Authenticatie via een certificaat met behulp van een browser

Deze pagina bevat informatie over het gebruik van elektronische certificaten waarmee u zich met behulp van de nieuwe methode kunt authentificeren voor bepaalde toepassingen van de FOD Financëen.

Hou er rekening mee dat u uw elektronische identiteitskaart niet kan gebruiken als authenticatiemiddel in deze aanmeldingsmethode. Dit is niet toegelaten. Indien u zich wil aanmelden met uw elektronische identiteitskaart, moet u eID als aanmeldingsmethode gebruiken.

Waarom is er een nieuwe authentificatiemethode ?

Voor de vroegere authentificatiemethode was een handtekening met een identificatietoken met behulp van de browser vereist. Omdat deze handtekening van de aanvang af niet werd ondersteund door Internet Explorer, moest de module CAPICOM worden geïnstalleerd. Deze module wordt bovendien niet meer officieel ondersteund door Microsoft en zou niet meer kunnen werken op de nieuwe versies van Windows en Internet Explorer. Daarom hebben wij besloten om een nieuwe methode te ontwikkelen waarvoor geen handtekening meer vereist is en dus ook geen externe module. Deze nieuwe methode is net zo goed beveiligd als de vroegere.

Deze pagina bevat volgende hoofdstukken :

Technische vereisten
Het verkrijgen van een numeriek certificaat
Gebruik met Internet Explorer
Gebruik met Firefox
Veel voorkomende fouten

Voor problemen betreffende de digitale handtekening, gelieve deze link te volgen.

1. Technische vereisten

Voor de nieuwe authentificatie via een certificaat is er geen digitale handtekening met een identificatietoken meer vereist. Het volstaat dus om over een certificaat te beschikken en een browser die in staat is om dit certificaat te gebruiken.

De onmisbare componenten voor een authenticatie zijn :

Een certificaavan van klasse 3.
Een browser die de certificaten ondersteunt. Wij raden u het gebruik van Firefox en Internet Explorer aan

2. Het verkrijgen van een numeriek certificaat

Het ondertekenen van een document en de authenticatie via certificaat gebeuren via een numeriek certificaat.

Enkel de Isabel, GlobalSign, Certipost en QuoVadis certificaten worden aanvaard door FOD Financëen (volledige lijst hier).

3. Gebruik met Internet Explorer

Om problemen te voorkomen, raden we u ten zeerste de site van FOD Financiën toe te voegen aan de lijst van vertrouwde websites :

Ga naar de menu "Tools > Internet Options...", tabblad "Security"
Klik op "Trusted Sites", knop "Sites..."
Voer in het tekstveld de waarde "*.minfin.fgov.be" in, en klik op "Add" om de waarde toe te voegen aan de lijst van vertrouwde websites. Zie onderstaande schermafbeelding.
Klik op "OK", en vervolgens op "Ok".

Add *.minfin.fgov.be to the list of Trusted Sites

Met deze instelling kan u doorgaan naar hoodstuk 3.2.

3.1. Installatie van het numerieke certificaat in Internet Explorer

Het numerieke certificaat moet geregistreerd worden in uw browser. Voor een software certificaat (Certipost, GlobalSign, Isabel of QuoVadis), geeft het betreffende instituut normaal gezien de instructies en/of de software om het certificaat te registreren. Voor een certificaat geleverd in de vorm van een bestand, gelieve dan de volgende instructies te volgen :

"Menu Tools" > "Internet Options..."
Klik op het tabblad "Content", vervolgens op de knop "Certificates...". U krijgt een lijst te zien, met al uw geïnstalleerde certificaten.
Klik op "Import...". Deze opent een wizard. Klik op "Next".
Gelieve het volledige pad naar het certificaatbestand in te vullen in het getoonde dialoogvenster. Klik vervolgens op "Next".
Voer het password in dat u van het instituut ontvangen heef. U kan eveneens aangeven dat de private sleutel mag geëxporteerd worden om het certificaat ook op andere machines te kunnen installeren. Klik op "Next".
Selecteer "Automatically select the certificate store..." en klik op "Next".
U krijgt vervolgens een boodschap die aangeeft dat het importeren van het certificaat gelukt is. Klik op "Finish".
Het nieuwe geïmporteerde certificaat zou nu in de dialoogbox "Certificates" in het tabblad "Personal" moeten verschijnen. U kan nu de geldigheid van het certificaat controleren door erop te dubbel klikken. U zou de volgende melding moeten zien: "You have a private key that corresponds to this certificate".

3.2. Configuratie van Internet Explorer

Bepaalde opties moeten geactiveerd worden om een numerieke handtekening uit te voeren :

Ga naar het menu "Tools" > "Internet Options...".
Klik op het tabblad "Security", "Custom Level".
Controleer of "Microsoft VM > Disable Java" NIET aangevinkt is.
Controleer of "Scripting > Active scripting" Enabled is.
Controleer of "Scripting > Scripting of Java applets" Enabled is.
Controleer of "ActiveX controls and plug-ins > Download signed ActiveX controls" Prompt of Enabled is.
Controleer of "ActiveX controls and plug-ins > Run ActiveX controls and plug-ins" Enabled is.
Controleer of "ActiveX controls and plug-ins > Script ActiveX controls marked safe for scripting" Enabled is.
Klik op "OK", en daarna op "Apply".

4. Gebruik met Firefox

Firefox voorziet standaard het aanmaken van elektronische handtekeningen, zonder verwijzingen naar andere libraries. Maar, uw certificaat moet nog steeds geimporteerd worden in Firefox. De procedure van het importeren van uw certificaat zou moeten beschreven worden door de leverancier van uw certificaat (Certification Authority of CA).

Isabel Office Sign ondersteunt de browser Firefox niet. Bijgevolg is het niet mogelijk om een elektronische handtekening te maken met uw Isabel certificaat met deze browser. Gelieve Internet Explorer te gebruiken.

4.1. Installatie van een numeriek certificaat in Firefox

Omdat het certificaat onder de vorm van bestanden geleverd wordt, zijn volgende stappen nodig om de certificaten te registeren in uw browser Firefox. Het certificaat moet een PKCS12 bestand zijn. Indien het certificaat niet van dit type is zal de installatie niet lukken. Het certificaat kan geïmporteerd en daarna geëxporteerd worden naar het formaat PKCS12 via Internet Explorer of door het gebruik van openssl.

Ga naar de menu "Tools > Options... > Advanced" (of "Edit > Preferences > Advanced" in de oudere versies).
Klik op het tabblad "Security", "Show certificates", en vervolgens op "Import".
Selecteer het bestand dat uw certificaat bevat en klik op "Open".
Afhankelijk van uw instellingen, zal uw browser u vragen om het password op te geven die de toegang tot uw certificaten beveiligd.
Vervolgens moet u het password ingeven dat u ontvangen heeft van het instituut van uw certificaat, en klik op OK.
Uw certificaat is nu toegevoegd in de lijst van het tabblad "Your certificates".

4.1.1 Open de Certificate Manager van Firefox

Ga naar de menu "Tools > Options... > Advanced" of "Edit > Preferences > Advanced" afhankelijk van de versie van Firefox.
Klik op het tabblad "Security" of "Encryption" afhanklijk van de versie van Firefox.
Klik op "Show certificates" of "View certificates". Dit opent de Certificate Manager

4.1.2 Controleer of het certificaat van de betreffende leverancier in de lijst van vertrouwde autoriteiten van Firefox staat

Firefox zal uw certifcaat niet vertrouwen indien de autoriteit van uw certificaat zich niet in de lijst van vertrouwd autoriteiten bevindt. Zie hier hoe u kan nagaan of uw leverancier van uw certificaat (bijvoorbeeld GlobalSign, Certipost of QuoVadis) in deze lijst staat:

In de Certificate Manager van Firefox, selecteert u het tabblad "Authorities".
Voor de certificaten van GlobalSign : controleer of het certificaat "GlobalSign PersonalSign Class 3 CA" aanwezig is.
Voor de certificaten van Certipost : controleer of de volgende certificaten aanwezig zijn : "Certipost E-Trust Primary CA for Qualified certificates" en "Certipost E-Trust Secondary Qualified CA for Physical Persons".
Voor de certificaten van QuoVadis : controleer of de volgende certificaten aanwezig zijn : "QuoVadis EU Issuing Certification Authority G2" en "QuoVadis EU Issuing Certification Authority G3".

U kan weten welke certificaten geïmporteerd moet worden, door naar de naam van de vertrouwd autoriteit te kijken, die toegewezen is aan uw certificaat. Deze naam kan bekend zijn door Windows door het certificaat te openen.

Indien het certificaat van uw leverancier ontbreekt in de lijst, moet u deze importeren. Zie hier hoe u dit doet:

- Ofwel klikt u gewoonweg op het/de certifica(a)t(en) van uw leverancier :
  - GlobalSign Root CA (voor de GlobalSign certificaten, normaal gezien reeds gekend door Firefox)
  - GlobalSign Primary Class 3 CA (voor de GlobalSign certificaten)
  - GlobalSign PersonalSign Class 3 CA (voor de GlobalSign certificaten)
  - Certipost E-Trust Primary Qualified CA (voor de Certipost certificaten)
  - Certipost E-Trust Secondary Qualified CA for Physical Persons (voor de Certipost certificaten)
- Ofwel (moeilijker om uit te voeren, maar met meer zekerheid) :
  1. download het certificaat van uw leverancier vanaf zijn website (zie http://www.certipost.be/, http://www.globalsign.com/ of https://www.quovadisglobal.be). Neem contact op met uw leverancier indien u hier vragen over heeft.
  2. Open de Certificate Manager van Firefox (zie section 4.1.1).
  3. Selecteer het tabblad "Authorities", en klik op "Import".
  4. Selecteer het certificaat van de leverancier.
In elk popup scherm dat verschijnt, gelieve alles aan te vinken en op "OK" te klikken. Zie onderstaande figuur.

Importeert het certificaat van uw CA in Firefox

4.1.3 Importeer uw certificaat

In de Certificate Manager van Firefox, selecteer het tabblad "Your Certificates".
Klik op "Import".
Selecteer het bestand dat uw certificaat bevat, en klik op "Open".
In functie van uw configuratie, zal u gevraagd worden om uw password op te geven om toegang te krijgen tot uw verzameling van certificaten.
Geef uw wachtwoord, dat u van uw leverancier gekregen heeft, op en klik op "OK".
Uw certificaat zou nu moeten verschijnen in het tabblad "Your certificates".

4.1.4 Controleer of uw certificaat correct geïmporteerd is

In de Certificate Manager van Firefox, selecteer het tabblad "Your Certificates".
Selecteer uw certificaat en klik op "View".
Controleer of Firefox het gebruik van het certificaat correct herkent (zie onderstaande figuur).

Controleer of uw certificaat correct geïnstalleerd werd in Firefox

4.2. Configuratie van Firefox

Enkele opties moeten geactiveerd worden om toe te laten numerieke handtekeningen uit te voeren :

Ga naar de menu "Tools > Options... > Web Features" (of "Edit > Preferences > Web Features" in oudere versies).
Controleer of de opties "Enable Javascript" en "Enable Java" aangevinkt zijn.
Controleer ook of de browser popup vensters van FOD Financiën toelaat (niet blokeerd).

4.3. Gebruik uw certificaat om u aan te melden

Dit hoofdstuk beschrijft hoe u uw certificaten kan gebruiken om u aan te melden op een applicatie van FOD Financiën.

Indien er meerdere mogelijkheden zijn om u aan te loggen, selecteer "Certificate Authentication" :
Een nieuw scherm wordt afgebeeld en een popup scherm, zoals hieronder afgebeeld, verschijnt:
Selecteer uw certificaat en, indien nodig, geef het wachtwoord op dat de toegang tot al uw certificaten beveiligd. Standaard is het wachtwoord in Firefox niet ingesteld. In dat geval, laat het veld leeg en klik op "OK". Merk op dat dit niet het wachtwoord is dat megeleverd werd door de leverancier van uw certificaat om dit te beveiligen. Het is inderdaad het wachtwoord dat je hier in Firefox kan instellen: Menu Edit > Preferences > Advanced > Encryption > Security Devices, selecteer Software Security Device en klik op "Change Password". Het is ten zeerste aangeraden dit wachtwoord in te stellen om uw software certificaten te beveiligen.

5. Vaak voorkomende problemen

Fout 502 : Geen enkel certificaat gevonden (enkel IE)

U heeft geen enkel certificaat geïnstalleerd in uw browser, of er is geen enkel certificaat bruikbaar om een document te tekenen. Controleer of u uw numeriek certificaat goed geïmporteerd heeft in uw browser.

Fout 503 : Toegangsprobleem tot de sleutels van het geselecteerde certificaat. De toegang werd waarschijnlijk geweigerd. (enkel IE)

Het betreft een toegangsprobleem. De huidig gebruiker heeft geen rechten om de sleutels van uw certificaten te gebruiken. De sleutels worden beheerd door een "sleutelcontainer", waar u toegang tot moet hebben. De stappen nodig om dit probleem op te lossen hangt af van uw Windows versie :

Windows NT :

De toegang tot de sleutelcontainer is bepaald in het register. Om die toegang te wijzigen, open regedt32 (niet regedit!), open de tak HKEY_LOCAL_MACHINE en ga naar de sleutel HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MachineKeys\<container name>. Selecteer Security/Permissions in de menu en controleer of iedereen (Everyone) volledige toegang (Full Control) heeft op die sleutel.

Windows 2000 en Windows XP :

In de Windows verkenner, ga naar de map C:\Documents and settings\<username>\Application Data\Microsoft\Crypto\RSA\. Wijzig de toegangsrechten op deze map en op al zijn bestanden en submappen :

Klik met de rechter muisknop op de map C:\Documents and settings\<username>\Application Data\Microsoft\Crypto\RSA\.
Ga naar "Properties"
Klik op het tabblad "Security".
Controleer of uw gebruiker, Administrator en System volledige toegang ("full control") hebben tot deze map (controleer of alle aanvinkvakjes "Allow" aangevinkt zijn).
Klik "Advanced".
Vink de aanvinkvakjes ("Inherit..." en "Replace...") op de root map, zodat alle rechten worden toegepast op alle onderliggende bestanden en mappen.
Klik op Apply, vervolgens Yes, en OK.
Klik io OK.

U moet deze procedure opnieuw uitvoeren voor de map C:\Documents and settings\All Users\Application Data\Microsoft\Crypto\RSA\.

Opgelet: het betreft hier verborgen systeembestanden. Om de bovenvermelde actie uit te voeren op deze bestanden, gelieve ze zichtbaar te maken. Dit kan u doen door de optie "Display hidden files and folders" te activeren in Windows. Hieronder is beschreven hoe u dit kan doen :

Klik op "Start", ga naar "Settings", en klik op "Control Panel".
Indien "Category View" actief is : klik op "Appearance and Themes"
Klik op "Folder Options".
Op het tabblad "View", onder "Hidden files and folders", klik op "Show hidden files and folders".

Fout 504 : Geen toegang tot de sleutels van het geselecteerde certificaat. De toegang is waarschijnlijk geweigerd. (enkel IE)

Zie Fout 503.

Fout 505 : Geen toegang tot de sleutels van het geselecteerde certificaat. Conflict tussen uw certificaten. (enkel IE)

Er is waarschijnlijk een conflict tussen de certificaten, in de certificate store van Windows. Het betreft een interne probleem van Windows en aldus staat het los van de applicatie van FOD Financiën. Het probleem kan opgelost worden door manueel een certificaat te wissen.

Om een vervallen certificaat te verwijderen op Windows 2000 en Windows XP:

Klik op Start en selecteer Uitvoeren.
Typ mmc en druk ENTER.
In het menu Bestand, selecteer Module toevoegen/verwijderen.
Klik op Toevoegen.
Dubbel-klik Certificaten.
Selecteer Mijn gebruikersaccount.
Klik op Voltooien.
Klik op Sluiten en dan OK.
Dubbelklik Certificaten - Huidige gebruiker.
Dubbelklik Persoonlijk en dan Certificaten.
Klik op het certificaat.
Druk DELETE en klik Ja.
Sluit het Console1 venster.

Indien u een software certificaat heeft, moet u deze opnieuw registreren in uw browser.

Error 509 : Certificaat niet gevonden. De browser vindt het geselecteerde certificaat niet. (enkel IE)

Internet Explorer kan het geselecteerde certificaat niet vinden. Dit probleem komt voor met Isabel certificaten. Dit probleem is veroorzaakt door foutieve update van deze certificaten door Isabel Office Sign. De oplossing voor dit probleem is beschreven op de help web-site van Isabel (www.isabel.be), hoofdstuk "Isabel Web Support", onder het identificatienummer 48700 (voer een zoekopdracht uit met dit identificatienummer). Indien dit het probleem niet verhelpt, gelieve dan met de Isabel helplijn contact op te nemen.

Fout 601 : Kon de authenticatie niet aanmaken. Het geselecteerde certificaat is waarschijnlijk onbeschikbaar, vervallen, ongeldig, of niet juist ingevoerd. (enkel Firefox)

Uw certificaat werd niet correct geïnstalleerd in Firefox en/of Firefox vertrouwd het niet.

Controleer of Firefox uw certificaat vertrouwd. Hiervoor moet u uw Certificate Manager van Firefox openen (zie hoofdstuk 4.1.1) en controleeren of Firefox uw certifiaat vertrouwd (zie hoofdstuk 4.1.4).

Voor alle problemen, gelieve alle subrubrieken van hoofdstuk 4.1 te controleren en ga na of:

uw certificaat niet vervallen is
het certificaat van uw leverancier opgenomen is in de lijst van vertrouwd autoriteiten van Firefox (zie hoofdstuk 4.1.2)

Indien u andere problemen heeft gelinkt aan het gebruik van uw certificaat met Firefox, gelieve contact op te nemen met uw leverancier van uw certifiaat (GlobalSign, Certipost, Isabel of QuoVadis).

Fout 602 : Geen enkel certificaat gevonden. (enkel Firefox)

Firefox kon geen geldig certificaat vinden. Controleer of uw certificaat nog steeds geldig is, en volg de richtlijnen zoals besproken in hoofdstuk 4.1.

Eens u geklik heeft op "OK", en het venster, waarin u uw certificaat kan selecteren, verschijnt opnieuw in Firefox. (Enkel Firefox)

Het opgegeven wachtwoord is niet correct. Opgelet : het betreft niet het wachtwoord van uw certificaat (het wachtwoord meegeleverd door uw leverancier van uw certificaat), maar het wachtwoord van uw certificaten verzameling binnen Firefox. Dit wachtwoord is standaard niet ingesteld in Firefox, dus moet u het veld leeg laten en klikt u op "OK". Gelieve het hoofdstuk 4.3 door te nemen.