SafeNet Authentication Client 8.0 (SAC) - ASKON INTERNATIONAL ...

SafeNet Authentication Client 8.0 (SAC)
Uživatelská p�íru�ka
Poslední verze ze dne 12. 8. 2010

ASKON International s.r.o. SAC – uživatelská p�íru�ka
1 ÚVOD ............................................................................................................................................3
HLAVNÍ FUNKCE SAFENET AUTENTICATION CLIENT 8.0 .................................................................................................. 3
PODPOROVANÉ TOKENY A �IPOVÉ KARTY .................................................................................................................... 3
ARCHITEKTURA SAFENET AUTHENTICATION CLIENT ...................................................................................................... 4
PODPOROVANÉ OPERA�NÍ SYSTÉMY .......................................................................................................................... 4
PODPOROVANÉ PROHLÍŽE�E .................................................................................................................................... 4
KOMPATIBILITA S APLIKACEMI .................................................................................................................................. 5
2 INSTALACE SAC .............................................................................................................................6
TYPY INSTALACE .................................................................................................................................................... 6
UPGRADE ............................................................................................................................................................ 6
ODINSTALACE ...................................................................................................................................................... 7
3 UŽIVATELSKÉ ROZHRANÍ SAC ........................................................................................................8
SAC TRAY ICON .................................................................................................................................................... 8
SAFENET AUTHENTICATION CLIENT TOOLS .................................................................................................................. 8
4 SPRÁVA TOKEN� ........................................................................................................................ 12
VÝB�R AKTIVNÍHO TOKENU ................................................................................................................................... 12
Z��NA HESLA (PIN) K TOKENU .............................................................................................................................. 12
Z��NA HESLA SPRÁVCE ........................................................................................................................................ 13
ODEMKNUTÍ TOKENU (ETOKEN, ETOKEN VIRTUAL) ..................................................................................................... 13
ODEMKNUTÍ TOKEN� IKEY (POKUD BYLY INICIALIZOVÁNY S UNBLOCKING KÓDY) ............................................................... 13
ODSTRANIT OBSAH TOKENU................................................................................................................................... 13
ZOBRAZIT INFORMACE O TOKENU ............................................................................................................................ 13
KOPÍROVÁNÍ INFORMACÍ O TOKENU DO SCHRÁNKY ..................................................................................................... 14
P�EJMENOVÁNÍ TOKENU....................................................................................................................................... 14
P�IHLÁŠENÍ K TOKENU .......................................................................................................................................... 14
IMPORTOVÁNÍ CERTIFIKÁTU ................................................................................................................................... 14
EXPORTOVÁNÍ CERTIFIKÁTU Z TOKENU ..................................................................................................................... 15
NASTAVENÍ CERTIFIKÁTU JAKO VÝCHOZÍ.................................................................................................................... 15
VYMAZÁNÍ CERTIFIKÁTU ....................................................................................................................................... 15
NASTAVENÍ VIRTUÁLNÍCH �TE�EK ............................................................................................................................ 15
INICIALIZACE TOKENU ........................................................................................................................................... 16
5 NASTAVENÍ TOKENU ................................................................................................................... 18
NASTAVENÍ KVALITY HESLA (PIN) ........................................................................................................................... 18
NASTAVENÍ REŽIMU UKLÁDÁNÍ SOUKROMÝCH DAT DO MEZIPAM�TI ................................................................................ 18
SEKUNDÁRNÍ REŽIM OV��ENÍ KLÍ�EM RSA ................................................................................................................ 18
NASTAVENÍ SAC KLIENTA...................................................................................................................................... 18
2

ASKON International s.r.o. SAC – uživatelská p�íru�ka
1 Úvod
SafeNet Authentication Client je spole�ný middleware k USB token�m a �ipovým kartám SafeNet pro
��ely PKI (Public Key Infrastructure). Kryptografie ve�ejných klí�� umož�uje bezpe�nou vým�nu
informací, autentizaci uživatel�, ov��ování identity t�etí stranou, digitální podpis a další funkce
vyplývající z konceptu PKI.
SAC umož�uje bezpe�nostním aplikacím a produkt�m t�etích stran integraci s USB tokeny a �ipovými
kartami. P�íkladem m�že být �ešení PKI na rozhraní PKCS#11 nebo CAPI, Single Sign-On, Network
Logon, autentizace do VPN, digitální podepisování dokument�, bezpe�ný e-mail apod.
Hlavní výhody používání certifikát� na bezpe�nostních tokenech jsou:
- Dvoufaktorová autentizace (heslo-PIN a vlastnictví tokenu/karty)
- Bezpe�né generování klí�� v tokenu
- Není možné exportovat privátní objekty z tokenu
- Kryptografické operace jsou provád�ny p�ímo v hardware tokenu
- Osobní identita „v kapse“
Hlavní funkce Safenet Autentication Client 8.0
SAC 8.0 zahrnuje funkce, které byly podporovány p�edchozími verzemi middlewaru Aladdin PKI Client
(pro eTokeny) a SafeNet Borderless Security PK (pro tokeny iKey). Plná zp�tná kompatibilita
s p�vodním middlewarem znamená, že uživatelé, kte�í používali tokeny s PKI Clientem nebo Bsecem
mohou po instalaci SAC 8.0 tyto tokeny dále bez problému používat.
Funkce SAC 8.0:
- Inicializace token�
- Zm�na administrátorského (pokud je podporováno) a uživatelského PINu
- Odblokování zamknutých token� (Unlocking)
- ��ipojení/Odpojení eTokenu Virtual (softwarový token)
- Prohlížení, mazání, import a export certifikát� (ne privátních klí��!)
- Konfigurace bezpe�nostní politiky tokenu (v�. PIN quality)
- Enrollment a Enrollment Update (pokud nainstalováno se zp�tnou kompatibilitou s BSec
Client)
- Logování
- Další klientská nastavení tokenu a management
Podporované tokeny a �ipové karty
- SafeNet eToken PRO
- SafeNet eToken NG Flash
- SafeNet eToken NG OTP
- SafeNet eToken Smart Card
- SafeNet eToken Virtual Family
- SafeNet eToken Anywhere
3

ASKON International s.r.o. SAC – uživatelská p�íru�ka
- SafeNet iKey; FIPS and non-FIPS 2032, 2032u, 2032i
- SafeNet iKey; Standard 4000
- SafeNet Smart Card; Standard SC400
- SafeNet Smart Card; FIPS and non-FIPS SC330, SC330u, SC330i
Architektura SafeNet Authentication Client
Podporované opera�ní systémy
- Windows XP SP3 (32-bit, 64-bit),
- Windows Server 2003 SP2 a R2 (32-bit, 64-bit),
- Windows Vista SP2 (32-bit, 64-bit),
- Windows 7 (32-bit, 64-bit),
- Windows Server 2008 SP2 (32-bit, 64-bit),
- Windows Server 2008 R2 (64-bit)
Podporované prohlíže�e
- Firefox 3.6
- Internet Explorer 6 a vyšší
4

ASKON International s.r.o. SAC – uživatelská p�íru�ka
Kompatibilita s aplikacemi
SafeNet: - Safenet ProtectDrive 9.2.1 (eToken a iKey)
- eToken Network Logon 5.1
- TMS 5.1 SP1
- eToken SSO 5.1
- eToken WSO 5.2 nebo vyšší
Aplikace t�etích stran:
- Entrust EDS 8.0, Entrust ESP 9.1
- Citrix 5 Xenap Metaframe Server
- Cisco AnyConnect, Cisco ASA
- Identrust
- MS Office 2003, 2007
- Adobe Acrobat 9
- Certificate Authorities: Microsoft CA 2003 / R2 & 2008 / R2,VeriSign CA
5

ASKON International s.r.o. SAC – uživatelská p�íru�ka
2 Instalace SAC
Software SAC musí být nainstalován na každém po�íta�i, kde jsou používány tokeny iKey, eToken a
�ipové karty SafeNet. P�i instalaci jsou pot�eba lokální administrátorská práva. Defaultn� se
nainstalují drivery ke všem podporovaným token�m SafeNet. Pokud nechcete drivery instalovat,
zvolte instalaci p�es p�íkazovou �ádku, kde si m�žete vybrat p�íslušné parametry.
Soubory dodávané v balíku SAC 8.0
Soubor Popis
SafeNet AuthenticationClient-x32- Nainstaluje SAC pop�. upgraduje eToken PKI Client (32-
8.00.msi
bit)
SafeNet AuthenticationClient-x64- Nainstaluje SAC pop�. upgraduje eToken PKI Client (64-
8.00.msi
bit)
SafeNetAuthenticationClientPack
age_8.0.exe
Nainstaluje SAC a upgraduje BSec 7.x
SAC8.0_BSecUtilities.msi
Instaluje bývalé BSec Utilities, použijte jen v ��ípad�
instalace BSec kompatibilního módu
PolicyMigrationTool.exe
+ dokumentace
��evede p�vodní konfiguraci a nastavení registr� z BSecu
na SAC
Pozn.: Pokud instalujete msi balík na Windows 7, nespoušt�jte jej z Plochy Windows.
Typy instalace
a) Standardní instalace SAC
Standardní instalace všech komponent SAC a uživatelského rozhraní. Podpora token� iKey a eToken. P�i
instalaci vyberte možnost Standardní konfigurace.
b) Instalace kompatibilní s BSec API
Stejná jako bod a) - standardní instalace - s podporou p�vodních BSec API v aplikacích t�etích stran (CSP,
knihovna PKCS#11). P�i instalaci vyberte možnost BSec kompatibilní (BSec compatible).
c) Instalace kompatibilní s BSec UI
Instalace stejná jako b) s tím, že se uživatelské rozhraní (tray icon menu, dialog boxy) podobá p�vodnímu BSec
UI. P�i instalaci vyberte možnost BSec kompatibilní a vytvo�te klí� v registru podle návodu v Admin Guide.
d) Instalace BSec UI a BSec utilities
Instalace stejná jako c) s p�idáním p�vodních funkcí BSec (Enrollment, Enrollment Update, Certificate
Information). Proti bodu c) navíc instalujte BSec Utilities.
Upgrade
eToken PKI Client
Pokud p�echázíte z PKI Clienta verze 4.55 a vyšší, SAC automaticky upgraduje s tím, že se zeptá, jestli
chcete použít sou�asná uživatelská nastavení v registrech.
Pokud upgradujete z nižší verze PKI Clienta, je pot�eba PKI Clienta nejprve odinstalovat.
6

ASKON International s.r.o. SAC – uživatelská p�íru�ka
BSec Client
Automatický upgrade (pro BSec 7.2 a vyšší) se spustí souborem
SafenetAuthenticationClientPackage_8.0.exe. Pokud je pot�eba nainstalovat SAC p�es command line,
použijte manuální upgrade.
Manuální upgrade spo�ívá v odinstalaci BSec a nainstalování SAC. Pokud je pot�eba zachovat
konfiguraci BSec, použijte Policy Migration Tool (viz Admin Guide-AG)
Vlastní instalaci je možné provést pomocí wizardu nebo v p�íkazové �ádce. Wizard umož�uje výb�r
jazyka, zachování uživatelských nastavení v registrech a výb�r BSec-kompatibilního módu.
Instalace pomocí p�íkazové �ádky má �adu parametr�, které jsou blíže popsány v AG.
Odinstalace
Pozn.: Pokud je b�hem odinstalace token iKey p�ipojen k USB, iKey Driver se automaticky
neodinstaluje, je pot�eba ho odebrat ru���.
Jsou t�i zp�soby, jak SAC odinstalovat:
- ��es Ovládací panely->P�idat/odebrat programy resp. Programy a funkce
- ��es instala�ní wizard (spušt�ní p�íslušného instala�ního souboru, nap�. SafeNet
AuthenticationClient-x32-8.00.msi)
- ��es p�íkazovou �ádku
7

ASKON International s.r.o. SAC – uživatelská p�íru�ka
3 Uživatelské rozhraní SAC
SAC nabízí dv� uživatelská rozhraní: SafeNet Authentication Client Tools a Ikonku v systémové lišt�
(Tray Icon).
SAC Tools je aplikace, která zobrazuje informace o tokenu a jeho obsahu (certifikáty, klí�e), umož�uje
uživateli management tokenu v rozsahu nastaveném administrátorem (zm�na PIN a názvu, operace
s certifikáty a klí�i, nastavení složitosti a vlastností PIN, inicializace apod.).
SAC Tray Icon umož�uje rychlý p�ístup k n�kterým funkcím SAC.
SAC Tray Icon
Ikona je dostupná ve dvou módech závislých na provedené instalaci: Standard a BSec UI
kompatibilní (token vložen), (token vyjmut). Pokud není po instalaci ikona SAC vid�t, spustíte
ji p�es Start->Programy->SafeNet->SafeNet Authentication Client-> SafeNet Authentication Client.
Standard Mode - kliknutím pravým tla�ítkem myši na ikonu se zobrazí kontextové menu, které
��že obsahovat (podle vloženého tokenu a instalovaných sou�ástí):
- Open eToken SSO (spustí aplikaci eToken SSO, pokud je nainstalována)
- Generate OTP (vygeneruje OTP pro eToken Virtual, pokud je eToken nakonfigurován
s touto funkcí
- Odstranit obsah tokenu (smaže vymazatelný obsah tokenu)
- Zm�nit Heslo tokenu
- Vyberte token (pokud je vloženo více token�/karet)
- Nástroje (spustí SAC Tools)
- O aplikaci (info o produktu)
- Ukon�it
BSec UI kompatibilní
- Open eToken SSO
- Generate OTP
- Disable Event Notifications (p�vodní funkce BSec Tray Icon)
- Enrollment (p�vodní funkce BSec Tray Icon)
- Enrollment Update (p�vodní funkce BSec Tray Icon)
- Certificate Information (p�vodní funkce BSec Tray Icon)
- Vyberte token
- O aplikaci
- Ukon�it
SafeNet Authentication Client Tools
SAC Tools je nástroj pro administrátory pro nastavení bezpe�nostní politiky tokenu. Uživatel�m
tokenu umož�uje jednoduše spravovat (kopírovat, importovat, mazat) uložené certifikáty a další
objekty.
SAC Tools dále obsahuje nástroj pro inicializaci token�. Inicializace m�že být customizována podle
požadavk� a bezpe�nostní politiky podniku.
SAC Tools nabízejí dva pohledy: Jednoduché zobrazení (Simple View) a Podrobné zobrazení (Advanced
View), p�epínají se ikonkou a
8

ASKON International s.r.o. SAC – uživatelská p�íru�ka
Jednoduché a podrobné zobrazení
Význam spole�ných hlavních ikon (vpravo naho�e):
- Aktualizovat (Refresh)
- O aplikaci (About)
- Nápov�da (Help)
- Domovská stránka SafeNet
Jednoduché zobrazení
9

ASKON International s.r.o. SAC – uživatelská p�íru�ka
V levém sloupci jsou ikony vložených token� a karet. Ikony se liší podle typu tokenu nebo karty.
V pravé �ásti je seznam funkcí, které s vybraným tokenem jdou provád�t (modré podbarvení) a které
nejsou aktivní (šedé).
��ejmenovat token Zm�nit jmenovku tokenu
Zm�nit heslo k tokenu Zm�na PINu s ohledem na aktuální definované požadavky pro
PIN (složitost, historie, platnost apod.)
Odemknout token Aktivní pouze p�i zablokování tokenu
Vymazat token Vymaže odstranitelné objekty z tokenu
Zobrazit informace o tokenu Podrobné info o tokenu
Odpojit Safenet eToken Virtual Odpojí softwarový token eToken Virtual nebo eToken Rescue
Rozší�ené zobrazení
V levé �ásti obrazovky jsou ve stromovém menu zobrazeny všechny p�ipojené tokeny. Pod každým
názvem tokenu jsou vid�t objekty (certifikáty, klí�e), které se nacházejí na tokenu. P�i kliknutí na
��íslušný objekt se v pravé �ásti zobrazí relevantní menu (ikonky) a informace o objektu.
Pokud v levé �ásti kliknete na nadpis Tokeny, zobrazí se seznam všech p�ipojených token� a menu o
dvou ikonkách: Správa �te�ek (definuje, kolik virtuálních �te�ek bude rezervováno pro fyzické tokeny
a kolik pro eTokeny Virtual) a ��ipojit SafeNet eToken Virtual (otev�e soubor *.etv, *.etvp).
��i kliknutí na název tokenu (viz obr. výše) se zobrazí detailní info o tokenu a kontextové ikonky:
- inicializovat token
- p�ihlásit k tokenu
- importovat certifikát
10

ASKON International s.r.o. SAC – uživatelská p�íru�ka
- zm�nit heslo
- p�ejmenovat token
- odpojit Safenet eToken Virtual
- kopírovat do schránky
Další 4 ikony nejsou podporovány tokeny iKey (jedná se o operace s administrátorským heslem, které
na tokenech iKey nejde inicializovat):
- p�ihlásit se jako správce
- zm�nit heslo správce
- odemknout token
- nastavení uživatelského hesla
Pokud v levé �ásti kliknete na Uživatelské certifikáty/Certifikáty CA, v kontextovém menu se objeví
ikonka Importovat certifikát (možnost z Osobního úložišt� Windows nebo ze souboru) a v p�ípad�
Uživatelských certifikát� lze ješt� Vymazat výchozí certifikát (zbaví daný certifikát atributu „default“)
��i kliknutí v levém menu na konkrétní certifikát (pokud je uložený tokenu) se zobrazí informace o
certifikátu a menu sestávající z t�í ikonek:
- odstranit certifikát
- exportovat certifikát (pouze podepsaný ve�ejný klí� do souboru .cer)
- kopírovat do schránky (informace o certifikátu
Položka Nastavení v levém menu umož�uje nastavit a uložit do tokenu Kvalitu hesla (bezpe�nostní
politika PIN), režim ukládání privátních dat do mezipam�ti a sekundární autentizaci RSA klí��.
Pozn.: Tato nastavení a ukládání do tokenu jsou možná pouze u model� eToken a jsou popsána dále.
Pomocí volby Nastavení klienta v levém menu lze vytvo�it v middlewaru SAC vlastní politiku, která
bude automaticky vkládána do nov� inicializovaného tokenu na tomto po�íta�i. Toto nastavení
zárove� upravuje n�které vlastnosti SAC (viz záložka Up�esnit):
- Kopírovat uživatelské certifikáty do místního úložišt�,
- Správa certifikát� CA (kopírování certifikát� cert. autorit do úložišt� Windows),
- Povolit jednotné p�ihlášení (umožní p�ihlášení PINem, které se na�te do pam�ti i pro další
aplikace (defaultn� vypnuto)
- Lze konfigurovat po inicializaci (nastavení kvality hesla po inicializaci),
- Lze konfigurovat správcem (nastavení kvality hesla provádí pouze správce-jen eToken),
- Zobrazit ikonu aplikace na hlavním panelu (Vždy/Nikdy).
11

ASKON International s.r.o. SAC – uživatelská p�íru�ka
4 Správa token�
Tokeny, �ipové karty a objekty na nich lze spravovat pomocí utility SAC Tools. N�které funkce jsou
pro urychlení p�idány do systémového menu (ikona ).
��ležité:
�ešení SAC 8.0 umož�uje administrátorovi rozsáhlá nastavení funkcí a politik pro každého uživatele
tokenu (skupinu uživatel�). Nastavení SAC se konfigurují pomocí soubor� adm (p�íklad: SAC_8_0.adm
v instala�ním balíku). Tyto soubory jsou p�ístupné bu� p�es Group Policy Object Editor (W7, Vista,
Server 2003 a 2008) nebo Microsoft Management Console (Windows XP). Vytvo�ená nastavení pak
modifikují registry. Bližší popis konfigurace SAC je v AG (SAC_Admin_Guide_Windows.pdf).
Pozn.: Pokud instalujete SAC s BSec compatible UI, vzhled obrazovek se m�že lišit.
Funkce:
Výb�r Aktivního tokenu
Pokud je vloženo více token�/karet, klikn�te pravým tla�ítkem myši na ikonku SAC a zvolte Vyberte
token. V p�ípad�, že máte spušt�né SAC Tools jednoduše zvolte v levé �ásti p�íslušný token.
Zm�na hesla (PIN) k tokenu
Tokeny SafeNet jsou dodávány s t�mito defaultními hesly:
iKey: Password#1
eToken: 1234567890
��razn� doporu�ujeme, aby si uživatel co nejd�íve toto heslo zm�nil!
Zm�nu hesla m�žete provést
a) Kliknutím na ikonu SAC pravým tla�ítkem, výb�r Zm�nit heslo k tokenu
b) V SAC Tools-jednoduché zobrazení-kliknutí na p�íslušný token a vybrat Zm�nit heslo k tokenu
c) V SAC Tools-Rozší�ené zobrazení-kliknutí na název tokenu a vpravo naho�e vyberte ikonku
- Zm�nit heslo
V následném dialogu je pot�eba vyplnit Aktuální heslo a dvakrát nové heslo. To, jestli nové heslo
odpovídá nastavení kvality hesla, se indikuje procentuální lištou.
12

ASKON International s.r.o. SAC – uživatelská p�íru�ka
Zm�na hesla správce
Pozn.: Není podporováno u token� iKey.
Otev�ete SAC Tools-rozší�ené zobrazení, v levé �ásti klikn�te na daný token a vpravo naho�e vyberte
ikonku Zm�nit heslo správce. Okno je podobné jako p�i zm��� uživatelského hesla.
Odemknutí tokenu (eToken, eToken Virtual)
Pokud zadáte nesprávné heslo k tokenu více než povolený po�et pokus� (default:15), token se
zamkne. Odemknutí lze provést pomocí administrátorského hesla definovaného p�i inicializaci
tokenu. Pokud je pot�eba uplatnit vzdálený p�ístup, token jde odblokovat i mechanismem Challenge-
Response.
Odemknutí eTokenu lze provést pomocí:
a) Nastavení uživatelského hesla (v SAC Tools-rozší�ené klikn�te na název tokenu a vyberte tuto
ikonku, je pot�eba administrátorské heslo).
b) Challenge-Response mechanismu (v SAC Tools-jednoduché klikn�te na Odemknout token)
Pozn.: V p�ípad� b) je nutný software TMS pro management token�.
Odemknutí token� iKey (pokud byly inicializovány s Unblocking kódy)
Otev�ete SAC Tools-jednoduché a zvolte Odemknout token. Objeví se okno, kam zadáte p�íslušný
Unlocking code (#1 až #6) a zadáte nové heslo. Každý unblocking code m�že být použit pouze jednou!
Odstranit obsah tokenu
Smaže odstranitelný obsah tokenu. Klikn�te pravým tla�ítkem na ikonku SAC a vyberte Odstranit
obsah tokenu. Potvr�te OK.
Jedná se o mén� destruktivní vymazání objekt� než inicializace. Pokud správce nastavil objekt�m
��íslušné atributy, tyto objekty se tímto nesmažou.
Zobrazit informace o tokenu
V SAC Tools-rozší�ené se po kliknutí na název tokenu zobrazí informace o tokenu.
13

ASKON International s.r.o. SAC – uživatelská p�íru�ka
Kopírování informací o tokenu do schránky
Zobrazte informace o tokenu a zvolte ikonku Kopírovat do schránky. Informace budou zkopírovány a
pomocí Ctrl+V je m�žete vložit nap�. do textového editoru.
��ejmenování tokenu
Zm�nit jmenovku tokenu m�žete v SAC Tools-jednoduché volbou ��ejmenovat token. Po zadání
uživatelského hesla m�žete zadat nový název tokenu.
��ihlášení k tokenu
��ihlásit k tokenu se m�žete jako uživatel (SAC Tools-rozší�ené -> P�ihlásit k tokenu) nebo jako
správce (pouze eToken - SAC Tools rozší�ené -> P�ihlásit se jako správce).
Správce má omezená práva – zm�na hesla správce, zm�na hesla tokenu, nastavení kvality hesla,
odemknutí tokenu.
Importování certifikátu
Na tokeny lze importovat soubory s certifikáty t�chto typ�:
- pfx
- p12
- cer (pouze ve�ejná �ást bez privátního klí�e)
Jestliže importujete soubor pfx, bude na token uložen certifikát a p�íslušný privátní klí�. M�žete také
importovat certifikát CA. Budete vyzváni k vložení hesla k privátnímu klí�i (pokud bylo nastaveno).
14

ASKON International s.r.o. SAC – uživatelská p�íru�ka
Pokud importujete soubor cer, program zkontroluje, jestli je privátní klí� na tokenu. Když ano, uloží
certifikát ke klí�i jako uživatelský. Pokud privátní klí� nenajde, m�že uložit certifikát do tokenu jako
certifikát certifika�ní autority.
Pokud jste importovali certifikát do tokenu z úložišt� Windows, je pot�eba ho po importování smazat,
aby se do aplikací certifikát na�ítal pouze z tokenu (chrán�ný PINem).
V SAC Tools-rozší�ené klikn�te v levé �ásti na název tokenu a vpravo vyberte ikonu Importovat
certifikát . Vyberte, jestli chcete importovat z osobního úložišt� nebo ze souboru a následujte
dialog.
Exportování certifikátu z tokenu
V SAC Tools-rozší�ené klikn�te na p�íslušný certifikát (uživatelský nebo CA) a v pravé �ásti klikn�te na
ikonku Exportovat certifikát . Vyberte název a umíst�ní souboru .cer a potrv�te OK.
Privátní klí� samoz�ejm� z tokenu exportovat nejde!!!
Pozn.: certifikát musí být ve formátu DER nebo Base64.
Nastavení certifikátu jako výchozí
Jestliže je na tokenu uloženo více certifikát� pro Windows Smartcard Logon, je možné zvolit, který
bude defaultn� použit.
V SAC Tools-rozší�ené klikn�te na p�íslušný certifikát pravým tla�ítkem myši a zvolte Nastavit jako
výchozí. Pokud chcete zrušit nastavení výchozího certifikátu, klikn�te vlevo na Uživatelské certifikáty
a vpravo na ikonku Vymazat výchozí certifikát.
Vymazání certifikátu
V SAC Tools-rozší�ené klikn�te na požadovaný certifikát. Vpravo vyberte ikonku Odstranit
certifikát. Alternativa: kliknutím pravým tla�ítkem myši na certifikát a zvolit Odstranit certifikát.
Vymaže se certifikát i p�íslušné privátní klí�e.
Nastavení virtuálních �te�ek
��hem defaultní instalace SAC se instalují 2 virtuální �te�ky eToken, 2 �te�ky token� iKey a 2 �te�ky
eToken Virtual. Pokud chcete po�et �te�ek zm�nit, prove�te následující:
V SAC Tools-rozší�ené klikn�te v levé �ásti na Tokeny a vpravo zvolte ikonku Správa �te�ek .
V dialogovém okn� nastavte požadovaný po�et virtuálních �te�ek.
15

ASKON International s.r.o. SAC – uživatelská p�íru�ka
Inicializace tokenu
Inicializace tokenu vrátí token do po�áte�ního stavu. Tj. vymaže všechny objekty z tokenu, vy�istí
pam�� a nastaví nové heslo. B�hem inicializace se dále nahraje na token systém soubor�.
Pozn.: Pomocí SAC nelze inicializovat SafeNet eToken Virtual.
Inicializována jsou následující data:
- Název tokenu
- Heslo k tokenu
- Heslo správce (nepodporováno iKey)
- Po�et povolených neplatných zadání PIN
- Požadavek na zm�nu hesla po prvním p�ihlášení
- Inicializa�ní klí�
a) Inicializace iKey
V SAC Tools-rozší�ené klikn�te na název tokenu a vpravo zvolte ikonu Inicializovat token.
Dá se nastavit název tokenu, uživatelské heslo, max. po�et neúsp�šných p�ihlášení a požadavek na
zm�nu hesla po prvním p�ihlášení.
Tla�ítko Up�esnit je u iKey neaktivní.
b) Inicializace eToken
16

ASKON International s.r.o. SAC – uživatelská p�íru�ka
Oproti inicializaci iKey lze vytvo�it heslo správce a nastavit další vlastnosti tokenu (tla�ítko Up�esnit).
V okn� Up�esnit nastavení se dá:
� Uložit zásady hesel na token
� ��epnout do režimu FIPS
� Jednofaktorové p�ihlášení (zruší PIN u tokenu-nedoporu�uje se)
� Zm�nit režim ukládání soukromých dat do mezipam�ti (Vždy – privátní klí� je v cache po prvním
zadání hesla pro rychlejší performance, Pokud je uživatel p�ihlášen k tokenu, Nikdy –
nejbezpe���jší varianta)
� Sekundární ov��ení klí�em RSA – nastavení p�ídavné autentizace pro RSA klí�e. Jedná se o další
heslo, které je pot�eba pro p�ístup k RSA klí�i (pokud takto konfigurováno). Vždy – když je
generován RSA klí�, je nutné nastavit k n�mu extra heslo, Dotázat se uživatele vždy – p�i
generování RSA klí�e je požadováno helo, jeho použití jde zrušit uživatelem, Dotázat se na
žádost aplikace – umož�uje aplikacím využívat p�ídavnou autentizaci v tokenu (p�i vytvá�ení
klí�� pomocí Crypto API s p�íznakem User protected), Nikdy – p�ídavná autentizace není
povolena.
� Zm�nit inicializa�ní klí� – jde nastavit speciální inicializa�ní heslo, aby se zabránilo náhodné
inicializaci. Po zadání hesla pak m�že prob�hnout inicializace.
17

ASKON International s.r.o. SAC – uživatelská p�íru�ka
5 Nastavení tokenu
Nastavení kvality hesla (PIN)
Po nastavení parametr� kvality hesla se všechna budoucí hesla budou kontrolovat proti této politice.
Pokud byl token iKey d�íve inicializován v BSec s ur�itou politikou kvality hesla, bude tato
podporována i v SAC.
V SAC Tools-rozší�ené klikn�te u p�íslušného tokenu na Nastavení. Vpravo se objeví dv� záložky,
vyberte Kvalita hesla. Zde se dá nastavit:
- Minimální délka hesla
- Max doba používání hesla (ve dnech)
- Min doba používání (ve dnech)
- Doba varování p�ed vypršením platnosti hesla (ve dnech)
- Velikost historie hesel (zabrání opakování hesel)
- Max po�et následných opakování v hesle (po�et znak� opakujích se v hesle,
nepodporováno iKey)
- Heslo musí spl�ovat požadavky na složitost (Žádné, Aktivní, Ru�ní, Aktivní (2 ze 4))
Složitost hesla se dá vynutit. Nastavení Aktivní znamená, že t�i ze �ty�ech parametr� (�ísla, velká,
malá písmena, zvláštní znaky) musí být spln�na. Aktivní (2 ze 4) – musí být spln�na dv� ze �ty�, Ru�ní
– nastavte kritéria manuáln�.
Pokud zvolíte ru�ní nastavení, u každé kategorie bude na výb�r Povolit (m�že se v hesle vyskytovat,
Zakázat (nesmí se v hesle vyskytovat), Musí (musí se v hesle vyskytovat).
Po nastavení Kvality hesla stiskn�te Uložit pro uložení politiky do tokenu.
Nastavení režimu ukládání soukromých dat do mezipam�ti
Podobn� jako b�hem inicializace, jde nastavit ukládání soukromých dat do mezipam�ti i po ní. V SAC
Tools-rozší�ené klikn�te u p�íslušného tokenu na Nastavení, záložka Up�esnit.
Zde nastavte požadované cachování privátních dat (viz kapitola Inicializace).
Sekundární režim ov��ení klí�em RSA
V SAC Tools-rozší�ené klikn�te u p�íslušného tokenu na Nastavení, záložka Up�esnit. Zde nastavte
požadované nastavení p�ídavné autentizace (viz kapitola Inicializace)
Nastavení SAC klienta
V SAC Tools-rozší�ené klikn�te na Nastavení klienta. Zde se nastavují výchozí vlastnosti pro SAC
klienta. Tyto vlastnosti se promítnou i do každého inicializovaného tokenu v tomto SAC klientovi.
- Kvalita hesla (viz p�edchozí kapitola)
- Up�esnit
18

ASKON International s.r.o. SAC – uživatelská p�íru�ka
� Kopírovat uživatelské certifikáty do místního úložišt�,
� Správa certifikát� CA (kopírování certifikát� cert. autorit do úložišt� Windows),
� Povolit jednotné p�ihlášení (umožní p�ihlášení PINem, které se na�te do pam�ti i pro další
aplikace (defaultn� vypnuto)
� Lze konfigurovat po inicializaci (nastavení kvality hesla po inicializaci),
� Lze konfigurovat správcem (nastavení kvality hesla provádí pouze správce-jen eToken),
� Zobrazit ikonu aplikace na hlavním panelu (Vždy/Nikdy).
Dole na panelu Up�esnit je tla�ítko Povolit protokolování, které umož�uje vytvá�et aplika�ní log SAC.
Logy jsou ukládány do C:\Windows\Temp\eToken.log.
© 2010 ASKON INTERNATIONAL s.r.o., autorizovaný distributor spole�nosti SafeNet, Inc. pro �eskou republiku a Slovenskou
republiku. Všechna práva vyhrazena.
Tato dokumentace je ur�ena pro zákazníky užívající produkty distribuované spole�ností ASKON INTERNATIONAL s.r.o.
Další ší�ení této dokumentace nebo jejích �ástí je možné jen s výslovným písemným souhlasem ASKON INTERNATIONAL
s.r.o.
V tomto materiálu uvedené názvy produkt� jsou ochranné známky jejich vlastník�.
19