Kryptografické jádro IS Orsoft Open vyžaduje povolenou „silnou kryptografii“ v JRE serveru.

Princip fungování kryptotokenů (čipových karet):

• Token je HW zařízení, které provádí kryptografické operace
  • Pomocí tokenu lze podepisovat elektronické dokumenty
  • Soukromý klíč pro elektronický podpis NIKDY NEOPUSTÍ TOKEN
  • K tokenu musím znát PIN
• Z hlediska IS Orsoft probíhají kryptografické operace na klientu Openu

V této chvíli je podpora tokenů implementována v těchto oblastech:

• Předávání dat na ČSSZ z PaM IS Orsoft (zatrhněte v konfiguraci „Použít čipovou kartu pro zasílání VREP“).
• Podepisování výplatek posílaných mailem (zatrhněte v konfiguraci „Použít čipovou kartu pro podepisování PDF“).

Pro správné fungování je třeba zajistit následující:

• Na klientském počítači musí být Orsoft Open spuštěn pod JRE s povolenou silnou kryptografií
• Na klientském počítači musí být nainstalována správná PKCS#11 knihovna (API rozhraní)
  • Například pro token TokenME (Bit4ID) od PostSignum se jedná o driver bit4id_xpki_admin.msi (viz http://www.postsignum.cz/token_me.html)
• V konfiguraci Nastavení kryptografie je třeba nakonfigurovat cestu k této PKCS#11 dll knihovně (tam, kde leží na klientském počítači). Tato konfigurace je na osobu, takže každý kdo pracuje s tokeny musí si tuto cestu nakonfigurvat zvlášť.
  • Pro TokenME se jedná o

    C:\Windows\System32\bit4xpki.dll

  • Pro eToken 5110CC se jedná o

    C:\Windows\System32\eTPKCS11.dll

  • Pro čipové karty ID Prime MD3840, MD840 a MD841 je cesta ke knihovně

    C:\Windows\System32\eTPKCS11.DLL

• Předpokládáme, že na tokenu (čipové kartě) je již klíč a certifikát naimportován.

Pokud budete mít na čipové kartě pouze jeden podpisový certifikát, tak při použití čipové karty bude vybrát tento certifikát. V případě, že je víc podpisových certifikátů, tak je třeba nastavit „defaultní alias“ v konfiguraci Kryptografie.

Konfiguraci kryptografie naleznete ve volbě Kmenová data / Parametry / Konfigurace / Konfigurace Kryptografie. Při vstupu do kryptografie jste dotázání na PIN. Pokud zadáte správné PIN, tak se Vám nabídne seznam klíčů na čipové kartě. Pokud dáte Zrušit, tak se Vám zobrazí aktuálně zadaný alias klíče, nepůjde vybrat jiný. Klíč lze vybrat pouze v případě, že máte zaškrtnutou volbu „Použít PKCS 11“ nebo „Použít PKCS 11 pro PDF“.

Pozor! V některých případech (ověřeno na Bit4ID tokenu a importovaném klíči) je ALIAS v hexadecimálním tvaru. Tak je také uložen v registrech jako defaultní ALIAS. Program se však snaží zobraz čitelnou reprezentaci názvu klíče. Proto se může stát, že v některých případech při výběru ALIASu uvidíte správný název aliasu (čitelný) a pak když půjdete do této konfigurace a nezadáte PIN, tak uvidíte, že uložený alias vypadá úplně jinak. PIN k čipové kartě neukládáme, vždy se na něj dotazujeme (zatím. Možná v budoucnu budě řešeno).

Při použití QSCD (kvalifikovaného tokenu v souladu s eIDAS) nelze použít standardní konfiguraci dříve podepsanou.

V tokenu eToken 5110 CC jsou 2 virtuální tokeny - každý má svůj vlastní slot! Musí se použít jiná PKCS11 knihovna, než doporučuje pošta - IDPrimePKCS1164.dll (pro x64 systémy) a IDPrimePKCS11.dll (pro x86 systémy). Původní eTpkcs11.dll nepublikuje 2 sloty, ale pouze jeden a není tak správný přístup k CC části tokenu. Postup:

1. Vyžádejte si tento DLL soubor u Vašeho konzultanta IS Orsoft.
2. Uložte jej na místní disk v počítači, kde uživatel používá IS Orsoft například do

   c:\PostSignum\IDPrimePKCS1164.dll

3. V konfiguraci kryptografie doplňte tuto cestu do pole „Absolutní cesta na klientu k PKCS#11 dll“
4. Vyskočte z této volby a znovu vstupte.
   1. Měl by se Vám nabídnout seznam existujících slotů na tokenu
5. Vyberte slot a po vystoupení a nastoupení do této volby se ukáže seznam certifikátů
6. Musíte najít ten slot, který obsahuje kvalifikovaný certifikát dle eIDAS
   1. V našem případě je ten spránvý CC slot č. 16.

Pozor! Do CC části je jiné heslo než k samotnému tokenu (tzv. QPIN nebo také Digital Signature PIN)