3.0.0 Instrukcja Użytkownika Wersja 1.00
SPIS TREŚCI 1. SŁOWNICZEK... 3 2. PODSTAWY PODPISU ELEKTRONICZNEGO... 8 3. ZAWARTOŚĆ ZESTAWU DO PODPISU ELEKTRONICZNEGO SIGILLUM... 10 PRZEZNACZENIE APLIKACJI... 10 DOSTĘPNE WERSJE APLIKACJI... 11 ZGODNOŚĆ Z INNYMI STANDARDAMI PODPISU... 11 4. INSTALACJA... 12 WYMAGANIA SPRZĘTOWO- SYSTEMOWE... 12 ZGODNOŚĆ WERSJI OPROGRAMOWANIA... 12 INSTALACJA Z UŻYCIEM INSTALATORA... 13 INSTALACJA BEZ UŻYCIA INSTALATORA... 28 INSTALACJA NOWEJ WERSJI... 31 ZAKOŃCZENIE INSTALACJI... 32 5. DEINSTALACJA... 33 DEINSTALACJA Z MENU PROGRAMY... 33 DEINSTALACJA Z PANELU STEROWANIA... 33 6. KORZYSTANIE Z APLIKACJI SIGILLUM SIGN... 35 ZAINSTALOWANE KOMPONENTY... 35 PODPISYWANIE PLIKÓW... 35 DRUKOWANIE PLIKU... 45 TWORZENIE ARCHIWUM... 46 POBIERANIE ZAŚWIADCZEŃ CERTYFIKACYJNYCH... 47 ZGODNOŚĆ Z INNYMI STANDARDAMI PODPISU ELEKTRONICZNEGO... 48 USTAWIENIA APLIKACJI SIGILLUM... 48 7. PROBLEMY I BŁĘDY... 54 NAJCZĘŚCIEJ WYSTĘPUJĄCE PROBLEMY... 54 NAJCZĘŚCIEJ POPEŁNIANE BŁĘDY... 54 2/ 54
1. SŁOWNICZEK bezpieczny podpis elektroniczny (wg UoPE) podpis elektroniczny, który: - jest przyporządkowany wyłącznie do osoby składającej ten podpis - jest sporządzany za pomocą bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego, podlegających wyłącznej kontroli osoby składającej podpis elektroniczny - jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna CA (ang., certification authority) centrum certyfikacji wystawiające certyfikaty kwalifikowane certyfikacja (ang. certification) - wydawanie certyfikatu klucza publicznego przez urząd certyfikacji - wydawanie certyfikatu zgodności z obowiązującymi kryteriami oceny zabezpieczeń przez jednostkę certyfikującą działającą w ramach krajowego systemu certyfikacji zabezpieczeń certyfikat (wg UoPE) elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umożliwiają identyfikację tej osoby certyfikat klucza publicznego (ang. public key certificate) informacja o kluczu publicznym - poświadczenie wydane przez urząd certyfikacji, stwierdzające, że klucz publiczny należy do konkretnego podmiotu; podpisane cyfrowo kluczem prywatnym CA, zawierające dane identyfikujące podmiot i klucz publiczny podmiotu, określające okres ważności certyfikatu 3/ 54
certyfikat ROOT- certyfikat główny certyfikat głównego urzędu certyfikacji, będącego najwyżej w hierarchii urzędów. Certyfikat ten stanowi punkt zaufania dla wszystkich certyfikatów wydanych przez centra certyfikacji znajdujące się w Infrastrukturze Klucza Publicznego (PKI) kwalifikowany certyfikat (wg UoPE) certyfikat spełniający warunki określone w Ustawie, wydany przez kwalifikowany podmiot świadczący usługi certyfikacyjne, spełniający wymogi określone w Ustawie kwalifikowany podmiot świadczący usługi certyfikacyjne (wg UoPE) podmiot świadczący usługi certyfikacyjne, wpisany do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne klucz prywatny klucz służący do wykonywania zastrzeżonej czynności, którego rozpowszechnienie zagraża bezpieczeństwu systemu. Klucz prywatny jest w wyłącznym posiadaniu adresata informacji. Najczęściej służy do odszyfrowywania i podpisywania informacji. lista CRL podpisane przez Urząd Certyfikacji chronologiczne zestawienie zawierające listę wszystkich certyfikatów unieważnionych bądź zawieszonych przez Urząd Certyfikacji odwołanie certyfikatu proces polegający na usunięciu certyfikatu z systemu zarządzania urzędem certyfikacji. Jego zadaniem jest wskazanie, że klucz publiczny zawarty w odpowiednim certyfikacie nie może być dłużej używany PKI (ang. Public Key Infrastructure) - Infrastruktura Klucza Publicznego 4/ 54
ogół zagadnień technicznych, operacyjnych i organizacyjnych umożliwiających realizację różnych usług ochrony informacji przy zastosowaniu kryptografii klucza publicznego i certyfikatów klucza publicznego; podpis elektroniczny (wg UoPE) dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny polityka certyfikacji (ang. certificate policy (CP)) nazwany zbiór reguł, określający stosowalność certyfikatu dla konkretnej społeczności użytkowników i / lub klasy aplikacji ze wspólnymi wymaganiami w zakresie bezpieczeństwa Root CA urząd certyfikacji posługujący się certyfikatem samo-podpisanym ścieżka certyfikacji łańcuch różnorodnych certyfikatów niezbędnych do stwierdzenia ważności danego certyfikatu klucza publicznego. Ścieżka certyfikacyjna powinna zawierać certyfikat użytkownika końcowego podpisany przez urząd certyfikacji, oraz certyfikaty wszystkich nadrzędnych certyfikatów urzędów certyfikacji występujących w danej architekturze klucza publicznego Urząd Certyfikacji, Urząd ds. Certyfikacji (ang. Certification Authority (CA)) urząd realizujący usługę wydawania i zarządzania certyfikatami; potoczna nazwa najbardziej typowego urzędu certyfikacyjnego realizującego podstawową usługę certyfikacyjną w ramach PKI - certyfikację kluczy publicznych Urząd Rejestracji, Urząd ds. Rejestracji (ang. Registration Authority (RA)) organ odpowiedzialny za weryfikację tożsamości subskrybenta oraz przekazanie odpowiednich informacji do urzędu certyfikacji zgodnie z procedurą rejestracji stosowaną w celu wydania certyfikatu 5/ 54
urządzenie służące do składania podpisu elektronicznego (wg UoPE) sprzęt i oprogramowanie skonfigurowane w sposób umożliwiający złożenie podpisu lub poświadczenia elektronicznego przy wykorzystaniu danych służących do składania podpisu lub poświadczenia elektronicznego urządzenie służące do weryfikacji podpisu elektronicznego (wg UoPE) sprzęt i oprogramowanie skonfigurowane w sposób umożliwiający identyfikację osoby fizycznej, która złożyła podpis elektroniczny, przy wykorzystaniu danych służących do weryfikacji podpisu elektronicznego lub w sposób umożliwiający identyfikację podmiotu świadczącego usługi certyfikacyjne lub organu wydającego zaświadczenia certyfikacyjne, przy wykorzystaniu danych służących do weryfikacji poświadczenia elektronicznego usługi certyfikacyjne szeroka klasa usług dotyczących TTP obejmująca działania polegające na poświadczeniu wybranych informacji przez wygenerowanie podpisanego elektronicznie zaświadczenia certyfikacyjnego, jak certyfikacja kluczy publicznych, certyfikacja istnienia danych elektronicznych w określonym czasie, certyfikacja przedstawienia danych elektronicznych przez określonych użytkowników w określonym czasie usługi certyfikacyjne (wg UoPE) wydawanie certyfikatów, znakowanie czasem lub inne usługi związane z podpisem elektronicznym Ustawa ustawa z dnia 18 września 2001 r. o podpisie elektronicznym określająca warunki stosowania podpisu elektronicznego, skutki prawne jego stosowania, zasady świadczenia usług certyfikacyjnych oraz zasady nadzoru nad podmiotami świadczącymi te usługi 6/ 54
uwierzytelnienie (ang. authentication) sprawdzenie tożsamości jednostki; proces polegający na sprawdzeniu, czy przedstawiająca się osoba (także komputer, urządzenie lub usługa) jest tą, za którą się podaje UZC (ang. Time Stamping Authority (TSA)) - Urząd Znacznika Czasu urząd realizujący usługę certyfikacyjną oznaczania czasem przedstawionego skrótu dokumentu elektronicznego znakowanie czasem (wg UoPE) usługa polegająca na dołączaniu do danych w postaci elektronicznej logicznie powiązanych z danymi opatrzonymi podpisem lub poświadczeniem elektronicznym, oznaczenia czasu w chwili wykonania tej usługi oraz poświadczenia elektronicznego tak powstałych danych przez podmiot świadczący tę usługę zaświadczenie certyfikacyjne elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji poświadczenia elektronicznego są przyporządkowane do podmiotu świadczącego usługi certyfikacyjne lub organu- kwalifikowanego podmiotu świadczącego usługi certyfikacyjne, i które umożliwiają identyfikację tego podmiotu lub organu 7/ 54
2. PODSTAWY PODPISU ELEKTRONICZNEGO Upowszechnianie się elektronicznych form przekazu informacji wiąże się z przesyłaniem ich w sieciach publicznych. Dokumenty przesyłane w ten sposób wymagają zapewnienia im wysokiego poziomu bezpieczeństwa. Zastosowanie metod kryptograficznych pozwala na zagwarantowanie ochrony na o wiele wyższym poziomie niż w przypadku dokumentów tradycyjnych. Metody te umożliwiają: zapewnienie poufności poprzez szyfrowanie danych, dzięki czemu dokument taki staje się nieprzydatny dla osób niepowołanych, utrzymanie i weryfikację integralności dokumentu - można mieć pewność, że nikt nic nie zmienił podczas transmisji, uwierzytelnienie podmiotu uczestniczącego w wymianie informacji, niezaprzeczalność - zapobieganie próbom wyparcia się uczestnictwa w procesie wymiany informacji. Powyższe cechy można zagwarantować stosując podpis elektroniczny. Podpis elektroniczny zgodnie z definicją ustawową (Art. 3 Ustawy z dnia 18 września 2001r. o podpisie elektronicznym, Dz. U. Nr 130, Poz. 1450, z dnia 15.11.2001r.) to dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane służą do identyfikacji osoby składającej podpis elektroniczny. Wyróżnia się dwa rodzaje podpisów elektronicznych: zwykły i bezpieczny. Bezpieczny podpis elektroniczny weryfikowany za pomocą ważnego kwalifikowanego certyfikatu jest przyporządkowany wyłącznie do osoby składającej ten podpis oraz jest sporządzony za pomocą bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego, podlegających wyłącznej kontroli osoby składającej podpis elektroniczny. Zgodnie z ustawą został on zrównany pod względem prawnym z podpisem odręcznym. 8/ 54
Koncepcja podpisu elektronicznego jest ściśle związana z kryptografią asymetryczną oraz infrastrukturą klucza publicznego. Wymiana informacji pomiędzy dwoma podmiotami powinna opierać się na zaufaniu tzn. odbiorca powinien mieć pewność, że nadawca jest tym, za kogo się podaje. Natomiast nadawca może zakładać, że odbiorca jest tym, dla kogo informacja była przeznaczona. Do takiej formy wymiany informacji służą pary kluczy stosowanych w szyfrowaniu: prywatny i publiczny. Klucz prywatny (ang. private key) służy do deszyfrowania wiadomości (zaszyfrowanej kluczem publicznym) oraz bierze udział w procesie tworzenia podpisu cyfrowego. Klucz prywatny zna jedynie jego właściciel i powinien być chroniony ze szczególną starannością. Nośnikiem dla klucza prywatnego jest karta kryptograficzna (mikroprocesorowa). Klucz publiczny (ang. public key) służy do zaszyfrowania wiadomości. Osoba, która chce zaszyfrować wiadomość używa do tego celu klucza publicznego odbiorcy wiadomości. Tylko właściciel klucza prywatnego może odszyfrować taką wiadomość. W ten sposób osoba wysyłająca wiadomość ma pewność, że treść wiadomości zostanie odczytana tylko przez odbiorcę. Zgodnie z aktualnym stanem prawnym, wykorzystując podpisy elektroniczne możliwe jest podpisywanie faktur, transakcji elektronicznych, umów cywilnoprawnych, deklaracji ZUS, oraz wielu innych dokumentów. 9/ 54
3. ZAWARTOŚĆ ZESTAWU DO PODPISU ELEKTRONICZNEGO SIGILLUM Pełny zestaw do podpisu elektronicznego udostępniany przez PCCE Sigillum przy zakupie certyfikatu zawiera: 1. Czytnik kart mikroprocesorowych 2. Kartę mikroprocesorową z certyfikatami 3. Płytę instalacyjną, umożliwiającą automatyczną instalację następujących komponentów: a. CryptoCardSuite oprogramowania obsługującego karty mikroprocesorowe b. aplikacji Sigillum Sign /Sigillum Sign Pro c. zaświadczeń certyfikacyjnych Głównego Urzędu Certyfikacji (ROOT) i Pośrednich Centrów Ceryfikacji Przeznaczenie aplikacji Aplikacja Sigillum Sign: pozwala na konwersje plików MS Office (Word, Excel, i PowerPoint) do formatu graficznego, a następnie zabezpieczanie plików podpisem elektronicznym. Nowo powstały plik ma rozszerzenie.sdoc. weryfikuje plik z podpisem S-MIME weryfikuje pliki z podpisem innych centrów certyfikacji, w chwili obecnej są to: Unizeto - format CMS i KIR (Krajowa Izba Rozliczeniowa) format PCKS7 weryfikuje standardy podpisu: ETSI TS 101 733 i ETSI 101 903 XML- XAdES Sigillum Sign i Sigillum Sign PRO sprawdzają fakt zainstalowania zaświadczeń certyfikacyjnych Sigillum na komputerze, na którym są instalowane. 10/ 54
Dostępne wersje aplikacji Dostępne są dwie wersje aplikacji Sigillum Sign: SigillumSign full Wersja ta pozwala między innymi na: a. podpisywanie dokumentów certyfikatami innymi niż certyfikat PCCE Sigillum (w tej chwili są to certyfikaty Unizeto, KIR), b. weryfikację podpisów PCCE Sigillum, Unizeto, KIR, a także XadES BES c. konwersję plików WORD, EXCEL, POWERPOINT do plików graficznych, a następnie ich podpisanie oraz oznakowanie czasem SigillumSign lite Wersja ta w stosunku do wersji full nie posiada następującej funkcjonalności: a. podpisywanie dokumentów certyfikatami innymi niż certyfikat PCCE Sigillum (w tej chwili są to certyfikaty Unizeto, KIR) Zgodność z innymi standardami podpisu W poniższej tabeli wymieniono, wraz z krótkim opisem standardy weryfikowane przez aplikację Sigillum Sign. Nazwa standardu Rozszerzenie pliku Przykładowa aplikacja / producent PKCS#7 *.sdoc - S/MIME *.signpro - S/MIME *.pem Pemheart, Enigma CMS *.sig Safe Device- KIR, ProCertumCombiLite, ProCertumSecureSign- Unizeto XadES BES *.xml - PKCS#7 *.p7-11/ 54
4. INSTALACJA Wymagania sprzętowo- systemowe Aplikacja Sigillum Sign może być uruchamiana w systemach: - Windows 98 SE (w systemie Win98 SE wspierane są sdoc, signpro, pem, p7 natomiast CMS i XAdES nie są wspierane w Win98 SE) - Windows 2000 SP4 - Windows XP z SP2 - Windows 2003. Do poprawnej pracy wymagana jest przeglądarka Internet Explorer w wersji 5.5 lub nowszej. Program współpracuje z Microsoft Office w wersji 2000, XP, 2003. Zgodność wersji oprogramowania Aplikacja Sigillum Sign ściśle współpracuje z aplikacją middleware Crypto Card Suite. W systemach operacyjnych Microsoft Windows: 2000sp4, XP, 2003 zalecana jest aplikacja CCS w wersji 1.12, natomiast w środowisku Microsoft Windows 98 należy instalować aplikację CCS w wersji 1.04. Zgodność funkcjonowania aplikacji Sigillum Sign z poszczególnymi systemami operacyjnymi oraz oprogramowaniem middleware przedstawia poniższa tabela. Crypto Crypto Crypto Middleware Activ Card Card Card Card ActivClient System Suite Suite Suite 5.4 Operacyjny 1.04 1.12 1.19 MS Windows 98 SE x MS Windows ME x MS Windows 2000 x x x x SP4 MS Windows XP x x x x SP2 MS Windows 2003 x x x x 12/ 54
Instalacja z użyciem instalatora Do napędu w komputerze należy włożyć, otrzymaną przy odbiorze zestawu do podpisu Sigillum, płytę instalacyjną. W celu rozpoczęcia instalacji, należy uruchomić instalator dwukrotnie klikając na plik Setup.exe SigillumSign. Należy wybrać język używany podczas instalacji (do wyboru: polski lub angielski) oraz zaakceptować wybór. UWAGA! Przed uruchomieniem instalatora należy zamknąć wszystkie otwarte aplikacje. Przed kontynuowaniem procesu instalacji, należy upewnić się, że wszystkie uruchomione aplikacje są zamknięte. 13/ 54
Aby przejść do właściwej instalacji, należy przeczytać i zaakceptować warunki umowy licencyjnej. 14/ 54
W oknie konfiguracji instalacji komponentów można wybrać opcję Pełnej instalacji (instalacja wszelkich komponentów koniecznych do prawidłowego uruchomienia i działania aplikacji Sigillium, tj. oprogramowanie CryptoCardSuite, aplikacja Sigillum, zaświadczenia certyfikacyjne) oraz Dostosowanej, która pozwoli użytkownikowi wybrać komponenty, które chce zainstalować. Dostępne są dwa typy instalacji: 4.1. Instalacja pełna W trakcie pełnej instalacji zostaną zainstalowane następujące komponenty: a. Crypto Card Suite - oprogramowanie dedykowane do zarządzania kartą elektroniczną b. Sigillum Sign - oprogramowanie pozwalające na podpisywanie dokumentów oraz weryfikację podpisów c. Zaświadczenia certyfikacyjne i. Zaświadczenie CZiC Centrast SA SIGILLUM Zaświadczenie CZiC Centrast SA Zaświadczenie PCCE - kwalifikowany CA1 Zaświadczenie PCCE - UZC kwalifikowany Zaświadczenie PCCE - CA Zaświadczenie certyfikacyjne nr 1_2006 Zaświadczenie PCCE - kwalifikowany CA1 ii. iii. iv. KIR OZK2 Centrast OZK22 Centrast OZK21 ROOTOZK UNIZETO 4.2. Instalacja dostosowana Instalacja dostosowana pozwala użytkownikowi na wybranie z listy tylko tych komponentów, które chce zainstalować na swoim komputerze. 15/ 54
Należy wybrać typ instalacji: pełna lub dostosowana. UWAGA! W celu prawidłowego działania aplikacji Sigillum zalecane jest wybranie Pełnej instalacji. Instalator zapyta również, jakie zadania dodatkowe powinny zostać wykonane przez instalator (np. włączenie opcji podpisywania poczty elektronicznej Microsoft Outlook). Dodatkowo instalator pozwala na: - włączenie funkcji podpisu elektronicznego w domyślnym kliencie pocztowym. Obsługiwane programy pocztowe Outlook Express 5.0, 6.0, MS Outlook od wersji XP lub nowszej. - uruchomienie funkcji menadżera CryptoCard po restarcie sytemu w celu rejestracji certyfikatu osobistego - tworzenie skrótu Instaluj zaświadczenia w Start Menu Programy 16/ 54
Użytkownikowi zostaje przedstawiona lista wybranych ustawień, które można zmienić wybierając przycisk Wstecz lub wybierając przycisk Instaluj rozpocząć proces instalacji. 17/ 54
Instalator wymaga zatwierdzenia importu zaświadczeń certyfikacyjnych. Każde z zaświadczeń certyfikacyjnych należy zatwierdzić. Po instalacji aplikacji Crypto Card oraz Sigillum otworzy się Kreator importu certyfikatów. 18/ 54
19/ 54
Po wyborze miejsca przechowywania certyfikatów Kreator importu certyfikatów zakończy działanie. Przykładowy ekran zaimportowanego zaświadczenia certyfikacyjnego do systemu. [CZiC Centrast S.A.]: 20/ 54
Po zakończeniu instalacji użytkownik zostanie poproszony o wykonanie restartu komputera, który jest wymagany do poprawnego działania aplikacji Sigillum. 21/ 54
Uwaga! Jeżeli aplikacja Sigillum po zainstalowaniu, będzie używana przez użytkownika nie mającego uprawnień administratora systemu, do prawidłowego działania aplikacji, należy po restarcie systemu zaimportować zaświadczenia certyfikacyjne na konto użytkownika. W tym celu wymagane jest zalogowanie się do systemu, następnie z menu Start Programy Sigillum Sign / Sigillum Sign należy wybrać Instaluj Zaświadczenia i zgodnie z kreatorem instalacji wybrać wymagane zaświadczenia certyfikacyjne i zainstalować je w systemie. 22/ 54
Po zakończeniu instalacji certyfikatów w systemie, należy uruchomić menagera Crypto Card, którego skrót jest na pulpicie certyfikatu osobistego w systemie. w celu rejestracji 23/ 54
W momencie rejestracji certyfikatu osobistego czytnik kart mikroprocesorowych musi być podłączony do komputera, wraz z wsuniętą do czytnika kartą mikroprocesorową z certyfikatami. Należy Zaznaczyć opcję Rejestracja certyfikatu w systemie i przejść do następnego okna klikając na przycisk Dalej. 24/ 54
Okno prezentuje rodzaje certyfikatów, które znajdują się w chipie karty mikroprocesorowej. Użytkownik wybiera i zaznacza rodzaj certyfikatu którym będzie się posługiwał. Aby zainstalować certyfikat kwalifikowany należy wybrać certyfikat SetID, po czym przejść Dalej. UWAGA! W przypadku braku kart w czytniku kart inteligentnych, bądź nie poprawnym umiejscowieniu karty w czytniku Kreator Instalacji certyfikatów w systemie wyświetli poniższe okno: 25/ 54
26/ 54
Asystent rejestracji certyfikatu w systemie, wyświetli informacje dotyczące wybranego certyfikatu. W razie potrzeby można cofnąć się do poprzedniego okna za pomocą przycisku Wstecz, w innym przypadku klikamy przycisk Dalej. Ostatnie okno, pozwala na utworzenie przyjaznej nazwy dla wybranego certyfikatu oraz wskazanie magazynu certyfikatów, w którym certyfikat zostanie zainstalowany. Dla większości przypadków zaleca się wybranie magazynu Osobisty. Po zakończeniu operacji należy kliknąć na przycisk Zakończ, a Kreator rejestracji certyfikatów w systemie powiadomi użytkownika o poprawnym zainstalowaniu. 27/ 54
Instalacja bez użycia instalatora W przypadku wyboru zainstalowania Sigillum Sign bez instalatora, w systemie zostanie zainstalowana jedynie aplikacja Sigillum Sign (Crypto Card Suite oraz zaświadczenia certyfikacyjne nie będą zainstalowane). UWAGA! Przed instalacją należy bezwzględnie zamknąć wszystkie uruchomione aplikacje. Jeśli w trakcie instalacji otwarte będą programy z rodziny MS Office instalator wyświetli następujący komunikat: a instalacja będzie musiała zostać powtórzona. UWAGA! Instalacja wymaga praw administratora systemu. W przypadku pracy w domenie może to być administrator lokalny lub domeny. Aplikację instalujemy uruchamiając program Setup.exe z dysku instalacyjnego dostarczonego w zestawie do podpisu. Uruchomiony zostanie program instalatora, który poprowadzi użytkownika przez proces instalacji. Jeśli w systemie był wcześniej zainstalowany program Sigillum Sign, musi on zostać odinstalowany przed zainstalowaniem innej wersji. Na ekranie powitalnym należy wybrać język instalacji aplikacji do wyboru języki: polski lub angielski. 28/ 54
Po kliknięciu przycisku OK., następuje przejście się do następnego okna. Instalator wyświetli treść Umowy Licencyjnej. Po przeczytaniu umowy należy zaznaczyć pole Akceptuję warunki i postanowienia umowy licencyjnej i kliknąć przycisk Dalej. 29/ 54
Program zostanie zainstalowany w domyślnym katalogu na dysku C. Jest to najlepszy wybór w większości przypadków. Aby kontynuować instalację, wciśnij przycisk Dalej. Program jest gotowy do instalacji. 30/ 54
Po przyciśnięciu przycisku Instaluj rozpoczyna się proces instalacji składników produktu. Po instalacji program zapyta, czy użytkownik chce restartować komputer. Po restarcie program będzie gotowy do pracy. UWAGA! Jeśli polskie litery wyświetlane są w sposób nieprawidłowy ustawienia regionalne dla aplikacji nie obsługujących unicode należy zmienić na polskie. Instalacja nowej wersji Instalacja nowej wersji aplikacji Sigillum Sign zalecana jest z użyciem instalatora z wyborem Instalacja Pełna, a nie Dostosowana. 31/ 54
Wersja poprzednia zostanie odinstalowana, a na jej miejsce zostanie zainstalowana nowa wersja oprogramowania. Zakończenie instalacji Po zakończeniu instalacji, użytkownik zostanie poinformowany komunikatem o pomyślnym zakończeniu instalacji. UWAGA! Do poprawnego działania aplikacji wymagany jest restart systemu. 32/ 54
5. DEINSTALACJA Deinstalacja z menu Programy Istnieje możliwość odinstalowania aplikacji Sigillum Sign z menu Programy. Z przycisku Start umieszczonego na pulpicie należy wybrać Programy Sigillum Sign Deinstalacja programu Sigillum Sign, a następnie odinstalować aplikację. Wszystkie składniki aplikacji zostaną automatycznie odinstalowane. W procesie deinstalacji nie zostaną odinstalowane następujące składniki: Zaświadczenia certyfikacyjne Centrów Certyfikacji Certyfikat Głównego Urzędu Certyfikacji - ROOT Certyfikaty unieważnione - CRL Certyfikaty osobiste Deinstalacja z panelu sterowania W celu deinstalacji aplikacji z panelu sterowania należy w menu Start wybrać PanelSterowania. W Panelu klikamy ikonę Dodaj / Usuń Programy. Na liście, w oknie instalacji należy odszukać Sigillum Sign i kliknąć przycisk Usuń. Możliwe jest odinstalowanie pojedynczych komponentów: 1. CryptoCardSuite - pozostają elementy instalacji SigillumSign 2. SigillumSign - deinstalacja tylko aplikacji SigillumSign lub wszystkich komponentów instalacji Sigillum Sign jednocześnie (odpowiednie opisy na rysunku poniżej). 33/ 54
34/ 54
6. KORZYSTANIE Z APLIKACJI SIGILLUM SIGN Zainstalowane komponenty Do poprawnego działania aplikacji Sigillum Sign wymaga się zainstalowania odpowiednich komponentów: a. aplikacja Crypto Card Suite b. rejestracja certyfikatów osobistych z karty mikroprocesorowej z użyciem aplikacji Crypto Card Suite c. zainstalowanie w systemie zaświadczeń certyfikacyjnych Głównego Urzędu Certyfikacji oraz Pośrednich Centrów Certyfikacji d. aplikacja Sigillum Sign e. zgoda na pobranie zaświadczeń certyfikacyjnych przy pierwszym uruchomieniu aplikacji Sigillum Sign wymagane jest połączenie do sieci Internet Aby sprawdzić czy poszczególne komponenty zainstalowały się prawidłowo należy: - w przypadku aplikacji Crypto Card Suite sprawdzić odpowiedni katalog w Programy (Program Files) - w przypadku rejestracji zaświadczeń certyfikacyjnych w systemie jednym ze sposobów jest wyświetlenie magazynu certyfikatów wykorzystując do tego przeglądarkę Microsoft Internet Explorer. Z paska opcji wybieramy Narzędzia Opcje Internetowe, przechodzimy do zakładki Zawartość w polu Certyfikaty. W nowo otwartym oknie należy wybrać zakładkę Pośrednie Urzędy Certyfikacji i odszukać żądany certyfikat. - w przypadku aplikacji Sigillum Sign - sprawdzić odpowiedni katalog w Programy (Program Files) - PWPW Podpisywanie plików Podstawową funkcjonalnością aplikacji Sigillum Sign jest konwersja plików Word, Excel i PowerPoint do plików graficznych.sdoc a następnie podpisywanie ich. Podpisany plik staje się jednoznacznie przyporządkowany do osoby składającej podpis, który jest składany przy użyciu bezpiecznego urządzenia do składania 35/ 54
podpisu, przez co jest powiązany z podpisanymi danymi. Każda późniejsza zmiana tych danych jest negatywnie weryfikowana przez aplikację. Podpisywanie pliku za pakietu MS Office odbywa się po wcześniejszym otworzeniu pliku.doc,.xls lub.ppt a następnie wybraniu z menu głównego Plik Podpisz dokument 6.1. Podpisywanie pliku Aby podpisać plik należy uruchomić plik skojarzoną aplikacją Microsoft: WORD, EXCEL, POWER POINT. Z głównego paska zadań w aplikacji wybrać zakładkę Plik, a następnie po rozwinięciu menu Podpisz dokument Aplikacja SigillumSign zacznie przetwarzać plik do formatu graficznego o rozszerzeniu.sdoc. Po konwersji pliku program wyświetli dokument w oknie przeglądarki Sigillum Sign. Aby podpisać plik, należy z dolnego menu użyć przycisku Podpisz. 36/ 54
Opis podstawowych opcji znajduje się na poniższym rysunku. 37/ 54
Okno opcji zabezpieczania plików Przejście do zakładki Podpisy aplikacji Sigillum Sign Przejście do zakładki Ustawienia aplikacji Sigillum Sign Przedstawia aktualny status podpisów do pliku Zaznaczenie tej opcji, dopasowuje szerokość wczytanego dokumentu do szerokości okna Sigillum Sign Pozwala na wczytanie do aplikacji SigillumSign podpisanych plików z rozszerzeniem.sdoc, signoro,,.pem,.sig,..xml Wyświetla w oknie przeglądarki Sigillum Sign poprzednią stronę dokumentu Zmniejsza rozmiar wyświetlonego pliku. Wysyła wczytany dokument do wybranej drukarki Zamyka aplikację Sigillum Sign. Wyświetla w oknie przeglądarki Sigillum Sign następna stronę dokumentu Zwiększa rozmiar wyświetlonego pliku. Rozpoczyna proces podpisywania pliku.sdoc 38/ 54
Jeśli wybrano przycisk Podpisz, program otworzy okno wyboru certyfikatu, którego klucz prywatny posłuży do złożenia podpisu. Należy zaznaczyć odpowiedni certyfikat i przycisnąć Wybierz. W przypadku wyboru certyfikatu kwalifikowanego program poinformuje o złożeniu bezpiecznego podpisu elektronicznego z wykorzystaniem kwalifikowanego certyfikatu. Aby kontynuować, należy wcisnąć OK. Jeżeli certyfikat znajduje się na karcie, program poprosi o wpisanie numeru PIN. 39/ 54
Po kliknięciu OK, rozpocznie się proces zabezpieczania plików. Po podpisaniu pliku aplikacja wyświetli okno z zapytaniem, czy oznakować plik znacznikiem czasu. Po kliknięciu na Tak program ponownie zapyta o PIN w celu dołączenia znacznika czasu do pliku. 40/ 54
W momencie zakończenia procesu podpisywania pliku Sigillum Sign wyświetli okno z podsumowaniem wykonanych operacji. Po kliknięciu przycisku OK, program przejdzie do zakładki Podpisy, w którym wyświetli informację o podpisach i znacznikach czasu. 41/ 54
Po zakończeniu operacji w wybranym katalogu pojawi się plik z rozszerzeniem.sdoc. Istnieje możliwość zapisania pliku podpisanego w innym miejscu niż plik źródłowy. Aby zmienić ścieżkę i nazwę pliku, należy przed podpisaniem pliku w aplikacji Sigillum Sign przejść do zakładki Ustawienia i w polu Ustawienia programu zaznaczyć opcję Pytaj o ścieżkę zapisu pliku SDOC. Aby zmiany zostały zachowane, należy wcisnąć przycisk Zapisz konfigurację i ponownie uruchomić program. W celu podpisania pliku, który został już wcześniej podpisany wystarczy dwukrotnie kliknąć na plik.sdoc, po czym plik zostanie otwarty w aplikacji Sigillum Sign. Dalej należy postępować zgodnie z rozdziałem Podpisywanie. 42/ 54
6.2. Weryfikacja podpisanych plików Aplikacja Sigillum Sign pozwala na weryfikację podpisanego pliku. Można w tym celu dwukrotnie kliknąć na plik.sdoc zweryfikować status podpisu znajdujący się w zakładce Podpisy. Jeżeli plik ma rozszerzenie.pem,.signpro,.xml,.sig,.p7 należy uruchomić aplikacje z poziomu Start Programy Sigillum Sign Przeglądarka Sigillum Sign. Po uruchomieniu programu wybrać przycisk Otwórz i wskazać ścieżkę do pliku, który ma być zweryfikowany. W oknie wyświetlane są informacje o błędach podpisu i znaczniku czasu, oraz lista podpisów, znaczników czasu do podpisu i kontrasygnat wraz ze statusami. Informacja o błędach może zawierać następujące komunikaty: Brak podpisów. Jeżeli nie został złożony żaden podpis, Podpis zweryfikowany poprawnie, jeżeli wszystkie podpisy złożone pod dokumentami są poprawne, Podpis zweryfikowany niekompletnie, jeśli program nie był w stanie określić, czy podpisy złożone pod dokumentem są prawidłowe (może tak się stać, jeśli nie jest możliwe pobranie aktualnej listy CRL, lub, jeżeli certyfikaty główne nie zostały zaimportowane do systemu), Podpis zweryfikowany negatywnie, jeżeli wygenerowany podpis nie jest poprawny ze względu na zmianę w dokumencie lub podpisie, lub cofnięcie poświadczenia certyfikatu przez Wystawce), A także odpowiedni komunikat błędu jeżeli nie udało się odczytać podpisów. Wśród informacji znajdujących się na liście podpisów status wyświetlany jest w postaci graficznej (ikony), oraz za pomocą komunikatu określającego problem. Możliwe statusy podpisu: Podpis zweryfikowany poprawnie Podpis zweryfikowany niekompletnie 43/ 54
Podpis zweryfikowany negatywnie Znacznik czasu zweryfikowany poprawnie Znacznik czasu zweryfikowany niekompletnie Znacznik czasu zweryfikowany negatywnie 6.3. Znakowanie czasem Oprócz podstawowego zabezpieczenia pliku w postaci podpisu do pliku, istnieje możliwość dołączenia znacznika czasu przy podpisywaniu, który dokładnie informuje osobę weryfikującą kiedy plik został utworzony i podpisany. Aby oznakować czasem plik, należy po podpisaniu pliku wyrazić zgodę na dodanie znacznika czasu Po wybraniu Tak, Sigillum Sign poprosi o wprowadzenie PIN. 44/ 54
W polu wyświetlającym certyfikaty znajduje się informacja o osobie podpisującej, dla której został wydany certyfikat, oraz ikona statusu podpisu. Pole poniżej zawiera rodzaj certyfikatu (komercyjny lub kwalifikowany), nazwę wystawcy certyfikatu, w ostatnim polu - status podpisu. Drukowanie pliku Jeżeli plik podpisywany jest dokumentem typu Word, Excel lub PowerPoint i został skonwertowany do formatu graficznego.sdoc, istnieje możliwość wydrukowania dokumentu. Należy kliknąć dwukrotne na podpisany plik.sdoc, po uruchomieniu przeglądarki SignOnViewer z wczytanym dokumentem kliknąć na przycisk Drukuj. 45/ 54
Tworzenie archiwum Jeżeli użytkownik zamierza przekazać zabezpieczony dokument.sdoc osobie, która nie ma zainstalowanej aplikacji Sigillum Sign, lub Sigillum Sign PRO, program umożliwia przygotowanie pliku zawierającego dokument wraz z przeglądarką SignOnViewer.exe Możliwe jest to przy wykorzystaniu rozszerzenia programu pozwalającego na spakowanie podpisanego dokumentu razem z przeglądarką do archiwum CAB. Archiwum takie może zostać następnie przesłane do adresata i rozpakowane w innym komputerze z systemem Windows, umożliwiając przeglądanie dokumentu. Systemy Windows 98 i nowsze mają wbudowaną obsługę archiwum CAB z poziomu okna Eksploratora Windows, więc rozpakowanie dokumentu nie wymaga dodatkowego oprogramowania. 46/ 54
Aby wygenerować archiwum należy w oknie Eksploratora Windows kliknąć prawym przyciskiem myszy na pliku podpisanego dokumentu i wybrać z menu Przygotuj archiwum. Program zaproponuje plik docelowy, w którym zostanie zapisane archiwum, a następnie po potwierdzeniu przygotuje ten plik. Program SignOnViewer.exe uruchomiony po rozpakowaniu archiwum w systemie docelowym, samoczynnie kopiuje się do katalogu systemowego Windows i rejestruje w systemie właściwe rozszerzenie pliku, dzięki czemu nie jest konieczne za każdym razem przekazywanie archiwum razem z przeglądarką. Po uruchomieniu przeglądarki po raz pierwszy, system jest gotowy do przeglądania zabezpieczonych dokumentów Sigillum Sign. W przypadku problemów z wysyłaniem i odbieraniem podpisanych plików (wraz z przeglądarką) spakowanych do archiwum *.cab, należy skonfigurować klienta pocztowego tak, aby umożliwiał wysyłanie, odbieranie i otwieranie plików *.cab. Pobieranie zaświadczeń certyfikacyjnych Aby program mógł poprawnie zweryfikować podpisy, należy: - uruchomić odpowiednią opcję pobrania zaświadczeń certyfikacyjnych w dodatkowych zadaniach instalatora lub - przy pierwszej weryfikacji zabezpieczonego pliku automatycznie zostaną pobrane zaświadczenia certyfikacyjne Głównego Urzędu Certyfikacji oraz pośrednich centrów certyfikacji. Przy każdym zaświadczeniu pojawi się okno z informacją jak poniżej. Należy każdorazowo zaakceptować pobranie zaświadczenia. UWAGA! Jeżeli użytkownik zrezygnuje z pobrania zaświadczeń mogą wystąpić problemy z weryfikacją podpisów. 47/ 54
Zgodność z innymi standardami podpisu elektronicznego Aplikacja Sigillum Sign jest w stanie zweryfikować dokumenty podpisane przez aplikację Sigillum Sign i Sigillum Sign Pro. Ponadto Aplikacja ma pełne wsparcie dla weryfikacji plików podpisanych w standardach używanych przez inne krajowe Pośrednie Centra Certyfikacji (Szafir KIR, Certum Unizeto) między innymi standardów PKSC7, CMS, XadES, S/MIME. Sigillum Sign w wersji full pozwala na użycie karty z certyfikatem kwalifikowanym i niekwalifikowanym polskich Centrów Certyfikacji, takich jak Sigillum PWPW S.A., Szafir KIR, Certum Unizeto. Przy pomocy tych certyfikatów oraz aplikacji Sigillum Sign użytkownik jest w stanie podpisać plik, a także podpisać plik dodatkowo znakując go czasem. Aplikacja pozwala na pełną weryfikację plików podpisanych z wykorzystaniem infrastruktury Centrów Ceryfikacyjnych: Sigillum PWPW S.A., Szafir KIR oraz Certum Unizeto weryfikacja podpisu, weryfikacja wielu podpisów i znaczników czasu, weryfikacja kontrasygnaty, weryfikacja znacznika czasu do kontrasygnaty. W obecnej wersji oprogramowanie pozwala między innymi na: Weryfikację plików w standardzie CMS zgodnym z aplikacjami innych centrów certyfikacji (w chwili obecnej są to: KIR i Unizeto) Weryfikację standardów podpisu: ETSI TS 101 733 i ETSI 101 903 XML- XadES Sprawdzanie przez Sigillum Sign faktu zainstalowania zaświadczeń certyfikacyjnych Sigillum na komputerze na którym są instalowane. Ustawienia aplikacji Sigillum 48/ 54
6.4. Zakładka Dokument Aby uruchomić program Sigillum Sign na zakładce Dokument należy kliknąć na Start Programy Sigillum Sign Przeglądarka Sigillum Sign. Aplikacja domyślnie otworzy się na zakładce Dokument. Zakładka ta pozwala na ustawienia podglądu pliku.sdoc. Istnieje możliwość powiększenia i pomniejszenia wyświetlanego pliku oraz przejście do następnej lub poprzedniej strony, jeśli plik zawiera więcej niż jedną stronę. Zaznaczanie opcji Dopasuj szerokość strony, automatycznie zmieni rozmiar wyświetlanego dokumentu, aby mieścił się w szerokości okna przeglądarki SignOnViewer. Przycisk Drukuj, służy do wydrukowania wczytanego pliku w oknie aplikacji Sigillum Sign. Kliknięcie na przycisk Podpisz rozpocznie proces podpisywania pliku.sdoc. Przycisk Otwórz pozwala na otworzenie podpisanego pliku.sdoc, 49/ 54
.signpro,.sig,.xml,.pem,.p7 w celu zweryfikowania podpisu pliku. Użycie przycisku Zamknij spowoduje wyjście z aplikacji Sigillum Sign. W przypadku gdy wczytany został plik podpisany z rozszerzeniem innym niż.sdoc czyli.signpro,.pem,.sig,.p7,.xml w oknie przeglądarki pojawią się dodatkowe dwa przyciski: Prezentacja treści służy do uruchomienia podpisanego pliku przy pomocy skojarzonej aplikacji Zapisz dokument służy do zapisania pliku źródłowego we wskazanym miejscu na dysku. 6.5. Zakładka Podpisy Zakładka podpisy prezentuje w formie graficznej i opisowej statusy podpisów, znaczników czasu i kontrasygnat do pliku w postaci drzewa. Dodatkowo 50/ 54
wyświetlane są opcje o osobie dla której certyfikat został wystawiony, informacje o wystawcy certyfikatu, rodzaju podpisu i numerze seryjnym certyfikatu. Aby obejrzeć szczegóły certyfikatu, należy dwukrotnie kliknąć na certyfikat osoby znajdujący się na białym polu. 6.6. Zakładka Ustawienia W zakładce ustawienia znajduje się główny panel zarządzania aplikacją Sigillum Sign. W sekcji Ustawienia znakowania czasem znajdują się pola do konfiguracji adresu serwera znacznika czasu i identyfikatora polityki znacznika czasu. Aby aplikacja miała możliwość znakowania czasem opcja Podpisuj żądanie musi być zaznaczona. W następnej sekcji Ustawienia repozytorium, istnieje możliwość dodawania, usuwania i edycji list certyfikatów unieważnionych CRL. Poniżej 51/ 54
znajduję się opcja Pobierz CRL przy każdej weryfikacji. Zaznaczenie spowoduje, każdorazowe pobranie aktualnych list CRL przy weryfikacji pliku. Kolejna sekcja Ustawienia proxy pozwala na dodatkowe ustawienia sieci. W przypadku korzystania z serwera Proxy należy zaznaczyć Połączenie poprzez serwer Proxy i wprowadzić dane dotyczące adresu i portu serwera Proxy. Jeżeli serwer Proxy wymaga autoryzacji, należy zaznaczyć opcję Autoryzacja użytkowników i uzupełnić dane do zalogowania się na serwerze Proxy. Istnieje możliwość wymuszenia na aplikacji Sigillum Sign wyświetlenia okna z zapytaniem o ścieżkę pliku dla.sdoc, w tym celu należy zaznaczyć opcję Pytaj o ścieżkę zapisu pliku SDOC. 52/ 54
6.7. Zachowanie konfiguracji Aby wszelkie wprowadzone zmiany w konfiguracji zostały zapamiętane, należy wcisnąć przycisk Zapisz konfigurację a następnie Zamknij. Zmiany zostaną uwzględnione przy następnym uruchomieniu aplikacji. 53/ 54
7. PROBLEMY I BŁĘDY Najczęściej występujące problemy W związku z tym, iż większość problemów z obsługą aplikacji, wynika z braku lub nieuważnego czytania instrukcji użytkownika, zachęcamy do dokładnego zapoznania się niniejszym dokumentem. Najczęściej popełniane błędy Aby uniknąć często występujących problemów zaleca się: 1. Przed pierwszym uruchomieniem aplikacji Sigillum Sign, należy: - zainstalować aplikację Crypto Card Suite - zarejestrować w systemie certyfikat kwalifikowany lub niekwalifikowany z karty mikroprocesorowej za pomocą menagera CryptoCard - zainstalować w systemie aktualne Zaświadczenia Certyfikacyjne Głównego Urzędu Certyfikacji oraz Pośrednich Centrów Certyfikacyjnych 2. Należy pamiętać o poprawnie wsuniętej karcie mikroprocesorowej do czytnika kart, oraz podłączonym czytniku do stacji roboczej 3. Zamknąć wszystkie inne aplikacje podczas instalacji programu Sigillum Sign 4. Podłączyć stację roboczą do sieci Internet 5. Należy zrestartować Windows po zainstalowaniu aplikacji. 54/ 54