Deze pagina verduidelijkt hoe u een certificaat kan gebruiken,
om u te authentificeren met een certificaat in uw browser.
Hou er rekening mee dat u uw elektronische identiteitskaart niet kan gebruiken
als authenticatiemiddel in deze aanmeldingsmethode. Dit is niet toegelaten. Indien u zich
wil aanmelden met uw elektronische identiteitskaart, moet u eID als aanmeldingsmethode
gebruiken.
Deze pagina bevat volgende hoofdstukken :
- Technische vereisten
- Het verkrijgen van een numeriek certificaat
- Gebruik met Internet Explorer
- Gebruik met Firefox
- Veel voorkomende fouten
Voor problemen betreffende de digitale handtekening, gelieve
deze link te volgen.
De authenticatie via een certificaat gebeurd via de handtekening van en identificatie token.
Een recente browser alsook recente versleutelings-modules zijn nodig om de token digitaal te tekenen.
Niet alle browsers ondersteunen digitale handtekening. De browsers die officieel ondersteund worden zijn :
- Internet Explorer >= 5.5
- Firefox >= 3.0
Isabel Office Sign ondersteunt de browser Firefox niet. Bijgevolg is het niet mogelijk om een electronische
handtekening te maken met uw Isabel certificaat in deze browser. Gelieve Internet Explorer te gebruiken.
De onmisbare componenten voor een numerieke handtekening zijn :
- Een certificaat voor uw handtekening.
- Voor Internet Explorer :
-
De module CAPICOM. Deze module bevat kryptografische functies, uitgegeven door Microsoft
en installeert zich automatisch (zie hoofdstuk 3).
- Voor Firefox :
- Geen enkele andere module is nodig (dit wordt reeds ondersteund).
Het ondertekenen van een document en de authenticatie via certificaat gebeuren via een numeriek certificaat.
Om problemen te voorkomen, raden we u ten zeerste de site van FOD Financiën
toe te voegen aan de lijst van vertrouwde websites :
- Ga naar de menu "Tools > Internet Options...", tabblad "Security"
- Klik op "Trusted Sites", knop "Sites..."
- Voer in het tekstveld de waarde "*.minfin.fgov.be" in, en klik op "Add"
om de waarde toe te voegen aan de lijst van vertrouwde websites. Zie onderstaande schermafbeelding.
- Klik op "OK", en vervolgens op "Ok".
Met deze instelling kan u doorgaan naar hoodstuk 3.2.
Deze module wordt gebruikt voor het digitaal ondertekenen van gegevens, het controleren
van numerieke handtekeningen en het berekenen van gegevens.
Als deze module niet aanwezig is op uw machine en indien uw beveiligingsinstellingen het toelaten, zal deze automatische geïnstalleerd worden
(onder de vorm van een ActiveX plugin).
De installatie hangt af van het niveau van uw beveiligingsinstellingen. Voor Internet Explorer wil dit zeggen :
Een laag niveau van beveiliging, of de site minfin.fgov.be is opgenomen in de lijst van vertrouwde sites
Met deze instelling wordt de CAPICOM module automatisch geïntalleerd.
U kan doorgaan naar hoofdstuk 3.2.
De instructies om de site van FOD Financiën aan de lijst van vertrouwde sites toe te voegen, kan u
hier terugvinden.
Een gemiddeld niveau van beveiliging, en de site minfin.fgov.be is niet opgenomen in de lijst van vertrouwde sites
Met deze instelling zal Internet Explorer eerst vragen of de ActiveX componenten mogen geactiveerd worden.
Klik op de balk bovenaan in het scherm, en klik op "Install ActiveX Control...".
Internet Explorer vraag u vervolgens de toelating om de module CAPICOM te installeren.
U mag deze module installeren. Klik op "Install".
Een hoog niveau van beveiliging of manuele installatie van CAPICOM
Wanneer u manueel de CAPICOM module moet installeren, dient u CAPICOM te downloaden, voor
Internet Explorer 6.0 SP1 en hoger, op de
website van Microsoft.
Er is ook een kopie van de module CAPICOM beschikbaar. Deze kan u hier downloaden.
Hieronder vindt u de stappen om de module te installeren in Windows:
- Download capicom.cab
- Open het bestand
- Kopieer de module capicom.dll naar de systeemmap van Windows, normaal gezien is dit: C:\Windows\System32
- Open een DOS prompt als administrator:
Start > Programs > Accessories > klik rechts op Command Prompt > Run as... > Administrator
- Ga naar de systeemmap: cd \Windows\System32
- Installeer de module: regsvr32 capicom.dll
- Herstart uw browser
Het numerieke certificaat moet geregistreerd worden in uw browser.
Voor een software certificaat (Certipost, GlobalSign of Isabel), geeft het betreffende instituut
normaal gezien de instructies en/of de software om het certificaat te registreren. Voor een certificaat
geleverd in de vorm van een bestand, gelieve dan de volgende instructies te volgen :
- "Menu Tools" > "Internet Options..."
- Klik op het tabblad "Content", vervolgens op de knop "Certificates...".
U krijgt een lijst te zien, met al uw geïnstalleerde certificaten.
- Klik op "Import...". Deze opent een wizard. Klik op "Next".
- Gelieve het volledige pad naar het certificaatbestand in te vullen in het getoonde dialoogvenster.
Klik vervolgens op "Next".
- Voer het password in dat u van het instituut ontvangen heef.
U kan eveneens aangeven dat de private sleutel mag geëxporteerd worden om het certificaat ook op andere
machines te kunnen installeren. Klik op "Next".
- Selecteer "Automatically select the certificate store..." en klik op
"Next".
- U krijgt vervolgens een boodschap die aangeeft dat het importeren van het certificaat gelukt is.
Klik op "Finish".
- Het nieuwe geïmporteerde certificaat zou nu in de dialoogbox "Certificates" in het tabblad "Personal"
moeten verschijnen. U kan nu de geldigheid van het certificaat controleren door erop te dubbel klikken.
U zou de volgende melding moeten zien: "You have a private key that corresponds to this certificate".
3.3. Configuratie van Internet Explorer
Bepaalde opties moeten geactiveerd worden om een numerieke handtekening uit te voeren :
- Ga naar het menu "Tools" > "Internet Options...".
- Klik op het tabblad "Security", "Custom Level".
- Controleer of "Microsoft VM > Disable Java" NIET aangevinkt is.
- Controleer of "Scripting > Active scripting" Enabled is.
- Controleer of "Scripting > Scripting of Java applets" Enabled is.
- Controleer of "ActiveX controls and plug-ins > Download signed ActiveX controls"
Prompt of Enabled is.
- Controleer of "ActiveX controls and plug-ins > Run ActiveX controls and plug-ins"
Enabled is.
- Controleer of "ActiveX controls and plug-ins > Script ActiveX controls marked safe for scripting"
Enabled is.
- Klik op "OK", en daarna op "Apply".
Firefox voorziet standaard het aanmaken van elektronische handtekeningen, zonder verwijzingen
naar andere libraries. Maar, uw certificaat moet nog steeds geimporteerd worden
in Firefox. De procedure van het importeren van uw certificaat zou moeten beschreven worden door
de leverancier van uw certificaat (Certification Authority of CA).
Isabel Office Sign ondersteunt de browser Firefox niet. Bijgevolg is het niet mogelijk om een elektronische
handtekening te maken met uw Isabel certificaat met deze browser. Gelieve Internet Explorer te gebruiken.
Omdat het certificaat onder de vorm van bestanden geleverd wordt, zijn volgende stappen nodig om
de certificaten te registeren in uw browser Firefox.
Het certificaat moet een PKCS12 bestand zijn. Indien het certificaat niet van dit type is zal de installatie
niet lukken. Het certificaat kan geïmporteerd en daarna geëxporteerd worden naar het formaat PKCS12 via
Internet Explorer of door het gebruik van openssl.
- Ga naar de menu "Tools > Options... > Advanced"
(of "Edit > Preferences > Advanced" in de oudere versies).
- Klik op het tabblad "Security", "Show certificates", en vervolgens op "Import".
- Selecteer het bestand dat uw certificaat bevat en klik op "Open".
- Afhankelijk van uw instellingen, zal uw browser u vragen om het password op te geven die de toegang tot uw
certificaten beveiligd.
- Vervolgens moet u het password ingeven dat u ontvangen heeft van het instituut van uw certificaat, en klik op OK.
- Uw certificaat is nu toegevoegd in de lijst van het tabblad "Your certificates".
- Ga naar de menu "Tools > Options... > Advanced"
of "Edit > Preferences > Advanced" afhankelijk van de versie van Firefox.
- Klik op het tabblad "Security" of "Encryption" afhanklijk van de versie van Firefox.
- Klik op "Show certificates" of "View certificates". Dit opent de Certificate Manager
Firefox zal uw certifcaat niet vertrouwen indien de autoriteit van uw certificaat zich niet
in de lijst van vertrouwd autoriteiten bevindt. Zie hier hoe u kan nagaan of uw leverancier van
uw certificaat (bijvoorbeeld GlobalSign, Certipost of QuoVadis) in deze lijst staat:
- In de Certificate Manager van Firefox, selecteert u het tabblad "Authorities".
- Voor de certificaten van GlobalSign : controleer of het certificaat "GlobalSign PersonalSign Class 3 CA" aanwezig is.
- Voor de certificaten van Certipost : controleer of de volgende certificaten aanwezig zijn :
"Certipost E-Trust Primary CA for Qualified certificates" en "Certipost E-Trust Secondary Qualified CA for Physical Persons".
- Voor de certificaten van QuoVadis : controleer of de volgende certificaten aanwezig zijn :
"QuoVadis EU Issuing Certification Authority G2" en "QuoVadis EU Issuing Certification Authority G3".
U kan weten welke certificaten geïmporteerd moet worden, door naar de naam van de vertrouwd autoriteit
te kijken, die toegewezen is aan uw certificaat. Deze naam kan bekend zijn door Windows door het certificaat te openen.
Indien het certificaat van uw leverancier ontbreekt in de lijst, moet u deze importeren.
Zie hier hoe u dit doet:
-
- Ofwel klikt u gewoonweg op het/de certifica(a)t(en) van uw leverancier :
- Ofwel (moeilijker om uit te voeren, maar met meer zekerheid) :
-
download het certificaat van uw leverancier vanaf zijn website
(zie http://www.certipost.be/,
http://www.globalsign.com/ of
https://www.quovadisglobal.be). Neem contact op
met uw leverancier indien u hier vragen over heeft.
- Open de Certificate Manager van Firefox (zie section 4.1.1).
- Selecteer het tabblad "Authorities", en klik op "Import".
- Selecteer het certificaat van de leverancier.
- In elk popup scherm dat verschijnt, gelieve alles aan te vinken en op "OK" te klikken. Zie onderstaande figuur.
- In de Certificate Manager van Firefox, selecteer het tabblad "Your Certificates".
- Klik op "Import".
- Selecteer het bestand dat uw certificaat bevat, en klik op "Open".
- In functie van uw configuratie, zal u gevraagd worden om uw password op te geven om
toegang te krijgen tot uw verzameling van certificaten.
- Geef uw wachtwoord, dat u van uw leverancier gekregen heeft, op en klik op "OK".
- Uw certificaat zou nu moeten verschijnen in het tabblad "Your certificates".
- In de Certificate Manager van Firefox, selecteer het tabblad "Your Certificates".
- Selecteer uw certificaat en klik op "View".
- Controleer of Firefox het gebruik van het certificaat correct herkent (zie onderstaande figuur).
Enkele opties moeten geactiveerd worden om toe te laten numerieke handtekeningen uit te voeren :
- Ga naar de menu "Tools > Options... > Web Features"
(of "Edit > Preferences > Web Features" in oudere versies).
- Controleer of de opties "Enable Javascript" en "Enable Java" aangevinkt zijn.
-
Controleer ook of de browser popup vensters van FOD Financiën toelaat (niet blokeerd).
Dit hoofdstuk beschrijft hoe u uw certificaten kan gebruiken om u aan te melden op een applicatie
van FOD Financiën.
-
Indien er meerdere mogelijkheden zijn om u aan te loggen, selecteer "Certificate Authentication" :
-
Een nieuw scherm wordt afgebeeld en een popup scherm, zoals hieronder afgebeeld, verschijnt:
-
Selecteer uw certificaat en, indien nodig, geef het wachtwoord op dat de toegang tot al uw
certificaten beveiligd. Standaard is het wachtwoord in Firefox niet ingesteld.
In dat geval, laat het veld leeg en klik op "OK".
Merk op dat dit niet het wachtwoord is dat megeleverd werd door de leverancier van uw
certificaat om dit te beveiligen. Het is inderdaad het wachtwoord dat je hier
in Firefox kan instellen:
Menu Edit > Preferences > Advanced > Encryption > Security Devices, selecteer Software Security Device en
klik op "Change Password". Het is ten zeerste aangeraden dit wachtwoord in te stellen om uw software
certificaten te beveiligen.
Er zijn geen gevens die getekend kunnen worden. Dit probleem komt gewoonlijk voor wanneer u de knop "back" van
uw browser gebruikt, al dan niet in combinatie met een fout in de applicatie.
Dan is het mogelijk dat de applicatie het document of de gegevens die getekend moeten worden "verliest".
Dit probleem kan verholpen worden door niet de knop "back" van uw browser te gebruiken, en terug te gaan naar het
vorige scherm en het handteken-process opnieuw uit te voeren.
De module CAPICOM kan niet worden gevonden. Controleer of het bestand capicom.dll zich in de systeemmap van Windows
(gewoonlijk is dit C:\Windows\System32\ of C:\Winnt\System32\) bevindt.
Deze module is automatisch geïnstalleerd op voorwaarde dat u de installatie toelaat, zie section 3.1.
Om de automatische installatie te activeren, kan u de site FOD Financiën
toevoegen aan de lijst van vertrouwde websites :
- Ga naar de menu "Tools > Internet Options...", tabblad "Security"
- Klik op "Trusted Sites", knop "Sites..."
- Voer in het tekstveld de waarde "*.minfin.fgov.be" in, en klik op "Add"
om de waarde toe te voegen aan de lijs van vertrouwde websites. Zie onderstaande schermafbeelding.
- Klik op "OK", en vervolgens op "Ok".
U heeft geen enkel certificaat geïnstalleerd in uw browser, of er is geen enkel certificaat bruikbaar om
een document te tekenen. Controleer of u uw numeriek certificaat goed geïmporteerd heeft in uw browser.
Het betreft een toegangsprobleem. De huidig gebruiker heeft geen rechten om de sleutels van uw certificaten te
gebruiken. De sleutels worden beheerd door een "sleutelcontainer", waar u toegang tot moet hebben.
De stappen nodig om dit probleem op te lossen hangt af van uw Windows versie :
Windows NT :
De toegang tot de sleutelcontainer is bepaald in het register. Om die toegang te wijzigen, open regedt32 (niet regedit!),
open de tak HKEY_LOCAL_MACHINE en ga naar de sleutel
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MachineKeys\<container name>.
Selecteer Security/Permissions in de menu en controleer of iedereen (Everyone) volledige toegang (Full Control)
heeft op die sleutel.
Windows 2000 en Windows XP :
In de Windows verkenner, ga naar de map C:\Documents and settings\<username>\Application Data\Microsoft\Crypto\RSA\.
Wijzig de toegangsrechten op deze map en op al zijn bestanden en submappen :
- Klik met de rechter muisknop op de map C:\Documents and settings\<username>\Application Data\Microsoft\Crypto\RSA\.
- Ga naar "Properties"
- Klik op het tabblad "Security".
- Controleer of uw gebruiker, Administrator en System volledige toegang ("full control") hebben tot deze map
(controleer of alle aanvinkvakjes "Allow" aangevinkt zijn).
- Klik "Advanced".
- Vink de aanvinkvakjes ("Inherit..." en "Replace...") op de root map, zodat alle rechten worden toegepast op
alle onderliggende bestanden en mappen.
- Klik op Apply, vervolgens Yes, en OK.
- Klik io OK.
U moet deze procedure opnieuw uitvoeren voor de map
C:\Documents and settings\All Users\Application Data\Microsoft\Crypto\RSA\.
Opgelet: het betreft hier verborgen systeembestanden. Om de bovenvermelde actie uit te voeren op deze bestanden,
gelieve ze zichtbaar te maken. Dit kan u doen door de optie "Display hidden files and folders"
te activeren in Windows. Hieronder is beschreven hoe u dit kan doen :
- Klik op "Start", ga naar "Settings", en klik op "Control Panel".
- Indien "Category View" actief is : klik op "Appearance and Themes"
- Klik op "Folder Options".
- Op het tabblad "View", onder "Hidden files and folders", klik op "Show hidden files and folders".
Zie Fout 503.
Er is waarschijnlijk een conflict tussen de certificaten, in de certificate store van Windows.
Het betreft een interne probleem van Windows en aldus staat het los van de applicatie
van FOD Financiën. Het probleem kan opgelost worden door manueel een certificaat te wissen.
Om een vervallen certificaat te verwijderen op Windows 2000 en Windows XP:
- Klik op Start en selecteer Uitvoeren.
- Typ mmc en druk ENTER.
- In het menu Bestand, selecteer Module toevoegen/verwijderen.
- Klik op Toevoegen.
- Dubbel-klik Certificaten.
- Selecteer Mijn gebruikersaccount.
- Klik op Voltooien.
- Klik op Sluiten en dan OK.
- Dubbelklik Certificaten - Huidige gebruiker.
- Dubbelklik Persoonlijk en dan Certificaten.
- Klik op het certificaat.
- Druk DELETE en klik Ja.
- Sluit het Console1 venster.
Indien u een software certificaat heeft, moet u deze opnieuw registreren in uw browser.
Internet Explorer kan het geselecteerde certificaat niet vinden. Dit probleem komt voor
met Isabel certificaten. Dit probleem is veroorzaakt door foutieve update van
deze certificaten door Isabel Office Sign.
De oplossing voor dit probleem is beschreven op de help web-site van Isabel
(www.isabel.be), hoofdstuk "Isabel Web Support",
onder het identificatienummer 48700 (voer een zoekopdracht uit met dit identificatienummer).
Indien dit het probleem niet verhelpt, gelieve dan met de Isabel helplijn contact op te nemen.
De CAPICOM module kon de numerieke handtekening niet maken om een ongekende reden.
Een of meerdere acties hieronder besproken, kunnen helpen :
-
Herinstalleer de module CAPICOM. U kan gerust het bestand capicom.dll verwijderen uit uw systeemmap van
Windows (gewoonlijk C:\Windows\System32), en vervolgens de installatie procedure uitvoeren zoals beschreven
in hoofdstuk 3.
- Herinvoegen van uw certificaten, want deze kunnen corrupt zijn.
-
Probeer met Mozilla Firefox.
-
Probeer met een andere machine en/of een andere versie van Windows.
Uw certificaat werd niet correct geïnstalleerd in Firefox en/of Firefox vertrouwd het niet.
Controleer of Firefox uw certificaat vertrouwd. Hiervoor moet u uw Certificate Manager van Firefox openen
(zie hoofdstuk 4.1.1)
en controleeren of Firefox uw certifiaat vertrouwd (zie hoofdstuk 4.1.4).
Voor alle problemen, gelieve alle subrubrieken van hoofdstuk 4.1 te controleren en ga na of:
- uw certificaat niet vervallen is
- het certificaat van uw leverancier opgenomen is in de lijst van vertrouwd autoriteiten van Firefox
(zie hoofdstuk 4.1.2)
Indien u andere problemen heeft gelinkt aan het gebruik van uw certificaat met Firefox,
gelieve contact op te nemen met uw leverancier van uw certifiaat (GlobalSign, Certipost, Isabel of QuoVadis).
Firefox kon geen geldig certificaat vinden. Controleer of uw certificaat nog steeds geldig is,
en volg de richtlijnen zoals besproken in hoofdstuk 4.1.
Eens u geklik heeft op "OK", en het venster, waarin u uw certificaat kan selecteren, verschijnt opnieuw in Firefox. (Enkel Firefox)
Het opgegeven wachtwoord is niet correct. Opgelet : het betreft niet het wachtwoord van uw certificaat (het wachtwoord
meegeleverd door uw leverancier van uw certificaat), maar het wachtwoord van uw certificaten verzameling binnen
Firefox. Dit wachtwoord is standaard niet ingesteld in Firefox, dus moet u het veld leeg laten en klikt u op "OK".
Gelieve het hoofdstuk 4.3 door te nemen.