Jak sprawdzić daty ważności swojego certyfikatu?

W celu odczytania daty ważności swojego certyfikatu włóż kartę do czytnika, następnie uruchom program PEM-HEART Signature, wciśnij przycisk “Karta”, następnie “Diagnostyka”, zaznacz pierwszy token na karcie i odczytaj daty ważności.

PATRZ RYSUNEK PONIŻEJ (po kliknięciu można go powiększyć).

Jak odczytać daty ważności certyfikatu w PEM-HEART Signature

Zapamiętywanie PINu do podpisu dla kart Id Prime MD

Karty Id Prime MD (karta biała z niebieskimi napisami CenCert) jest skonfigurowana przez producenta w taki sposób, że ze względów bezpieczeństwa wymaga podania PIN każdorazowo przy składaniu podpisu. Inna konfiguracja tej karty jest technicznie możliwa, ale nie jest zgodna z określonymi w certyfikacie wymaganiami bezpieczeństwa karty.

Gdyby jednak taka konfiguracja karty była wymagana przez właściciela karty (np. przy wykorzystywaniu karty do celów innych niż składanie kwalifikowanych podpisów elektronicznych), konfigurację karty w zakresie zapamiętywania PINu można przestawić w następujący sposób:

  1. Uruchomić program SafeNet Authentication Client Tools
  2. Widok zaawansowany (ikona zębatki na górze).
  3. Ustawienia (drzewko po lewej stronie)
  4. Zaznaczyć Digital Signature PIN
  5. Zmienić opcję
    1. Cache Type -> Always Prompt na
    2. Cache Type -> Normal Cache
  6. Zapisz
  7. Wpisz Hasło administratora. (Uwaga!!! To nie jest PUK. To jest długi ciąg 48 losowych znaków.)
  8. Hasło administratora do danej karty można odczytać z programu PEM-HEART Signature (w wersji 3.9.17.76 lub późniejszej), w następujący sposób:
    1. Zakładka Karta  (menu po lewej stronie na dole)
    2. Diagnostyka (ikona w pasku po lewej stronie)
    3. Zaznacz token do podpisu
    4. Ikona PIN Administratora (na górze). Przed wyświetleniem PINu administratora program poprosi o PIN do podpisu.
  9. Następnie należy odinstalować z komputera oprogramowanie SAC (SafeNet Authentication Client Tools) oraz zainstalować następujące wersje (zawierają sterownik minidriver, który jest niezbędny do funkcjonalności zapamiętywania PINu):
    1. SAC dla Windows 64 bity
    2. SAC dla Windows 32 bity

Jak wskazać bibliotekę do obsługi kart ?

Jeśli program, który używa podpisu, wymaga żeby mu wskazać położenie pliku z biblioteką obsługi kart (biblioteka w standardzie pkcs#11), należy ją wskazać zgodnie z informacjami podanymi poniżej.

Karty IAS ECC oraz IAS ECC V8

Karta Idemia Cosmo 7  Karta Cosmo 8

Jeśli posiadasz kartę typu CenCert Encard (obrazy kart powyżej), to powinieneś wskazać następujące pliki biblioteki do obsługi kart:

  • Windows 
    • C:\Program Files (x86)\ENCARD\enigmap11.dll
      • jeśli program, któremu wskazujesz bibliotekę, jest 32-bitowy (niezależnie od tego, czy Windows jest 32 czy 64-bitowe)
    • C:\Program Files\ENCARD\enigmap11-x64.dll
      • jeśli program, któremu wskazujesz bibliotekę, jest 64-bitowy
  • macOS: 
    • /usr/local/lib/libencardp11.dylib

Karty IdPrime MD_A oraz IdPrime MD_B

 karta IdPrime MD_A/IdPrime MD_AB

Jeśli posiadasz kartę typu CenCert Thales IdPrime 940 (obrazy kart powyżej), to powinieneś wskazać następujące pliki biblioteki do obsługi kart:

  • Windows: 
    • C:\Program Files\SafeNet\Authentication\SAC\x32\IDPrimePKCS11.dll
      • jeśli program, któremu wskazujesz bibliotekę, jest 32-bitowy (niezależnie od tego, czy Windows jest 32 czy 64-bitowe)
    • C:\Program Files\SafeNet\Authentication\SAC\x64\IDPrimePKCS1164.dll
      • jeśli program, któremu wskazujesz bibliotekę, jest 64-bitowy
  • macOS: 
    • /Library/Frameworks/eToken.framework/Versions/A/libIDPrimePKCS11.dylib

Instalowanie PEM-HEART Signature poprzez mechanizmy domen Windows (dla administratorów)

Do instalacji z użyciem mechanizmów domenowych Ms Windows należy użyć wersji MSI instalatorów PEM-HEART Signature i Encard. Instalatory wspierają instalację w trybie “cichym”.

Na systemach 64 bitowych należy zainstalować PEM-HERT Signature ORAZ Encard w wersji 32b ORAZ Encard w wersji 64b.

 

W celu ustawienia specyficznych wartości konfiguracyjnych (np. ustawienia proxy), należy rozdystrybuować odpowiednie klucze rejestru Windows.

Najprościej jest ustawić żądane opcje na stanowisku pracy administratora, a następnie skopiować i powielić mechanizmami domenowymi wpisy rejestru do innych użytkowników.

Rejestr programu PEM-HEART Signature znajduje się w gałęzi: HKEY_CURRENT_USER\Software\ENIGMA SOI\PEMHEART_SIGNER\3.9.

W szczególności:

  • za parametry proxy odpowiadają wpisy w gałęzi ..\Profile\CERTYFIKAT_KWALIFIKOWANY\Proxy
  • za domyślne formaty podpisów (dla plików poszczególnych typów) odpowiadają wpisy w gałęzi ..\EXTENSIONSMAPPING
  • za włączenie/wyłączenie sprawdzania aktualności oprogramowania odpowiada klucz GUICHECKUPDATE w gałęzi ..\Settings

Adresy DNS i IP serwerów (dla administratorów sieci)

  1. Usługa odnawiania certyfikatów (PEM-HEART Odnowienie certyfikatów):
    1. recert.cencert.pl
    2. IP: 34.118.127.61
    3. port 443
  2. Usługa podpisu serwerowego i pieczęci (rSign, rSeal):
    1. rsign.cencert.pl
    2. IP: 34.78.124.216, 34.116.210.238, 91.213.107.200, 91.198.145.22, albo 34.116.128.170
    3. port 443
  3. Usługa znakowania czasem
    1. tsp.cencert.pl
    2. IP 34.78.124.216 albo 91.213.107.197, albo 91.198.145.23, albo 34.116.210.238
    3. port 80, 443
  4. Usługa znakowania czasem – specjalne zasady uwierzytelnienia (tylko dla klientów wymagających dostępu w odrębny sposób, określony umową)
    1. tsp2.cencert.pl
    2. IP 34.78.124.216 albo 91.213.107.206, albo 91.198.145.24
    3. port 80
  5. OCSP
    1. ocsp.cencert.pl
    2. IP 34.78.124.216 albo 91.213.107.198, albo 91.198.145.22
    3. port 80
  6. CRL
    1. crl.cencert.pl
    2. IP 34.78.124.216 albo 91.213.107.195, albo 91.198.145.20
    3. port 80
  7. Unieważnienie certyfikatów przez WWW
    1. cencert.pl/revoke
    2. IP 34.78.124.216, 34.118.0.136, 91.213.107.195 albo 91.198.145.24, albo 34.118.127.61
    3. port 443
  8. Strona WWW
    1. www.cencert.pl
    2. IP 34.78.124.216, 34.118.0.136, 91.213.107.195 albo 91.198.145.24
    3. port 443
  9. Serwer Systemu Obsługi Klientów (SOK) – ważne tylko dla partnerów CenCert korzystających z programu “PR CenCert”
    1. sok.cencert.pl
    2. IP 34.116.210.238 albo 91.213.107.205, albo 91.198.145.21, albo 34.118.127.61
    3. port 443

Usługa znakowania czasem

  1. Dla usługi udostępnianej na podstawie mechanizmu login / hasło:
    1. Serwer znakowania czasem jest dostępny pod adresem https://tsp.cencert.pl.
    2. Akceptowane są żądania znakowania czasem zgodne z RFC 3161.
    3. Używany jest mechanizm zabezpieczenia dostępu login / hasło “Basic access authentication” HTTP (używany również przez takie programy jak Acrobat Reader DC).
    4. W celu uzyskania dostępu należy zakupić odpowiedni pakiet.
  2. Dla usługi udostępnianej na podstawie podpisanych żądań znakowania czasem:
    1. Serwer znakowania czasem jest dostępny pod adresem http://tsp.cencert.pl.
    2. Akceptowane są żądania znakowania czasem zgodne z RFC 3161, dodatkowo podpisane elektronicznie zgodnie z normą PKCS#7, wyłącznie przy użyciu certyfikatów wydanych przez CenCert.
    3. Obecnie wydajemy 200 znaczników dziennie gratis dla każdego kwalifikowanego certyfikatu wydanego przez CenCert. W przypadku większych potrzeb należy zakupić odpowiedni pakiet. W przypadku uruchomienia pakietu nie obowiązuje zasada pierwszych 100 znaczników gratis.
  3. Dla usługi udostępnianej przy zastosowaniu specjalnych zasad dostępu określonych umową
    1. Serwer znakowania czasem jest dostępny pod adresem http://tsp2.cencert.pl.
    2. Akceptowane są żądania znakowania czasem zgodne z RFC 3161, dodatkowo podpisane elektronicznie zgodnie z normą PKCS#7, wyłącznie przy użyciu certyfikatów wydanych przez zaakceptowane TSP i ewentualnie spełniających dodatkowe wymagania.
    3. W celu uzyskania dostępu konieczne jest podpisanie szczegółowej umowy.
  4. Usługa jest świadczona zgodnie z normą ETSI EN 319 422.

PEM-HEART Signature bez Internetu - listy TSL, CRL

Aplikacja PEM-HEART Signature generalnie jest przewidziana do funkcjonowania w środowisku dostepu do Internetu.

Wymagają tego m.in. następujące operacje:

  • pobieranie nowych list TSL (czyli informacji o nowych kluczach polskich – i innych europejskich – kwalifikowanych dostawców usług zaufania),
  • pobieranie znacznika czasu (przy znakowaniu czasem),
  • pobieranie odpowiedzi OCSP i/lub listy CRL (przy weryfikacji podpisu).

Do składania podpisu nowym certyfikatem – wystawionym przy użyciu nowego klucza Centrum Certyfikacji – w sytuacji braku dostępu do Internetu – konieczne może się okazać ręczne uaktualnienie polskiej listy TSL.
Taka sama sytuacja występuje przy weryfikacji podpisu złożonego przy użyciu certyfikatu dostawcy usług zaufania, którego nie ma jeszcze w bazie PEM-HEART Signature – trzeba uaktualnić listę TSL kraju, w którym jest zarejestrowany dany dostawca usług zaufania.

W celu ręcznego uaktualnienia listy TSL, należy wykonać następujące kroki:

  • Pobrać i zapisać na dysku aktualną polską listę TSL albo aktualną listę TSL innego kraju (jeśli próbujemy zweryfikować podpis złożony przy uzyciu certyfikatu z innego kraju).
  • Uruchomić program PEM-HEART Signature (wersja 3.9.12.7 lub późniejsza)
  • Wczytać listę TSL do programu PEM-HEART Signature: “Ustawienia…” -> zakładka Import danych, następnie Import listy TSL -> Wskaż, należy wybrać zapisany plik z listą TSL, nastepnie Dodaj listę TSLZapisz

 

Weryfikacja podpisu elektronicznego wymaga obecności aktualnej list CRL dla wszystkich dostawców usług zaufania (w tym ewentualnie rootów krajowych), znajdujących się na ścieżce weryfikacji certyfikatu.

W celu ręcznego uaktualnienia listy CRL, należy wykonać następujące kroki:

  • Pobrać i zapisać na dysku listę CRL odpowiedniego dostawcy usługi zaufania.
  • Uruchomić program PEM-HEART Signature (wersja 3.9.12.7 lub późniejsza)
  • Wczytać listę CRL do programu PEM-HEART Signature: “Ustawienia…” -> zakładka Import danych, następnie Import listy CRL -> Wskaż, należy wybrać zapisany plik z listą CRL, nastepnie Dodaj listę CRLZapisz

Podpisywanie plików MDR

Jak podpisać plik MDR ?