Beställning av certifikat 1 (29) Dnr 2011/1777 2012-05-09 Rutinbeskrivning för beställning av certifikat 1. Skapa en Certificate Sign Request (CSR) Nedan beskrivs översiktligt hur en CSR genereras samt tillställs Riksgälden. Riksgälden rekommenderar starkt att också läsa Verisigns fördjupade beskrivning (bifogad till detta dokument som Bilaga 1) som på en djupare detaljnivå beskriver processen runt skapandet av ett CSR. Följande information skall vara specificerad i CSR:en: Email Address: Institutets E-Post adress (domänen bör ägas av det ansökande institutet, i annat fall krävs domänägarens medgivande) CN=Institutets Namn L=Institutets Stad ex Stockholm, OU=Insattningsgaranti, (OBS! Notera inga prickar) O=Samma som i CN, C=Institutets landskod ex: SE Key Type: RSA Key Strength: 2,048 bits Certificate Usage: Sign, Encrypt Observera att OU måste vara Insattningsgaranti. Observera, vissa specialtecken får inte användas då ni skapar er CSR. De vanligaste otillåtna tecknen är Å, Ä och Ö som följaktligen skall ersättas med respektive A, A och O. När CSR är skapad kan man med fördel använda Legacy CSR Checker för att kontrollera att CSR upprättas på rätt sätt. https://ssl-tools.verisign.com/#certchecker
2 (29) Exempel på hur en CSR skapas i Kleopatra som följer med GNUPG för Windows som vi refererar till i Filformat 1.1. Det går även att skapa en CSR i en annan programvara men då ansvarar institutet själva. Exemplet nedan förutsätter att man startat Kleopatra. Välj New Certificate under File menyn
Välj andra alternativet Create a personal X.509 key pair and certification request 3 (29)
Fyll i uppgifterna som bestämdes i steg 1 och tryck sedan på Next > 4 (29)
5 (29) Kopiera informationen i textrutan ovan så att den kan bifogas i certifikatbegäran till Riksgälden. Kontrollera att nyckellängden är 2048 bitar (kryssa i Show all details för att se detta). Tryck sedan på Create Key Fyll i ett lösenord för att skydda nyckeln. Detta lösenord krävs för att använda nyckeln vid signering. Observera att detta lösenord också krävs för att skicka filer till Riksgälden. Lösenordet måste vara starkt (minst 10 tecken och ska innehålla blandat gemener, versaler, siffror och specialtecken). Det är viktigt att komma ihåg lösenordet.
6 (29) Tryck på Save certificate request to file... och välj en lämplig plats att spara filen på. OBS! Tänk på att en privat nyckel har genererats och sparats i keychain i Kleopatra och krävs för att ta emot certifikatet när detta fås i retur från VeriSign/Symantec. Kontrollera gärna med Legacy CSR checker att filen är korrekt upprättad: https://ssl-tools.verisign.com/#certchecker Information som skickas till Riksgälden vid beställning av institutets certifikat: Skicka filen som skapats enligt ovan till ig@riksgalden.se Formuläret Certificate enrollment request ska också fyllas i, skrivas under, skannas in och bifogas i e-post meddelandet. Ange även i e-post meddelandet en eller flera unika IP-adresser (maximalt fem till antalet). IP-adresserna måsta vara IPv4. Endast dessa IP-adresser kan användas som avsändare när informationsfilerna skickas till Riksgälden.
7 (29) Riksgälden kontrollerar att institutet omfattas av insättningsgarantin och skickar därefter filen och formuläret till VeriSign/Symantec. Som nämnts ovan så skickar Riksgälden också ut sitt publika certifikat direkt till institutet i samband med att certifikatsansökan behandlas hos Riksgälden. 2. Ta emot certifikat från VeriSign/Symantec Riksgälden rekommenderar starkt att också läsa Verisigns fördjupade beskrivning (bifogad till detta dokument som Bilaga 2) som på en djupare detaljnivå beskriver processen runt att importera ert certifikat. VeriSign/Symantec skickar institutets certifikat till institutet via e-post. Tryck på knappen Import certificates. Välj filen som innehåller institutets privata nyckel som erhållits från VeriSign/Symantec. Eventuellt så blir användaren omfrågad om nyckelns privata lösenord. gpgsm är nu redo att signera filer för institutets räkning. 3. Installera certifikat från Riksgälden Riksgälden kommer att skicka ut Riksgäldens publika nyckel i samband med att institutet skickar in sin ansökan om certifikat till Riksgälden. Riksgäldens publika nyckel måste installeras enligt nedan.
8 (29) Tryck på knappen Import certificates. Välj den publika nyckeln som erhållits från Riksgälden. gpgsm är nu redo att kryptera filer för inläsning av Riksgälden. Vid kryptering och signering med OpenSSL: När importen av certifikatet i Kleopatra är slutförd, högerklicka på certifikatet och välj "Export secret keys". Följ sedan instruktionerna för att göra om det exporterade p12 certifikatet till ett PEM certifikat. Riksgälden rekommenderar starkt att också läsa Verisigns fördjupade beskrivning (bifogad till detta dokument som Bilaga 3) som på en djupare detaljnivå beskriver processen kryptering och signering. Samt bilaga 4) som beskriver hur ett färdigt certifikat exporteras. 4. Support Kontaktvägar vid problem eller frågor: Verisign/Symantec ansvarar för den tekniska lösningen hänförlig till certifikatet. Riksgälden besvarar frågor runt certifikatsansökan, filformat, lagkrav etc.
9 (29) VeriSign/Symantec Support Då instituten erhållit båda nycklarna, såväl den publika från Riksgälden som den privata från Symantec krävs att dessa importeras i Kleopatra. Vid problem med implementationen av certifikaten kontaktas Verisign/Symatec. För certifikatsfrågor av teknisk art finns två kontaktvägar. E-post: - Email till: SEenterprise-sslsupport@verisign.com - och CC: Faizel_Anthony@symantec.com Telefon: - Ring: 020 799 270 - Följt av knappval 2, 2, 4 - Upplys om att ärendet gäller Riksgälden och frågor hänförliga till certifikatet. - Huvudkontakt är Robert Lin (om Robert inte är tillgängligt finns möjlighet att få hjälp av annan personal införstådd med Riksgäldens certifikatsprojekt) - Öppettider: 9-17 svensk tid. Riksgälden: Riksgälden har meddelat föreskrifter om institutens skyldighet enligt 16 och 17 första stycket lagen (1995:1571) om insättningsgaranti att lämna uppgifter om insättare och deras insättningar. Föreskrifterna kungjordes den 30 december 2011 och träder i kraft den 1 februari 2012. Frågor hänförliga till föreskrifterna, exempelvis lagkrav, certifikatsansökan, filformat etc. besvaras av Riksgälden. Uppstår osäkerhet om vem som ansvarar för olika frågor kontakta Riksgälden. Ansvarig hos Riksgälden är Avdelningen för finansiell stabilitet och konsumentskydd som kan nås på: E-post: ig@riksgalden.se Telefon: 08-613 52 00
10 För mer information se: https://www.insattningsgarantin.se/sv/for-finansiellainstitut/foreskrifter/ Bilaga 1 Certificate Enrollment Before enrolling for a certificate in Kleopatra a certificate signing request (CSR) needs to be created as a.p10 file and submitted. Make sure to: Download application from vendor: 1. Download Kleopatra from http://www.gpg4win.org 2. Install Kleopatra as per vendor instruction. To generate a new CSR from the Kleopatra GUI follow the steps below: 1. Select File > New Certificate
11 2. Choose the option Create personal X.509 key pair and authentication request 3. Enter all information, ignore "Add email address to DN
12 4. Click Next 5. Select Create Key 6. Enter the Passphrase. NOTE: this is the password for the private key / secret key. If the password is forgotten the secret key cannot be exported, and files cannot be signed
13 7. Re-enter the passphrase, if the password is re-entered incorrectly the follow warning will occur: 8. Select Save Certificate Request To File
14 9. Select Finish 10. Choose a location and the name for the.p10 file (Certificate Signing Request)
15 11. Complete p10 / CSR generation > select OK Send the.p10 file for enrolment to Riksgälden according the instructions
16 Bilaga 2 Certificate import Kleopatra uses a graphic user interface (GUI) to manage certificates. A certificate request will need to be submitted to {VERISIGN.EN_US} before a certificate can be issued and used in Kleopatra. This will have been submitted by Riksgälden on your behalf when your application was received. For the steps on generating the CSR in Kleopatra please view: SO19556 After the certificate is issued, you will require the following certificates: Your certificate, also known as the End Entity Certificate Symantec Class 3 Organisational - G3 VeriSign Public Primary Certification Authority - G5 (Fingerprint: 4E:B6:D5:78:49:9B:1C:CF:5F:58:1E:AD:56:BE:3D:9B:67:44:A5:E5) - This certificate can be downloaded from the root page Follow the steps before installing the certificate: 1. Save the.p7b file from email into Windows desktop. 2. Double click on the.p7b file, a certificate manager will appear containing all the required certificates. 3. Select on the End Entity certificate issued to your company/email address 4. Right click > select All Task > Export > Next 5. Select Base-64 encoded X.509 (.CER) format > Next 6. Select Browse and select a location to save the certificate 7. Select Next > Finish Repeat the above steps for the Symantec Class 3 Organisational - G3
17 Import all these certificates into Kleopatra with the steps below: 1. Start Kleopatra and select Import Certificate 2. Select Your End Entity Certificate > Open
18 There will be a confirmation this certificate is imported. Select OK Check if the secret key is available next to Certificate Type
19 Repeat step 1 and 2 for the other two certificates: Symantec Class 3 Organisational - G3 VeriSign Public Primary Certification Authority - G5 Enable ultimate trust status for the root certificate: 1. Right click on VeriSign Public Primary Certification Authority - G5
20 2. Select Trust Root Certificate 3. Select Yes to ultimately trust the certificate 4. Select Correct to confirm the VeriSign G5 certificate VeriSign Public Primary Certification Authority - G5 will become bolded and trusted. For the official information please view: http://www.gpg4win.org/doc/en/gpg4wincompendium_15.html
21 Bilaga 3 To sign and encrypt Kleopatra uses a graphic user interface (GUI) to manage certificates. A certificate request will need to be requested from Verisign and install before a file can be signed or encrypted in Kleopatra. For the steps on generating the CSR in Kleopatra please view: SO19556 For the steps on importing the certificate after issuance please view: SO19567 To sign and encrypt a file follow the steps below: 1. Start Kleopatra and select File 2. Select Sign/Encrypt Files..
22 3. Browse to the folder and select the file to sign / encrypt > select Open Signing: 4. To sign the file select the radio button next to Sign > select Next
23 5. Untick the option Sign with OpenPGP 6. Select the certificate from the S/MIME Sign Certificate, if it is not already selected. 7. Click on Sign 8. Enter the password for the secret key originally entered during certificate enrollment.
24 A new file will be created with the extension.p7s Encrypt: 9. To encrypt the file select the radio button next to Encrypt > select Next
25 10. Select recipient's certificate > select Add 11. Select Encrypt to encrypt the file Remember to highlight your certificate at the top 12. Click on Continue when warned that the file cannot be decrypted.
26 A new file will be created with the extension.p7m For the more information from the official document please view: http://www.gpg4win.org/doc/en/gpg4win-compendium_24.html
27 BILAGA 4 Kleopatra uses a graphic user interface (GUI) to manage certificates. A certificate request will need to be requested from Symantec/VeriSign and installed before a file can be export from Kleopatra. For the steps on generating the CSR in Kleopatra please view: SO19556 For the steps on importing the certificate after issuance please view: SO19567 To export certificate follow the steps below: 1. Start Kleopatra and right click on your certificate, under the Trusted Certificates store. 2. Select Export Secret Keys
28 3. Click on the disk icon to the right of the text box, leave Passphrase Charset as default. 4. Chose a location to save the file, and enter a name for the file. Please note that the extension will be a.p12 file
29 7. Enter the password for the secret key originally entered during certificate enrollment. If this passphrase is lost, the secret key cannot be exported and signing cannot be done. 8. Enter a Passphrase for the secret key (.p12 file). There is no second verification of the passphrase, so make sure to note down the passphrase. If the passphrase is lost the.p12 file cannot be imported. 9. A new file will be created with the extension.p12 in the location you have chosen. This will be a backup file that can be re-imported if required. For the more information from the official document please view: http://www.gpg4win.org/doc/en/gpg4win-compendium_24.html