Deze pagina verduidelijkt hoe u een certificaat kan gebruiken (certificaten software of electronische identiteitskaart), om op een numerieke wijze uw document te tekenen, met behulp van uw browser.
Deze pagina bevat volgende hoofdstukken :
Een recente browser alsook recente versleutelings-modules zijn nodig om documenten numeriek te tekenen en om authenticatie via een certificaat uit te voeren. Meerbepaald, de onmisbare componenten voor een numerieke handtekening zijn :
De handtekening van een document en de authenticatie via een certificaat gebeurd via een numeriek certificaat. Zo een certificaat zit in uw belgische elektronische identiteitskaart. U kan ook een certificaten-software gebruiken, maar deze moet u toegestuurd worden door een van de volgende autoriteiten:
Gelieve de site van deze instellingen te raadplegen om de gedetailleerde instructies terug te vinden, om het certificaat te verkrijgen. Opgelet : enkel de certificaten van klasse 3 worgen aanvaard.
Wanneer u uw elektronische kaart wil gebruiken, zorg er dan voor dat de nodige modulen correct geïnstalleerd en geconfigureerd zijn op uw machine (bruikbaar beheerssysteem, kaartlezer, software eID, correcte browser configuratie). De instructies voor de installatie, de configuratie en het gebruik van uw eleketronische kaart zijn beschikbaar op de volgende sites :
Om problemen te voorkomen, we raden u ten zeerste aan de site FOD Financiën toe te voegen aan de lijst van vertrouwde websites :
Met deze instelling kan u doorgaan naar hoodstuk 3.2.
Deze module is in het bijzonder gebruikt voor de numerieke handtekening van gegevens, het controleren van numerieke handtekeningen en het berekenen van gegevens. Als deze module niet voorzien is op uw machine, zal deze automatische geïnstalleerd worden (onder de vorm van een ActiveX plugin), indien uw beveiligingsinstellingen het toelaten. De installatie hangt af van het niveau van uw beveiligingsinstellingen. Voor Internet Explorer wil dit zeggen :
Met deze instelling wordt de module CAPICOM automatisch geïntalleerd. U kan doorgaan naar hoodstuk 3.2. De instructies om de site van FOD Financiën aan de lijst van vertrouwde sites toe te voegen, kan u hier terugvinden.
Met deze instelling zal Internet Explorer eerst vragen of de ActiveX componenten mogen geactiveerd worden. Klik op de balk bovenaan in het scherm, en klik op "Install ActiveX Control...".
Internet Explorer vraag u vervolgens de toelating om de module CAPICOM te installeren. U mag deze module installeren. Klik op "Install".
Wanneer u manueel de module CAPICOM moet installeren, kan u een versie van CAPICOM downloaden, voor Internet Explorer 6.0 SP1 en hoger, op de website van Microsoft.
Er is ook een kopie van de module CAPICOM beschikbaar. Deze kan u hier downloaden. Download deze, pak het bestand uit en kopieer het bestand capicom.dll naar de systeem map van uw Windows (gewoonlijk is dit de map C:\Windows\System32). Start vervolgens uw browser opnieuw op.
Het numerieke certificaat moet geregistreerd worden in uw browser. Wanneer u een elektronische identieitskaart gebruikt, en u heeft correct de software van eID geïnstalleerd, dan zijn uw certificaten automatisch geregistreerd de eerste keer dat u uw kaart in de kaartlezer steekt. In het geval van een software certificaat (Certipost, GlobalSign of Isabel), geeft het betreffende instituut in het algemeen de instructies en/of software om het certificaat te registreren. Indien het certificaat enkel geleverd werd in de vorm van een bestand, gelieve dan de volgende instructies te volgen :
Bepaalde opties moeten geactiveerd worden om een numerieke handtekening uit te voeren :
Voor de Mozilla browsers (Firefox, Mozilla, Netscape,...), is de module JSS (Mozilla Network Security Services for Java) vereist. Deze module laat de Mozilla browsers toe, kryptografische operaties uit te voeren. Deze module moet manueel geïnstalleerd worden.
De installatie instructies voor Java voor Mozilla Firefox kan u hier vinden.
De module JSS kan gratis op de website http://www.mozilla.org/projects/security/pki/jss/using_jss.html gedownload worden. Om het u gemakkelijk te maken, kan u hier een aangepaste archief voor Windows vinden. Dit archief bevat de volgende bestanden :
Deze bestanden kunnen ook gedownload worden van de site http://www.mozilla.org/projects/security/pki/jss/using_jss.html. Ze zijn verdeeld met de vergunning "Mozilla Firefox End-User Software License Agreement", die hier beschreven is.
Om de module JSS te installeren :
Een FAQ voor de module JSS is hier beschikbaar.
Om het u gemakkelijk te maken, is een aangepast archief voor de Linux platformen voorzien. Deze kan u hier downloaden. Dit archief bevat de volgende bestanden :
Om de JSS module te installeren :
Omdat het certificaat onder de vorm van bestanden geleverd wordt, zijn volende stappen nodig om de certificaten te registeren in uw browser Mozilla Firefox. Het certificaat moet een PKCS12 bestand zijn. Indien het certificaat niet van dit type is zal de installatie niet lukken. Het certificaat kan geïmporteerd en daarna geëxporteerd worden naar het formaat PKCS12 via Internet Explorer of door het gebruik van openssl.
Enkele opties moeten geactiveerd worden om u toe te laten numerieke handtekeningen uit te voeren :
De eerste keer dat hij gebruikt wordt, zal de module "Belgium Identity Card PKCS#11" geregistreerd worden in Mozilla, Netscape of Firefox. De module kan automatisch geregistreerd worden door een specifieke HTML pagina te laden, lokaal op uw harde schijf, in het algemeen op de locatie (onder Windws) : file://C:/Program Files/Belgium Identity Card/beid-pkcs11-register.html (De specifieke plaats van het bestand, hangt af van uw plateform en uw installatie opties.)
Er zijn geen gevens die getekend kunnen worden. Dit probleem komt gewoonlijk voor wanneer u de knop "back" van uw browser gebruikt, al dan niet in combinatie met een fout in de applicatie. In deze situatie kan het gebeuren dat de applicatie het document of de gegevens die getekend moeten worden "verliest". Dit probleem kan verholpen worden door niet de knop "back" van uw browser te gebruiken, en terug te gaan naar het vorige scherm en het handtekenen-process opnieuw uit te voeren.
De Java applet die de elektronische handtekening regelt, is niet goed geladen. Controleer of Java goed geïnstalleerd is op uw machine, en of uw browser de nodige plugin voor uw Java applets heeft. Soms is het nodig om uw cache van uw browser te ledigen (Tools > Clear Private Data...) alsook de cache van Java (open het configuratiescherm van Java, tabblad General > Delete files... > Ok). Vervolgens herstart u uw browser. Indien dit niet helpt, gelieve dan contact op te nemen met de service desk.
Zie Fout 201
Zie Fout 201
Gelieve een recente Java Runtime Environment te installeren. De minimale versie is de versie >= 1.4.2 (aangeraden versie : 1.5). Deze kan u op het volgende adres, java.sun.com, downloaden.
Deze boodschap kan voorkomen in Mozilla indien uw browser er niet in slaagt online de geldigheid van een certificaat te controleren. Het is mogelijk om het probleem te omzeilen door het online controleren van een certificaat uit te schakelen :
Geen enkele module JSS werd gevonden. Deze module is nodig om een handtekening te maken in de Mozilla/Firefox browsers. De module moet manueel geïnstaleerd worden. De installatieinstructies kan u hier terugvinden. Na de installatie moet u uw browser herstarten.
Zie Fout 420
De module CAPICOM kan niet worden gevonden. Controleer of het bestand capicom.dll zich in de systeemmap van Windows (gewoonlijk is dit C:\Windows\System32\ of C:\Winnt\System32\) bevindt. Deze module is automatisch geïnstalleerd op voorwaarde dat u de installatie toelaat, zie section 3.1.
U heeft geen enkel certificaat geïnstalleerd in uw browser, of geen enkel certificaat kan gebruikt worden om een document te tekenen. Controleer of u uw numeriek certificaat goed geïmporteerd heeft in uw browser. Zie http://readers.eid.belgium.be/, voor meer informatie ivm de wijze waarop een certificaat in Internet Explorer moet geïmporteerd worden.
Het betreft een toegangsprobleem. De huidig gebruiker heeft geen rechten om de sleutels van uw certificaten te gebruiken. De sleutels worden beheerd door een "sleutelcontainer", waar u toegang tot moet hebben. De stappen nodig om dit probleem op te lossen hangt af van uw Windows versie :
De toegang tot de sleutelcontainer is bepaald in het register. Om die toegang te wijzigen, open regedt32 (niet regedit!), open de tak HKEY_LOCAL_MACHINE en ga naar de sleutel HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MachineKeys\<container name>. Selecteer Security/Permissions in de menu en controleer of iedereen (Everyone) volledige toegang (Full Control) heeft op die sleutel.
In de Windows verkenner, ga naar de map C:\Documents and settings\<username>\Application Data\Microsoft\Crypto\RSA\. Wijzig de toegangsrechten op deze map en op al zijn bestanden en submappen :
U moet deze procedure opnieuw doorvoeren voor de map C:\Documents and settings\All Users\Application Data\Microsoft\Crypto\RSA\.
Opgelet: het betreft hier verborgen systeembestanden. De bovenvermelde actie moet uitgevoerd zijn op deze bestanden. Gelieve dus eerst de bestanden zichtbaar te maken. Dit kan u doen door de optie "Display hidden files and folders" te activeren in Windows. Hieronder is beschreven hoe u dit kan doen :
Zie Fout 503.
Er bestaan twee mogelijke oorzaken : ofwel gebruikt u een oude versie van uw middleware eID, ofwel is er een probleem tussen enkele certificaten.
Controleer eerst de versie van uw middleware Belgium eID Run-time. U kan de hulpsoftware gebruiken die gewoonlijk geïnstalleerd is op de volgende locatie : "C:\Program Files\Belgium Identity Card\beidgui.exe". Het versienummer is aangegeven in het tabblad "info". Deze zou 2.5.9 (of hoger), moeten zijn. Gelieve de software up-to-date te maken en de huidige versie te gebruiken. Deze kan gedownload worden via de website http://eid.belgium.be.
Indien dit het probleem niet oplost, zal er waarschijnlijk een probleem zijn tussen de certificaten, geregistreerd met de middleware eID. Het probleem kan opgelost worden door manueel de certificaat te wissen.
Om een vervallen certificaat te verwijderen op Windows 2000 en Windows XP:
Uw eID certificaten worden automatisch opnieuw geregistreerd, de volgende keer dat u uw elektronische identiteitskaart in de kaartlezer steekt. Indien u een software certificaat heeft, moet u deze opnieuw registreren in uw browser.
Internet Explorer heeft geen toegang tot het certificaat van een kaart, die niet goed in de kaartlezer geplaatst is, of niet gedetecteerd wordt door de kaartlezer. Deze fout doet zich voor op het moment wanneer u een handtekening wil plaatsten, maar u heeft reeds uw eID kaart verwijdert uit de kaartlezer na de authenticatie.
Internet Explorer heeft geen toegant tot het certificaat omdat de kaart niet in de kaartlezer zit, of omdat de kaart niet herkent werd door de kaartlezer. Deze fout doet zich bijvoorbeeld voor wanneer op het moment dat de PIN code gecontroleerd wordt, de kaart uitgeworpen werd.
Internet Explorer is verward en heeft geen toegang tot uw certificaten. Deze fout kan voorkomen nadat er zich andere fouten voorgedaan hebben zoals de bovenvernoemde fout. Het herstarten van Internet Explorer zou moeten volstaan.
Internet Explorer kan de geselecteerde certificaat niet vinden. Dit probleem komt voor met Isabel certificaten. Dit probleem is veroorzaakt door een foutive update van de Isabel certificaten door Isabel Office Sign. De oplossing voor dit probleem is beschreven op de help web site van Isabel (www.isabel.be), hoofdstuk "Isabel Web Support", onder het identificatienummer 48700 (voer een zoekopdracht uit met dit identificatienummer). Indien dit het probleem niet verhelpt, gelieve dan met de Isabel helplijn contact op te nemen.
De CAPICOM module kon de numerieke handtekening niet maken om een ongekende reden. Een of meerdere acties hieronder besproken, kunnen helpen :