Domů / Dynamics NAV / Dynamics NAV 2017 / Dynamics NAV 2017 – nastavení certifikátů nejen pro EET

Dynamics NAV 2017 – nastavení certifikátů nejen pro EET

Správa certifikátu je navržena jako samostatný modul, který je možné využít v různých implementacích (např. pro EET – elektronickou evidenci tržeb).

Příklady použití certifikátu

  • Elektronické podepisování dokumentů (pdf, xml, atd.)
  • Ověření elektronického podpisu
  • Šifrování
  • Dešifrování
  • Další možné použití podle povahy certifikátu

Kódy certifikátů

Aby bylo možné daný certifikát označit jednoznačným kódem nezávisle na platnosti certifikátu, tak jsou samostatně evidovány kódy certifikátů.

Tabulka „Kód certifikátu“ („Certificate Code“)

  • Pole:
    • Kód (Code) (PK)
      • Datový typ Code(10)
    • Popis (Description)
      • Datový typ Text(50)

Stránka „Kódy certifikátů“ („Certificates Codes“)

  • Umístění v menu „Oblasti/Správa/Správa IT/Obecné/Kódy certifikátů“
  • Akce:
    • Certifikáty (Certificates)
      • Zobrazení přehledu certifikátů daného kódu
      • Umístění v ribbonu na záložce „Navigace“ a „Domovská stránka“ v kategorii „Proces“

 

 

Certifikáty

Pro daný kód certifikátu je možné evidovat více certifikátů s různou dobou platnosti a pro jednotlivé uživatele. Je možné, tak evidovat např. více soukromých certifikátů jednotlivých uživatelů pod jedním kódem a v implementaci pak vybrat platný certifikát daného uživatele.

Tabulka „Certifikát“ („Certificate“)

  • Pole:
    • Kód certifikátu (Certificate Code) (PK)
      • Datový typ Code(10)
      • Relace do tabulky „Kód certifikátu“
      • Nesmí být prázdný
    • Platnost od (Valid From) (PK)
      • Datový typ DateTime
      • Automaticky doplněno při zadání certifikátu
      • Je možné změnit (jen v mezích platnosti certifikátu)
    • Platnost do (Valid To)
      • Datový typ DateTime
      • Automaticky doplněno při zadání certifikátu
      • Je možné změnit (jen v mezích platnosti certifikátu)
    • Popis (Description)
      • Datový typ Text(50) 
    • Typ úložiště (Store Type)
      • Datový typ Option
      • Hodnoty:

o   Server (Server)

o   Klient (Client)

o   Databáze (Database)

  • Umístění úložiště (Store Location)
    • Datový typ Option
    • Hodnoty:

o   <Prázdný>

o   Aktuální uživatel

o   Místní počítač

  • Název úložiště (Store Name)
    • Datový typ Option
    • Hodnoty:

o   <Prázdný>

o   Ostatní uživatelé (Address Book)

o   Kořenové CA třetích stran (Authority Root)

o   Zprostředkující CA (Certificate Authority)

o   Nedůvěryhodné (Disallowed)

o   Osobní (My)

o   Důvěryhodné kořenové CA (Root)

o   Důvěryhodné osoby (Trusted People)

o   Důvěryhodní vydavatelé (Trusted Publisher)

o   Důvěryhodní vydavatelé (Trusted Publisher)

  • Kryptografický otisk (Thumbprint)
    • Datový typ Text(80)
    • Viz kapitola Úložiště certifikátů
  • Klíč certifikátu (Certificate Key)
    • Datový typ GUID
    • Relace do tabulky „Heslo služby“ („Service Password“)
  • ID Uživatele (User ID)
    • Datový typ Code(50)

 

Stránka „Certifikáty“ („Certificates“)

  • Umístění v menu „Oblasti/Správa/Správa IT/Obecné/Certifikáty“
  • Akce:
    • Zobrazit certifikát (Show Certificate)
      • Zobrazení základních informací o certifikátu
      • Umístění v ribbonu na záložce „Akce“ a „Domovská stránka“ v kategorii „Proces“
    • Importovat certifikát (Import Certificate)
      • Naimportuje certifikát do databáze v případě, že je vybrán typ úložiště „Databáze“ (Viz kapitola Úložiště certifikátů)
      • Umístění v ribbonu na záložce „Akce“ a „Domovská stránka“ v kategorii „Proces“
    • Správce šifrování (Encryption Management)
      • Povolení/Zakázání šifrování certifikátu
      • Umístění v ribbonu na záložce „Navigace“ a „Domovská stránka“ v kategorii „Šifrování“

Úložiště certifikátů

V NAV rozlišujeme 3 způsoby uložení certifikátu.
1. Na serveru
2. Na klientovi
3. V databázi

Serverové úložiště

V tomto případě bude certifikát fyzicky uložen na serveru[1] ve standardním windows úložišti certifikátů. V NAV pak bude evidována pouze cesta k danému certifikátu. Cesta k certifikátu je definována třemi identifikátory (viz Identifikátory úložiště)

Výhody:
– Jedna instalace certifikátu
– Snadná správa certifikátu
– Sdílení certifikátu napříč celou aplikací
– Podpora na všech klientech NAV

Nevýhody:
– Certifikát mohou využívat všichni uživatelé[2] – Nutnost instalovat certifikát s exportovatelným soukromým klíčem

Klientské úložiště

V tomto případě bude certifikát fyzicky uložen na klientovi[3] ve standardním windows úložišti certifikátů. V NAV pak bude evidována pouze cesta k danému certifikátu. Cesta k certifikátu je definována stejně jako u serverového úložiště třemi identifikátory (viz Identifikátory úložiště).

Výhody:
– Certifikát pro konkrétní uživatele
– Bezpečnost

Nevýhody:
– Počet instalací závisí na počtu cílových stanic
– Horší správa certifikátu
– Certifikát není možné sdílet
– Podpora pouze na RTC klientovi
– Nutnost instalovat certifikát s exportovatelným soukromým klíčem

Databázové úložiště

V tomto případě bude certifikát fyzicky uložen přímo v databázi NAV. Uložení do databáze NAV bude umožněno pomocí reportu Import certifikátu.

Výhody:
– Certifikát není potřeba instalovat ale jen naimportovat ze souboru
– Podpora na všech klientech NAV
– Certifikát pro konkrétní uživatele

Nevýhody:
– Import musí provést sám uživatel
– Certifikát není možné sdílet
– Nízká úroveň zabezpečení[4]

Import certifikátu

Pro import použijeme následující postup:
1. Spustíme akci Importovat certifikát na stránce Certifikáty.


2. V případě že v databázi již existuje naimportovaný certifikát, budeme dotázáni, zda jej chceme přepsat.


3. Pokud v databázi doposud není uložen žádný certifikát nebo se rozhodneme existující přepsat, bude spuštěn importní report.
Do pole Cesta k certifikátu zadáme cestu k požadovanému certifikátu.
Do pole Heslo zadáme heslo k soukromému klíči (pokud požadovaný certifikát obsahuje soukromý klíč zabezpečený heslem).
4. Po stisknutí tlačítka Ok bude certifikát naimportován.

Šifrování certifikátu

Pro zabezpečení certifikátů bude použita standardní správa šifrovaní dat, která se rovněž používá např. pro šifrování uložených hesel v NAV (viz např. Nastavení služby OCR). Pro povolení šifrování certifikátů použijeme následující postup:
1. Spustíme akci Správce šifrování na stránce Certifikáty
2. Po spuštění akce Správce šifrování se nám otevře stránka Správa šifrování dat. Zde můžeme šifrování povolit dvěma způsoby.
a. Vygenerováním nového šifrovacího klíče (akce Povolit šifrování)
b. Importem existujícího šifrovacího klíče (Importovat šifrovací klíč)


3. Po spuštění akce Povolit šifrování budete dotázáni, zda chcete nový klíč skutečně vygenerovat.

4. Po potvrzení předchozího dialogu budete dotázání, zda chcete vygenerovaný klíč zabezpečit heslem a uložit na bezpečné místo.

5. V případě, že se rozhodnete šifrovací klíč uložit, budete vyzváni k zadání hesla a následně k uložení na systém souborů. V opačném případě bude šifrovací klíč uložen pouze na serveru.
6. Po spuštění akce Importovat šifrovací klíč budeme vyzváni k výběru klíče (soubor typu *.key) a k zadání hesla, kterým je tento klíč zabezpečen.
7. Po provedení akcí Povolit šifrování nebo Importovat šifrovací klíč bude šifrování povoleno a všechny naimportované certifikáty budou zašifrované. Rovněž budou zašifrované všechny certifikáty importované následně.

Identifikátory úložiště

Certifikát uložený na serveru nebo na klientovi je v NAV identifikován třemi následujícími identifikátory, které korespondují s názvoslovím standardního windows úložiště certifikátů:

    1. Umístění úložiště
NAV Windows úložiště
Aktuální uživatel Certifikáty – aktuální uživatel
Místní počítač Certifikáty (místní)

 

    1. Název úložiště
NAV Windows úložiště
Ostatní uživatelé Ostatní uživatelé
Kořenové CA třetích stran Kořenové certifikační autority třetích stran
Zprostředkující CA Zprostředkující certifikační autority
Nedůvěryhodné Nedůvěryhodné certifikáty
Osobní Osobní
Důvěryhodné kořenové CA Důvěryhodné kořenové certifikační autority
Důvěryhodné osoby Důvěryhodné osoby
Důvěryhodní vydavatelé Důvěryhodní vydavatelé

 

    1. Kryptografický otisk

Identifikuje konkrétní certifikát v daném úložišti

________________________________
[1] Serverem je myšlen počítač, na kterém je spuštěn aplikační server NAV
[2] Nemusí být chápáno jako nevýhoda
[3] Klientem je myšlen počítač uživatele
[4] V případě, že není povoleno šifrování

Facebooktwittergoogle_pluslinkedinmail

Přidat komentář