Instrukcja aktywacji i instalacji Certum Code Signing

Podobne dokumenty
Instrukcja aktywacji i instalacji Certum Code Signing

Instrukcja aktywacji i instalacji Certum Code Signing

Certum Code Signing Instrukcja certyfikatu Code Signing SimplySign

Instrukcja instalacji certyfikatu na karcie kryptograficznej Certum Code Signing

Instrukcja aktywacji Certum Code Signing

Instrukcja pobrania i instalacji. certyfikatu Microsoft Code Signing. wersja 1.4

Instrukcja pobrania i instalacji. certyfikatu niekwalifikowanego na komputerze lub karcie kryptograficznej. wersja 1.4 UNIZETO TECHNOLOGIES SA

Instrukcja pobrania i instalacji certyfikatu niekwalifikowanego na komputerze lub karcie. Instrukcja dla użytkowników. wersja 1.4

ZESTAW ENTERPRISE ID. instrukcja pobrania i instalacji certyfikatu niekwalifikowanego. wersja 1.3

Certyfikat kwalifikowany

Certyfikat Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.3 UNIZETO TECHNOLOGIES SA

Instrukcja dla użytkowników Windows Vista Certyfikat Certum Basic ID

Zintegrowany system usług certyfikacyjnych. Dokumentacja użytkownika. Obsługa wniosków certyfikacyjnych i certyfikatów. Wersja dokumentacji 1.

Certyfikat kwalifikowany

Certyfikat niekwalifikowany zaufany Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.2 UNIZETO TECHNOLOGIES SA

INSTRUKCJA AKTYWACJI I INSTALACJI CERTYFIKATU ID

Exchange 2007 Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange 2007 wersja 1.1 UNIZETO TECHNOLOGIES S.A.

Instrukcja pobrania i instalacji. certyfikatu niekwalifikowanego na komputerze lub karcie kryptograficznej wersja 1.2

Microsoft Authenticode. Użycie certyfikatów niekwalifikowanych do podpisywania kodu w technologii MS Authenticode. wersja 1.2 UNIZETO TECHNOLOGIES SA

Procedura uzyskania certyfikatu kwalifikowanego. Krok 3. Pobieranie certyfikatu kwalifikowanego wersja 1.1

Standard Code Signing. Użycie certyfikatów do podpisywania kodu w technologii MS Authenticode. wersja 1.3 UNIZETO TECHNOLOGIES SA

ZESTAW PLATINUM. - instrukcja pobrania i instalacji certyfikatu niekwalifikowanego wersja 1.2

Podręcznik użytkownika. Certification Request Services Wersja dokumentacji Asseco Data Systems S.A.-

Standard Code Signing. Użycie certyfikatów do podpisywania kodu w technologii MS Authenticode. wersja 1.3

Procedura uzyskania certyfikatu kwalifikowanego. Krok 3. Pobieranie certyfikatu kwalifikowanego wersja 1.5

Krok 3 Pobranie certyfikatu kwalifikowanego

Instrukcja instalacji certyfikatu kwalifikowanego w programie Płatnik. wersja 1.8

Certyfikat Certum Basic ID. Rejestracja certyfikatu. wersja 1.0

Exchange Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange wersja 1.0

UNIZETO TECHNOLOGIES SA. Instrukcja realizacji odnowienia przy wykorzystaniu ważnego certyfikatu kwalifikowanego. wersja dokumentacji 1.

Certyfikat niekwalifikowany zaufany Certum Silver. Instrukcja dla uŝytkowników Windows Vista. wersja 1.1 UNIZETO TECHNOLOGIES SA

System Zdalnej Obsługi Certyfikatów 2.0 Instrukcja użytkownika

Instrukcja 1: Instalacja certyfikatu niekwalifikowanego w systemie Microsoft Windows:

System Zdalnej Obsługi Certyfikatów Instrukcja użytkownika

Instrukcja generowania certyfikatu PFRON i podpisywania dokumentów aplikacji SODiR w technologii JS/PKCS 12

Instrukcja odnawiania certyfikatów. przez stronę elektronicznypodpis.pl

Instalacja i konfiguracji czytników kart kryptograficznych, aplikacji procertum CardManager w systemach Mac OS X

Certyfikat niekwalifikowany zaufany Certum Silver. Instalacja i użytkowanie pod Windows Vista. wersja 1.0 UNIZETO TECHNOLOGIES SA

Instalacja. Jak skonfigurować Twój e-podpis?

I. Uruchomić setup i postępować według instrukcji

Instrukcja odnawiania certyfikatów. przez stronę elektronicznypodpis.pl

Procedura uzyskania certyfikatu kwalifikowanego. Krok 3. Pobieranie certyfikatu kwalifikowanego wersja 1.8

Certum Code Signing Instrukcja uzyskania certyfikatu Code Signing SimplySign

System Zdalnej Obsługi Certyfikatów Instrukcja użytkownika

Aplikacja do podpisu cyfrowego npodpis

Instalowanie certyfikatów celem obsługi pracy urządzenia SIMOCODE pro V PN z poziomu przeglądarki internetowej w systemie Android

Instrukcja odnawiania certyfikatów. przez stronę elektronicznypodpis.pl

Instrukcja użytkownika aplikacji npodpis r.

Certification Request Services

Instrukcja postępowania w celu złożenia podpisu elektronicznego na dokumentach składanych do SISC za pośrednictwem portalu PUESC.

System Zdalnej Obsługi Certyfikatów 2.0 Instrukcja użytkownika

"Procedura obsługi certyfikatów dla KDPW_TR (A2A)"

Ministerstwo Finansów

Instrukcja instalacji oprogramowania Systemu e-kt

Problemy techniczne. Jak zainstalować i zarejestrować program Optivum?

Procedura obsługi certyfikatów KDPW_TR (A2A) I DOSTĘP DO REPOZYTORIUM TRANSAKCJI KDPW_TR W TRYBIE A2A... 2 II WYMAGANIA SYSTEMOWE...

Instrukcja użytkownika aplikacji npodpis r.

Instrukcja instalacji oraz obsługi czytników i kart procesorowych dla Klientów SBI Banku BPH S.A.

Exchange Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange wersja 1.0 UNIZETO TECHNOLOGIES S.A.

Spis treści

Java Code Signing UŜycie certyfikatów niekwalifikowanych do podpisywania kodu w technologii Java. wersja 1.2 UNIZETO TECHNOLOGIES SA

Exchange Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange wersja 1.0

Instalacja zaświadczeń certyfikacyjnych CERTUM PCC i CENTRAST. wersja 1.0

Poradnik zetula.pl. Jak założyć konto na zetula.pl. i zabezpieczyć dane na swoim komputerze?

Instrukcja uzyskania certyfikatu niekwalifikowanego w Urzędzie Miasta i Gminy Strzelin

"Procedura obsługi certyfikatów dla KDPW_TR (U2A)"

Instalacja aplikacji komunikacyjnej modułu pl.id

SimplySign logowanie i rejestracja na komputerze oraz dodanie certyfikatu do programu Płatnik

Instrukcja instalacji i konfiguracji czytników kart kryptograficznych, aplikacji procertum CardManager, obsługa aplikacji procertum CardManager w

Instrukcja instalacji nośników USB w systemie internetowym Alior Banku

BusinessNet - Instrukcja instalacji czytników, kart procesorowych, certyfikatów kwalifikowanych oraz generowania podpisu elektronicznego.

Exchange Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange wersja 1.0 UNIZETO TECHNOLOGIES S.A.

Instrukcja postępowania w celu złożenia podpisu elektronicznego na dokumentach składanych do SISC za pośrednictwem portalu PUESC.

I. WSTĘP... 2 II. WYMAGANIA SYSTEMOWE... 2 III. DOSTĘP DO REPOZYTORIUM TRANSAKCJI... 2

Instrukcja instalacji nos niko w USB w bankowos ci Alior Banku

Strona 1 NUMPAGES INSTRUKCJA OBSŁUGI KARTY DARK. CENTRUM USŁUG ZAUFANIA SIGILLUM Wersja 1.0

Instrukcja odnawiania certyfikatów. przez stronê internetow¹ Podrêcznik u ytkownika

Opis aktualizacji programu Kancelaria Komornika

"Systemu Obsługi Emitentów"

Instrukcja generowania żądania CSR SOW WERSJA 1.6

Outlook Instrukcja podpisywania i szyfrowania wiadomości certyfikatem niekwalifikowanym.

Procedura uzyskania certyfikatu kwalifikowanego. Instrukcja dot. ścieżki odnowień certyfikatów kwalifikowanych. wersja 1.4

PGP - Pretty Good Privacy. Użycie certyfikatów niekwalifikowanych w programie PGP

Instrukcja instalacji czytników, kart procesorowych, certyfikatów kwalifikowanych oraz generowania podpisu elektronicznego

Wysyłka wniosko w ZUS - EKS. Instrukcja użytkownika aplikacji Wysyłka wniosków ZUS EKS

Instrukcja użytkownika

KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED

Aplikacja npodpis do obsługi certyfikatu

Java Code Signing Użycie certyfikatów niekwalifikowanych do podpisywania kodu w technologii Java. wersja 1.3 UNIZETO TECHNOLOGIES SA

Program do zarządzania Certyfikatami i kartami

Opis konfiguracji i wysyłki wniosków EKW w aplikacji Komornik SQL-VAT

Aplikacja npodpis do obsługi certyfikatu

INSTRUKCJA obsługi certyfikatów

Transkrypt:

Instrukcja aktywacji i instalacji Code Signing

S t r o n a 2 Spis treści 1 Opis produktu... 3 2 Instalacja oprogramowania... 3 3 Elementy niezbędne do wgrania certyfikatu Code Signing na kartę kryptograficzną... 4 4 Instalacja certyfikatu... 7 Wymagania... 7 Aktywacja certyfikatu... 7 5 Wgrywanie certyfikatu na kartę... 14 6 Signtool... 19 Opis narzędzia... 19 Podpisywanie... 19 6.3 Weryfikacja... 21 6.4 Podpisywanie wsadowe... 22 Podpis dualny... 22 7 Jarsigner... 24 7.1 Opis narzędzia... 24 7.2 Konfiguracja... 24 7.1.1 Utworzenie pliku konfiguracyjnego provider.cfg... 24 7.1.2 Utworzenie pliku ścieżki certyfikatu bundle.pem... 25 7.1.3 Zmiana aliasu użytkownika (labela) na karcie (tylko dla użytkowników posiadających znaki diakrytyczne w polu Common Name (CN) w certyfikacie)... 29 Podpisywanie... 34 Weryfikacja... 35 Podpisywanie wsadowe... 36 8 Najczęstsze problemy:... 38 infolinia@

S t r o n a 3 1 Opis produktu Certyfikat Code Signing, służy do podpisywania kodu oraz gotowych już zbudowanych aplikacji. Certyfikat nagrywany jest na kartę kryptograficzną, co pozwala nam podpisywać kod oraz gotowe aplikacje używając znanych narzędzi takich jak signtool.exe oraz jarsigner. Instrukcja opisuje ścieżkę aktywacji oraz instalacji certyfikatu oraz jak zainstalować potrzebne oprogramowanie i w jaki sposób - za pomocą znanych aplikacji podpisać lub zweryfikować podpisany już kod lub aplikację. 2 Instalacja oprogramowania Do poprawnego działania Code Signing potrzebna jest aplikacja pro CardManager w wersji 3.2.0.151 lub wyższej. Aby poprawnie zainstalować aplikację trzeba wykonać następujące kroki: 1. Pobrać najnowszą wersję oprogramowania z oficjalnej strony. 2. Uruchomić pobrany instalator. 3. Po uruchomieniu instalatora kliknąć przycisk 4. Po pojawieniu kolejnego ekranu zaznaczyć Akceptuję warunki umowy licencyjnej i kliknąć. 5. Po pojawieniu się kolejnego ekranu należy wybrać ścieżkę w której ma być zainstalowana aplikacja. Domyślnie jest to ścieżka: i kliknąć. 6. Po pojawieniu się kolejnego ekranu należy kliknąć przycisk. Po zakończeniu pracy instalatora należy ponownie uruchomić komputer. W tym celu należy zaznaczyć: Tak, chcę teraz uruchomić ponownie komputer 7. i kliknąć przycisk. infolinia@

S t r o n a 4 3 Elementy niezbędne do wgrania certyfikatu Code Signing na kartę kryptograficzną Aby wgrać certyfikat Code Signing na kartę kryptograficzną prosimy postępować zgodnie z poniższą instrukcją: 1. Zainstalować Zestaw Code Signing (patrz instrukcja dołączona do zakupionego zestawu). 2. Uruchomić oprogramowanie pro CardManager (aktualna wersja oprogramowania dostępna jest na stronie www. > Wsparcie techniczne > Oprogramowanie i biblioteki > pro CardManager). 3. Kliknąć przycisk.. 4. Po pojawieniu się okna z opcjami zaznaczyć opcję: 5. Zrestartować system. Po restarcie systemu włożyć czytnik z kartą kryptograficzną. 6. Uruchomić aplikację pro CardManager. 7. Jeżeli karta została odczytana pomyślnie powinno pojawić się okno jak na grafice poniżej: 3. Przejść do zakładki Profil zwykły. 4. Sprawdzić czy Profil zwykły jest aktywny - oprogramowanie wyświetli informacje na temat wybranego profilu oraz listę certyfikatów. Jeżeli nie jest aktywny przejdź do punktu nr 5. infolinia@

S t r o n a 5 Uwaga! Ponowna aktywacja profilu nie jest możliwa. Nie można również przywrócić stanu sprzed aktywacji. Na liście powinien pojawić się certyfikat: Pole Właściciel certyfikatu będzie później potrzebne przy podpisywaniu kodu lub aplikacji. Uwaga: Pojawienia się poniższego komunikatu oznacza, że na karcie kryptograficznej znajduje się klucz prywatny, a instalacja certyfikatu nie została zakończona gdyż nie został zainstalowany poprawnie certyfikat. Zaleca się kliknięcie guzika NIE oraz dokończenie procesu instalacji wydanego certyfikatu na kartę. infolinia@

S t r o n a 6 5. Jeżeli Profil zwykły nie jest aktywny, nacisnąć przycisk Inicjalizuj profil. Wówczas zostanie zdefiniowany nowy kod PUK i nowy kod PIN. Każdorazowo należy potwierdzić wprowadzony kod. Nacisnąć przycisk OK aby zatwierdzić zmiany. Aktywowanie profilu powoduje, że karta crypto jest przygotowana do instalacji certyfikatu Code Signing. infolinia@

S t r o n a 7 4 Instalacja certyfikatu Wymagania Do instalacji certyfikatu będzie potrzebna aplikacja pro CardManager (Opis instalacji i konfiguracji znajduje się poniżej), przeglądarka Internet Explorer w wersji 8,9,10 lub 11 oraz czytnik z kartą kryptograficzną na której zainicjowany jest profil zwykły, podpięty do komputera. Aktywacja certyfikatu 1. Po otrzymaniu zdrapki wejść na adres internetowy sklepu : https://sklep./ 2. Kliknąć przycisk Zaloguj/Zarejestruj się 1. Zalogować się na konto (jeżeli nie posiadamy konta w sklepie to wymagane jest jego założenie) 4. Kliknąć w przycisk "Twoje konto" infolinia@

S t r o n a 8 5. W przypadku otrzymania kodu aktywacyjnego, przejść do sekcji "Kody elektroniczne" i aktywujemy kod. W przypadku gdy nie posiadasz kodu elektronicznego produktu przejdź do punktu nr 6. 6. Jeżeli nie posiadasz kodu lub pomyślnie aktywowałeś wcześniej kod, przechodzimy do zakładki "Aktywacja Certyfikatów" infolinia@

S t r o n a 9 7. Na liście poniżej należy odszukać odpowiedni certyfikat który chcemy aktywować i kliknąć przycisk "Aktywuj" 8. Zaznaczyć opcję "Generowanie pary kluczy" i klikamy "Dalej" 9.1. W przypadku korzystania z przeglądarki Internet Explorer: Potwierdzić dostęp do sieci Web klikając przycisk "Tak". W przypadku korzystania z przeglądarki Chrome lub innej przejdź do punktu 9.2. 9.2. W przypadku korzystania z przeglądarki Chrome. Pobrać i uruchomić aplikację Cryptoagent i zostawić ją uruchomioną przez cały okres instalacji kluczy na karcie. infolinia@

S t r o n a 10 10. Zaznaczyć opcję "Zapisz klucze na karcie " kliknąć przycisk "Generuj klucze". Przy wyświetleniu monitu o numer PIN, podać pin do karty i kliknąć "OK". infolinia@

S t r o n a 11 11. Po przejściu do kolejnego ekranu z informacją o pomyślnym wygenerowaniu kluczy na karcie kliknąć przycisk "Dalej" 12. Uzupełnić formularz wniosku certyfikacyjnego danymi, które zamieszczone zostaną w certyfikacie. Następnie, kliknąć "Dalej". infolinia@

S t r o n a 12 13. Jeszcze raz upewnić się czy dane są poprawne. Zaznaczyć, akceptację dla Warunki Użytkowania oraz potwierdzić prawdziwość podanych w formularzu informacji i kliknąć "Aktywuj". Uwaga: W przypadku zaznaczenia opcji weryfikacji telefonicznej, CERTUM skontaktuje się pod podany numer telefonu w ciągu 48 godzin roboczych. Numer telefonu podany we wniosku w celu dokonania weryfikacji telefonicznej musi być numerem firmowym i być dostępny w publicznie dostępnych rejestrach np. CEiDG, GUS, pkt.pl, panoramafirm.pl, DUNS lub innych publicznych bazach danych zakwalifikowanych do rzetelnych i wiarygodnych źródeł informacji. infolinia@

S t r o n a 13 14. Status naszego zgłoszenia powinien zmienić się na "Oczekuje na realizację". Na adres email podany w formularzu wniosku certyfikacyjnego przyjdzie wiadomość z dalszymi instrukcjami. Lista wymaganych dokumentów niezbędnych do weryfikacji tożsamości znajduje się na stronie : http://www./certum/cert,wiedza_certyfikaty_code_signing_formalnosci.xml 15. Po otrzymaniu przez wymaganych dokumentów i zaakceptowaniu żądania certyfikacyjnego wysłana zostanie na adres email wiadomość o wydaniu certyfikatu Code Signing. infolinia@

S t r o n a 14 5 Wgrywanie certyfikatu na kartę Po przejściu całego procesu aktywacji, należy wgrać certyfikat na karcie na której były uprzednio generowane klucze (punkty 10-12). W tym celu należy: 1. W sklepie, przejść do zakładki "Zarządzanie certyfikatami": 2. Odszukać odpowiedni certyfikat, do którego generowana była para kluczy i kliknąć w niego: 3. Kliknąć przycisk "Zapisz binarnie": infolinia@

S t r o n a 15 4. Pobrać plik certyfikatu na dysk komputera: 5. Otworzyć pro CardManager: 6. Wybrać odpowiedni czytnik (jeżeli podłączony więcej niż jeden) i kliknąć przycisk "Czytaj kartę" 7. Przejść do zakładki "Profil Zwykły": 8. W przypadku pojawiania się powiadomienie o niecertyfikowanych kluczach na karcie należy wcisnąć przycisk "Nie": infolinia@

S t r o n a 16 9. Kliknąć przycisk "Importuj certyfikat": infolinia@

S t r o n a 17 10. Wybrać pobrany uprzednio plik certyfikatu, podać pin do karty i kliknąć "OK": 11. Jeżeli proces dodawania certyfikatu zakończył się pomyślnie, na liście powinien ukazać się certyfikat Code Signing: infolinia@

S t r o n a 18 12. Należy zarejestrować wybrany certyfikat w systemie operacyjnym. W tym celu wybieramy przycisk Rejestruj certyfikaty : infolinia@

S t r o n a 19 6 Signtool Opis narzędzia Signtool to narzędzie wiersza polecenia, które cyfrowo podpisuje pliki, weryfikuje podpisy w plikach i oznacza pliki znacznikami czasu. Narzędzie to znaleźć można w paczce deweloperskiej Windows (Windows SDK[Software Development Kit]). Wszystkie operacje wykonywane z Code Signing wymagają podłączonego czytnika wraz z kartą na której jest certyfikat Code Signing. Szerszy opis narzędzia można znaleźć pod adresem: https://msdn.microsoft.com/plpl/library/8s9b9yaz(v=vs.110).aspx Podpisywanie Aby podpisać plik, w wierszu poleceń (cmd.exe) należy użyć następującego polecenia: signtool sign /n "[1] " / t [2] /fd [3] /v [4] [1] Nazwa lub fragment nazwy właściciela certyfikatu, którą sprawdzić można w aplikacji pro CardManager lub narzędziu systemowym certmgr.msc: [2] Adres znacznika czasu. Dla http://time., [3] Nazwa algorytmu podpisu. Dostępne sha1 i sha256, [4] Ścieżka do podpisywanego pliku. infolinia@

S t r o n a 20 Przykładowe, poprawne polecenia: signtool sign /n "Asseco Data Systems S.A." /t http://time./ /fd sha1 /v aplikacja.exe W rezultacie konsola cmd.exe powinna zwrócić komunikat o poprawności podpisu pliku: The following certificate was selected: Issued to: Asseco Data Systems S.A. Issued by: Code Signing CA SHA2 Expires: Fri Jul 06 10:16:38 2018 SHA1 hash: E0828DF9D71C4CD87A349460027F0D9CB802BF31 Done Adding Additional Store Successfully signed: aplikacja.exe Number of files successfully Signed: 1 Number of warnings: 0 Number of errors: 0 signtool sign /n "Asseco Data Systems S.A." /t http://time./ /fd sha256 /v aplikacja.exe W rezultacie konsola cmd.exe powinna zwrócić komunikat o poprawności podpisu pliku: The following certificate was selected: Issued to: Asseco Data Systems S.A. Issued by: Code Signing CA SHA2 Expires: Fri Jul 06 10:16:38 2018 SHA1 hash: E0828DF9D71C4CD87A349460027F0D9CB802BF31 Done Adding Additional Store Successfully signed and timestamped: aplikacja.exe Number of files successfully Signed: 1 Number of warnings: 0 Number of errors: 0 infolinia@

S t r o n a 21 6.3 Weryfikacja Aby zweryfikować plik, w wierszu poleceń (cmd.exe) należy użyć następującego polecenia: signtool verify /pa [1] [1] Nazwa podpisanego pliku Przykładowe, poprawne polecenie: signtool verify /pa aplikacja.exe W rezultacie konsola cmd.exe zwraca komunikat o poprawności podpisu pliku, przykładowo: File: aplikacja.exe Index Algorithm Timestamp ======================================== 0 sha1 Authenticode Successfully verified: aplikacja.exe File: aplikacja.exe Index Algorithm Timestamp ======================================== 0 sha256 Authenticode Successfully verified: aplikacja.exe lub o braku podpisu: File: aplikacja.exe Index Algorithm Timestamp ======================================== SignTool Error: No signature found. Number of errors: 1 infolinia@

S t r o n a 22 6.4 Podpisywanie wsadowe W celu wsadowego podpisania wielu plików podczas jednej sesji należy je podać jako kolejne parametry polecenia. Działanie takie eliminuje konieczność każdorazowego wywoływania komendy w konsoli oraz wpisywania kodu PIN przy podpisie kolejnych plików. Przykładowe polecenie: signtool sign /n "Asseco Data Systems S.A." /t http://time./ /fd sha1 /v aplikacja1.exe aplikacja2.exe aplikacja3.exe W rezultacie konsola cmd.exe zwraca komunikat o poprawności podpisu plików: Done Adding Additional Store Successfully signed and timestamped: aplikacja1.exe Successfully signed and timestamped: aplikacja2.exe Successfully signed and timestamped: aplikacja3.exe Number of files successfully Signed: 3 Number of warnings: 0 Number of errors: 0 Podpis dualny W celu złożenia podpisu dualnego (wykorzystującego oba algorytmy: SHA-1 oraz SHA-2 należy przeprowadzić następującą procedurę: 1. Wykonać podpis aplikacji z wykorzystaniem algorytmu SHA-1 przykładowym poleceniem: signtool sign /n "Asseco Data Systems S.A." /t http://time./ /fd sha1 /v aplikacja.exe 2. Następnie wykonać podpis tej samej aplikacji wykorzystując algorytm SHA-2 oraz przełącznik /as: signtool sign /n "Asseco Data Systems S.A." /t http://time./ /fd sha256 /as /v aplikacja.exe infolinia@

S t r o n a 23 Wynikiem weryfikacji pliku podpisanego dualnie powinien być następujący komunikat z konsoli: File: aplikacja.exe Index Algorithm Timestamp ======================================== 0 sha1 Authenticode 1 sha256 RFC3161 Successfully verified: aplikacja.exe Do wykonania i weryfikacji podpisu dualnego wymagany jest Windows 8 lub wyższy. W celu wykonania lub weryfikacji podpisu dualnego na systemach Windows 7 należy zapoznać się z artykułem opublikowanym przez Microsoft: https://technet.microsoft.com/en-us/library/security/2949927. infolinia@

S t r o n a 24 7 Jarsigner 7.1 Opis narzędzia Jarsigner to narzędzie wiersza poleceń, które cyfrowo podpisuje pliki oraz weryfikuje podpisy. Narzędzie to znaleźć można w paczce deweloperskiej Oracle(JDK [Java Development Kit]). Wszystkie operacje wykonywane z Code Signing wymagają podłączonego czytnika wraz z kartą na której jest certyfikat. Szerszy opis narzędzia można znaleźć pod adresem: http://docs.oracle.com/javase/7/docs/technotes/tools/windows/jarsigner.html 7.2 Konfiguracja 7.1.1 Utworzenie pliku konfiguracyjnego provider.cfg Przed rozpoczęciem używania jarsigner potrzebna jest dodatkowa konfiguracja. W pierwszym kroku należy utworzyć plik konfiguracyjny providera dla PKCS#11. W tym celu tworzymy nowy plik o rozszerzeniu *.cfg (przykład: provider.cfg). Jego zawartość wygląda następująco: name=[1] library=[2] slot=[3] [1] Nazwa providera. Najlepiej Crypto3PKCS. [2] Ścieżka do biblioteki PKCS. Jeżeli posiadamy zainstalowanego pro CardManagera ścieżka domyślna to: C:\Windows\System32\crypto3PKCS.dll [3] Numer slota w którym znajduje się karta. Domyślna wartość to -1 która powoduje automatyczne wykrycie pierwszego dostępnego slotu. Przykładowa konfiguracja dla profilu zwykłego karty crypto: name=crypto3pkcs library=c:\windows\system32\crypto3pkcs.dll slot=-1 Przykładowa konfiguracja dla karty wirtualnej : name=simplysignpkcs.dll library=c:\windows\system32\simplysignpkcs.dll slot=-1 infolinia@

S t r o n a 25 7.1.2 Utworzenie pliku ścieżki certyfikatu bundle.pem Kolejnym krokiem jest utworzenie pliku ścieżki certyfikatu o rozszerzeniu*.pem (przykład: bundle.pem). Jego zawartość wygląda następująco: 1. Na górze : Certyfikat użytkownika 2. Poniżej : certyfikat pośredni dla certyfikatu użytkownika UWAGA. Zawartość pliku bundle.pem musi być koniecznie we wspomnianej wyżej kolejności. Uzyskiwanie certyfikatu użytkownika Certyfikat użytkownika może zostać uzyskany poprzez uruchomienie programu pro CardManager, kliknięcie przycisku czytaj kartę i przejście do zakładki Profil zwykły. Następnie należy wybrać z listy certyfikat, który chcemy zapisać i użyć przycisku Pokaż szczegóły certyfikatu. Wyświetlony zostanie certyfikat, używając przycisku Kopiuj do pliku znajdującego się na karcie Szczegóły istnieje możliwość zapisania certyfikatu: Warto w tym kroku zapisać sobie zawartość pola Wystawca. Pomoże to w późniejszym doborze certyfikatu pośredniego. infolinia@

S t r o n a 26 Po kliknięciu Kopiuj do pliku zostanie uruchomiony kreator zapisu: Należy kliknąć Dalej. W kolejnym kroku należy wybrać opcję X.509 szyfrowany algorytmem Base-64 (.CER) i kliknąć Dalej : infolinia@

S t r o n a 27 Następnie należy wybrać gdzie ma zostać zapisany plik oraz nadać mu nazwę. W tym celu należy kliknąć Przeglądaj, wybrać lokalizację i wpisać nazwę pliku, następnie kliknąć Zapisz, a w oknie kreatora przejść do kolejnego kroku przyciskiem Dalej oraz następnie Zakończ. Kreator potwierdzi eksport pliku. Uzyskiwanie certyfikatu pośredniego Certyfikaty pośrednie należy pobierać ze strony : https://www./pl/wsparcie/cert_wiedza_zaswiadczenia_klucze_certum/ W doborze odpowiedniego certyfikatu (certyfikatów) pośrednich pomoże zapisana wcześniej nazwa Wystawcy z pola Wystawca certyfikatu użytkownika. Należy odszukać na stronie wystawcę swojego certyfikatu i zapisać jego certyfikat w formacie tekstowym PEM. Następnie mając dwa pliki z certyfikatami, należy utworzyć nowy plik tekstowy. Zawartość obu uzyskanych wcześniej plików (Certyfikat użytkownika oraz certyfikat pośredni) należy wkleić do jednego pliku tekstowego we wspomnianej wyżej kolejności: 1. Na górze : Certyfikat użytkownika 2. Poniżej : certyfikat pośredni dla certyfikatu użytkownika Plik należy zapisać i zmienić jego rozszerzenie na *.pem. infolinia@

S t r o n a 28 Poniżej przedstawiono przykładowy plik bundle.pem: Certyfikat użytkownika Certyfikat pośredni infolinia@

S t r o n a 29 7.1.3 Zmiana aliasu użytkownika (labela) na karcie (tylko dla użytkowników posiadających znaki diakrytyczne w polu Common Name (CN) w certyfikacie) Do wskazywania certyfikatu, który ma zostać użyty do podpisu aplikacji z wykorzystaniem narzędzia Jarsigner używany jest alias certyfikatu użytkownika. Standardowo alias certyfikatu tworzony jest na podstawie zawartości pola Common Name z pola Podmiot z certyfikatu. Jeśli w polu Common Name umieszczony został ciąg znaków zawierający znaki diakrytyczne, następuje konieczność zastąpienia tego ciągu ciągiem znaków nie zawierającym znaków diakrytycznych. Przykład: Alias (label) przed zmianą: Urząd Alias (label) po zmianie: Urzad Uwaga! Zmiana aliasu nie powoduje zmian w certyfikacie. Edycji podlega jedynie identyfikator certyfikatu na karcie. Podpisana aplikacja w polu podpisu nadal zawierać będzie dane Subskrybenta zawierające znaki diakrytyczne. Zmiany aliasu (labela) można dokonać za pomocą oprogramowania udostępnianego nieodpłatnie PKCS11Admin (do pobrania tutaj: http://www.pkcs11admin.net/). Prezentowany sposób zmiany labela został wykonany w oprogramowaniu PKCS11Admin w wersji 0.3.0. Procedura zmiany labela wygląda następująco: 1. Należy pobrać i wypakować program PKCS11Admin do wybranego katalogu. 2. Następnie należy wejść do katalogu zawierającego wypakowane oprogramowanie PKCS11Admin i uruchomić aplikację Pkcs11Admin-x86 lub Pkcs11Admin-x64, zależnie od wersji systemu operacyjnego. Uruchomienie skutkuje otwarciem programu oraz okna wyboru biblioteki obsługującej kartę. Dla kart wskazać należy bibliotekę crypto3pkcs.dll, znajdującą się w katalogu C:\Windows\System32 i zatwierdzić przyciskiem OK : infolinia@

S t r o n a 30 3. Gdy program wczyta zawartość karty kryptograficznej należy z paska wybrać opcję Token > Login > User login : infolinia@

S t r o n a 31 4. Program zamonituje o wpisanie kodu PIN do profilu zwykłego karty. Należy go wprowadzić i zatwierdzić przyciskiem OK : 5. Następnie należy przejść do zakładki Certificates. Na liście wyświetlą się labele certyfikatów, dla których zostanie wykonana zmiana (tu dla przykładu label użytkownika zawierający znak diakrytyczny ó ): 6. Kliknięcie prawym przyciskiem myszy na labelu powoduje wywołanie menu, z którego należy wybrać opcję Edit attributes. infolinia@

S t r o n a 32 7. W wyświetlonym oknie, prezentującym atrybuty wpisu, należy odnaleźć wpis CKA_LABEL. Następnie należy zaznaczyć wpis CKA_LABEL i użyć przycisku Edit do zmiany błędnej zawartości wpisu: infolinia@

S t r o n a 33 8. Pole labela jest teraz edytowalne. Wystarczy skorygować label usuwając znaki diakrytyczne i potwierdzić przyciskiem OK : 9. Proces zmiany został ukończony. Dzięki temu przy wyborze certyfikatu do podpisu będzie możliwość podania aliasu nie zawierającego znaków diakrytycznych i co za tym idzie poprawne użycie certyfikatu. Przed przystąpieniem do podpisywania rezultat zmiany aliasu użytkownika sprawdzić można poleceniem: keytool -list -keystore NONE -storetype PKCS11 -providerclass sun.security.pkcs11.sunpkcs11 -providerarg provider.cfg W rezultacie instrukcja zwraca zawartość magazynu kluczy: Picked up _JAVA_OPTIONS: -Xms256m -Xmx1024m Enter keystore password: Keystore type: PKCS11 Keystore provider: SunPKCS11-Crypto3CSP Your keystore contains 1 entry Paula Olszowka, PrivateKeyEntry, Certificate fingerprint (SHA1): E0:82:8D:F9:D7:1C:4C:D8:7A:34:94:60:02:7F:0D:9C:B8:02:BF:31 infolinia@

S t r o n a 34 Podpisywanie Aby podpisać plik, w wierszu poleceń (cmd.exe) należy użyć następującego polecenia: jarsigner -keystore NONE -tsa "[1]" -certchain "[2]" -storetype PKCS11 -providerclass sun.security.pkcs11.sunpkcs11 -providerarg "[3]" -storepass "[4]" "[5]" "[6]" [1] Adres znacznika czasu. Dla http://time., [2] Ścieżka do pliku ścieżki certyfikatu (Sekcja Konfiguracja ), [3] Ścieżka do pliku konfiguracyjnego providera (Sekcja Konfiguracja ), [4] Hasło do profilu zwykłego karty, [5] Ścieżka do pliku podpisywanego, [6] Nazwa właściciela certyfikatu którą sprawdzić można w pro CardManagerze lub używając narzędzia keytool (więcej w rozdziale: 7.1.3.9). Przykładowe, poprawne polecenie: jarsigner -keystore NONE -certchain "bundle.pem" -tsa "http://time." - storetype PKCS11 -providerclass sun.security.pkcs11.sunpkcs11 -providerarg "provider.cfg" -storepass "123456" "aplikacja.jar" "Asseco Data Systems S.A." Jeśli operacja podpisu przebiegła prawidłowo, konsola wyświetli następujący wynik: Picked up _JAVA_OPTIONS: -Xms256m -Xmx1024m jar signed. infolinia@

S t r o n a 35 Weryfikacja Aby zweryfikować plik, w wierszu poleceń (cmd.exe) należy użyć następującego polecenia: jarsigner -verify "[1]" [1] Ścieżka do pliku podpisywanego, Przykładowe, poprawne polecenie: jarsigner -verify "aplikacja.jar" W przypadku poprawnej weryfikacji pliku konsola wyświetli: Picked up _JAVA_OPTIONS: -Xms256m -Xmx1024m jar verified. W przypadku braku podpisu wynik jest następujący: Picked up _JAVA_OPTIONS: -Xms256m -Xmx1024m jar is unsigned. infolinia@

S t r o n a 36 Podpisywanie wsadowe W celu wsadowego podpisania wielu plików podczas jednej sesji należy utworzyć plik *.bat, zawierający tyle wpisów, ile plików ma zostać podpisane podczas jednego procesu podpisu. Działanie takie eliminuje konieczność każdorazowego wywoływania komendy w konsoli oraz wpisywania kodu PIN przy podpisie kolejnych plików. W celu utworzenia pliku, należy utworzyć nowy plik tekstowy *.txt, wkleić wpisy do podpisywania plików, zapisać plik oraz zmienić jego rozszerzenie z *.txt na *.bat. Poniższy przykład prezentuje zawartość pliku *.bat dla podpisu trzech aplikacji jednocześnie: jarsigner -keystore NONE -certchain "bundle.pem" -tsa "http://time." - storetype PKCS11 -providerclass sun.security.pkcs11.sunpkcs11 -providerarg "provider.cfg" -storepass "123456" "aplikacja1.jar" "Asseco Data Systems S.A." jarsigner -keystore NONE -certchain "bundle.pem" -tsa "http://time." - storetype PKCS11 -providerclass sun.security.pkcs11.sunpkcs11 -providerarg "provider.cfg" -storepass "123456" "aplikacja2.jar" "Asseco Data Systems S.A." jarsigner -keystore NONE -certchain "bundle.pem" -tsa "http://time." - storetype PKCS11 -providerclass sun.security.pkcs11.sunpkcs11 -providerarg "provider.cfg" -storepass "123456" "aplikacja3.jar" "Asseco Data Systems S.A." Tak zapisany plik można uruchomić w konsoli cmd.exe lub dwuklikiem, a rezultatem będzie rozpoczęcie podpisywania kolejnych plików, zawartych w pliku *.bat. Rezultatem uruchomienia pliku *.bat w konsoli będzie informacja o kolejnym wywołaniu komend i podpisie plików: C:\Users\user\Desktop\jarsigner>jarsigner -keystore NONE -certchain "bundle.pem" -tsa http://time. -storetype PKCS11 - providerclass sun.security.pkcs11.sunpkcs11 -providerarg "provider.cfg" -storepass "123456" "aplikacja1.jar" "Asseco Data Systems S.A" Picked up _JAVA_OPTIONS: -Xms256m -Xmx1024m jar signed. C:\Users\user\Desktop\jarsigner>jarsigner -keystore NONE -certchain "bundle.pem" -tsa http://time. -storetype PKCS11 - providerclass sun.security.pkcs11.sunpkcs11 -providerarg "provider.cfg" -storepass "123456" "aplikacja2.jar" "Asseco Data Systems S.A" infolinia@

S t r o n a 37 Picked up _JAVA_OPTIONS: -Xms256m -Xmx1024m jar signed. C:\Users\user\Desktop\jarsigner>jarsigner -keystore NONE -certchain "bundle.pem" -tsa http://time. -storetype PKCS11 - providerclass sun.security.pkcs11.sunpkcs11 -providerarg "provider.cfg" -storepass "123456" "aplikacja3.jar" "Asseco Data Systems S.A" Picked up _JAVA_OPTIONS: -Xms256m -Xmx1024m jar signed. infolinia@

S t r o n a 38 8 Najczęstsze problemy: 1. Podczas podpisu narzędziem signtool przy wykorzystaniu algorytmu SHA-2 występuje problem z podpisaniem: Done Adding Additional Store SignTool Error: An unexpected internal error has occurred. Error information: "Error: SignerSign() failed." (- 2146893784/0x80090028) Rozwiązanie: W oprogramowaniu pro CardManager należy wybrać przycisk Opcje > zaznaczyć opcję EV Code Signing zastąp CSP biblioteką minidriver. Następnie zrestartować system i podjąć próbę podpisu ponownie. 2. Podczas podpisu narzędziem jarsigner pojawia się komunikat: Picked up _JAVA_OPTIONS: -Xms256m -Xmx1024m jar signed. Warning: The signer's certificate chain is not validated. Rozwiązanie: Należy zweryfikować zawartość pliku bundle.pem. Plik zawiera prawdopodobnie nieprawidłowe certyfikaty bądź certyfikaty w nieprawidłowej kolejności. Plik bundle.pem powinien zawierać certyfikaty: 1. Certyfikat Subskrybenta, 2. Odpowiedni certyfikat pośredni. Więcej o pliku bundle.pem w punkcie 7.1.2. 3. Podczas weryfikacji podpisu narzędziem jarsigner pojawia się komunikat: Picked up _JAVA_OPTIONS: -Xms256m -Xmx1024m jarsigner: java.lang.securityexception: cannot verify signature block file META-INF/PAULA_OL PAULA_OL to przykładowa sygnatura, zależna od aliasu użytkownika. Więcej o aliasach w punkcie 7.1.3 infolinia@

S t r o n a 39 Rozwiązanie: Należy zweryfikować zawartość pliku bundle.pem. Plik zawiera prawdopodobnie nieprawidłowe certyfikaty bądź certyfikaty w nieprawidłowej kolejności. Plik bundle.pem powinien zawierać certyfikaty: 1. Certyfikat Subskrybenta, 2. Odpowiedni certyfikat pośredni. 4. Podczas podpisu narzędziem jarsigner pojawia się komunikat: Picked up _JAVA_OPTIONS: -Xms256m -Xmx1024m jar signed. Warning: The signer certificate's KeyUsage extension doesn't allow code signing. Rozwiązanie: Należy zweryfikować zawartość pliku bundle.pem. Plik prawdopodobnie nie zawiera na pierwszej pozycji certyfikatu Subskrybenta. Plik bundle.pem powinien zawierać certyfikaty: 1. Certyfikat Subskrybenta, 2. Odpowiedni certyfikat pośredni. Więcej o pliku bundle.pem w punkcie 7.1.2. infolinia@

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres