Deze pagina verduidelijkt hoe u een certificaat kan gebruiken (certificaten software of electronische identiteitskaart), om op een numerieke wijze uw document te tekenen, met behulp van uw browser.

Deze pagina bevat volgende hoofdstukken :

  1. Technische vereisten
  2. Het verkrijgen van een numeriek certificaat
  3. Instellingen van Internet Explorer
  4. Instellingen voor de browsers van Mozilla
  5. Vaak voorkomende fouten

1. Technische vereisten

Een recente browser alsook recente versleutelings-modules zijn nodig om documenten numeriek te tekenen en om authenticatie via een certificaat uit te voeren. Meerbepaald, de onmisbare componenten voor een numerieke handtekening zijn :

Isabel Office Sign ondersteunt de browser Firefox niet. Bijgevolg is het niet mogelijk om een electronische handtekening te maken met uw Isabel certificaat met deze browser. Gelieve Internet Explorer te gebruiken.

2. Het verkrijgen van een numeriek certificaat

De handtekening van een document en de authenticatie via een certificaat gebeurd via een numeriek certificaat. Zo een certificaat zit in uw belgische elektronische identiteitskaart. U kan ook een certificaten-software gebruiken, maar deze moet u toegestuurd worden door een van de volgende autoriteiten:

  1. Certipost
  2. GlobalSign
  3. Isabel

Gelieve de site van deze instellingen te raadplegen om de gedetailleerde instructies terug te vinden, om het certificaat te verkrijgen. Opgelet : enkel de certificaten van klasse 3 worgen aanvaard.

Wanneer u uw elektronische kaart wil gebruiken, zorg er dan voor dat de nodige modulen correct geïnstalleerd en geconfigureerd zijn op uw machine (bruikbaar beheerssysteem, kaartlezer, software eID, correcte browser configuratie). De instructies voor de installatie, de configuratie en het gebruik van uw eleketronische kaart zijn beschikbaar op de volgende sites :

3. Configuratie voor Internet Explorer

Om problemen te voorkomen, we raden u ten zeerste aan de site FOD Financiën toe te voegen aan de lijst van vertrouwde websites :

  1. Ga naar de menu "Tools > Internet Options...", tabblad "Security"
  2. Klik op "Trusted Sites", knop "Sites..."
  3. Voer in het tekstveld de waarde "*.minfin.fgov.be" in, en klik op "Add" om de waarde toe te voegen aan de lijs van vertrouwde websites. Zie onderstaande schermafbeelding.
  4. Klik op "OK", en vervolgens op "Ok".
Add *.minfin.fgov.be to the list of Trusted Sites

Met deze instelling kan u doorgaan naar hoodstuk 3.2.

3.1. Installatie van de module CAPICOM

Deze module is in het bijzonder gebruikt voor de numerieke handtekening van gegevens, het controleren van numerieke handtekeningen en het berekenen van gegevens. Als deze module niet voorzien is op uw machine, zal deze automatische geïnstalleerd worden (onder de vorm van een ActiveX plugin), indien uw beveiligingsinstellingen het toelaten. De installatie hangt af van het niveau van uw beveiligingsinstellingen. Voor Internet Explorer wil dit zeggen :

Een laag niveau van beveiliging, of de site minfin.fgov.be is opgenomen in de lijst van vertrouwde sites

Met deze instelling wordt de module CAPICOM automatisch geïntalleerd. U kan doorgaan naar hoodstuk 3.2. De instructies om de site van FOD Financiën aan de lijst van vertrouwde sites toe te voegen, kan u hier terugvinden.

Een gemiddeld niveau van beveiliging, en de site minfin.fgov.be is niet opgenomen in de lijst van vertrouwde sites

Met deze instelling zal Internet Explorer eerst vragen of de ActiveX componenten mogen geactiveerd worden. Klik op de balk bovenaan in het scherm, en klik op "Install ActiveX Control...".

Klik op "Install ActiveX Control..."

Internet Explorer vraag u vervolgens de toelating om de module CAPICOM te installeren. U mag deze module installeren. Klik op "Install".

Klik op "Install"

Een hoog niveau van beveiliging of manuele installatie van CAPICOM

Wanneer u manueel de module CAPICOM moet installeren, kan u een versie van CAPICOM downloaden, voor Internet Explorer 6.0 SP1 en hoger, op de website van Microsoft.

Er is ook een kopie van de module CAPICOM beschikbaar. Deze kan u hier downloaden. Download deze, pak het bestand uit en kopieer het bestand capicom.dll naar de systeem map van uw Windows (gewoonlijk is dit de map C:\Windows\System32). Start vervolgens uw browser opnieuw op.

3.2. Installatie van het numerieke certificaat in Internet Explorer

Het numerieke certificaat moet geregistreerd worden in uw browser. Wanneer u een elektronische identieitskaart gebruikt, en u heeft correct de software van eID geïnstalleerd, dan zijn uw certificaten automatisch geregistreerd de eerste keer dat u uw kaart in de kaartlezer steekt. In het geval van een software certificaat (Certipost, GlobalSign of Isabel), geeft het betreffende instituut in het algemeen de instructies en/of software om het certificaat te registreren. Indien het certificaat enkel geleverd werd in de vorm van een bestand, gelieve dan de volgende instructies te volgen :

  1. "Menu Tools" > "Internet Options..."
  2. Klik op het tabblad "Content", vervolgens op de knop "Certificates...". U krijgt lijst te zien, met al uw geïnstalleerde certificaten.
  3. Klik op "Import...". Deze opent een wizard. Klik op "Next".
  4. Gelieve in het getoonde dialoogvenster, het volledige pad naar het certificaatbestand in te vullen. Klik vervolgens op "Next".
  5. Voer het password in dat u van het instituut ontvangen heef. U kan eveneens aangeven dat de private sleutel mag geëxporteerd worden om het certificaat ook op andere machines te kunnen installeren. Klik op "Next".
  6. Selecteer "Automatically select the certificate store..." en klik op "Next".
  7. U krijgt vervolgens een boodschap die aangeeft of de import van het certificaat gelukt is. Klik op "Finish".
  8. Het nieuwe geïmporteerde certificaat zou nu in de dialoogbox "Certificates" in het tabblad "Personal" moeten verschijnen. U kan nu de geldigheid van het certificaat controleren door erop te dubbel klikken. U zou de volgende melding moeten zien: "You have a private key that corresponds to this certificate".

 

3.3. Configuratie van Internet Explorer

Bepaalde opties moeten geactiveerd worden om een numerieke handtekening uit te voeren :

  1. Ga naar het menu "Tools" > "Internet Options...".
  2. Klik op het tabblad "Security", "Custom Level".
  3. Controleer of "Microsoft VM > Disable Java" NIET aangevinkt is.
  4. Controleer of "Scripting > Active scripting" Enabled is.
  5. Controleer of "Scripting > Scripting of Java applets" Enabled is.
  6. Controleer of "ActiveX controls and plug-ins > Download signed ActiveX controls" Prompt of Enabled is.
  7. Controleer of "ActiveX controls and plug-ins > Run ActiveX controls and plug-ins" Enabled is.
  8. Controleer of "ActiveX controls and plug-ins > Script ActiveX controls marked safe for scripting" Enabled is.
  9. Klik op "OK", en daarna op "Apply".

 

4. Configuratie van de Mozilla browsers

Voor de Mozilla browsers (Firefox, Mozilla, Netscape,...), is de module JSS (Mozilla Network Security Services for Java) vereist. Deze module laat de Mozilla browsers toe, kryptografische operaties uit te voeren. Deze module moet manueel geïnstalleerd worden.

Isabel Office Sign ondersteunt de browser Firefox niet. Bijgevolg is het niet mogelijk om een electronische handtekening te maken met uw Isabel certificaat met deze browser. Gelieve Internet Explorer te gebruiken.

4.1. Installatie van Java Runtime Environment

De installatie instructies voor Java voor Mozilla Firefox kan u hier vinden.

4.2. Installatie van de module JSS voor Windows

De module JSS kan gratis op de website http://www.mozilla.org/projects/security/pki/jss/using_jss.html gedownload worden. Om het u gemakkelijk te maken, kan u hier een aangepaste archief voor Windows vinden. Dit archief bevat de volgende bestanden :

Deze bestanden kunnen ook gedownload worden van de site http://www.mozilla.org/projects/security/pki/jss/using_jss.html. Ze zijn verdeeld met de vergunning "Mozilla Firefox End-User Software License Agreement", die hier beschreven is.

Om de module JSS te installeren :

  1. Pak het archief uit
  2. Kopier de dll bestanden (jss3.dll, libnspr4.dll, libplc4.dll en libplds4.dll) in de installatie map van Mozilla (bijvoorbeeld C:\Program Files\Mozilla Firefox\). Voor de browsers Netscape, kan u zonder problem de bestaande .dll bestanden overschrijen.
  3. Kopier het .jar bestand (jss33.jar) naar de map lib\ext\ van alle Java Runtime Environments installaties. Deze bevinden zich gewoonlijk in de map C:\Program Files\Java\. U kan bijvoorbeeld het bestand jss33.jar in de mappen C:\Program Files\Java\jre1.5.0_06\lib\ext\ en C:\Program Files\Java\jdk1.4.2_07\jre\lib\ext\ kopiëren. De precieze plaats hangt af van uw configuratie.
  4. Herstart uw Mozilla browser.

Een FAQ voor de module JSS is hier beschikbaar.

4.3. Installatie van de JSS module voor Linux

Om het u gemakkelijk te maken, is een aangepast archief voor de Linux platformen voorzien. Deze kan u hier downloaden. Dit archief bevat de volgende bestanden :

Om de JSS module te installeren :

  1. Pak het archief uit met unzip.
  2. Kopier het bestand libjss3.so naar de installatiemap van Mozilla (bijvoorbeeld ~/firefox ou /usr/lib/mozilla-firefox).
  3. Kopieer het bestand .jar (jss33.jar) naar de map lib\ext\, en dit voor al uw Java Runtime Environments installaties.
  4. Herstart uw Mozilla browser.

 

4.4. Installatie van een numeriek certificaat in Mozilla Firefox

Omdat het certificaat onder de vorm van bestanden geleverd wordt, zijn volende stappen nodig om de certificaten te registeren in uw browser Mozilla Firefox. Het certificaat moet een PKCS12 bestand zijn. Indien het certificaat niet van dit type is zal de installatie niet lukken. Het certificaat kan geïmporteerd en daarna geëxporteerd worden naar het formaat PKCS12 via Internet Explorer of door het gebruik van openssl.

  1. Ga naar de menu "Tools > Options... > Advanced" (of "Edit > Preferences > Advanced" in de oudere versies).
  2. Klik op het tabblad "Security", "Show certificates", en vervolgens op "Import".
  3. Selecteer het bestand dat uw certificaat bevat en klik op "Open".
  4. Afhankelijk van uw instellingen, zal uw browser u vragen om het password op te geven die de toegang tot uw certificaten beveiligd.
  5. Vervolgens moet u het password ingeven dat u ontvangen heeft van het instituut van uw certificaat, en klik op OK.
  6. Uw certificaat is nu toegevoegd in de lijst van het tabblad "Your certificates".

 

4.5. Configuratie van Mozilla Firefox

Enkele opties moeten geactiveerd worden om u toe te laten numerieke handtekeningen uit te voeren :

  1. Ga naar de menu "Tools > Options... > Web Features" (of "Edit > Preferences > Web Features" in oudere versies).
  2. Controleer of de opties "Enable Javascript" en "Enable Java" aangevinkt zijn.
  3. Controleer ook of uw browser geen popup vensters van FOD Financiën blokeerd.

 

4.6. Activeer de middleware Belgium eID middleware in Mozilla Firefox

De eerste keer dat hij gebruikt wordt, zal de module "Belgium Identity Card PKCS#11" geregistreerd worden in Mozilla, Netscape of Firefox. De module kan automatisch geregistreerd worden door een specifieke HTML pagina te laden, lokaal op uw harde schijf, in het algemeen op de locatie (onder Windws) : file://C:/Program Files/Belgium Identity Card/beid-pkcs11-register.html (De specifieke plaats van het bestand, hangt af van uw plateform en uw installatie opties.)

 

5. Vaak voorkomende problemen

Fout 101 : Geen enkel gegeven werd getekend.

Er zijn geen gevens die getekend kunnen worden. Dit probleem komt gewoonlijk voor wanneer u de knop "back" van uw browser gebruikt, al dan niet in combinatie met een fout in de applicatie. In deze situatie kan het gebeuren dat de applicatie het document of de gegevens die getekend moeten worden "verliest". Dit probleem kan verholpen worden door niet de knop "back" van uw browser te gebruiken, en terug te gaan naar het vorige scherm en het handtekenen-process opnieuw uit te voeren.

Fout 201 : Interne fout. De applet is niet correct geladen. (enkel Mozilla)

De Java applet die de elektronische handtekening regelt, is niet goed geladen. Controleer of Java goed geïnstalleerd is op uw machine, en of uw browser de nodige plugin voor uw Java applets heeft. Soms is het nodig om uw cache van uw browser te ledigen (Tools > Clear Private Data...) alsook de cache van Java (open het configuratiescherm van Java, tabblad General > Delete files... > Ok). Vervolgens herstart u uw browser. Indien dit niet helpt, gelieve dan contact op te nemen met de service desk.

Fout 202 : De applet is niet juist geladen. Java is niet geactiveerd of is niet beschikbaar, of een slechte applet is geladen. (enkel Mozilla)

Zie Fout 201

Fout 203 : Fout tijdens het laden van de applet. (enkel Mozilla)

Zie Fout 201

Fout 204 : Opgelet: JRE versie wordt niet ondersteund. (enkel Mozilla)

Gelieve een recente Java Runtime Environment te installeren. De minimale versie is de versie >= 1.4.2 (aangeraden versie : 1.5). Deze kan u op het volgende adres, java.sun.com, downloaden.

Fout 306 : Geen enkel certificaat geselecteerd, of geen enkel certificaat beschikbaar. (enkel Mozilla)

Deze boodschap kan voorkomen in Mozilla indien uw browser er niet in slaagt online de geldigheid van een certificaat te controleren. Het is mogelijk om het probleem te omzeilen door het online controleren van een certificaat uit te schakelen :

  1. Ga naar menu "Tools > Options... > Advanced" (of "Edit > Preferences > Advanced" voor oudere versies).
  2. Klik op het tabblad "Security", vervolgens op "Verification".
  3. Schakel de controle OCSP uit, en klik op OK.

 

Fout 420 : De module JSS is niet correct geïnstalleerd. (enkel Mozilla)

Geen enkele module JSS werd gevonden. Deze module is nodig om een handtekening te maken in de Mozilla/Firefox browsers. De module moet manueel geïnstaleerd worden. De installatieinstructies kan u hier terugvinden. Na de installatie moet u uw browser herstarten.

Fout 421 : De module JSS is niet correct geïnstalleerd. Gelieve deze te installeren voor handtekeningen te maken. (enkel Mozilla)

Zie Fout 420

Fout 501 : De module CAPICOM is niet correct geïnstalleerd. (enkel IE)

De module CAPICOM kan niet worden gevonden. Controleer of het bestand capicom.dll zich in de systeemmap van Windows (gewoonlijk is dit C:\Windows\System32\ of C:\Winnt\System32\) bevindt. Deze module is automatisch geïnstalleerd op voorwaarde dat u de installatie toelaat, zie section 3.1.

Om de automatische installatie te activeren, kan u de site FOD Financiën toevoegen aan de lijst van vertrouwde websites :

  1. Ga naar de menu "Tools > Internet Options...", tabblad "Security"
  2. Klik op "Trusted Sites", knop "Sites..."
  3. Voer in het tekstveld de waarde "*.minfin.fgov.be" in, en klik op "Add" om de waarde toe te voegen aan de lijs van vertrouwde websites. Zie onderstaande schermafbeelding.
  4. Klik op "OK", en vervolgens op "Ok".
Voeg *.minfin.fgov.be toe aan de lijst van vertrouwde websites

Fout 502 : Geen enkel certificaat gevonden (enkel IE)

U heeft geen enkel certificaat geïnstalleerd in uw browser, of geen enkel certificaat kan gebruikt worden om een document te tekenen. Controleer of u uw numeriek certificaat goed geïmporteerd heeft in uw browser. Zie http://readers.eid.belgium.be/, voor meer informatie ivm de wijze waarop een certificaat in Internet Explorer moet geïmporteerd worden.

Fout 503 : Toegangsprobleem tot de sleutels van het geselecteerde certificaat. De toegang werd waarschijnlijk geweigerd. (enkel IE)

Het betreft een toegangsprobleem. De huidig gebruiker heeft geen rechten om de sleutels van uw certificaten te gebruiken. De sleutels worden beheerd door een "sleutelcontainer", waar u toegang tot moet hebben. De stappen nodig om dit probleem op te lossen hangt af van uw Windows versie :

Windows NT :

De toegang tot de sleutelcontainer is bepaald in het register. Om die toegang te wijzigen, open regedt32 (niet regedit!), open de tak HKEY_LOCAL_MACHINE en ga naar de sleutel HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MachineKeys\<container name>. Selecteer Security/Permissions in de menu en controleer of iedereen (Everyone) volledige toegang (Full Control) heeft op die sleutel.

Windows 2000 en Windows XP :

In de Windows verkenner, ga naar de map C:\Documents and settings\<username>\Application Data\Microsoft\Crypto\RSA\. Wijzig de toegangsrechten op deze map en op al zijn bestanden en submappen :

  1. Klik met de rechter muisknop op de map C:\Documents and settings\<username>\Application Data\Microsoft\Crypto\RSA\.
  2. Ga naar "Properties"
  3. Klik op het tabblad "Security".
  4. Controleer of uw gebruiker, Administrator en System volledige toegang ("full control") hebben tot deze map (controleer of alle aanvinkvakjes "Allow" aangevinkt zijn).
  5. Klik "Advanced".
  6. Vink de aanvinkvakjes ("Inherit..." en "Replace...") op de root map, zodat alle rechten worden toegepast op alle onderliggende bestanden en mappen.
  7. Klik op Apply, verolgens Yes, en OK.
  8. Klik io OK.

U moet deze procedure opnieuw doorvoeren voor de map C:\Documents and settings\All Users\Application Data\Microsoft\Crypto\RSA\.

Opgelet: het betreft hier verborgen systeembestanden. De bovenvermelde actie moet uitgevoerd zijn op deze bestanden. Gelieve dus eerst de bestanden zichtbaar te maken. Dit kan u doen door de optie "Display hidden files and folders" te activeren in Windows. Hieronder is beschreven hoe u dit kan doen :

  1. Klik op "Start", ga naar "Settings", en klik op "Control Panel".
  2. Indien "Category View" atief is : klik op "Appearance and Themes"
  3. Klik op "Folder Options".
  4. Op het tabblad "View", onder "Hidden files and folders", klik op "Show hidden files and folders".

Fout 504 : Geen toegang tot de sleutels van het geselecteerde certificaat. De toegang is waarschijnlijk geweigerd. (enkel IE)

Zie Fout 503.

Fout 505 : Geen toegang tot de sleutels van het geselecteerde certificaat. Probleem tussen uw certificaten. (enkel IE)

Er bestaan twee mogelijke oorzaken : ofwel gebruikt u een oude versie van uw middleware eID, ofwel is er een probleem tussen enkele certificaten.

Controleer eerst de versie van uw middleware Belgium eID Run-time. U kan de hulpsoftware gebruiken die gewoonlijk geïnstalleerd is op de volgende locatie : "C:\Program Files\Belgium Identity Card\beidgui.exe". Het versienummer is aangegeven in het tabblad "info". Deze zou 2.5.9 (of hoger), moeten zijn. Gelieve de software up-to-date te maken en de huidige versie te gebruiken. Deze kan gedownload worden via de website http://eid.belgium.be.

Indien dit het probleem niet oplost, zal er waarschijnlijk een probleem zijn tussen de certificaten, geregistreerd met de middleware eID. Het probleem kan opgelost worden door manueel de certificaat te wissen.

Om een vervallen certificaat te verwijderen op Windows 2000 en Windows XP:

  1. Klik op Start en selecteer Uitvoeren.
  2. Typ mmc en druk ENTER.
  3. In het menu Bestand, selecteer Module toevoegen/verwijderen.
  4. Klik op Toevoegen.
  5. Dubbel-klik Certificaten.
  6. Selecteer Mijn gebruikersaccount.
  7. Klik op Voltooien.
  8. Klik op Sluiten en dan OK.
  9. Dubbelklik Certificaten - Huidige gebruiker.
  10. Dubbelklik Persoonlijk en dan Certificaten.
  11. Klik op het certificaat.
  12. Druk DELETE en klik Ja.
  13. Sluit het Console1 venster.

Uw eID certificaten worden automatisch opnieuw geregistreerd, de volgende keer dat u uw elektronische identiteitskaart in de kaartlezer steekt. Indien u een software certificaat heeft, moet u deze opnieuw registreren in uw browser.

Fout 506 : Falen bij het maken van uw handtekening. De eID kaart is niet aanwezig, of is slecht in de kaartlezer geplaatst. (enkel IE)

Internet Explorer heeft geen toegang tot het certificaat van een kaart, die niet goed in de kaartlezer geplaatst is, of niet gedetecteerd wordt door de kaartlezer. Deze fout doet zich voor op het moment wanneer u een handtekening wil plaatsten, maar u heeft reeds uw eID kaart verwijdert uit de kaartlezer na de authenticatie.

Fout 507 : Falen bij het maken van uw handtekening. De eID kaart is niet aanwezig, of slecht in de kaartlezer geplaatst. (enkel IE)

Internet Explorer heeft geen toegant tot het certificaat omdat de kaart niet in de kaartlezer zit, of omdat de kaart niet herkent werd door de kaartlezer. Deze fout doet zich bijvoorbeeld voor wanneer op het moment dat de PIN code gecontroleerd wordt, de kaart uitgeworpen werd.

Fout 508 : Falen bij het maken van uw handtekening. De browser vind de certificaten niet. U zou de browser opnieuw moeten starten. (enkel IE)

Internet Explorer is verward en heeft geen toegang tot uw certificaten. Deze fout kan voorkomen nadat er zich andere fouten voorgedaan hebben zoals de bovenvernoemde fout. Het herstarten van Internet Explorer zou moeten volstaan.

Error 509 : Certificaat niet gevonden. De browser vindt de geselecteerde certificaat niet. (enkel IE)

Internet Explorer kan de geselecteerde certificaat niet vinden. Dit probleem komt voor met Isabel certificaten. Dit probleem is veroorzaakt door een foutive update van de Isabel certificaten door Isabel Office Sign. De oplossing voor dit probleem is beschreven op de help web site van Isabel (www.isabel.be), hoofdstuk "Isabel Web Support", onder het identificatienummer 48700 (voer een zoekopdracht uit met dit identificatienummer). Indien dit het probleem niet verhelpt, gelieve dan met de Isabel helplijn contact op te nemen.

Fout 510 : Fout tijdens het maken van uw handtekening. (enkel IE)

De CAPICOM module kon de numerieke handtekening niet maken om een ongekende reden. Een of meerdere acties hieronder besproken, kunnen helpen :