Deze pagina verduidelijkt hoe u een certificaat kan gebruiken, om u te authentificeren met een certificaat in uw browser.

Hou er rekening mee dat u uw elektronische identiteitskaart niet kan gebruiken als authenticatiemiddel in deze aanmeldingsmethode. Dit is niet toegelaten. Indien u zich wil aanmelden met uw elektronische identiteitskaart, moet u eID als aanmeldingsmethode gebruiken.

Deze pagina bevat volgende hoofdstukken :

  1. Technische vereisten
  2. Het verkrijgen van een numeriek certificaat
  3. Gebruik met Internet Explorer
  4. Gebruik met Firefox
  5. Veel voorkomende fouten

Voor problemen betreffende de digitale handtekening, gelieve deze link te volgen.

1. Technische vereisten

De authenticatie via een certificaat gebeurd via de handtekening van en identificatie token. Een recente browser alsook recente versleutelings-modules zijn nodig om de token digitaal te tekenen. Niet alle browsers ondersteunen digitale handtekening. De browsers die officieel ondersteund worden zijn :

  1. Internet Explorer >= 5.5
  2. Firefox >= 3.0
Isabel Office Sign ondersteunt de browser Firefox niet. Bijgevolg is het niet mogelijk om een electronische handtekening te maken met uw Isabel certificaat in deze browser. Gelieve Internet Explorer te gebruiken.

De onmisbare componenten voor een numerieke handtekening zijn :

2. Het verkrijgen van een numeriek certificaat

Het ondertekenen van een document en de authenticatie via certificaat gebeuren via een numeriek certificaat.

Enkel de Isabel, GlobalSign, Certipost en QuoVadis certificaten worden aanvaard door FOD Financëen (volledige lijst hier).

3. Gebruik met Internet Explorer

Om problemen te voorkomen, raden we u ten zeerste de site van FOD Financiën toe te voegen aan de lijst van vertrouwde websites :

  1. Ga naar de menu "Tools > Internet Options...", tabblad "Security"
  2. Klik op "Trusted Sites", knop "Sites..."
  3. Voer in het tekstveld de waarde "*.minfin.fgov.be" in, en klik op "Add" om de waarde toe te voegen aan de lijst van vertrouwde websites. Zie onderstaande schermafbeelding.
  4. Klik op "OK", en vervolgens op "Ok".
Add *.minfin.fgov.be to the list of Trusted Sites

Met deze instelling kan u doorgaan naar hoodstuk 3.2.

3.1. Installatie van de module CAPICOM

Deze module wordt gebruikt voor het digitaal ondertekenen van gegevens, het controleren van numerieke handtekeningen en het berekenen van gegevens. Als deze module niet aanwezig is op uw machine en indien uw beveiligingsinstellingen het toelaten, zal deze automatische geïnstalleerd worden (onder de vorm van een ActiveX plugin). De installatie hangt af van het niveau van uw beveiligingsinstellingen. Voor Internet Explorer wil dit zeggen :

Een laag niveau van beveiliging, of de site minfin.fgov.be is opgenomen in de lijst van vertrouwde sites

Met deze instelling wordt de CAPICOM module automatisch geïntalleerd. U kan doorgaan naar hoofdstuk 3.2. De instructies om de site van FOD Financiën aan de lijst van vertrouwde sites toe te voegen, kan u hier terugvinden.

Een gemiddeld niveau van beveiliging, en de site minfin.fgov.be is niet opgenomen in de lijst van vertrouwde sites

Met deze instelling zal Internet Explorer eerst vragen of de ActiveX componenten mogen geactiveerd worden. Klik op de balk bovenaan in het scherm, en klik op "Install ActiveX Control...".

Klik op "Install ActiveX Control..."

Internet Explorer vraag u vervolgens de toelating om de module CAPICOM te installeren. U mag deze module installeren. Klik op "Install".

Klik op "Install"

Een hoog niveau van beveiliging of manuele installatie van CAPICOM

Wanneer u manueel de CAPICOM module moet installeren, dient u CAPICOM te downloaden, voor Internet Explorer 6.0 SP1 en hoger, op de website van Microsoft.

Er is ook een kopie van de module CAPICOM beschikbaar. Deze kan u hier downloaden. Hieronder vindt u de stappen om de module te installeren in Windows:

  1. Download capicom.cab
  2. Open het bestand
  3. Kopieer de module capicom.dll naar de systeemmap van Windows, normaal gezien is dit: C:\Windows\System32
  4. Open een DOS prompt als administrator:
    Start > Programs > Accessories > klik rechts op Command Prompt > Run as... > Administrator
  5. Ga naar de systeemmap: cd \Windows\System32
  6. Installeer de module: regsvr32 capicom.dll
  7. Herstart uw browser

3.2. Installatie van het numerieke certificaat in Internet Explorer

Het numerieke certificaat moet geregistreerd worden in uw browser. Voor een software certificaat (Certipost, GlobalSign of Isabel), geeft het betreffende instituut normaal gezien de instructies en/of de software om het certificaat te registreren. Voor een certificaat geleverd in de vorm van een bestand, gelieve dan de volgende instructies te volgen :

  1. "Menu Tools" > "Internet Options..."
  2. Klik op het tabblad "Content", vervolgens op de knop "Certificates...". U krijgt een lijst te zien, met al uw geïnstalleerde certificaten.
  3. Klik op "Import...". Deze opent een wizard. Klik op "Next".
  4. Gelieve het volledige pad naar het certificaatbestand in te vullen in het getoonde dialoogvenster. Klik vervolgens op "Next".
  5. Voer het password in dat u van het instituut ontvangen heef. U kan eveneens aangeven dat de private sleutel mag geëxporteerd worden om het certificaat ook op andere machines te kunnen installeren. Klik op "Next".
  6. Selecteer "Automatically select the certificate store..." en klik op "Next".
  7. U krijgt vervolgens een boodschap die aangeeft dat het importeren van het certificaat gelukt is. Klik op "Finish".
  8. Het nieuwe geïmporteerde certificaat zou nu in de dialoogbox "Certificates" in het tabblad "Personal" moeten verschijnen. U kan nu de geldigheid van het certificaat controleren door erop te dubbel klikken. U zou de volgende melding moeten zien: "You have a private key that corresponds to this certificate".

 

3.3. Configuratie van Internet Explorer

Bepaalde opties moeten geactiveerd worden om een numerieke handtekening uit te voeren :

  1. Ga naar het menu "Tools" > "Internet Options...".
  2. Klik op het tabblad "Security", "Custom Level".
  3. Controleer of "Microsoft VM > Disable Java" NIET aangevinkt is.
  4. Controleer of "Scripting > Active scripting" Enabled is.
  5. Controleer of "Scripting > Scripting of Java applets" Enabled is.
  6. Controleer of "ActiveX controls and plug-ins > Download signed ActiveX controls" Prompt of Enabled is.
  7. Controleer of "ActiveX controls and plug-ins > Run ActiveX controls and plug-ins" Enabled is.
  8. Controleer of "ActiveX controls and plug-ins > Script ActiveX controls marked safe for scripting" Enabled is.
  9. Klik op "OK", en daarna op "Apply".

 

4. Gebruik met Firefox

Firefox voorziet standaard het aanmaken van elektronische handtekeningen, zonder verwijzingen naar andere libraries. Maar, uw certificaat moet nog steeds geimporteerd worden in Firefox. De procedure van het importeren van uw certificaat zou moeten beschreven worden door de leverancier van uw certificaat (Certification Authority of CA).

Isabel Office Sign ondersteunt de browser Firefox niet. Bijgevolg is het niet mogelijk om een elektronische handtekening te maken met uw Isabel certificaat met deze browser. Gelieve Internet Explorer te gebruiken.

4.1. Installatie van een numeriek certificaat in Firefox

Omdat het certificaat onder de vorm van bestanden geleverd wordt, zijn volgende stappen nodig om de certificaten te registeren in uw browser Firefox. Het certificaat moet een PKCS12 bestand zijn. Indien het certificaat niet van dit type is zal de installatie niet lukken. Het certificaat kan geïmporteerd en daarna geëxporteerd worden naar het formaat PKCS12 via Internet Explorer of door het gebruik van openssl.

  1. Ga naar de menu "Tools > Options... > Advanced" (of "Edit > Preferences > Advanced" in de oudere versies).
  2. Klik op het tabblad "Security", "Show certificates", en vervolgens op "Import".
  3. Selecteer het bestand dat uw certificaat bevat en klik op "Open".
  4. Afhankelijk van uw instellingen, zal uw browser u vragen om het password op te geven die de toegang tot uw certificaten beveiligd.
  5. Vervolgens moet u het password ingeven dat u ontvangen heeft van het instituut van uw certificaat, en klik op OK.
  6. Uw certificaat is nu toegevoegd in de lijst van het tabblad "Your certificates".

4.1.1 Open de Certificate Manager van Firefox

  1. Ga naar de menu "Tools > Options... > Advanced" of "Edit > Preferences > Advanced" afhankelijk van de versie van Firefox.
  2. Klik op het tabblad "Security" of "Encryption" afhanklijk van de versie van Firefox.
  3. Klik op "Show certificates" of "View certificates". Dit opent de Certificate Manager
De Certificate Manager van Firefox

4.1.2 Controleer of het certificaat van de betreffende leverancier in de lijst van vertrouwde autoriteiten van Firefox staat

Firefox zal uw certifcaat niet vertrouwen indien de autoriteit van uw certificaat zich niet in de lijst van vertrouwd autoriteiten bevindt. Zie hier hoe u kan nagaan of uw leverancier van uw certificaat (bijvoorbeeld GlobalSign, Certipost of QuoVadis) in deze lijst staat:

  1. In de Certificate Manager van Firefox, selecteert u het tabblad "Authorities".
  2. Voor de certificaten van GlobalSign : controleer of het certificaat "GlobalSign PersonalSign Class 3 CA" aanwezig is.
  3. Voor de certificaten van Certipost : controleer of de volgende certificaten aanwezig zijn : "Certipost E-Trust Primary CA for Qualified certificates" en "Certipost E-Trust Secondary Qualified CA for Physical Persons".
  4. Voor de certificaten van QuoVadis : controleer of de volgende certificaten aanwezig zijn : "QuoVadis EU Issuing Certification Authority G2" en "QuoVadis EU Issuing Certification Authority G3".

U kan weten welke certificaten geïmporteerd moet worden, door naar de naam van de vertrouwd autoriteit te kijken, die toegewezen is aan uw certificaat. Deze naam kan bekend zijn door Windows door het certificaat te openen.

Indien het certificaat van uw leverancier ontbreekt in de lijst, moet u deze importeren. Zie hier hoe u dit doet:

  1. In elk popup scherm dat verschijnt, gelieve alles aan te vinken en op "OK" te klikken. Zie onderstaande figuur.
Importeert het certificaat van uw CA in Firefox

4.1.3 Importeer uw certificaat

  1. In de Certificate Manager van Firefox, selecteer het tabblad "Your Certificates".
  2. Klik op "Import".
  3. Selecteer het bestand dat uw certificaat bevat, en klik op "Open".
  4. In functie van uw configuratie, zal u gevraagd worden om uw password op te geven om toegang te krijgen tot uw verzameling van certificaten.
  5. Geef uw wachtwoord, dat u van uw leverancier gekregen heeft, op en klik op "OK".
  6. Uw certificaat zou nu moeten verschijnen in het tabblad "Your certificates".

4.1.4 Controleer of uw certificaat correct geïmporteerd is

  1. In de Certificate Manager van Firefox, selecteer het tabblad "Your Certificates".
  2. Selecteer uw certificaat en klik op "View".
  3. Controleer of Firefox het gebruik van het certificaat correct herkent (zie onderstaande figuur).
Controleer of uw certificaat correct geïnstalleerd werd in Firefox

4.2. Configuratie van Firefox

Enkele opties moeten geactiveerd worden om toe te laten numerieke handtekeningen uit te voeren :

  1. Ga naar de menu "Tools > Options... > Web Features" (of "Edit > Preferences > Web Features" in oudere versies).
  2. Controleer of de opties "Enable Javascript" en "Enable Java" aangevinkt zijn.
  3. Controleer ook of de browser popup vensters van FOD Financiën toelaat (niet blokeerd).

4.3. Gebruik uw certificaat om u aan te melden

Dit hoofdstuk beschrijft hoe u uw certificaten kan gebruiken om u aan te melden op een applicatie van FOD Financiën.

  1. Indien er meerdere mogelijkheden zijn om u aan te loggen, selecteer "Certificate Authentication" :
    Select the authentication by certificate
  2. Een nieuw scherm wordt afgebeeld en een popup scherm, zoals hieronder afgebeeld, verschijnt:
    Selecteer het certificaat
  3. Selecteer uw certificaat en, indien nodig, geef het wachtwoord op dat de toegang tot al uw certificaten beveiligd. Standaard is het wachtwoord in Firefox niet ingesteld. In dat geval, laat het veld leeg en klik op "OK". Merk op dat dit niet het wachtwoord is dat megeleverd werd door de leverancier van uw certificaat om dit te beveiligen. Het is inderdaad het wachtwoord dat je hier in Firefox kan instellen: Menu Edit > Preferences > Advanced > Encryption > Security Devices, selecteer Software Security Device en klik op "Change Password". Het is ten zeerste aangeraden dit wachtwoord in te stellen om uw software certificaten te beveiligen.
    The Firefox Device Manager

 

5. Vaak voorkomende problemen

Fout 101 : Geen enkel gegeven werd getekend.

Er zijn geen gevens die getekend kunnen worden. Dit probleem komt gewoonlijk voor wanneer u de knop "back" van uw browser gebruikt, al dan niet in combinatie met een fout in de applicatie. Dan is het mogelijk dat de applicatie het document of de gegevens die getekend moeten worden "verliest". Dit probleem kan verholpen worden door niet de knop "back" van uw browser te gebruiken, en terug te gaan naar het vorige scherm en het handteken-process opnieuw uit te voeren.

Fout 501 : De module CAPICOM is niet correct geïnstalleerd. (enkel IE)

De module CAPICOM kan niet worden gevonden. Controleer of het bestand capicom.dll zich in de systeemmap van Windows (gewoonlijk is dit C:\Windows\System32\ of C:\Winnt\System32\) bevindt. Deze module is automatisch geïnstalleerd op voorwaarde dat u de installatie toelaat, zie section 3.1.

Om de automatische installatie te activeren, kan u de site FOD Financiën toevoegen aan de lijst van vertrouwde websites :

  1. Ga naar de menu "Tools > Internet Options...", tabblad "Security"
  2. Klik op "Trusted Sites", knop "Sites..."
  3. Voer in het tekstveld de waarde "*.minfin.fgov.be" in, en klik op "Add" om de waarde toe te voegen aan de lijs van vertrouwde websites. Zie onderstaande schermafbeelding.
  4. Klik op "OK", en vervolgens op "Ok".
Voeg *.minfin.fgov.be toe aan de lijst van vertrouwde websites

Fout 502 : Geen enkel certificaat gevonden (enkel IE)

U heeft geen enkel certificaat geïnstalleerd in uw browser, of er is geen enkel certificaat bruikbaar om een document te tekenen. Controleer of u uw numeriek certificaat goed geïmporteerd heeft in uw browser.

Fout 503 : Toegangsprobleem tot de sleutels van het geselecteerde certificaat. De toegang werd waarschijnlijk geweigerd. (enkel IE)

Het betreft een toegangsprobleem. De huidig gebruiker heeft geen rechten om de sleutels van uw certificaten te gebruiken. De sleutels worden beheerd door een "sleutelcontainer", waar u toegang tot moet hebben. De stappen nodig om dit probleem op te lossen hangt af van uw Windows versie :

Windows NT :

De toegang tot de sleutelcontainer is bepaald in het register. Om die toegang te wijzigen, open regedt32 (niet regedit!), open de tak HKEY_LOCAL_MACHINE en ga naar de sleutel HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MachineKeys\<container name>. Selecteer Security/Permissions in de menu en controleer of iedereen (Everyone) volledige toegang (Full Control) heeft op die sleutel.

Windows 2000 en Windows XP :

In de Windows verkenner, ga naar de map C:\Documents and settings\<username>\Application Data\Microsoft\Crypto\RSA\. Wijzig de toegangsrechten op deze map en op al zijn bestanden en submappen :

  1. Klik met de rechter muisknop op de map C:\Documents and settings\<username>\Application Data\Microsoft\Crypto\RSA\.
  2. Ga naar "Properties"
  3. Klik op het tabblad "Security".
  4. Controleer of uw gebruiker, Administrator en System volledige toegang ("full control") hebben tot deze map (controleer of alle aanvinkvakjes "Allow" aangevinkt zijn).
  5. Klik "Advanced".
  6. Vink de aanvinkvakjes ("Inherit..." en "Replace...") op de root map, zodat alle rechten worden toegepast op alle onderliggende bestanden en mappen.
  7. Klik op Apply, vervolgens Yes, en OK.
  8. Klik io OK.

U moet deze procedure opnieuw uitvoeren voor de map C:\Documents and settings\All Users\Application Data\Microsoft\Crypto\RSA\.

Opgelet: het betreft hier verborgen systeembestanden. Om de bovenvermelde actie uit te voeren op deze bestanden, gelieve ze zichtbaar te maken. Dit kan u doen door de optie "Display hidden files and folders" te activeren in Windows. Hieronder is beschreven hoe u dit kan doen :

  1. Klik op "Start", ga naar "Settings", en klik op "Control Panel".
  2. Indien "Category View" actief is : klik op "Appearance and Themes"
  3. Klik op "Folder Options".
  4. Op het tabblad "View", onder "Hidden files and folders", klik op "Show hidden files and folders".

Fout 504 : Geen toegang tot de sleutels van het geselecteerde certificaat. De toegang is waarschijnlijk geweigerd. (enkel IE)

Zie Fout 503.

Fout 505 : Geen toegang tot de sleutels van het geselecteerde certificaat. Conflict tussen uw certificaten. (enkel IE)

Er is waarschijnlijk een conflict tussen de certificaten, in de certificate store van Windows. Het betreft een interne probleem van Windows en aldus staat het los van de applicatie van FOD Financiën. Het probleem kan opgelost worden door manueel een certificaat te wissen.

Om een vervallen certificaat te verwijderen op Windows 2000 en Windows XP:

  1. Klik op Start en selecteer Uitvoeren.
  2. Typ mmc en druk ENTER.
  3. In het menu Bestand, selecteer Module toevoegen/verwijderen.
  4. Klik op Toevoegen.
  5. Dubbel-klik Certificaten.
  6. Selecteer Mijn gebruikersaccount.
  7. Klik op Voltooien.
  8. Klik op Sluiten en dan OK.
  9. Dubbelklik Certificaten - Huidige gebruiker.
  10. Dubbelklik Persoonlijk en dan Certificaten.
  11. Klik op het certificaat.
  12. Druk DELETE en klik Ja.
  13. Sluit het Console1 venster.

Indien u een software certificaat heeft, moet u deze opnieuw registreren in uw browser.

Error 509 : Certificaat niet gevonden. De browser vindt het geselecteerde certificaat niet. (enkel IE)

Internet Explorer kan het geselecteerde certificaat niet vinden. Dit probleem komt voor met Isabel certificaten. Dit probleem is veroorzaakt door foutieve update van deze certificaten door Isabel Office Sign. De oplossing voor dit probleem is beschreven op de help web-site van Isabel (www.isabel.be), hoofdstuk "Isabel Web Support", onder het identificatienummer 48700 (voer een zoekopdracht uit met dit identificatienummer). Indien dit het probleem niet verhelpt, gelieve dan met de Isabel helplijn contact op te nemen.

Fout 510 : Kon de handtekening niet aanmaken. (enkel IE)

De CAPICOM module kon de numerieke handtekening niet maken om een ongekende reden. Een of meerdere acties hieronder besproken, kunnen helpen :

Fout 601 : Kon de handtekening niet aanmaken. Het geselecteerde certificaat is waarschijnlijk onbeschikbaar, vervallen, ongeldig, of niet juist ingevoerd. (enkel Firefox)

Uw certificaat werd niet correct geïnstalleerd in Firefox en/of Firefox vertrouwd het niet.

Controleer of Firefox uw certificaat vertrouwd. Hiervoor moet u uw Certificate Manager van Firefox openen (zie hoofdstuk 4.1.1) en controleeren of Firefox uw certifiaat vertrouwd (zie hoofdstuk 4.1.4).

Voor alle problemen, gelieve alle subrubrieken van hoofdstuk 4.1 te controleren en ga na of:

Indien u andere problemen heeft gelinkt aan het gebruik van uw certificaat met Firefox, gelieve contact op te nemen met uw leverancier van uw certifiaat (GlobalSign, Certipost, Isabel of QuoVadis).

Fout 602 : Geen enkel certificaat gevonden. (enkel Firefox)

Firefox kon geen geldig certificaat vinden. Controleer of uw certificaat nog steeds geldig is, en volg de richtlijnen zoals besproken in hoofdstuk 4.1.

Eens u geklik heeft op "OK", en het venster, waarin u uw certificaat kan selecteren, verschijnt opnieuw in Firefox. (Enkel Firefox)

Het opgegeven wachtwoord is niet correct. Opgelet : het betreft niet het wachtwoord van uw certificaat (het wachtwoord meegeleverd door uw leverancier van uw certificaat), maar het wachtwoord van uw certificaten verzameling binnen Firefox. Dit wachtwoord is standaard niet ingesteld in Firefox, dus moet u het veld leeg laten en klikt u op "OK". Gelieve het hoofdstuk 4.3 door te nemen.