Jak sprawdzić daty ważności swojego certyfikatu?

W celu odczytania daty ważności swojego certyfikatu włóż kartę do czytnika, następnie uruchom program PEM-HEART Signature, wciśnij przycisk “Karta”, następnie “Diagnostyka”, zaznacz pierwszy token na karcie i odczytaj daty ważności.

PATRZ RYSUNEK PONIŻEJ (po kliknięciu można go powiększyć).

Jak odczytać daty ważności certyfikatu w PEM-HEART Signature

Jak wskazać bibliotekę do obsługi kart ?

Jeśli program, który używa podpisu, wymaga żeby mu wskazać położenie pliku z biblioteką obsługi kart (biblioteka w standardzie pkcs#11), należy ją wskazać zgodnie z informacjami podanymi poniżej.

 

Widok karty Cencert Idemia7 Widok karty Cencert Idemia8

Jeśli posiadasz kartę typu CenCert Encard (obrazy kart powyżej) i używasz systemu Windows, to powinieneś wskazać następujące pliki biblioteki do obsługi kart:

  • C:\Program Files (x86)\ENCARD\enigmap11.dll
    • jeśli program, któremu wskazujesz bibliotekę, jest 32-bitowy (niezależnie od tego, czy Windows jest 32 czy 64-bitowe)
  • C:\Program Files\ENCARD\enigmap11-x64.dll
    • jeśli program, któremu wskazujesz bibliotekę, jest 64-bitowy

 

Widok karty Cencert IdPrime940

Jeśli posiadasz kartę typu CenCert Thales IdPrime 940 (obrazy kart powyżej) i używasz systemu Windows, to powinieneś wskazać następujące pliki biblioteki do obsługi kart:

  • C:\Program Files\SafeNet\Authentication\SAC\x32\IDPrimePKCS11.dll
    • jeśli program, któremu wskazujesz bibliotekę, jest 32-bitowy (niezależnie od tego, czy Windows jest 32 czy 64-bitowe)
  • C:\Program Files\SafeNet\Authentication\SAC\x64\IDPrimePKCS1164.dll
    • jeśli program, któremu wskazujesz bibliotekę, jest 64-bitowy

PEM-HEART Signature bez Internetu - listy TSL, CRL

Aplikacja PEM-HEART Signature generalnie jest przewidziana do funkcjonowania w środowisku dostepu do Internetu.

Wymagają tego m.in. następujące operacje:

  • pobieranie nowych list TSL (czyli informacji o nowych kluczach polskich – i innych europejskich – kwalifikowanych dostawców usług zaufania),
  • pobieranie znacznika czasu (przy znakowaniu czasem),
  • pobieranie odpowiedzi OCSP i/lub listy CRL (przy weryfikacji podpisu).

Do składania podpisu nowym certyfikatem – wystawionym przy użyciu nowego klucza Centrum Certyfikacji – w sytuacji braku dostępu do Internetu – konieczne może się okazać ręczne uaktualnienie polskiej listy TSL.
Taka sama sytuacja występuje przy weryfikacji podpisu złożonego przy użyciu certyfikatu dostawcy usług zaufania, którego nie ma jeszcze w bazie PEM-HEART Signature – trzeba uaktualnić listę TSL kraju, w którym jest zarejestrowany dany dostawca usług zaufania.

W celu ręcznego uaktualnienia listy TSL, należy wykonać następujące kroki:

  • Pobrać i zapisać na dysku aktualną polską listę TSL albo aktualną listę TSL innego kraju (jeśli próbujemy zweryfikować podpis złożony przy uzyciu certyfikatu z innego kraju).
  • Uruchomić program PEM-HEART Signature (wersja 3.9.12.7 lub późniejsza)
  • Wczytać listę TSL do programu PEM-HEART Signature: “Ustawienia…” -> zakładka Import danych, następnie Import listy TSL -> Wskaż, należy wybrać zapisany plik z listą TSL, nastepnie Dodaj listę TSLZapisz

 

Weryfikacja podpisu elektronicznego wymaga obecności aktualnej list CRL dla wszystkich dostawców usług zaufania (w tym ewentualnie rootów krajowych), znajdujących się na ścieżce weryfikacji certyfikatu.

W celu ręcznego uaktualnienia listy CRL, należy wykonać następujące kroki:

  • Pobrać i zapisać na dysku listę CRL odpowiedniego dostawcy usługi zaufania.
  • Uruchomić program PEM-HEART Signature (wersja 3.9.12.7 lub późniejsza)
  • Wczytać listę CRL do programu PEM-HEART Signature: “Ustawienia…” -> zakładka Import danych, następnie Import listy CRL -> Wskaż, należy wybrać zapisany plik z listą CRL, nastepnie Dodaj listę CRLZapisz

Adresy DNS i IP serwerów (dla administratorów sieci)

  1. Usługa odnawiania certyfikatów (PEM-HEART Recertyfikacja), usługa podpisu serwerowego i pieczęci (rSign, rSeal):
    1. rsign.cencert.pl
    2. IP: 34.78.124.216, 34.116.210.238, 91.213.107.200, 91.198.145.22, albo 34.116.128.170
    3. port 443
  2. Usługa znakowania czasem
    1. tsp.cencert.pl
    2. IP 34.78.124.216 albo 91.213.107.197, albo 91.198.145.23
    3. port 80, 443
  3. Usługa znakowania czasem – specjalne zasady uwierzytelnienia (tylko dla klientów wymagających dostępu w odrębny sposób, określony umową)
    1. tsp2.cencert.pl
    2. IP 34.78.124.216 albo 91.213.107.206, albo 91.198.145.24
    3. port 80
  4. OCSP
    1. ocsp.cencert.pl
    2. IP 34.78.124.216 albo 91.213.107.198, albo 91.198.145.22
    3. port 80
  5. CRL
    1. crl.cencert.pl
    2. IP 34.78.124.216 albo 91.213.107.195, albo 91.198.145.20
    3. port 80
  6. Unieważnienie certyfikatów przez WWW
    1. cencert.pl/revoke
    2. IP 34.78.124.216, 34.118.0.136, 91.213.107.195 albo 91.198.145.24
    3. port 443
  7. Strona WWW
    1. www.cencert.pl
    2. IP 34.78.124.216, 34.118.0.136, 91.213.107.195 albo 91.198.145.24
    3. port 443
  8. Serwer Systemu Obsługi Klientów (SOK) – ważne tylko dla partnerów CenCert korzystających z programu “PR CenCert”
    1. sok.cencert.pl
    2. IP 34.116.210.238 albo 91.213.107.205, albo 91.198.145.21
    3. port 443

Usługa znakowania czasem - parametry techniczne

  1. Dla usługi udostępnianej na podstawie mechanizmu login / hasło:
    1. Serwer znakowania czasem jest dostępny pod adresem https://tsp.cencert.pl.
    2. Akceptowane są żądania znakowania czasem zgodne z RFC 3161.
    3. Używany jest mechanizm zabezpieczenia dostępu login / hasło “Basic access authentication” HTTP (używany również przez takie programy jak Acrobat Reader DC).
    4. W celu uzyskania dostępu należy zakupić odpowiedni pakiet.
  2. Dla usługi udostępnianej na podstawie podpisanych żądań znakowania czasem:
    1. Serwer znakowania czasem jest dostępny pod adresem http://tsp.cencert.pl.
    2. Akceptowane są żądania znakowania czasem zgodne z RFC 3161, dodatkowo podpisane elektronicznie zgodnie z normą PKCS#7, wyłącznie przy użyciu certyfikatów wydanych przez CenCert.
    3. Obecnie wydajemy 100 znaczników dziennie gratis dla każdego kwalifikowanego certyfikatu wydanego przez CenCert. W przypadku większych potrzeb należy zakupić odpowiedni pakiet. W przypadku uruchomienia pakietu nie obowiązuje zasada pierwszych 100 znaczników gratis.
  3. Dla usługi udostępnianej przy zastosowaniu specjalnych zasad dostępu określonych umową
    1. Serwer znakowania czasem jest dostępny pod adresem http://tsp2.cencert.pl.
    2. Akceptowane są żądania znakowania czasem zgodne z RFC 3161, dodatkowo podpisane elektronicznie zgodnie z normą PKCS#7, wyłącznie przy użyciu certyfikatów wydanych przez zaakceptowane TSP i ewentualnie spełniających dodatkowe wymagania.
    3. W celu uzyskania dostępu konieczne jest podpisanie szczegółowej umowy.

Instalowanie PEM-HEART Signature poprzez mechanizmy domen Windows (dla administratorów)

Do instalacji z użyciem mechanizmów domenowych Ms Windows należy użyć wersji MSI instalatorów PEM-HEART Signature i Encard. Instalatory wspierają instalację w trybie “cichym”.

Na systemach 64 bitowych należy zainstalować PEM-HERT Signature ORAZ Encard w wersji 32b ORAZ Encard w wersji 64b.

 

W celu ustawienia specyficznych wartości konfiguracyjnych (np. ustawienia proxy), należy rozdystrybuować odpowiednie klucze rejestru Windows.

Najprościej jest ustawić żądane opcje na stanowisku pracy administratora, a następnie skopiować i powielić mechanizmami domenowymi wpisy rejestru do innych użytkowników.

Rejestr programu PEM-HEART Signature znajduje się w gałęzi: HKEY_CURRENT_USER\Software\ENIGMA SOI\PEMHEART_SIGNER\3.9.

W szczególności:

  • za parametry proxy odpowiadają wpisy w gałęzi ..\Profile\CERTYFIKAT_KWALIFIKOWANY\Proxy
  • za domyślne formaty podpisów (dla plików poszczególnych typów) odpowiadają wpisy w gałęzi ..\EXTENSIONSMAPPING
  • za włączenie/wyłączenie sprawdzania aktualności oprogramowania odpowiada klucz GUICHECKUPDATE w gałęzi ..\Settings

Podpisywanie plików MDR

Jak podpisać plik MDR ?