NGÂN HÀNG NHÀ NƯỚC VIỆT NAM

Hà Nội, 05/2008
Tài liệu cài đặt và hướng dẫn sử dụng
Entrust Entelligence Security
Provider v7.0
SafeNet iKey 1032 Driver v4.0
HỆ THỐNG BẢO MẬT QUẢN LÝ VÀ CẤP PHÁT
MÃ KHÓA CÔNG KHAI NHNN
SBV-CA

Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 2 -

MỤC LỤC


U1 UTổng quanU 3 U
U
2U UCài đặt phần mềm quản lý thiết bị iKeyU 3
U2.1 UGiới thiệuU 3 U
U
2.2 UCài đặt driver và chương trình quản lý cho iKeyU 3 U
U
2.3 UKiểm tra IkeyU 8 U
U
2.4U UQuản lý iKeyU 9
U2.4.1 UChange SO PIN (Thay đổi SO pin)U 10 U
U
2.4.2 UFormat (định dạng iKey)U 10 U
U
2.4.3 USet Name:U 11 U
U
2.4.4 USet User PIN:U 11 U
U
2.4.5 USet Retry Counter:U 11 U
U
2.4.6 UUnblock User PINU 12 U
U
2.4.7 UInitialize:U 12 U
U
2.4.8 UResize:U 13 U
U
2.4.9U UUnblock:U 14
U2.5U USử dụng User ToolsU 14
U3U UCài đặt Entrust Entelligence Security ProviderU 16
U3.1 UYêu cầu trước khi cài đặtU 16 U

U
3.2 UCác bước cài đặtU 16 U
U
3.3U USử dụng Security Provider để lưu chứng chỉ số người dùng vào iKey tokenU 20
U3.3.1 UTạo mới chứng thư sốU 20 U
U
3.3.2U UKhôi phục chứng chỉ số người sử dụngU 23

SBV-CA

Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 3 -
1 0BTổng quan

Tài liệu liệu này hướng dẫn người dùng cuối sử dụng iKey token để lưu trữ chứng chỉ
số, sơ lược các bước thực hiện

• Người sử dụng được cấp 2 mã số Reference number và Authorization code
• Cài đặt phần mềm cho iKey, tìm hiểu các chức năng chính của phần mềm iKey
• Cài phần mềm Entrust Entelligence Provider v7.0
• Sử dụng Entrust Entelligence Provider để đưa chứng chỉ số vào iKey

2 1BCài đặt phần mềm quản lý thiết bị iKey

2.1 3BGiới thiệu

iKey là thiết bị dùng để lưu trữ chứng chỉ số và khóa bí mật của người sử dụng, hình
dạng giống 1 chiếc USB, rất tiện lợi cho người dùng cuối



iKey Token 1032

Yêu cầu trước khi cài đặt

• Phần mềm quản lý iKey phiên bản SafeNet iKey 1000 Authentication Solution
v4.0.0.8
• Thiết bị iKey token
• Máy tính chạy hệ điều hành Windows 2000, XP, 2003, Vista
2.2 4BCài đặt driver và chương trình quản lý cho iKey

Phần mềm được cung cấp trong đĩa CD cùng với chương trình CI-TAD phiên bản 3.0.
Bước 1: vào trong thư mục iKey1000AS4008






SBV-CA

Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 4 -
Bước 2: nhấp chuột vào IKEY1000AS.EXE, cửa sổ chào mừng xuất hiện, nhấp
chuột vào Next để tiếp tục

UChú ýU: Nếu không xuất hiện màn hình trên mà lại xuất hiện 1 màn hình thông
báo lỗi của InstallShield thì làm như sau:
- Xóa thư mục C:\Program Files\Common Files\InstallShield\Professional\RunTime
- Đóng cửa sổ thông báo lỗi. Chạy lại file IKEY1000AS.EXE
Bước 3: Cửa sổ Readme xuất hiện, nhấp Next để tiếp tục



SBV-CA

Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 5 -
Bước 4: đồng ý license, nhấp chuột vào Yes để tiếp tục



Bước 5: chọn đường dẫn thư mục cài đặt, để mặc định C:\Program
Files\SafeNet\iKey 1000 Authentication Solution




SBV-CA

Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 6 -
Bước 6: bắt đầu cài đặt, chờ vài phút để chương trình cài đặt các thành phần như:
driver, phần mềm quản trị…



Bước 7: Khi quá trình cài đặt hoàn tất, chương trình yêu cầu cắm iKey vào cổng USB
bất kỳ, thông báo sau sẽ xuất hiện.




Sau khi cắm thiết bị iKey vào cổng USB, đợi khoảng 5 giây, rồi nhấp chuột vào nút
Close










SBV-CA

Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 7 -
Bước 8: nhấp chuột vào Finish để kết thúc quá trình cài đặt



Bước 9: sau khi cài đặt xong, xuất hiện biểu tượng dưới khay System Tray


Bước 10: Nhấp chuột phải vào biểu tượng ở System Tray sau đó nhấp vào Open,
tại hộp thoại chính nhấp chuột vào Software, hộp thoại thông tin các thành phần của
phần mềm iKey được hiện thị



SBV-CA


Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 8 -
2.3 5BKiểm tra Ikey
Bước 1: vào Start->Program->SafeNet->iKey Components->iKey Token Utility
Hoặc là nhấp chuột phải vào biểu tượng ở system tray -> nhấp vào Open

Giao diện của tiện ích quản lý iKey: gồm 3 tab là: General Information, Admin Tools
và User Tools

Bước 2: kiểm tra ikey token bằng cách vào menu Token -> Selftest, chú ý ở bước này
thì phải cắm ikey token vào cổng usb của máy tính


SBV-CA

Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 9 -
Nếu iKey token hoạt động tốt sẽ hiện ra thông báo



2.4 6BQuản lý iKey
Để quản lý iKey, sử dụng Admin tools (chọn Tab “Admin Tools”)



Khái niệm về PIN: PIN giống như mật khẩu dùng để truy xuất vào máy
ATM để rút tiền, trong trường hợp này có 3 loại PIN
- SO PIN (Security Officer PIN) có quyền truy xuất vào token với quyền

cao nhất.
- User PIN (mã PIN của người dùng thường) để bảo vệ khỏi những truy
xuất vào ikey token bất hợp pháp, và nó thường được cấp phát bởi SO
được sử dụng cho những ứng dụng khác CI_TAD.

SBV-CA

Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 10 -
- Password (Mật khẩu PKI Storage): Mật khẩu này được dùng để truy
xuất chứng thư số PKI trong thiết bị IKey, mật khẩu này được tạo khi
khởi tạo vùng PKI Storage tại bước 6 trong mục 2.4.7.
- Mật khẩu PKI Storage được sử dụng thường xuyên trong quá trình ký
giao dịch điện tử. Mật khẩu này sẽ được yêu cầu nhập vào khi
chương trình ứng dụng (CITAD) truy nhập vào khóa bí mật lưu trữ
trên ikey.

2.4.1
11BChange SO PIN (Thay đổi SO pin)
Khi nhận iKey mới nhà sản xuất cài mặc định SO PIN của ikey token là:
“rainbow”, vì vậy để bảo mật nên thay đổi mã số PIN của SO bằng cách
1. Nhấp chuột vào Admin Tools tab.
2. Nhấp vào Change SO PIN. Hộp thoại thay đổi PIN xuất hiện.
3. Nhập SO PIN hiện tại mặc định ban đầu là: “rainbow”.
4. Nhập SO PIN mới (SO PIN có độ dài 6->25 ký tự)
5. Nhập lại SO PIN.
6. Nhấp vào OK. SO PIN mới sẽ được cập nhật và sẽ quay lại giao diện quản trị
chính.
UChú ýU: SO pin là mật khẩu cao nhất quản trị ikey. Nếu mất hoặc quên SO pin
thì sẽ không sử dụng lại thiết bị được (không định dạng lại ikey được)

2.4.2
12BFormat (định dạng iKey)
Định dạng lại iKey token dùng trong trường hợp muốn hủy toàn bộ dữ liệu trong
iKey Token hoặc muốn ghi cặp khóa mới vào iKey Token.
Các bước để định dạng lại iKey token
- Chạy tiện ích iKey Token Utility
- Chọn Tab “Admin Tools”
- Nhấn nút Format. Xuất hiện màn hình cảnh báo sau

Chọn Yes. Chương trình yêu cầu nhập mã SO PIN

SBV-CA

Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 11 -

Nhập SO PIN rồi chọn OK. Xác nhận đã định dạng lại xong

2.4.3
13BSet Name:
Đặt tên cho ikey Token như là ta đặt tên cho ổ đĩa USB, tên tối đa không vượt
quá 31 ký tự.
2.4.4
14BSet User PIN:
Thiết lập mã số PIN cho user:
1. Nhấp chuột vào Admin Tools tab.
2. Nhấp vào Set User PIN.
3. Hộp thoại bật lên, nhập mã SO PIN. Hộp thoại nhập mã PIN mới xuất hiện.
4. Nhập mã User PIN mới (độ dài của mã từ 1-8 ký tự, chỉ dùng ký tự số)
5. Nhập lại mã User PIN.

6. Nhấp OK kết thúc.
7. Hộp thoại “User PIN has been set” xuất hiện và quay trở lại cửa sổ chính
2.4.5
15BSet Retry Counter:
Dùng để thiết lập số lần mà người dùng có thể nhập mã PIN sai, chỉ có người
quản trị có mã PIN SO mới có thể unblock được User PIN, các bước để thiết lập
bộ đếm
1. Nhấp vào Admin Tools tab.
2. Nhấp vào Set Retry Counter. Hộp thoại “Maximum Retry Counter” xuất hiện.
3. Nhập giá trị từ 1 to 15 (Chú ý không nên để giá trị bé hơn 3 vì có thể do sơ xuất
người dùng có thể nhập User PIN vài lần, giá trị mặc định là 5)
4. Nhấp OK.
5. Nhập mã SO PIN và nhấp OK.
6. Khi hộp thoại “maximum retry counter has been set” xuất hiện, nhấp OK để
quay về cửa sổ chính

SBV-CA

Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 12 -
2.4.6 16BUnblock User PIN
Dùng để unblock User PIN trong các trường hợp như người dùng quên, hoặc là
nhập quá số lần quy định
2.4.7
17BInitialize:
Chức năng này dùng để khởi tạo cho ikey token trước khi dùng để lưu trữ chứng
thư số, các bước để khởi tạo:
1. Nhấp chuột vào Admin Tools tab.
2. Nhấp chuột vào Initialize.
3. Hộp thoại cảnh báo xuất hiện, nhấp vào Yes để đồng ý


4. Hộp thoại cấu hình khoảng trống để lưu trữ chứng chỉ số xuất hiện, dung lượng
tối đa của Ikey token là 32024 bytes, một chứng chỉ số thường có dung lượng
từ 2000->5000 bytes, ở đây ta để giá trị
20024 bytes, giá trị này có thể thay đổi
ở chức năng Resize. Thiết lập bộ đếm số lần nhập sai mật khẩu tối đa của
người dùng (giá trị từ 1->15), ở đây chọn Disable, không bật tính năng này.

5. Nhấp vào Initialize hộp thoại nhập SO PIN xuất hiện, nhập mã PIN và nhấp
vào OK để kết thúc và quay về hộp thoại chính

SBV-CA

Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 13 -

6. Nhập mật khẩu truy cập chứng chỉ số có độ dài (6-127 ký tự): Mật khẩu này
được ứng dụng (Ví dụ như CITAD) sử dụng khi ký duyệt giao dịch, do
đó mật khẩu này phải được bảo vệ bí mật tránh trường hợp ikey bị sử
dụng bất hợp pháp trong quá trình giao dịch điện tử.

7. Nhấp OK để kết thúc, chú ý là trong quá trình khởi tạo không được rút ikey ra
khỏi máy, chờ cho đến khi hộp thoại báo thành công như ở dưới đây


2.4.8
18BResize:
Chức năng này thay đổi kích cỡ của dung lượng trong ikey dùng để lưu trữ
chứng chỉ số, dung lượng này được thiết lập trong quá trình ta khởi tạo ikey
token


SBV-CA

Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 14 -
2.4.9 19BUnblock:
Dùng để unblock mật khẩu của chứng chỉ số (được thiết lập trong quá trình khởi
tạo token) khi người dùng nhập số lần sai quá số lần thiết lập

2.5 7BSử dụng User Tools
Chọn Tab “User Tools” như hình dưới.


Gồm các chức năng sau:

Change User PIN: dùng để thay đổi User PIN
Manage: quản lý các chứng chỉ số lưu trữ trong token: xem, xóa chứng chỉ số, đăng
ký chứng chỉ số vào hệ điều hành

Import: đưa chứng chỉ số có định dạng .p12 hoặc .pfx mới có thể import bằng tay vào
token

Auto Registration: tự động đăng ký với hệ thống, tức là khi cắm token vào cổng
USB máy tính thì chứng chỉ số tự động được lưu vào hệ thống, có thể xem bằng cách
vào
Start->Control Panel->Internet Option->Content->Certificates


SBV-CA


Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 15 -


Change Password: thay đổi mật khẩu của chứng chỉ số khi cần hoặc mật khẩu bị lộ.












SBV-CA

Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 16 -
3 2BCài đặt Entrust Entelligence Security Provider
3.1 8BYêu cầu trước khi cài đặt

Cần các phần mềm sau:

• Phần mềm Ikey phiên bản 4.008 đã được cài đặt
• Entrust Security Provider phiên bản 7.0
• Hệ điều hành
o

Microsoft Windows 2000 Professional SP4
o
Microsoft Windows XP SP1, SP1a, or SP2 - Professional/Home/Tablet 32-bit
editions
o
Microsoft Windows Vista™ - All 32-bit editions
o
Microsoft Windows 2000 Server SP4
o
Microsoft Windows Server 2003 SP1/R2 - All 32-bit editions
3.2 9BCác bước cài đặt
Bước 1: vào thư mục Security Provider 7.0 trong đĩa CD CI-TAD 3.0

Nhấp chuột vào file Setup.exe, hộp thoại chào mừng hiện thị, nhấp chuột vào Next
để bắt đầu cài đặt


SBV-CA

Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 17 -
Bước 2: tích vào ô I accept the license agreement và nhấp chuột vào Next



Bước 3: nhập thông tin người dùng , nhấp vào Next để tiếp tục






SBV-CA

Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 18 -
Bước 4: Chọn thư mục cài đặt, mặc định sẽ là C:\Program Files\Entrust\ESP\



Bước 5: chọn loại cài đặt, để mặc định là Typical





SBV-CA

Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 19 -
Bước 6: sẵn sàng cài đặt, nhấp chuột vào Next bắt đầu cài đặt chương trình



Bước 7: chờ vài phút để hệ thống cài đặt





SBV-CA


Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 20 -
Bước 8: nhấp chuột vào Finish để kết thúc quá trình cài đặt


Bước 9: sau khi cài đặt thành công sẽ có biểu tượng ở System Tray

3.3 10BSử dụng Security Provider để lưu chứng chỉ số người dùng
vào iKey token
3.3.1 20BTạo mới chứng thư số

Khi người dùng được cấp chứng thư số, Tổ chức chứng thư số NHNN sẽ gửi về hai
thông tin sau:
• Reference number: 89686449
• Authorization code: XJOI-U8UD-OCVK

Bước 0: Đưa iKey token vào cổng Usb của máy tính, dùng tiện ích quản trị iKey để
định dạng (format) và khởi tạo (initialize), xem ở mục các cài đặt và quản trị ikey ở
phần đầu của tài liệu này, mục 2.4.2 và mục 2.4.7
Bắt buộc phải làm bước 0 trước khi tiến hành các bước sau.

Bước 1: vào Start->Programs->Entrust Entelligence-> Enroll for Entrust Digital
ID.
Một cách khác có thể dùng đó là nhấp chuột phải vào biểu tượng ở System Tray chọn
Enroll for Entrust ID…

SBV-CA

Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032

- 21 -

Hộp thoại chào mừng xuất hiện, nhấp chuột vào Next để tiếp tục

Bước 2: nhập 2 số Reference number và Authorization code nhận được ở trên

Nhấp vào Next để tiếp tục

SBV-CA

Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 22 -
Bước 3: hộp thoại xác nhận xuất hiện, chọn Next để tiến hành kích hoạt chứng thư số

Bước 4: lúc này hộp thoại đòi nhập mật khẩu để truy xuất vào iKey token xuất hiện,
nhập mật khẩu vào (Đây chính là số mật khẩu đã thiết lập trong quá trình cài đặt iKey
– Password).
Mật khẩu này chính là mật khẩu PKI Storage đã được tạo trong
bước 6,mục 2.4.7 khi khởi tạo ikey 1032, mật khẩu PKI Storage được tạo
trong khi tạo vùng lưu trữ chứng thư số trong ikey 1032.

Bước 5: Chờ đến khi chương trình thực hiện xong, nhấp chuột vào Finish để kết thúc

SBV-CA

Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 23 -

Bước 6: kiểm tra lại chứng chỉ số trong ikey token bằng cách, vào iKey Token
Utility->User tools->Manage, ta nhìn thấy chứng chỉ số của người dùng ở dưới


3.3.2
21BKhôi phục chứng chỉ số người sử dụng
Người dụng được cấp số mới:

Reference number: 89686451
Authorization code: XO8W-TS33-HN8D

Các bước thực hiện:

SBV-CA

Tài liệu cài đặt và sử dụng Entrust ESP – iKey 1032
- 24 -

Bước 0: làm tương tự như bước 0 ở mục 3.3.1 ở trên.

Bước 1: nhấp chuột phải vào biểu tượng Entelligence ở System Tray, nhấp chuột vào
Recover Entrust Digital ID



Bước 2: cửa số chào mừng xuất hiện, nhấp chuột vào Next để tiếp tục



Các bước còn lại làm tương tự các bước từ bước 2 đến bước 5 như trong mục 3.3.1