Jak sprawdzić daty ważności swojego certyfikatu?
Jednolity Plik Kontrolny (JPK) - aplikacja Klient JPK
Ścieżka do sterowników do karty elektronicznej CenCert do konfiguracji aplikacji Kient JPK:
- C:\Program Files (x86)\ENCARD\enigmap11.dll (dla 32-bitowej wersji programu Klient JPK)
- C:\Program Files\ENCARD\enigmap11-x64.dll (dla 64-bitowej wersji programu Klient JPK)
Podpisywanie plików MDR
PEM-HEART Signature bez Internetu - listy TSL, CRL
Aplikacja PEM-HEART Signature generalnie jest przewidziana do funkcjonowania w środowisku dostepu do Internetu.
Wymagają tego m.in. następujące operacje:
- pobieranie nowych list TSL (czyli informacji o nowych kluczach polskich – i innych europejskich – kwalifikowanych dostawców usług zaufania),
- pobieranie znacznika czasu (przy znakowaniu czasem),
- pobieranie odpowiedzi OCSP i/lub listy CRL (przy weryfikacji podpisu).
Do składania podpisu nowym certyfikatem – wystawionym przy użyciu nowego klucza Centrum Certyfikacji – w sytuacji braku dostępu do Internetu – konieczne może się okazać ręczne uaktualnienie polskiej listy TSL.
Taka sama sytuacja występuje przy weryfikacji podpisu złożonego przy użyciu certyfikatu dostawcy usług zaufania, którego nie ma jeszcze w bazie PEM-HEART Signature – trzeba uaktualnić listę TSL kraju, w którym jest zarejestrowany dany dostawca usług zaufania.
W celu ręcznego uaktualnienia listy TSL, należy wykonać następujące kroki:
- Pobrać i zapisać na dysku aktualną polską listę TSL albo aktualną listę TSL innego kraju (jeśli próbujemy zweryfikować podpis złożony przy uzyciu certyfikatu z innego kraju).
- Uruchomić program PEM-HEART Signature (wersja 3.9.12.7 lub późniejsza)
- Wczytać listę TSL do programu PEM-HEART Signature: „Ustawienia…” -> zakładka Import danych, następnie Import listy TSL -> Wskaż, należy wybrać zapisany plik z listą TSL, nastepnie Dodaj listę TSL, Zapisz
Weryfikacja podpisu elektronicznego wymaga obecności aktualnej list CRL dla wszystkich dostawców usług zaufania (w tym ewentualnie rootów krajowych), znajdujących się na ścieżce weryfikacji certyfikatu.
W celu ręcznego uaktualnienia listy CRL, należy wykonać następujące kroki:
- Pobrać i zapisać na dysku listę CRL odpowiedniego dostawcy usługi zaufania.
- Uruchomić program PEM-HEART Signature (wersja 3.9.12.7 lub późniejsza)
- Wczytać listę CRL do programu PEM-HEART Signature: „Ustawienia…” -> zakładka Import danych, następnie Import listy CRL -> Wskaż, należy wybrać zapisany plik z listą CRL, nastepnie Dodaj listę CRL, Zapisz
Dostęp do Internetu przez proxy (PEM-HEART Signature)
PEM-HEART Signature nie korzysta z ustawień proxy systemu Windows. W celu wykorzystania programu w środowisku, w którym dostęp do Internetu odbywa się za pośrednictwem proxy sieciowego, należy ustawić parametry proxy (adres serwera proxy, login i hasło użytkownika proxy).
W tym celu należy w oknie PEM-HEART Signature wywołać polecenie Ustawienia…, następnie aktywować zakładkę Proxy.
Adresy DNS i IP serwerów (dla administratorów sieci)
- usługa odnawiania certyfikatów (PEM-HEART Recertyfikacja):
- https://rsign.cencert.pl
- IP: 34.78.124.216 albo 91.213.107.200
- port 443
- Usługa znakowania czasem
- http://tsp.cencert.pl
- IP 34.78.124.216 albo 91.213.107.207, albo 91.213.107.196
- port 80
- OCSP
- https://ocsp.cencert.pl
- IP 34.78.124.216 albo 91.213.107.198
- port 80, 443
- CRL
- https://crl.cencert.pl
- IP 34.78.124.216 albo 91.213.107.195, albo 91.198.145.20
Usługa znakowania czasem - parametry techniczne
- Dla usługi świadczonej przy użyciu podpisanych żądań znakowania czasem:
- Serwer znakowania czasem jest dostępny pod adresem http://tsp.cencert.pl.
- Akceptowane są żądania znakowania czasem zgodne z RFC 3161, dodatkowo podpisane elektronicznie zgodnie z normą PKCS#7, przy użyciu certyfikatu wydanego przez CenCert.
- Dla mechanizmu login / hasło (DOSTĘP TESTOWY):
- Serwer znakowania czasem jest dostępny pod adresem https://tsp4.cencert.pl.
- Akceptowane są żądania znakowania czasem zgodne z RFC 3161.
- Używany jest mechanizm zabezpieczenia dostępu login / hasło „Basic access authentication” HTTP (używany również przez takie programy jak Acrobat Reader DC).
Instalowanie PEM-HEART Signature poprzez mechanizmy domen Windows (dla administratorów)
Do instalacji z użyciem mechanizmów domenowych Ms Windows należy użyć wersji MSI instalatorów PEM-HEART Signature i Encard. Instalatory wspierają instalację w trybie „cichym”.
Na systemach 64 bitowych należy zainstalować PEM-HERT Signature ORAZ Encard w wersji 32b ORAZ Encard w wersji 64b.
W celu ustawienia specyficznych wartości konfiguracyjnych (np. ustawienia proxy), należy rozdystrybuować odpowiednie klucze rejestru Windows.
Najprościej jest ustawić żądane opcje na stanowisku pracy administratora, a następnie skopiować i powielić mechanizmami domenowymi wpisy rejestru do innych użytkowników.
Rejestr programu PEM-HEART Signature znajduje się w gałęzi: HKEY_CURRENT_USER\Software\ENIGMA SOI\PEMHEART_SIGNER\3.9.
W szczególności:
- za parametry proxy odpowiadają wpisy w gałęzi ..\Profile\CERTYFIKAT_KWALIFIKOWANY\Proxy
- za domyślne formaty podpisów (dla plików poszczególnych typów) odpowiadają wpisy w gałęzi ..\EXTENSIONSMAPPING
- za włączenie/wyłączenie sprawdzania aktualności oprogramowania odpowiada klucz GUICHECKUPDATE w gałęzi ..\Settings