Podpis kwalifikowany na platformie Symfonia eTeczka działa wyłącznie na platformie Windows z wykorzystaniem przeglądarki WWW (Chrome, Edge, Firefox lub Opera).
Poniższa procedura opisuje instalację wszystkich wymaganych komponentów w systemie Windows.
Instalacja wstępna
Procedura instalacji różni się w zależności od rodzaju posiadanego certyfikatu mobilnego (mSzafir) lub na karcie (USB). Procedura instalacji składa się z trzech kroków:
1. Środowisko JAVA
W zależności od wymagań firmowych IT należy zainstalować jedną z najnowszych wersji:
a) OpenJDK typu open source dostępnej do użycia komercyjnego – polecana jest wersja 21 utrzymywana przez Microsoft, do pobrania ze strony: https://learn.microsoft.com/pl-pl/java/openjdk/download
b) komercyjną wersję Oracle JRE ze strony: https://www.java.com/pl/download/
Wymagane jest zakupienie subskrypcji Oracle:
https://www.oracle.com/java/java-se-subscription/.
2. Rozszerzenie do Windows (program Szafir Host)
Linki do instalacji w podrozdziale poniżej.
3. Rozszerzenie do przeglądarki internetowej (Szafir SDK WEB)
•Google Chrome / Microsoft Edge:
https://chromewebstore.google.com/detail/szafir-sdk-web/gjalhnomhafafofonpdihihjnbafkipc
•Firefox:
https://www.elektronicznypodpis.pl/download/webmodule/firefox/szafir_sdk_web-0.0.10-anfx.xpi
•Opera:
https://chromewebstore.google.com/detail/szafir-sdk-web/gjalhnomhafafofonpdihihjnbafkipc
Aktualne pliki instalacyjne Szafir do pobrania ze strony KIR
https://www.elektronicznypodpis.pl/informacje/aplikacje/
Po instalacji JAVA oraz rozszerzeń do Windows i przeglądarki internetowej wymagane jest całkowite zamknięcie wszystkich okien przeglądarki i jej restart. Bez wykonania tego kroku okno podpisu uruchomi się i będzie ciągle w stanie 'W trakcie…’ uruchomienia (niebieski status), co uniemożliwi faktyczne wykonywanie podpisów kwalifikowanych.
KROK 1. Instalacja środowiska JAVA (OpenJDK)
Do poprawnej obsługi środowiska podpisów kwalifikowanych niezbędne jest zainstalowanie środowiska uruchomieniowego JAVA.
Rekomendowane oprogramowanie Microsoft OpenJDK należy pobrać pod linkiem:
•(Windows x64, Msi) https://learn.microsoft.com/pl-pl/java/openjdk/download#openjdk-21
Podczas instalacji należy postępować zgodnie z wyświetlonymi krokami.
KROK 2. Instalacja aplikacji Szafir Host
Do poprawnego złożenia podpisu kwalifikowanego niezbędne jest oprogramowanie „Szafir Host”, które powinno być zainstalowane na komputerze osoby składającej podpis.
Oprogramowanie należy pobrać pod linkiem (https://www.elektronicznypodpis.pl/aplikacje-i-sterowniki):
•(Windows 64-bit, wersja 1.2.1)
•(Windows 32-bit, wersja 1.2.1)
Jeżeli nie jest zainstalowana w systemie przeglądarka, przy próbie uruchomienia modułu „Szafir SDK”, poinformuje o konieczności przeprowadzenia takiej instalacji. W oknie wyświetlonym przez przeglądarkę pojawią się przyciski pozwalające na pobranie oprogramowania dla wybranego systemu operacyjnego (w tym wypadku tylko Windows).
Podczas instalacji należy postępować zgodnie z wyświetlonymi krokami.
1.Zaznacz pole Akceptuję warunki Umowy licencyjnej, aby potwierdzić akceptację warunków licencji produktu Szafir Host.
2.Kliknij przycisk Zainstaluj, aby rozpocząć instalację komponentu. Instalacja może wymagać uprawnień administratora systemu Windows lub pomocy działu IT. W razie pojawienia się komunikatu systemowego Windows o zgodzie na wprowadzenie zmian wybierz Tak i poczekaj na zakończenie instalacji.
KROK 3. Instalacja rozszerzenia do przeglądarki
Złożenie podpisu z poziomu przeglądarki wymaga zainstalowania wtyczki.
Dla przeglądarki Chrome należy pobrać rozszerzenie Szafir SDK Web z Chrome Web Store pod linkiem https://chromewebstore.google.com/detail/szafir-sdk-web/gjalhnomhafafofonpdihihjnbafkipc
Instalacja wtyczki wymaga wydania zezwolenia przez użytkownika przeglądarki i potwierdzenia decyzji o instalacji – jak na poniższym ekranie.
Dla przeglądarki Firefox rozszerzenie nie jest dostępne w Web Storze i należy je pobrać z linka:
https://www.elektronicznypodpis.pl/download/webmodule/firefox/szafir_sdk_web-0.0.10-anfx.xpi
Przeglądarka Opera współpracuje z rozszerzeniem z Chrome Web Store i należy je pobrać z linka:
https://chromewebstore.google.com/detail/szafir-sdk-web/gjalhnomhafafofonpdihihjnbafkipc
Instalacja wtyczki wymaga wydania zezwolenia przez użytkownika przeglądarki i potwierdzenia decyzji o instalacji – jak na poniższym ekranie.
Instalacja komponentów dla certyfikatu mobilnego
Dodatkowo dla certyfikatów mobilnych (bez karty i czytnika) do prawidłowego działania podpisu elektronicznego należy pobrać i uruchomić Oprogramowanie CloudSigner do obsługi i zarządzania wirtualnymi kartami elektronicznymi.
https://www.elektronicznypodpis.pl/aplikacje-i-sterowniki
Dodanie karty wirtualnej mSzafir w oprogramowaniu CloudSigner
Po pobraniu i zainstalowaniu CryptoCard CloudSigner należy otworzyć aplikację z listy działających aplikacji Windows lub z menu Start.
1.W oknie CloudSigner – kart wirtualne kliknij przycisk +.
2.Wybierz typ karty wirtualnej mSzafir i zatwierdź.
3.Uruchom aplikację mobilną mSzafir w telefonie i wybierz opcję Generuj kod.
4.Wygenerowany kod wprowadź w polach kodu OTT i zatwierdź.
5.W aplikacji mSzafir potwierdź autoryzację operacji.
6.Po autoryzacji w aplikacji CloudSigner będzie widoczna lista aktywnych certyfikatów.
Szczegółowa instrukcja instalacji karty wirtualnej pod linkiem
Instalacja komponentów dla certyfikatu na karcie
Dla certyfikatów na karcie (z czytnikiem lub przy wykorzystaniu klucza USB) do prawidłowego działania podpisu elektronicznego należy pobrać odpowiednie sterowniki dla danej karty podpisu kwalifikowanego. Poniżej opisana jest instrukcja dot. karty Graphite.
Instrukcja aktywacji karty Graphite oraz certyfikatu kwalifikowanego
W celu aktywacji karty oraz certyfikatu należy pobrać i uruchomić Instalator Szafir dostępny pod linkiem:
https://www.elektronicznypodpis.pl/aplikacje-i-sterowniki
Podczas instalacji postępuj zgodnie z wyświetlonymi krokami.
W ostatnim kroku należy podłączyć czytnik z kartą do komputera i potwierdzić przyciskiem Zakończ.
Oprogramowanie automatycznie uruchomi okno Menadżer CryptoCard Graphite, w celu aktywacji karty.
Po wybraniu opcji Aktywuj kartę należy podać kod PUK (otrzymany w kopercie) i zatwierdzić przyciskiem OK.
W kolejnym kroku należy aktywować podpis kwalifikowany.
W polu PIN transportowy należy podać PIN z otrzymanej koperty a w polach poniżej nadać własny kod PIN (od 6 do 16 znaków, składający się z cyfr oraz liter).
Pełna instrukcja instalacji oprogramowania Szafir pod linkiem
Aplikacja Szafir nie wykrywa certyfikatu zapisanego na karcie
Podczas podpisu dokumentów może pojawić się błąd braku wykrycia podpisu kwalifikowanego, pomimo jego faktycznej instalacji.
Jako pierwszy krok należy w oknie podpisu eTeczki PODPISZ DOKUMENTY zaznaczyć checkbox Pokaż okno szczegółów podpisu.
W sytuacji, gdy podpis będzie dostępny pojawi się poniższe okno, a w nim:
1.Podgląd dokumentu.
2.Informacje o certyfikacie podpisu / certyfikacie timestamp.
Jeśli w powyższym oknie certyfikat nie jest widoczny (2) tj. pokazywane jest przycisk Wybierz certyfikaty – w aplikacji Szafir jego naciśnięciu zostanie wyświetlone poniższe okno:
W takim przypadku można wypróbować poniższe rozwiązania:
1. Ręczne wskazanie sterownika karty kryptograficznej
W większości przypadków problem rozwiązuje się po ręcznym uzupełnieniu konfiguracji biblioteki do podpisów.
Schemat postępowania można znaleźć np. w artykule:
pomoc.certum.pl - EKW – ręczne wskazanie sterownika karty kryptograficznej
2. W systemie wybrano niewłaściwą bibliotekę PKCS#11 dla karty
Jeżeli na komputerze użytkownika zainstalowano oprogramowanie do obsługi różnych kart kryptograficznych, aplikacja podpisująca może próbować użyć niewłaściwej biblioteki PKCS#11. W takiej sytuacji karta lub certyfikat mogą nie zostać wykryte, mimo że poprawna karta jest włożona do czytnika.
Przykładowo, jeżeli użytkownik chce użyć karty CenCert Encard, aplikacja powinna korzystać z biblioteki:
•C:\Program Files (x86)\ENCARD\enigmap11.dll – dla aplikacji 32-bitowych,
•C:\Program Files\ENCARD\enigmap11-x64.dll – dla aplikacji 64-bitowych.
Jeżeli jednak system lub aplikacja odwołuje się zamiast tego do biblioteki:
•C:\Program Files\SafeNet\Authentication\SAC\x64\IDPrimePKCS1164.dll
oznacza to, że używana jest obsługa innego typu karty niż ta aktualnie włożona do czytnika. W efekcie aplikacja może nie wykrywać certyfikatu albo zgłaszać brak dostępnej karty.
W takiej sytuacji należy:
1.sprawdzić, czy w systemie nie są zainstalowane różne programy lub biblioteki do obsługi kart kryptograficznych,
2.ustalić, jaki typ karty posiada użytkownik,
3.dla karty CenCert Encard wskazać właściwą bibliotekę PKCS#11,
4.upewnić się, że aplikacja nie korzysta z biblioteki przeznaczonej dla innego typu karty,
5.po zmianie ustawień zamknąć przeglądarkę i ponownie uruchomić proces podpisu.
Jeżeli w oknie podpisu nie został wykryty certyfikat kwalifikowany, można skorzystać z dwóch dostępnych opcji:
1.Pokaż okno szczegółów – otwiera okno Szafira z wyborem certyfikatów i dodatkowymi opcjami diagnostycznymi,
2.Uruchom certyfikat domyślny – uruchamia certyfikat domyślnie wskazany w systemie.
Po wybraniu opcji Pokaż okno szczegółów należy:
1.Kliknąć przycisk Wybierz certyfikaty.
2.W oknie Szafira kliknąć Wskaż ręcznie plik sterownika karty.
3.Następnie kliknąć Wskaż plik i wybrać właściwą bibliotekę PKCS#11 dla używanej karty.
Dla karty CenCert Encard będzie to odpowiednio:
•C:\Program Files\ENCARD\enigmap11-x64.dll – dla aplikacji 64-bitowych,
•C:\Program Files (x86)\ENCARD\enigmap11.dll – dla aplikacji 32-bitowych.
Po wskazaniu właściwej biblioteki należy zatwierdzić wybór i ponownie spróbować wykonać podpis.
Problem może wystąpić szczególnie wtedy, gdy na komputerze są zainstalowane komponenty do obsługi kilku różnych typów kart, a aplikacja automatycznie wybiera nie tę bibliotekę, która odpowiada karcie używanej przez użytkownika.
3. Dodatkowa diagnostyka
Niektórzy dostawcy podpisów udostępniają narzędzia do generowania dodatkowych raportów odnośnie występujących błędów.
Przykładowo, dla podpisu kwalifikowanego CERTUM należy wykonać poniższe kroki:
•zainstalować pakiet proCertum CardManager:
pomoc.certum.pl - proCertum CardManager – CERTUM » Wsparcie techniczne
•w ramach proCertum Diagnostic należy uruchomić Generuj raport
Program powinien wylistować wszystkie biblioteki związane z kartą, w tym cryptoCertum3PKCS.dll – jeśli nie pokaże, to oznacza braki w instalacji.
4. Aktualizacja sterowników
Jeśli powyższe rozwiązania nie pomogą, należy sprawdzić wersje zainstalowanych sterowników i pobrać najnowsze dostępne.
5. Kontakt z dostawcą podpisu
W przypadku nadal występujących błędów należy kontaktować się z infolinią dostawcy podpisu kwalifikowanego.