Guida Servizio Firma Digitale - Aggiornata al 08

Firma Digitale
Guida Completa al Servizio
Sommario
INSTALLAZIONE LETTORI SMART CARD...................................................................................................... 5
Installa Kit ...................................................................................................................................................... 5
Cartella KITFD............................................................................................................................................... 6
Modelli Lettori ................................................................................................................................................ 8
installazione USB IPM NET/INCARD/BIT4ID mU38 o 38U .......................................................................... 9
installazione Cardman Usb 2020 ................................................................................................................ 12
INSTALLAZIONE IPM/INCARD mU31-32-33-36........................................................................................ 16
UTILIZZO FIRMA DIGITALE ........................................................................................................................... 18
Software Dike .............................................................................................................................................. 18
QUANDO CAMBIARE VERSIONE DIKE ............................................................................................... 18
COME INSTALLARE DIKE..................................................................................................................... 18
Cardos API .................................................................................................................................................. 19
Certificati presenti nella Smart Card ........................................................................................................... 20
Personalizzazione/Modifica PIN.................................................................................................................. 21
ATTIVAZIONE SMART CARD................................................................................................................ 21
CAMBIO PIN SMART CARD .................................................................................................................. 23
SBLOCCO PIN SMART CARD............................................................................................................... 23
Validità Smart Card e Certificati .................................................................................................................. 23
Smart Card di tipologia CNS ....................................................................................................................... 25
CERTIFICATO CNS ............................................................................................................................... 25
Card POSTECOM o ACTALIS .................................................................................................................... 25
Errori nell'utilizzo della Smart Card ............................................................................................................. 26
ERRORE 6 IN FASE DI FIRMA CON CARD CNS (12040..., 7420...) ................................................... 26
CARD NON VALIDA / BLOCCATA / PIN ERRATO ............................................................................... 26
CHIAVE "RSA" NON TROVATA / ERRORE GENERICO 130............................................................... 27
ERRORE: IMPOSSIBILE SCARICARE LA "CRL" ................................................................................. 27
CERTIFICATO DI "CA" NON TROVATO ............................................................................................... 27
CERTIFICATO NON CONFORME ALLA NORMATIVA......................................................................... 27
ERRORE "ICCRYPTO.DLL"................................................................................................................... 27
ERROR IN FUNCTION BIO_WRITE_FILENAME.................................................................................. 28
CARTA NON INSERITA NEL LETTORE ............................................................................................... 28
Rinnovo certificati digitali ................................................................................................................................. 29
Marcatura Temporale dei documenti............................................................................................................... 36
iii
INSTALLAZIONE LETTORI SMART CARD
INSTALLA KIT
All’interno del CD Servizi CGN sono disponibili i drivers per i lettori distribuiti da CGN, ovvero IPM NET /
INCARD e CARDMAN (solo USB), aggiornati alle versioni supportate anche da XP Service Pack 2.
Tramite il pulsante "Installazione Kit Firma Digitale", disponibile accedendo al Menù Principale del CD
Servizi CGN, si installa il software per i lettori INCARD mU38 (il modello del lettore si desume dall’etichetta
apposta sul retro dello stesso).
Un eventuale Errore nell’installazione (0) non pregiudicherà la corretta installazione di questi drivers,
quindi ignorarlo.
Accedendo da Risorse del computer, tasto destro del mouse sull’unità del CD e scegliendo Apri, cartella
Kitfd, cartella Screader saranno disponibili i drivers per :
- i lettori USB IPM NET/INCARD/BIT4ID mU38 o 38U
- i lettori USB IPM NET/INCARD mU31, mU32, mU33, mU36
- i lettori USB CARDMAN (2020)
- i lettori seriali IPM NET mL31 (compatibili solo con Windows XP service pack 1 e precedenti)
5
CARTELLA KITFD
contiene le vecchie versioni 3.2.3 e 3.3.6, non
La cartella
DIKE
disponibili sul sito www.firma.infocert.it, e la
versione 4.1.0 (ultima versione alla data di
uscita del cd CGN 2008) e la relativa tool di
supporto Dike Util versione 1.1.0
contiene la cartella CardOs con all’interno le
versioni
2.2.1
e
2.4.1
utilizzabili
rispettivamente a supporto di Dike 3.3.6 e 4.1.0;
contiene il file Javavm.exe ovvero l’eseguibile
La cartella
per installare la Microsoft Virtual Machine
VARIE
aggiornata per i caricamenti degli Applet di
Infocamere/Infocert;
contiene windows installer 3.1 necessario per
la corretta installazione del software Dike.
(esempio: err “instmsi30.exe not found”)
contiene i driver per i lettori.
La cartella
SCREADER
La cartella Drivers, il file ReadMe e il Setup.exe
sono relativi all’installazione dei lettori mU38 e
quindi
il
Setup
dall’autorun del cd.
6
è
quello
interfacciato
drivers per i Minilector RS232
drivers Sysgillo (utilizzabili sia per i seriali che
per gli usb)
La cartella
ALTRI
drivers Cardman usb 2020
drivers per IPM/Incard usb mU31-mU32-mU33mU36 supportati anche da XP SP2
7
MODELLI LETTORI
MODELLO
ISTRUZIONI
CON
IMMAGINI
ISTRUZIONI
accedere al menù Installazione kit firma
digitale del CD CGN e lanciare l’installazione
oppure entrare da Risorse del computer, aprire
Incard mU38
CD CGN, cartella Kitfd, Screader, setup.exe
Vedi istruzioni
(con lettore da connettere al pc solo quando
richiesto dall’installazione)
Per
win98/2000/XP
sp1
e
sp2:
lanciare
l’installazione da Risorse del computer ,aprire
usb IPM/Incard
mU31,mU32,mU33,mU36
CD
CGN,
cartella
Kitfd,
Screader,Altri,
IPM_mU31,32,33,36, setup.exe (driver ACS;
Vedi istruzioni
con lettore da connettere al pc solo quando
richiesto dall’installazione.
collegare subito il lettore al pc, entrare in
Gestione periferiche, doppio click sulla voce
del lettore Cardman, e specificare il percorso
usb Cardman (2020)
dal CD CGN per individuare la cartella
Cardman
con
all’interno
il
file
Vedi istruzioni
“.inf”
d’installazione.
lanciare
l’installazione
da
Risorse
del
computer ,aprire CD CGN, cartella Kitfd,
Screader, Altri, Sysgillo, setup.exe.
seriali IPM
Attenzione:
questo
modello
di
lettore
è
compatibile solo con Windows XP sp 1 e
precedenti
seguire le indicazioni per gli usb IPM/Incard
Usb GEP
8
mU31,mU32,mU33,mU36
Vedi istruzioni
INSTALLAZIONE USB IPM NET/INCARD/BIT4ID mU38 o 38U
1. Inserire il CD Servizi CGN nel lettore, dopo l'apertura automatica del menù cliccare sul link
"Uscita", quindi accedere al CD Servizi CGN da Risorse del Computer (tasto destro del mouse
e scegliere "Apri"), posizionarsi nella cartella KITFD -> SCREADER e cliccare sul file SETUP.exe.
NOTA BENE: solo per questi modelli di lettori è possibile accedere alla procedura di installazione
anche dalla finestra, in apertura automatica, del CD Servizi CGN, cliccando sul pulsante "Menù
Principale", poi "Installazione Kit Firma Digitale" e infine sul pulsante "Installa/Rimuovi" in
corrispondenza della voce Lettore SmartCard (modello INCARD MU38)
2.
Cliccare su "Install"
3. Cliccare su "YES"
9
4. Verificare che il miniLector NON sia collegato al computer quindi cliccare su "OK"
5. Collegare il miniLector ad una porta USB libera ed attendere che la procedura di installazione
automatica nuovo hardware termini correttamente con la segnalazione:"Il nuovo hardware è
installato e pronto per l'uso". A questo punto cliccare su "OK"
6. Cliccare su "Finish"
10
7. Si può quindi verificare la corretta installazione in Gestione Periferiche (Avvio -> Impostazioni ->
Pannello di Controllo -> Sistema -> Hardware -> Gestione Periferiche) verificando la presenza
del lettore ACR 38 Smart Card Reader.
11
INSTALLAZIONE Cardman Usb 2020
1. Inserire il CD Servizi CGN, uscire dal Menù principale e collegare il lettore.
2. Se Windows avvia automaticamente la procedura di Installazione guidata nuovo hardware,
selezionare la voce Installa da un elenco o percorso specifico e cliccare su "Avanti" .
In caso contrario per avviare manualmente l'Aggiornamento guidato hardware cliccare su: "Start >
Pannello di Controllo > Sistema > Hardware > Gestione Periferiche"; espandere la voce Lettori
Smart Card e cliccare con il tasto destro del mouse su: "Lettore USB di Smart Card Omnikey AG
Cardman 2020" e selezionare "Aggiorna driver..."
3. Selezionare "Non effettuare la ricerca. La scelta del driver da installare verrà effettuata
manualmente" e cliccare su "Avanti"
12
4. Cliccare su "Disco driver..."
5. Cliccare su "Sfoglia..."
13
6. Selezionare la cartella dal CD Servizi CGN: KITFD > SCREADER > ALTRI > CARDMAN e
cliccare su "Apri"
7. Cliccare su "OK"
8. Cliccare su "Avanti"
14
9. Cliccare su "Fine"
15
INSTALLAZIONE IPM/INCARD mU31-32-33-36
1. Inserire il CD Servizi CGN nel lettore, dopo l'apertura automatica del menù cliccare sul link
"Uscita", quindi accedere al CD Servizi CGN da Risorse del Computer (tasto destro del mouse
e
scegliere
"Apri"),
posizionarsi
nella
cartella
IPM_MU31_32_33_36 e cliccare sul file SETUP.exe.
2.
Cliccare su "Install"
3. Cliccare su "YES"
16
KITFD
->
SCREADER
->
ALTRI
->
4. Verificare che il miniLector NON sia collegato al computer quindi cliccare su "OK"
5. Collegare il miniLector ad una porta USB libera ed attendere che la procedura di installazione
automatica nuovo hardware termini correttamente con la segnalazione:"Il nuovo hardware è
installato e pronto per l'uso". A questo punto cliccare su "OK"
6. Cliccare su "Finish"
7. Si può quindi verificare la corretta installazione in Gestione Periferiche (Avvio -> Impostazioni ->
Pannello di Controllo -> Sistema -> Hardware -> Gestione Periferiche) verificando la presenza del
lettore ACS USB Smart Card Reader.
17
UTILIZZO FIRMA DIGITALE
SOFTWARE DIKE
DIKE è il software di firma e di verifica di un file firmato: quindi non solo appone firme elettroniche ma
permette, ovviamente, anche di visualizzare file già firmati digitalmente.
All’apertura del programma potrebbe essere visualizzato l’avviso di una versione più aggiornata da
scaricare.
In questi casi si può accedere a:
http://www.firma.infocert.it/installazione/software.php
e scaricare la versione più recente di DIKE, avendo prima l’accortezza di disinstallare la versione
precedente.
Dalla versione 4.0.0 di DIKE è automatica, all'apertura del programma, la funzionalità di scarico
aggiornameti che agisce sulla versione dei singoli componenti della cartella Dike (librerie, menù...) e non
sulla versione generale del programma.
DIKE UTIL
con il passaggio alla versione 4.0.0 del programma Dike, alcune funzionalità (quali l'attivazione e la verifica
della smart card, la verifica dei certificati, il cambio/sblocco/impostazione del PIN), sono state tolte e fatte
confluire nel programma di utilità DiKeUtil: è per questo motivo che si consiglia di scaricare da
http://www.firma.infocert.it/installazione/installazione_DiKeUtil.php
e installare sul proprio PC anche tale programma.
QUANDO CAMBIARE VERSIONE DIKE
L’aggiornamento è obbligatorio in alcuni casi:
Se si devono visualizzare e firmare .pdf con Acrobat Reader 7.0 o 8.0 è necessaria la versione
Dike 3.2.3 o superiore
Per procedere al rinnovo dei certificati è necessaria la versione DIKE 4.0.0 o superiore (contiene
delle librerie utilizzate dalla procedura di rinnovo). Ricordiamo che tale versione (Dike 4.0.0) è
supportata solo da Windows 2000, Windows XP, Windows 2003 e Windows Vista.
COME INSTALLARE DIKE
Si rimanda alle istruzioni presenti su
http://www.firma.infocert.it/installazione/installazione_DiKe.php
La disinstallazione si esegue dal Pannello di controllo – Installazione Applicazioni
18
Cardos API
Il microprocessore delle Card che iniziano per 140… e 150… (produttori Siemens ed Eutron) non vengono
letti direttamente da DIKE ma hanno bisogno di un pacchetto software aggiuntivo.
La versione più recente del CardOS API e le istruzioni per l’installazione sono disponibili con il nuovo DIKE
su:
http://www.firma.infocert.it/installazione/installazione_DiKe.php
Si sottolinea che è necessario aver prima disinstallato la versione precedente, se installata (Pannello di
Controllo - Installazione Applicazioni - Selezionare il programma Siemens Cardos Api - Rimuovi).
19
CERTIFICATI PRESENTI NELLA SMART CARD
Nelle Card emesse da CGN, in quanto distributore per Infocamere S.c.p.A, sono presenti due certificati di
firma:
Certificato di Sottoscrizione (utilizzato per firmare ogni file informatico; è quindi utilizzato per
firmare contratti, bilanci, pratiche camerali, scritture private….)
Certificato di Autenticazione (utilizzato per firmare i messaggi di posta elettronica e per
autenticarsi in siti web protetti)
Rimandiamo al sito
http://www.firma.infocert.it/guida/
per le istruzioni all’uso dei certificati di firma, in particolare per l’utilizzo del certificato di Autenticazione.
A questo proposito ricordiamo che l’utilizzo del certificato di Autenticazione per firmare un messaggio di
posta elettronica è possibile SOLO con l’indirizzo E-Mail specificato nella Richiesta di Registrazione e
memorizzato, quindi, nella Smart Card. Qualora l’indirizzo di posta elettronica dovesse variare, si dovrà
revocare (o lasciare scadere) il certificato di Autenticazione in quanto non più utilizzabile. Il problema non si
presenta per il certificato di Sottoscrizione, per il quale l’indicazione dell’indirizzo E-Mail del titolare non è
dato fondamentale e può variare successivamente all’emissione della card senza comprometterne l’utilizzo.
20
PERSONALIZZAZIONE/MODIFICA PIN
Per personalizzare/modificare il PIN segreto (Personal Identification Number) di una smart card procedere
come illustrato di seguito.
ATTIVAZIONE SMART CARD
da Dike 3.3.6, Menù Strumenti-Cambio PIN, in caso di primo utilizzo viene richiesta
automaticamente l'attivazione della smart card e appare la seguente finestra:
digitare le ultime otto cifre del codice contenuto all'interno della busta di emergenza sia nella
casella PUK sia nella casella PIN (nelle buste più recenti le 8 cifre sono riportate anche in una
separata voce PUK/PIN), e cliccare su "OK";
dall'applicazione IcCNS (presente sul Desktop dopo l'installazione di Dike 3.3.6), Menù UtilityAttivazione PIN:
21
digitare le ultime otto cifre del codice contenuto all'interno della busta di emergenza sia nella
casella PUK sia nella casella PIN (nelle buste più recenti le 8 cifre sono riportate anche in una
separata voce PUK/PIN), e cliccare su "OK".
Per utilizzatori Dike 4.0.0 ( e superiore) le funzionalità di attivazione PIN e cambio PIN richiedono la
presenza di un secondo software: Dike Util.
Quindi dall'applicazione Dke Util selezionare Attivazione-PIN:
digitare le ultime otto cifre del codice contenuto all'interno della busta di emergenza sia nella
casella “PUK di firma” sia nella casella PIN (nelle buste più recenti le 8 cifre sono riportate anche
in una separata voce PUK/PIN), e cliccare su "OK".
22
CAMBIO PIN SMART CARD
Attivata la card, è consigliabile personalizzare i PIN in modo da differenziarli dal codice iniziale che coincide
con il codice PUK .
Per chi utilizza Dike 3.3.6: la funzione di Cambio PIN è disponibile da Dike, Menù Strumenti Cambio PIN.
Per chi utilizza Dike 4.0.0 (e superiore): la funzione di Cambio PIN è disponibile dall’applicazione
Dike Util, Cambio PIN.
L'utente può decidere se modificare solo uno o entrambi i PIN. Nei campi relativi al Pin attuale, per la prima
personalizzazione dei Pin, bisognerà inserire il codice Puk. Nei campi Nuovo Pin , un codice di otto cifre
liberamente scelto: è ovviamente più pratico personalizzare con lo stesso nuovo codice di 8 cifre sia il PIN
che protegge l’utilizzo della card che il PIN che appone la firma digitale.
SBLOCCO PIN SMART CARD
Per chi utilizza Dike 3.3.6: la funzione di Sblocco PIN è disponibile dall’applicazione IcCNS, menù
Utility-Sblocco PIN.
Per chi utilizza Dike 4.0.0 (e superiore): la funzione di Sblocco PIN è disponibile dall’applicazione
Dike Util, Sblocco PIN.
Le Smart Card che iniziano per 140…, 150… necessitano per il loro utilizzo del software CardOS API che,
oltre all’attivazione delle stesse Card ed alla gestione del PIN, gestisce anche il codice di sblocco (PUK)
dall’utility “PIN PUK Management” visibile con il tasto destro del mouse sull’icona del programma (vicina
all’orologio).
Le Smart Card che iniziano per 12020..., 12030... e 160… si sbloccano all'indirizzo:
http://www.firma.infocert.it/utenti/sblocco.php
seguendo le istruzioni riportate.
Dalla versione di DIKE 4.0.0 è necessario installare separatamente l'applicazione Dike Util per lo sblocco,
l’attivazione e il cambio PIN per le Card 7420… e 1204… di nuova generazione.
VALIDITÀ SMART CARD E CERTIFICATI
I certificati di firma generati e/o rinnovati prima del 17/12/2004 hanno validità di due anni.
Le nuove emissioni o i rinnovi successivi a questa data hanno validità di tre anni.
La verifica può essere effettuata, con carta inserita nel lettore:
Per chi utilizza Dike 3.3.6: da Dike, Menù Strumenti - Lista certificati sulla Smart Card. Attendere
la visualizzazione dei certificati, evidenziarli con un clic del mouse e scegliere "apri": nei dati in
dettaglio comparirà il periodo di validità.
23
Per chi utilizza Dike 4.0.0 (e superiore): la funzione è disponibile dall’applicazione Dike Util, Mostra
certificati. Attendere la visualizzazione dei certificati, fare un clic del mouse sopra, nei dati in
dettaglio comparirà il periodo di validità.
Negli ultimi tre mesi di validità di ogni certificato presente nella Card si può procedere al rinnovo.
Per rinnovo si intende la generazione di un nuovo certificato simile al primo (sottoscrizione o autenticazione)
che verrà memorizzato all’interno della Smart Card e che a memorizzazione completata sarà utilizzato al
posto del precedente.
La Smart Card intesa come tesserino dotato di microprocessore elettronico non ha invece una scadenza
fissa: allo scadere di ogni triennio di validità dei certificati in essa contenuti bisognerà controllare da DIKE,
(Menù Strumenti/Verifica spazio su smart card - attenzione: ultima versione Dike che attualmente supporta
tale funzionalità è la 3.3.6) se c’è ancora spazio disponibile all’interno della Card per la memorizzazione dei
nuovi certificati.
24
SMART CARD DI TIPOLOGIA CNS
E’ necessario, innanzitutto, distinguere tra CARD DI TIPOLOGIA CNS, e CERTIFICATO CNS, ovvero
certificato di autenticazione per Carta CNS.
Le smart card (di tipologia) CNS hanno numero di serie 1204… e 7420…; necessitano per il loro utilizzo:
della versione di Dike 3.1.1 o successive
di drivers aggiornati per il lettore smart card
sistema operativo superiore a Windows 98
Al loro interno potranno essere memorizzati i soliti certificati di sottoscrizione e autenticazione oppure,
al posto di quest’ultimo, un certificato di autenticazione CNS.
Le card con numero di serie 1204.. e 7420.. sono attualmente le uniche fornite da Infocamere/InfoCert
alle società sue distributrici (CGN) e alle CCIAA ma SOLO LE CCIAA, in qualità di ente pubblico,
POTRANNO EMETTERE AL LORO INTERNO I CERTIFICATI DI AUTENTICAZIONE CNS.
CERTIFICATO CNS
Il certificato CNS è un nuovo certificato di autenticazione che amplia i servizi della smart card
disponibili telematicamente dalle diverse Pubbliche Amministrazioni (per un dettaglio aggiornato vedi
www.firma.infocert.it/utilita/generali.php)
La CNS non può essere rilasciata a chi sia già in possesso di carta di identità elettronica (CIE). In
questo caso, potrà essere richiesta l’emissione di una Smart Card normale.
La CNS ha una validità di 6 anni e deve essere rinnovata ogni 3 anni, perciò è consentito un solo
rinnovo. Alla scadenza dei 6 anni sarà necessario richiedere una nuova CNS.
Card POSTECOM o ACTALIS
Le informazioni in proposito sono piuttosto limitate, comunque DIKE permette di firmare anche le Smart Card
rilasciate da:
POSTECOM (produttore GEMPLUS); per poterle utilizzare con DIKE devono essere installati i driver
rilasciati dalle Poste (non sono scaricabili da Internet, vengono dati con la Card presso lo sportello
emittente)
ACTALIS: il rilascio delle Card è accompagnato dal software “Firma Digitale Actalis File Protector”
(distribuito da BUFFETTI) che contiene attualmente una versione del CardOS API meno recente di
quella distribuita da Infocamere. Per utilizzare queste Card con DIKE è sufficiente aver installato la
versione di CardOS API rilasciata da InfoCert.
Non è possibile modificare il PIN della Card con DIKE ma solo con i software distribuiti dai diversi fornitori.
25
ERRORI NELL'UTILIZZO DELLA SMART CARD
ERRORE 6 IN FASE DI FIRMA CON CARD CNS (12040..., 7420...)
E’ necessario sbloccare il Pin Firma digitale (o firma avanzata) dall’utility IcCNS (voce Sblocco PIN):
Dike, infatti, riconosce per questo tipo
di card solo il primo Pin, ovvero quello
per accedere alle funzionalità della
smart card (Pin Carta CNS) ; non
riesce però ad utilizzare correttamente
il
Pin
per
apporre
la
firma
elettronica, di qui la necessità di
reimpostarlo nella sezione PIN firma
digitale.
N.B. il codice PUK corrisponde alle
ultime 8 cifre del codice contenuto
nella busta di revoca (nelle buste di
revoca di più recente rilascio, è messo
in evidenza sotto il codice)
CARD NON VALIDA / BLOCCATA / PIN ERRATO
Appare in fase di verifica del PIN e non di firma, le possibili cause sono:
Carta non valida per l’incompatibilità tra DIKE e la Card stessa;
Carta inserita al contrario (la Smart Card deve essere inserita con il microprocessore rivolto verso
l’alto ovvero verso il LED del lettore);
Card bloccata per errata digitazione del PIN.
26
CHIAVE "RSA" NON TROVATA / ERRORE GENERICO 130
Sbloccare il PIN della Smart Card
ERRORE: IMPOSSIBILE SCARICARE LA "CRL"
Ogni qualvolta si utilizza il programma Dike per firmare o aprire un documento firmato, il programma stesso
cerca di collegarsi al protocollo LDAP InfoCamere per la verifica della validità del certificato di firma. Se
questo tentativo di connessione è bloccato per vari motivi, l’errore viene visualizzato.
La risoluzione a questo tipo di problema si ha accertandosi di essere connessi in rete, oppure, nel caso si sia
connessi tramite Proxy, Router, Firewall o altro configurare tali elementi per la corretta comunicazione con il
protocollo di InfoCamere.
Gli indirizzi che dovranno essere configurati dall’utente sul proprio hardware di connessione sono i seguenti:
LDAP:\LDAP.INFOCAMERE.IT PORTA 389 in uscita e in entrata e LDAP2:\LDAP2.INFOCAMERE.IT
PORTA 389 in uscita e in entrata.
CERTIFICATO DI "CA" NON TROVATO
Scaricare l’elenco dei Certificatori dal menù Strumenti di DIKE 3.3.6 perché non aggiornato e ri-verificare la
firma apposta.
CERTIFICATO NON CONFORME ALLA NORMATIVA
E’ stato utilizzato nella firma il certificato di Autenticazione (da usare solo per le e-mail) e non quello di
Sottoscrizione. La firma è da considerarsi nulla.
Il solo certificato valido per la firma dei documenti è il certificato di Sottoscrizione (PRA). Tale messaggio di
errore viene visualizzato quando si cerca di firmare il file con il certificato di Autenticazione (AUT) destinato,
appunto, all'autenticazione dei messaggi e-mail.
Questo messaggio può comparire anche se si sta firmando con un certificato di Sottoscrizione se questo è
stato rilasciato dopo il 03/12/2005. Da tale data infatti il formato dei certificati è cambiato per adeguamento
alla nuova normativa ed è quindi necessario installare l'ultima versione di Dike (o almeno avere installata
una versione uguale o superiore alla 3.3.1).
ERRORE "ICCRYPTO.DLL"
Reinstallare il software del lettore, nonostante il LED si accenda quando viene inserita la Card.
27
ERROR IN FUNCTION BIO_WRITE_FILENAME
Il file che si sta firmando ha l'attributo di "sola lettura" (tasto destro del mouse su file, selezionare voce
"proprietà", togliere spunta da "sola lettura").
CARTA NON INSERITA NEL LETTORE
1. il LED non si accende all’inserimento della Card:
lettore scollegato o non collegato correttamente
software del lettore non installato
Il servizio SMART CARD non è avviato (solo per Windows 2000 e XP: cliccare su START –
ESEGUI, digitare SERVICES.MSC e fare click su OK, cercare il servizio smart card, aprire le
proprietà con il doppio click e verificare che lo “Stato del servizio” sia Avviato e che il “Tipo di avvio”
sia Automatico, altrimenti correggere in questo senso)
carta inserita al contrario (il LED lampeggia poi si spegne)
2. il LED si accende ma viene comunque visualizzato il messaggio “Carta non inserita nel lettore”:
non è stato selezionato il lettore su DIKE (menù Opzioni, lettore utente)
versione di DIKE non compatibile con il tipo di Card
non è installato il software CardOS API per le Card che iniziano per 140..., 150….
28
RINNOVO CERTIFICATI DIGITALI
PREMESSA:
Per procedere al rinnovo dei certificati digitali è necessario:
sistema operativo Windows 2000, Windows XP, Windows 2003 o superiori. Non sono più
supportati i sistemi Windows 98, Windows ME e Windows NT
aver installato l’ultima versione del software Dike disponibile nel sito https://www.firma.infocert.it/
RINNOVO:
Per effettuare l’operazione di rinnovo dei certificati digitali collegarsi a:
http://www.firma.infocert.it/utenti/rinnovo.php elencati al punto 2
AVVERTENZA: il pagamento dell'operazione di rinnovo avviene più agevolmente con indicazione della user
Telemaco (WZJ), i titolari di tale user non dovranno quindi utilizzare il pulsante "acquista" che prevede il
pagamento con carta di credito.
Dopo aver cliccato sul pulsante "Attiva il rinnovo", confermando gli eventuali avvisi di protezione,
attendere il completo caricamento dell'applet (vedi Figura 1);
1. Figura 1 – Applet Rinnovo Certificati
1. Inserire il PIN della Smart Card e cliccare su "Leggi certificati" (per problemi con il “Path di
sistema” seguire la guida alla risoluzione degli errori alla fine della presente guida).
Nei riquadri appariranno (vedi Figura 2), se presenti nella Smart Card, i dati relativi ai certificati e,
nel
caso
siano
rinnovabili,
verrà
attivato
anche
il
relativo
pulsante
"Rinnova".
29
Se, al contrario, il certificato non è rinnovabile apparirà un messaggio di avvertimento ed il pulsante
non verrà attivato.
Il
certificato
è
rinnovabile
solo
negli
ultimi
tre
mesi
di
validità
dello
stesso:
OLTRE LA SCADENZA NON SARÀ PIÙ POSSIBILE RINNOVARLO!
Figura 2 – Lettura Certificati
LE OPERAZIONI CHE SEGUONO VANNO EFFETTUATE PER CIASCUN CERTIFICATO:
2. Cliccare sul pulsante "Rinnova" ed attendere il seguente messaggio:
3. Inserire User e Password Telemaco assegnati da Servizi CGN (gli stessi utilizzati per richiedere
Visure
e
Certificati
–
Servizio
Sportello
CCIAA)
e
cliccare
sul
pulsante
Invia.
Ciò permetterà di equiparare il rinnovo ad una normale operazione svolta con
Telemaco, con relativo addebito a mezzo RID al costo di € 8 + IVA per ogni certificato
rinnovato.
30
ATTENZIONE: qualora si provveda a rinnovare un certificato di autenticazione CNS
(emesso esclusivamente da CCIAA) Infocert addebiterà invece € 7 per diritti di
segretreria.
4. Quando appare il messaggio: "Richiesta inoltrata correttamente” cliccare sul pulsante OK e
attendere qualche istante per effettuare lo scarico.
5. Contestualmente sul pulsante "Rinnova" apparirà la scritta "Scarica".
QUINDI LE OPERAZIONI DA ESEGUIRE IN SEQUENZA SONO:
1. Rinnovo certificato di sottoscrizione
2. Scarico del certificato di sottoscrizione rinnovato sulla Smart Card
3. Rinnovo certificato di autenticazione
4. Scarico del certificato di autenticazione rinnovato sulla Smart Card
L'operazione di generazione delle nuove chiavi e del certificato rinnovato può durare fino a due minuti
(dipende dalla stazione e dal Sistema Operativo utilizzato).
Dopo aver premuto il pulsante "Rinnova" NON chiudere il browser o estrarre la Smart Card fino alla
comparsa del messaggio successivo.
Dopo circa 1minuto procedere con lo scarico del certificato a bordo della Smart Card cliccando sul pulsante
"Scarica".
Anche in questa fase NON chiudere il browser o estrarre la Smart Card fino al completamento
dell'operazione che verrà segnalato da un breve messaggio "Certificato memorizzato correttamente".
ASSISTENZA AL RINNOVO:
Per eventuali problemi che potranno verificarsi durante l’operazione di rinnovo inviare
esclusivamente un Quesito scritto al servizio Assistenza Telematica CGN
(strumento Quesiti Telematici- pulsante “Assistenza CGN” presente in piattaforma).
31
GUIDA ALLA RISOLUZIONE DEI PROBLEMI NOTI:
AVVERTENZA:
Alcuni software di protezione (firewall) come ad esempio “Norton Internet Security”, “Zone Alarm”, etc.,
possono causare problemi durante la procedura di rinnovo; pertanto, si consiglia DI DISATTIVARLI
MOMENTANEAMENTE PRIMA DI INIZIARE TALE OPERAZIONE.
Errore:
Cartella Dike non trovata nel Path
1. Pulsante destro del mouse sull’icona “Risorse del Computer”
2. Proprietà con il pulsante sinistro
3. Click su “Avanzate”
4. Click sul pulsante “Variabili d’Ambiente”
5. Doppio Click sulla variabile di sistema Path
32
6. Aggiungere alla fine della stringa “Valore Variabile”, se non presente:
;c:\programmi\infocert\dike
(non eliminare il valore corrente)
7. Confermare con OK tutte le finestre e riavviare il computer.
8. Se, nonostante le operazioni sopra svolte, l’applet continua a non caricarsi per l’errore”
cartella Dike non trovata nel path”, verificare (con start->cerca/trova->file o cartelle) che la
libreria LIBEAY32.DLL sia presente solo all’interno della cartella dike .
Nell’eventualità che tale libreria sia presente anche in altre cartelle (es. C:\Programmi\Panda
Software\Panda Platinum 2005 Internet Security\libeay32.dll) è necessario RINOMINARE
momentaneamente tali ricorrenze affinché l’applet riconosca ed utilizzi la libeay32.dll solo dal
percorso canonico c:\programmi\infoCert\dike (quindi, nel nostro esempio, disabilitare al volo il
Panda, accedere dalle Risorse del computer alla cartella Panda Platinum 2005 Internet security,
selezionare la libreria e rinominarla aggiungendo l’estensione “.old “; una volta caricato
correttamente l’applet ed effettuato il rinnovo dei certificati digitali, ripristinare la situazione
precedente rinominando la libreria con nome/estensione originari)
L’applet non viene caricata
Nel caso in cui il browser utilizzato sia “Microsoft Internet Explorer” e nella videata di rinnovo non
compaia “l’applet firmato” effettuare la seguente verifica:
accedere al menù STRUMENTI di Internet Explorer, voce OPZIONI INTERNET, AVANZATE, e
verificare che compaia la voce Java (Sun), versione 1.5.0 o superiore, e che sia spuntata (in caso
contrario apporre la spunta e riavviare il browser).
33
Errore nello scarico del certificato rinnovato
In caso di errore nello Scarico, consigliamo di riavviare il browser (Internet Explorer), rientrare in
Rinnovo Certificati e cliccare su "leggi certificati".
Qualora il certificato da rinnovare non fosse presente nel riquadro, dopo la lettura dei certificati, il
pulsante "Scarica" si attiverà ugualmente permettendo lo scarico del certificato rinnovato.
Errore nella mininfo
Aprire il programma Dike e verificare che sia:
¾
attivato con il numero di serie fornito da InfoCert
¾
aggiornato all’ultima versione rilasciata da InfoCert. E’ sufficiente aprire il programma e gli
eventuali aggiornamenti mancanti vengono scaricati automaticamente.
Errore: CRYPTOKI Login Error
E’ necessario procedere allo sblocco del PIN Card collegandosi al sito
http://www.firma.infocert.it/utenti/sblocco.php
Seguire le istruzioni riportate; riprovare quindi la procedura di rinnovo.
34
Cliccando sul pulsante RINNOVA o SCARICA non si avvia la procedura
Riprovare tenendo premuto il pulsante Rinnova o Scarica per qualche secondo con il tasto
sinistro del mouse e poi rilasciare.
Se non dovesse dare esito positivo cliccare una volta sul pulsante Rinnova o Scarica con il tasto
destro del mouse.
35
MARCATURA TEMPORALE DEI DOCUMENTI
Per accedere al servizio di marcatura è necessario aver già acquistato un lotto di marche temporali alla
pagina http://www.firma.infocert.it/cosa/marcatura_temporale.php .
Quindi aprire il file firmato (estensione .p7m) che si necessita marcare ed accedere al menù di Dike, "File"
voce Marca.
Dike chiede l’identificazione del firmatario al servizio di marcatura temporale dei documenti attraverso
l’inserimento di un identificativo e di una password. Aprendo infatti da Dike il file firmato e da marcare, e
accedendo al menù File -> Marca, si visualizzerà una maschera con richiedente ID Utente e Password, ove
l’ID Utente è rappresentato dall’ ’indirizzo di posta elettronica dichiarato al momento della registrazione
http://www.firma.infocert.it/cosa/marcatura_temporale.php, indirizzo al quale Infocamere indirizzerà le
fatture relative all’acquisto delle marche temporali) ; la password da un codice scelto dall’acquirente
sempre nella fase di registrazione antecedente all’acquisto on-line delle marche temporali).
Confermando con OK i dati dell’identificazione, in pochi secondi il documento verrà marcato temporalmente
ed assumerà l’estensione .m7m.
36