32 Microsoft Management Console langas
2. Atsidariusiame lange pasirinkite „File→Add/Remove Snap-in“. Iššokusiame lange parinkite „Certificates“ opciją.
Pav. 33 Certificates skilties pasirinkimas
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 28
3. Spauskite mygtuką „Add >“ esantį, pasirinkimo dešinėje pusėje. Naujame lange pasirinkite opciją „My user account“ ir spauskite
„Finish“ mygtuką esantį lango apačioje.
Pav. 34 "My user account" pasirinkimas
4. Spauskite „OK“, kad uždarytumėte „Snap-in“ langą.
Atsidariusiame lange turėtumėte matyti suimportuotą sertifikatą.
Pav. 35 Importuoto sertifikato peržiūra
5. Patikrinkite, ar sertifikatas turi atitinkamą privatų raktą. Du kartus paspaudę kairiuoju pelės klavišu ant sertifikato, turite matyti
užrašą „You have a private key that corresponds to this certificate“.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 29
Pav. 36 Sertifikato privataus rakto patikrinimas
6. Išeksportuokite sertifikatą kartu su privačiu raktu į failą, kad galėtumėte naudoti kituose kompiuteriuose ir turėti atsarginę
kopiją:
Pav. 37 Sertifikato eksportavimas
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 30
Pav. 38 Sertifikato eksportavimo vedlys
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 31
Pav. 39 Sertifikato eksportavimo vedlys: formato pasirinkimas
7. Pažymėkite, kad privatus raktas būtų eksportuotas kartu su sertifikatu.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 32
Pav. 40 Sertifikato eksportavimo vedlys: privataus rakto eksportavimas
8. Sugalvokite slaptažodį, kuriuo bus apsaugotas sertifikato privatus raktas.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 33
Pav. 41 Sertifikato eksportavimo vedlys: slaptažodžio sukūrimas
Paspaudus „Next“, būsite nukreipti į langą, kuriame reikės nurodyti eksportavimo vietą ir failo pavadinimą.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 34
Pav. 42 Sertifikato eksportavimo vedlys: failo pavadinimo sukūrimas
Paspaudus „Next“ bus atidarytas langas nustatymų peržiūrai ir eksportavimo veiksmo užbaigimui. Peržiūrėję informaciją,
paspauskite „Finish“.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 35
Pav. 43 Sertifikato eksportavimo vedlys: nustatymų peržiūra
Atlikus šį veiksmą, būsite informuoti apie sėkmingą eksportavimo užbaigimą.
Pav. 44 Sertifikato eksportavimo vedlys: informavimas apie sėkmingai baigtą sertifikato eksportavimą
9. Atsiradęs failas „sertifikatas.pfx“ turi savyje jūsų sertifikatą ir jo privatų raktą. Jį lengvai galėsite importuoti kitame kompiuteryje.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 36
Pav. 45 Eksportuoto failo „sertifikatas.pfx“ atvaizdavimas
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 37
3 SERTIFIKATŲ TVARKYMAS MACOS APLINKOJE
3.1 Sertifikato pasirašymo prašymo kūrimas
Jeigu naudojate macOS, sertifikato užklausą galite sugeneruoti naudojant openssl komandą per terminalą.
1. Tam, kad būtų patogiau, rekomenduojame susikurti naują katalogą (pavyzdžiui, pavadinimu – „bapcrt“) darbalaukyje
Pav. 46 Katalogo kūrimas
2. Paleidžiame Terminal aplikaciją. Tam galima naudoti paiešką paspaudžiant Command–Space bar ir paieškos lauke surinkus tekstą
„terminal“:
arba pasirinkus Finder meniu Go →Utilities
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 38
3. Terminale pereiname į sukurtą katalogą „bapcrt“ įvesdami komandą (komandos vykdymui paspaudžiame „Enter“ klavišą)
cd Desktop/bapcrt
4. Sugeneruokite sertifikato užklausą naudojant openssl komandą:
openssl req -out request.csr -new -newkey rsa:2048 -nodes -keyout certificate.key
Country Name (2 letter code) [AU]:LT
State or Province Name (full name) [Some-State]:n/a
Locality Name (eg, city) []:n/a
Organization Name (eg, company) [Internet Widgits Pty Ltd]:n/a
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:Vardas Pavarde
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 39
Pav. 47 Sertifikato užklausos generavimas
5. Patikrinkite turimus failus:
JN-iMac:bapcrt Jonas$ ls -l
total 16
-rw-r--r-- 1 Jonas staff 1704 Sau 29 21:29 certificate.key
-rw-r--r-- 1 Jonas staff 915 Sau 29 21:29 request.csr
3.2 Sertifikato atsisiuntimas ir diegimas
1. Jei BAP sistema iki šiol nesinaudojote ir neturite galimybės prisijungti per Elektroninius valdžios vartus, paruoštą request.csr failą
siųskite el. paštu į muitinę, kai būsite to paprašytas. Gausite atsakymą su sertifikatas.crt, kurį pasidedame į katalogą „bapcrt“.
Jeigu prie BAP galite jungtis naudojantis Elektroninių valdžios vartų teikiama tapatybės nustatymo paslauga arba jau seniau
naudojote BAP sistemą ir galite prie jos prisijungti, tai failą „request.csr“ prisekite skiltyje „Profilis“ paspaudus mygtuką „Generuoti
naują sertifikatą“. Atsisiųskite „sertifikatas.crt“ failą paspaudę mygtuką „Atsisiųsti“ modaliniame lange arba sertifikato duomenų
lentelėje. Atsiųstą failą perkelkite į katalogą „bapcrt“.
Pav. 48 CSR failo įkėlimo vieta
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 40
Pav. 49 CRT failo atsisiuntimas
Pav. 50 CRT sertifikato atsisiuntimas iš sertifikato duomenų lentelės
JN-iMac:bapcrt Jonas$ ls -l
total 12
-rw-r--r-- 1 Jonas staff 1704 Sau 29 21:29 certificate.key
-rw-r--r-- 1 Jonas staff 915 Sau 29 21:29 request.csr
-rw-r--r-- 1 Jonas staff 915 Sau 29 21:29 sertifikatas.crt
2. Sugeneruokite PFX failą iš sertifikato ir rakto failų. Sugalvokite slaptažodį, kuriuo bus apsaugotas privatus raktas.
openssl pkcs12 -export -out sertifikatas.pfx -inkey certificate.key -in
sertifikatas.crt
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 41
Pav. 51 Eksportavimo pavyzdys
Patikrinkite, kokius failus turite:
JN-iMac:bapcrt Jonas$ ls -l
total 12
-rw-r--r-- 1 Jonas staff 1704 Sau 29 21:29 certificate.key
-rw-r--r-- 1 Jonas staff 915 Sau 29 21:29 request.csr
-rw-r--r-- 1 Jonas staff 915 Sau 29 21:29 sertifikatas.crt
-rw-r--r-- 1 Jonas staff 915 Sau 29 21:29 sertifikatas.pfx
sertifikatas.pfx - failas, kuris turi savyje jūsų sertifikatą ir jo privatų raktą.
3. Sertifikato importavimas macOS sistemoje.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 42
Pav. 52 Sertifikatui importuoti iš Finder pasirenkame Go ->Utilities ir paleidžiame Keychain Access programą
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 43
Pav. 53 Keychain Access programos kairėje pasirenkame System
Pav. 54 Iš meniu File meniu, pasirenkame "Import Items…"
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 44
Pav. 55 Pasirenkame sugeneruotą sertifikatą
Pasirinkus sertifikatą sistema paprašys įvesti administratoriaus slaptažodį, o po to sugeneruoto sertifikato slaptažodį, kuris buvo
sukurtas 2 žingsnyje.
Kai sertifikatas bus suimportuotas paleidus naujai Safari naršyklę bus galima prisijungti prie bap.lrmuitine.lt pasirinkus sertifikatą.
Jungiantis pirmą kartą MacOS Sistema dar kartą paklaus administratoriaus vardo ir slaptažodžio. Juos įvedus bus prisijungta prie
sistemos.
3.3 Sertifikato paruošimas darbui kitame kompiuteryje
Darbui kitame kompiuteryje yra reikalingas pfx failas, kuris buvo sugeneruotas „Sertifikato atsisiuntimas ir diegimas“ 2 žingsnyje.
Perkelkite šį failą į naują kompiuterį ir tęskite žingsnius aprašytus toliau diegimo instrukcijoje.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 45
4 SERTIFIKATŲ TVARKYMAS LINUX APLINKOJE
4.1 Sertifikato pasirašymo prašymo kūrimas
Jeigu naudojate Linux, sertifikato užklausą galite sugeneruoti naudojant openssl komandą per terminalą.
1. Pirmiausia savo kompiuteryje pasiruoškite vietą, kurioje vėliau išsaugosite tolimesniuose instrukcijos žingsniuose sukurtą
sertifikato užklausą, tam rekomenduojame sukurti katalogą „bapcrt“. Pereikite į šį katalogą ir sugeneruokite sertifikato
užklausą naudojant openssl komandą:
linux@PC$ openssl req -out request.csr -new -newkey rsa:2048 -nodes -keyout
certificate.key
"Country Name" = LT
Country Name (2 letter code) [AU]:LT
State or Province Name (full name) [Some-State]:n/a
Locality Name (eg, city) []:n/a
Organization Name (eg, company) [Internet Widgits Pty Ltd]:n/a
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:Vardas Pavardauskas
Pavyzdys:
linux@PC$ openssl req -out request.csr -new -newkey rsa:2048 -nodes -keyout
certificate.key
Generating a 2048 bit RSA private key
...........................+++
..........................................+++
writing new private key to 'certificate.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:LT
State or Province Name (full name) [Some-State]:n/a
Locality Name (eg, city) []:n/a
Organization Name (eg, company) [Internet Widgits Pty Ltd]:n/a
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:Vardas Pavardauskas
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
2. Patikrinkite turimus failus:
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 46
linux@PC$ ls -l
total 8
-rwxrwxrwx 1 root root 1704 May 7 15:37 certificate.key
-rwxrwxrwx 1 root root 980 May 7 15:37 request.csr
4.2 Sertifikato atsisiuntimas ir diegimas
1. Jei BAP sistema iki šiol nesinaudojote ir neturite galimybės prisijungti per Elektroninius valdžios vartus, paruoštą request.csr failą
siųskite el. paštu į muitinę, kai būsite to paprašytas. Gausite atsakymą su sertifikatas.crt, kurį pasidedame į katalogą „bapcrt“.
Jeigu prie BAP galite jungtis naudojantis Elektroninių valdžios vartų teikiama tapatybės nustatymo paslauga arba jau seniau
naudojote BAP sistemą ir galite prie jos prisijungti, tai failą „request.csr“ prisekite skiltyje „Profilis“ paspaudus mygtuką „Generuoti
naują sertifikatą“. Atsisiųskite „sertifikatas.crt“ failą paspaudę mygtuką „Atsisiųsti“ modaliniame lange arba sertifikato duomenų
lentelėje. Atsiųstą failą perkelkite į katalogą „bapcrt“.
Pav. 56 CSR failo įkėlimo vieta
Pav. 57 CRT failo atsisiuntimas
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 47
Pav. 58 CRT sertifikato atsisiuntimas iš sertifikato duomenų lentelės
linux@PC$$ ls -l
total 12
-rwxrwxrwx 1 root root 1704 May 7 15:37 certificate.key
-rwxrwxrwx 1 root root 980 May 7 15:37 request.csr
-rwxrwxrwx 1 root root 1127 May 7 15:41 sertifikatas.crt
2. Sugeneruokite PFX failą iš sertifikato ir rakto failų. Sugalvokite slaptažodį, kuriuo bus apsaugotas privatus raktas.
linux@PC$:/mnt/d/bapcrt/linux$ openssl pkcs12 -export -out sertifikatas.pfx -inkey
certificate.key -in sertifikatas.crt
Enter Export Password:
Verifying - Enter Export Password:
Patikrinkite, kokius failus turite:
linux@PC$:/mnt/d/bapcrt/linux$ ls -l
total 16
-rwxrwxrwx 1 root root 1704 May 7 15:37 certificate.key
-rwxrwxrwx 1 root root 980 May 7 15:37 request.csr
-rwxrwxrwx 1 root root 1127 May 7 15:41 sertifikatas.crt
-rwxrwxrwx 1 root root 2389 May 7 15:43 sertifikatas.pfx
sertifikatas.pfx - failas, kuris turi savyje jūsų sertifikatą ir jo privatų raktą.
3. Sertifikato importavimas naudojimui linux sistemoje yra konfigūruojamas naršyklėje. Atsidarykite naršyklės nustatymus, ten
susiraskite „Privacy & Security“ skiltį, joje „Certificates“ opciją ir spauskite „View Certificates“
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 48
Pav. 59 "View Certificates" skiltis
4. Atsidariusiame lange „Your Certificates“ skiltyje spauskite „Import“, nurodykite savo pfx failą bei slaptažodį kurį nurodėte 3
žingsnyje.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 49
Pav. 60 Sertifikato diegimo langas
5. Po sėkmingo sertifikato įkėlimo jį matysite sąraše.
SERTIFIKATO GENERAVIMO INSTRUKCIJA
BENDRO NAUDOTOJŲ VALDYMO SISTEMOS, ATITINKANČIOS EUROPOS KOMISIJOS REIKALAVIMUS, SUKŪRIMO PASLAUGŲ PROJEKTAS
KONFIDENCIALU 50
Pav. 61 Sertifikatų sąrašas
4.3 Sertifikato paruošimas darbui kitame kompiuteryje
Darbui kitame kompiuteryje yra reikalingas pfx failas, kuris buvo sugeneruotas „Sertifikato atsisiuntimas ir diegimas“ 2 žingsnyje.
Perkelkite šį failą į naują kompiuterį ir tęskite žingsnius aprašytus toliau diegimo instrukcijoje.