Nameščanje in vzdrževanje podpisne komponente

Kako namestim podpisno komponento proXSign druge generacije?

Prosimo, da na izhodiščni strani za nameščanje podpisne kompnente izberete ustrezen operacijski sistem in sledite navodilom.

Kako preizkusim, če imam podpisno komponento nameščeno?

Na obrazcu za preizkus podpisovanja s klikom na gumb "Podpiš" najprej poskusite narediti primer digitalnega podpisa XML in nato z gumbom "Preveri" preverite podpisani primerek. Preverjanje mora pokazati okno s štirimi okvirčki, v katerih so kljukice ali vprašajčki. Bolje je, da je čimveč kljukic, čeprav nekatere aplikacije (eVEM, eUprava, sodišče, ...) ne zahtevajo vseh kljukic, ker podpis preverjajo na strežniku.

Namestitvena datoteka SETCCE_proXSign_setup.exe je shranjena na disk, a se ob dvojnem kliku nič ne zgodi.

Verjetno imate napako v registru Windows. Datoteko lahko poskusite zagnati iz ukaznega poziva (okno DOS, ukaz "C:\Program Files (x86)\SETCCE\proXSign\bin\proxsign.exe"). Če ne uspe, lahko poskusite popraviti register, kot je opisano na tej povezavi.

Ko zaženem namestitev SETCCE_proXSign_setup.exe, se pojavi obvestilo
"Runtime Error (at 1:321) SWBemLocator: Not Found" ali
"Runtime Error (at 1:841) SWbemObjectSet: Invalid Class".

Verjetno imate poškodovan register Windows. Priporočljiva je ponovna namestitev Windows, lahko pa z administratorskimi pravicami odprete ukazno okno (v startnem meniju poiščete ukaz CMD, z desnim klikom miške izberete "Zaženi kot skrbnik") in v ukaznem oknu izvedete naslednje ukaze:

sc config winmgmt start= disabled
net stop winmgmt /y
cd %windir%\system32\wbem
for /f %s in ('dir /b *.dll') do regsvr32 /s %s
wmiprvse /regserver
sc config winmgmt start= auto
net start winmgmt

če uporabljate 64-bitno različico, tudi naslednje ukaze:

cd %windir%\sysWOW64\wbem
net stop winmgmt /y
for /f %s in ('dir /b *.dll') do regsvr32 /s %s
wmiprvse /regserver
sc config winmgmt start= auto
net start winmgmt

in nazadnje še ukaze (izvaja se nekaj minut):

cd %windir%\
for /f %s in ('dir /s /b *.mof *.mfl') do mofcomp %s

 O poškodovanem repozitoriju WMI in možnih rešitvah je več najti tudi na spletu, npr. na naslovih:

https://support.faxmakeronline.gfi.com/hc/en-us/articles/360015166399 v razdelku "Re-registering WMI components",

https://www.virtuallyboring.com/microsoft-wmi-invalid-class-error-0x80041010/

https://help.pdq.com/hc/en-us/articles/220532447

Ko potrdim korake namestitve, se pojavi okno s sporočilom "Digitalno potrdilo localhost se ni uspešno namestilo. Namestite ga ročno in ponovno zaženite proXsign." Okno zaprem, vendar se komponenta ne zažene in podpisovanje ne deluje.

Iz neznanega vzroka se včasih potrdilo, ki je potrebno za komunikacijo med brskalnikom in podpisno komponento, ne zapiše avtomatsko ob namestitvi komponente.

Podpisno komponento zaženete s klikom na ikono SETCCE proXSign, ki jo najdete v startnem meniju oziroma na namizju.

Pojaviti se mora okno komponente, ki vsebuje seznam vaših osebnih potrdil.

Datoteka s potrdilom, ki ga morate namestiti v sistemsko shrambo na svojem računalniku, se imenuje PlugoutRoot.crt in se nahaja na direktoriju
(Windows 7,8,10) %UserProfile%\AppData\Roaming\SETCCE\proXSign
(Mac OS) /Users/<uporabnik>/Library/Application Support/SETCCE/proXSign/
(Linux) $HOME/.local/share/SETCCE/proXSign/

Namestitev korenskega potrdila SETCCE proXSign v sistemsko shrambo Windows (vsi brskalniki razen Firefoxa)

Datoteko najlažje namestite tako, da kliknete ikono ali ime datoteke z desnim gumbom miške in v meniju, ki se pojavi, izberete "Namesti potrdilo".

Nato potrjujete ponujene korake. Pri koraku, kjer je treba določiti shrambo potrdil, izberete drugo možnost, da omogočite gumb Prebrskaj, ki ga nato kliknete in v seznamu izberete "Zaupanja vredni overitelji korenskih potrdil".

V sistemski shrambi lahko preverite, da sta potrdili res vpisani. Sistemsko shrambo lahko odprete:

  • Internet Explorer: meni -> Orodja -> Internetne možnosti -> zavihek Vsebina -> gumb Potrdila
  • Chrome: nastavitve -> dodatne nastavitve -> gumb Upravljanje pordil

V seznamu zavihka "Zaupanja vredni overitelji..." se mora nahajati vsaj eno potrdilo "SETCCE...".

Namestitev korenskega potrdila SETCCE proXSign v KeyChain na Mac OS (vsi brskalniki razen Firefoxa)

V programu Finder v meniju izberete Go/Home in nato mape
Library/Application Support/SETCCE/proXSign
da najdete datoteko PlugoutRoot.crt, na katero dvojno kliknete, s čimer se zapiše v KeyChain. Odprete KeyChain, dvojno kliknete na potrdilo SETCCE proXSign in pod Trust izberete in potrdite vse na "Always Trust".

Namestitev korenskega potrdila SETCCE proXSign v shrambo brskalnika Firefox

Odprete Firefox, kliknete meni Orodja (oziroma zobnik zgoraj desno), nato po vrsti Možnosti (oz. Preferences), "Zasebnost in varnost" (Privacy & Security), gumb "Preglej digitalna potrdila..." (View Certificates), zavihek Overitelji (Authorities).

Pod seznamom Overitelji (Auhtorites) kliknete gumb Uvozi (Import) in nato vnesete (Windows) oz. poklikate (Mac OS, Linux) pot do datoteke PlugoutRoot.crt:
(Windows 7,8,10) v polje vnesete (s kopiraj/prilepi vse znake od prvega % do vključno .crt) %APPDATA%\SETCCE\proXSign\PlugoutRoot.crt
(Mac OS) /Users/<uporabnik>/Library/Application Support/SETCCE/proXSign/PlugoutRoot.crt
(Linux) $HOME/.local/share/SETCCE/proXSign/PlugoutRoot.crt

Pojavi se vnos dveh ali treh kljukic, kjer vse pokljukate in potrdite za nadaljevanje. Pridete nazaj na seznam Overitelji.

V seznamu se mora nahajati SETCCE d.o.o. in pod tem vsaj eno potrdilo "SETCCE proXSign".

Zakaj se pojavlja vprašanje "Shramba korenskih potrdil: ali želite IZBRISATI to potrdilo iz korenske shrambe"?

Podpisna komponenta za svoje delovanje zahteva, da je v sistemski shrambi nameščeno potrdilo izdajatelja SETCCE proXSign. To potrdilo se namesti avtomatsko ob namestitvi podpisne komponente. Ko potrdilo čez eno leto poteče, podpisna komponenta avtomatsko namesti novo potrdilo istega izdajatelja, vendar pred tem ponudi brisanje starega potrdila. Priporočljivo je, da uporabnik brisanje potrdi. Potečeno potrdilo tako ali tako ni več uporabno.

Zakaj se pojavlja okno 'Varnostno opozorilo: namestili boste potrdilo overitelja digitalnih potrdil, ki trdi, da predstavlja: SETCCE proXSign. Windows ne more preveriti, ali je to potrdilo resnično izdal "SETCCE proXSign'?

Podpisna komponenta za svoje delovanje zahteva, da je v sistemski shrambi nameščeno potrdilo izdajatelja SETCCE proXSign. To potrdilo se namesti avtomatsko ob namestitvi podpisne komponente, vendar sistem zahteva, da uporabnik potrdi, da zaupa podpisni komponenti, ki jo namešča, in njenemu proizvajalcu. Ko potrdilo čez eno leto poteče, podpisna komponenta avtomatsko namesti novo potrdilo istega izdajatelja, vendar mora uporabnik spet potrditi, da še vedno zaupa podpisni komponenti in proizvajalcu SETCCE proXSign.

 

Zakaj Windows beleži, da program SETCCE proXSign dostopa do podatkov o lokaciji uporabnika? Zakaj podpisna komponenta potrebuje podatek o lokaciji? Kako prepovem ta dostop?

Komponenta SETCCE proXSign® ne zajema, ne zbira, ne posreduje ali na kakršen koli drug način obdeluje podatkov o lokaciji uporabnika. V verziji proXSign 2.2.13.374 je prišlo je do neželene kombinacije, da proXSign uporablja knjižnico, ki privzeto skenira dostopna omrežja WiFi, če na sistemu zazna vmesnik do teh omrežij. Hkrati pa so v zadnji verziji Windows 11 (24H2) takšna skeniranja začeli beležiti kot dostope do lokacije uporabnika. V skeniranih podatkih so številke naprav BSSID, ki bi lahko pomagale izboljšati informacijo o lokaciji.

V novejši verziji 2.2.14.382 je to skeniranje naprav WiFi odpravljeno, če pred namestitvijo nove verzije staro odstranite.

 

Težave pri dostopu brskalnika do podpisne komponente

Na strani za preizkus podpisovanja je gumb "Podpiši" onemogočen. Kako naj preverim, če podpisovanje deluje?

Stran za preizkus podpisovanja, ki je mišljena tukaj, se nanaša na to povezavo.

Najprej preverite, da je podpisna komponenta zagnana. Na robu namizja desno spodaj med ikonami, ki prikazujejo delujoče procese (včasih so skrite in jih morate odpreti s klikom na trikotno puščico "pokaži skrite ikone"), se mora nahajati zelena ikona, ki ob prehodu miške izpiše "SETCCE proXSign".

Dvojni klik na to ikono mora prikazati okno podpisne komponente.

Če takšne ikone ne najdete na robu namizja desno spodaj, morate poiskati ikono za zagon "SETCCE proXSign" v startnem meniju ali na namizju in jo zagnati.

Ko je podpisna komponenta zagnana in če se še vedno ne odziva, je nekaj narobe z zaupanjem. Težavo v večini primerov in enostavno odpravite tako, da obiščete povezavo https://localhost:14972/version in potrdite, da je stran varna ter vredna zaupanja. Potem se bo nekaj izpisalo, vendar to ni pomembno in lahko zaprete zavihek, podpisna komponenta pa se bo potem odzivala tudi, ko boste v aplikaciji zahtevali podpis.

Aplikacija javlja, da podpisna komponenta ni nameščena ali, da jo je treba zagnati. Toda komponenta je zagnana, saj se na namizju desno spodaj nahaja ikona "SETCCE proXSign", ki jo lahko kliknem in se pokaže okno podpisne komponente.

V tem primeru ne deluje komunikacija med brskalnikom in podpisno komponento. Težavo v večini primerov in enostavno odpravite tako, da obiščete povezavo https://localhost:14972/version in potrdite, da je stran varna ter vredna zaupanja. Potem se bo nekaj izpisalo, vendar to ni pomembno in lahko zaprete zavihek, podpisna komponenta pa se bo potem odzivala tudi, ko boste v aplikaciji zahtevali podpis.

Če gornji postopek ne pomaga in brskalnik še vedno ne more dostopati do podpisne komponente, je težko povedati, kaj je razlog za to in podati enostavno navodilo za rešitev težave. Sistemi imajo pri zagotavljanju varnosti zelo različne načine in pravila, kdaj nekemu programu dovolijo dostop do drugega programa. Priporočamo, da se obrnete na vzdrževalca vašega računalnika in sistema. Tudi če se boste obrnili na našo podporo, kot je opisano spodaj pod Druge težave, se bomo zelo verjetno morali pogovoriti z vzdrževalcem.

Za nedelujočo komunikacijo med brskalnikom in podpisno komponento Proxsign je možnih več razlogov:

  • V shrambi brskalnika manjka korensko potrdilo SETCCE. Navodilo za namestitev je zapisano zgoraj pri vprašanju "Ko potrdim korake namestitve...".
  • Brskalnik ne zaupa podpisni komponenti. Zaupanje lahko vpišete tudi tako, da z brskalnikom obiščete naslov https://localhost:14972/version in potrdite, da je stran vredna zaupanja, samo vsebino pa zavržete.
  • Komunikacijo preprečujejo varnostne nastavitve brskalnika. V brskalniku Internet Explorer lahko dodate naslov aplikacije, ki zahteva podpisovanje, ed "Zaupanja vredna mesta" v meni -> Orodja -> Internetne možnosti -> zavihek Varnost. Tam kliknete gumb "Mesta", v polje "...področje" vpišete naslov aplikacije (npr. http://www.si-ca.si, https://e-uprava.gov.si, https://evem.gov.si, itd.) in ga z gumbom "Dodaj" vpišete v seznam "Spletna mesta" tam spodaj.
  • Če iz brskalnika do spleta dostopate preko posrednika (proxy), morate med izjeme vpisati naslov "localhost". V sistemskih nastavitvah (brskalniki IE, Chrome, Opera, Safari, Edge) je dovolj kljukica pri "Pri lokalnih naslovih zaobidi...".
  • Če podpisujete iz Internet Explorerja, ne smete imeti vklopljenega "združljivostnega pogleda". Z menijem Orodja/"Nastavitve združljivostnega pogleda" odprite okno za nastavljanje. Tam pri "Prikaži intranetna mesta v združljivostnem pogledu" ne sme biti kljukice. Prav tako naslov ali domena vaše aplikacije ne sme biti v seznamu "Spletna mesta...".
  • Komunikacijo mogoče preprečuje požarni zid. Privzete nastavitve Požarnega zidu komunikacijo s podpisno komponento dovoljujejo. Če so nastavitve spremenjene, morate poskrbeti, da program "C:\Program Files (x86)\SETCCE\proXSign\bin\proxsign.exe" sprejema povezavo HTTPS na vsaj enem od štirih portov, ki so navedeni v uporabniških navodilih. Če se boste z vprašanjem obrnili na Enotni kontaktni center javne uprave, obvezno priložite datoteko log in izpis iz konzole brskalnika.
  • Komunikacijo lahko preprečuje antivirusni program. Poskusite antivirus popolnoma odstraniti in ugasniti ter ponovno zagnati računalnik. Če nagaja antivirus, nikakor ni dovolj samo deaktivirati zaznavanje virusov in pustiti, da je antivirus še naprej nameščen.

Preko portala eUprava ne morem oddati Vloge za potrdilo iz gospodinjske evidence.

Če vam sicer preizkus podpisovanja deluje, je zelo verjetno samo treba vpisati zaupanje aplikaciji.

V brskalniku Internet Explorer odprete meni (če treba, s tipko Alt), nato izbire Orodja -> Internetne možnosti -> zavihek Varnost. Tam kliknete gumb "Mesta", v polje "...področje" vpišete naslov https://e-uprava.gov.si (oziroma https://evem.gov.si za e-VEM) in ga z gumbom "Dodaj" dodate v seznam "Spletna mesta" tam spodaj.

Ko bi se morala prikazati stran, na kateri podpisujem, dobim sporočilo "... does not support it":

Če podpisujete iz Internet Explorerja, ne smete vklopiti "združljivostnega pogleda". Z menijem Orodja/"Nastavitve združljivostnega pogleda" odprite okno za nastavljanje. Tam pri "Prikaži intranetna mesta v združljivostnem pogledu" ne sme biti kljukice. Prav tako naslov ali domena vaše aplikacije ne sme biti v seznamu "Spletna mesta...".

Nekatere aplikacije ne podpirajo starejših brskalnikov (Internet Explorer 7, 8, 9).

Napaka (0): Error updating licence file. See log for details

Ko pridem v aplikaciji na stran za podpisovanje, se pojavi sporočilo "Napaka pri nameščanju licence. Koda: 0 Sporočilo: Error updating licence file. See log for details." ali sporočilo "Napaka pri prenosu licence za proXSign komponento - šifra napake:0.

Ko potem kliknem gumb za podpis, se izpiše sporočilo, da uporabljam "Trial version". Podpis sicer lahko naredim, vendar me motijo ta sporočila, saj ne vem, ali je podpis pravilno narejen.

Najbolj pogost razlog te napake, še posebej v Internet Explorerju, je, da imate vklopljen "združljivostni pogled". Z menijem Orodja/"Nastavitve združljivostnega pogleda" odprite okno za nastavljanje. Tam pri "Prikaži intranetna mesta v združljivostnem pogledu" ne sme biti kljukice. Prav tako naslov ali domena vaše aplikacije ne sme biti v seznamu "Spletna mesta...".

Druga možnost pa je, da program iz kateregakoli razloga ne more zapisati licenčne datoteke v vaš uporabniški profil. Težavo lahko rešite tako, da ročno shranite datoteke
MJU34178eV2.lic,
MJU34178eV3.lic in
MJU34178e_SBH_v1.lic
(z desnim gumbom) na mapo:

  • (Windows 7,8,10) %UserProfile%\AppData\Roaming\SETCCE\proXSign\Licenses
  • (Mac OS) /Users/<uporabnik>/Library/Application Support/SETCCE/proXSign/Licenses/
  • (Linux) v podmapi $HOME/.local/share/SETCCE/proXSign/Licenses/

in ponovno zaženete podpisno komponento (ali računalnik).

Različne težave med podpisovanjem

Napaka -3: Uporabnik ni izbral digitalnega potrdila
User did not choose certificate

Ko kliknem gumb "Podpiši", me sploh ne vpraša za osebno potrdilo (in geslo), temveč takoj izpiše, da je prišlo do napake

Najbolj pogost razlog za napako -3, še posebej pri uporabnikih Firefoxa, je v tem, da uporabnik nima svojega osebnega potrdila, s katerim podpisuje, v sistemski shrambi. Proxsign zahteva, da je to potrdilo nameščeno v sistemski shrambi oziroma shrambi, ki jo privzeto uporablja večina brskalnikov.

Če je vaše osebno potrdilo izdal SIGEN-CA ali SIGOV-CA, lahko na strani za preizkus avtentikacije SSL preverite, da imate potrdilo korektno nameščeno. Stran morate obiskati s katerimkoli brskalnikom razen Firefoxom (Internet Explorer, Chrome, Opera, Safari, ...).

Če ste preverili, da imate svoje potrdilo zagotovo v sistemski shrambi, je problem težji in bi prosili da na Enotni kontaktni center javne uprave pošljete čimbolj podrobno poročilo o težavi.

Napaka -4: Zasebnega ključa digitalnega potrdila ni mogoče dobiti
Can't acquire private key of certificate

Ko kliknem gumb za podpis in izberem potrdilo, se izpiše obvestilo "Podpisovanje ni bilo uspešno!"

1. možnost: Potrdila, s katerim podpisujete, niste uvozili pravilno v sistemsko shrambo. Uvoziti morate datoteko s podaljškom "p12" ali "pfx". Ne zadostuje, če uvozito datoteko "crt", "cer" ali "pem".

2. možnost: Problem z gonilnikom. Glejte opis spodaj pri napaki -6.

Napaka -6: WinCAPI:RSA - Error occured signing hash
RSA Signing operation exceeded size of buffer

Ko kliknem gumb za podpis in izberem potrdilo, se izpiše obvestilo "Podpisovanje ni bilo uspešno!"

Na Windows napaka -6 (različna besedila v angleščini) pomeni, da podpisujete s potrdilom na pametni kartici ali pametnem ključku in nimate pravilno nameščenega gonilnika za vašo kartico/ključek ali nimate prave verzije gonilnika (64-bitno namesto 32-bitno ali obratno).

Za napako -6 na Mac OS glejte naslednje vprašanje

Napaka -6: Mac OS X:RSA::sign() - Error encrypting hash

Ko kliknem gumb za podpis in izberem potrdilo, se izpiše obvestilo "Podpisovanje ni bilo uspešno!"

1. možnost: Na Mac OS se ta napaka lahko pojavi, če podpisujete s potrdilom na pametni kartici ali pametnem ključku Gemalto (PoštarCA). Včasih gonilnik Safenet (SAC Client) enostavno noče delovati preko KeyChaina. Za ta primer je na voljo zasilna rešitev, da si namestite Firefox in nato v podpisni komponenti nastavite, da gonilnik deluje preko PKCS11 namesto preko KeyChain.

  • Odprete okno podpisne komponente s klikom na zeleno ikono SETCCE proXSign desno na vrhu namizja.
  • Kliknete gumb Modules in s klikom na puščico pri orodju na vrhu okna in klikom na "Add PKCS11 modules" odprete okno za odpiranje datoteke.
  • Poiskati morate datoteko /usr/local/lib/libeTPkcs11.dylib.
    • S spustnim seznamom na vrhu okna za odpiranje datoteke se postavite na "Macintosh HD".
    • V prvem seznamu na levi se nahaja mapa (folder) "usr". Če te mape ne vidite, morate s hkratnim pritiskom treh tipk Cmd+Shift+. omogočiti prikaz skritih map.
    • V mapah po vrsti klikate in odpirate mape usr, local, lib in na koncu datoteko libeTPkcs11.dylib ter potrdite odpiranje.
    • Okno za odpiranje datoteke se bo zaprlo, v oknu podpisne komponente pa bo zapisana pot do gonilnika PKCS11.

Nastavitev PKCS11 je opisana tudi v dokumentaciji proXSign za Mac OS na zadnjih dveh straneh.

2. možnost: Če podpisujete s potrdilom in zasebnim ključem v KeyChainu (brez kartice/ključka), se napaka -6 lahko pojavi zaradi napake pri zaščiti zasebnega ključa. V tem primeru težavo rešite z desnim (dvoprstnim) klikom na zasebni ključ potrdila v KeyChainu in nato Get Info, Access Control, kjer zamenjate “allow all applications to use this item” v “confirm before allowing access”. Ob naslednjem podpisovanju boste morali potrditi dostop do ključa, vendar bo podopisovanje delovalo in tudi kasneje lahko spet dovolite “allow all applications to use this item”.

Za napako -6 na Windows glejte predhodno vprašanje

Napaka -7: Error at file proXSign line 1 column 194 Message: expected entity name for reference

Ta napaka se pojavi, če so v podatkih, ki jih želite podpisati, moteči znaki, npr. znak & ali znak <. Če ste podatek vnesli sami, ga popravite, da ne bo vseboval motečega znaka in poskusite podpisati ponovno. Če podatka niste vnesli sami ali ga ne morete popraviti, se obrnite na podporo aplikaciji, ki zahteva podpis.

Zaželjeno je, da obvestite podporo aplikaciji, v kateri je prišlo do napake, da bodo poskrbeli za preprečitev ali pretvorbo motečih znakov.

Napaka -22: Digitalno potrdilo oziroma veriga digitalnih potrdil temelji na korenu, ki ni vreden zaupanja
The certificate or certificate chain is based on an untrusted root

Ko kliknem gumb za podpis in izberem potrdilo, se izpiše obvestilo "Podpisovanje ni bilo uspešno!"

Napaka -22 pomeni, da v sistemski shrambi potrdil nimate potrdila izdajatelja vašega osebnega potrdila, s katerim podpisujete. Prosimo, namestite si potrdila izdajateljev SI-TRUST, SIGEN-CA in SIGOV-CA oz. potrdila tistega izdajatelja, katerega potrdilo uporabljate.

Na Mac OS se napaka -22 lahko pojavi poleg napake -12, ki je podrobneje pojasnjena tu spodaj.

Napaka -66: SignHash: Neveljaven Izdajatelj digitalnega potrdila
The signature certificate has invalid Subject

Ko kliknem gumb za podpis in izberem potrdilo, se izpiše obvestilo "Podpisovanje ni bilo uspešno!"

Ta napaka se pojavlja samo v aplikacijah, ki za podpisovanje uporabljajo podpis prstnega odtisa (SignByHash). To so aplikacije eVEM, eUprava in sodišče. Rešitev je v novi verziji podpisne komponente.

Napaka -68: SignHash: Digitalno potrdilo ni podpisano s CA digitalnim potrdilom
The signature certificate is not signed with the CA certificate

Ko kliknem gumb za podpis in izberem potrdilo, se izpiše obvestilo "Podpisovanje ni bilo uspešno!"

Ta napaka se pojavlja samo v aplikacijah, ki za podpisovanje uporabljajo podpis prstnega odtisa (SignByHash). To so aplikacije eVEM, eUprava in sodišče. Napaka pomeni, da v shrambi potrdil, ki jo uporablja brskalnik, nimate nameščenega potrdila izdajatelja SIGOV-CA. Prosimo, namestite si pet potrdil izdajateljev SI-TRUST, SIGEN-CA in SIGOV-CA.

Napaka -12: Signature INVALID (Mac OS)

Ko na strani za preizkus podpisovanja:
https://www.si-trust.gov.si/sl/podpora-uporabnikom/podpisovanje-s-komponento-proxsign/preizkus-podpisovanja-s-podpisno-komponento/
kliknem gumb "Podpiši", se podpis testnega dokumenta pojavi v polju "Podpisan primerek", ko pa nato kliknem "Preveri podpis", se izpiše sporočilo "Napaka -12: Signature INVALID".
Aplikacija javlja sporočilo "Podpis ni bil uspešen! Koda napake -22 Sporočilo napake : Digitalno npotrdilo oziroma veriga digitalnih potrdil temelji na korenu, ki ni vreden zaupanja".

Aplikacija bi morala podpis preveriti na strežniku in ne s podpisno komponento na vašem računalniku. Če imate možnost, javite vzdrževalcem aplikacije, da aplikacijo popravijo, sicer pa morate urediti svojo shrambo potrdil (Keychain), da bo v vašem sistemu delovalo tudi preverjanje podpisa. Potrdilo, s katerim podpisujete, mora v shrambi Keychain imeti vpisana potrdila celotne verige izdajateljev.

Za potrdila slovenskih izdajateljev verigo ponavadi sestavljajo tri potrdila, vsako naslednje nadrejeno prejšnjemu: (1) vaše osebno potrdilo, (2) vmesno potrdilo izdajatelja vašega potrdila in (3) korensko potrdilo izdajatelja. Pri drugih izdajateljih bi se lahko zgodilo, da je vmesnih potrdil več ali celo nobenega. Pomembno je, da je vsako od teh potrdil vpisano točno na eneme mestu. Nobeno od potrdil verige ne sme biti vpisano v več razdelkih shrambe. Treba je paziti, ker nekatera potrdila ob uvozu v Keychain povzročijo avtomatsko tudi uzvoz nadrejenih potrdil, zato predlagamo naslednji postopek, ki zagotavlja, da bo veriga potrdil nameščena pravilno.

  1. Naredite varnostno kopijo svojega osebnega digitalnega potrdila.
  2. Brišite svoje osebno digitalno potrdilo iz vseh razdelkov in vseh zavihkov pod določenim razdelkom (My Certificates, Certificates..)
  3. Brišite korensko in vmesna digitalna potrdila iz vseh razdelkov (Login, System itd..) in vseh zavihkov pod določenim razdelkom (My Certificates, Certificates..)
  4. Prenesite korensko in vmesno digitalno potrdilo iz ene od naslednjih povezav, glede na to, kdo je izdajatelj vašega osebnega potrdila:
    POŠTARCA: https://www.rekono.si/korenski-izdajatelj-postarca/
    AC NLB: https://www.rekono.si/korenski-izdajatelj-ac-nlb/
    HALCOM-CA: http://www.halcom.si/si/pomoc/?action=showEntry&data=194&searchText=korensko
    SIGEN-CA: https://www.si-trust.gov.si/sl/podpora-uporabnikom/podpisovanje-s-komponento-proxsign/korensko-in-vmesna-potrdila/
  5. Korensko in vmesno potrdilo namestite samo v Login/Certificates.
  6. Korenskemu in vmesnemu digitalnemu potrdilu nastavite Trust na "Always Trust".
  7. Uvozite osebno digitalno potrdilo v razdelek Login.
  8. Osebnemu digitalnemu potrdilu nastavite Trust na "Use System Default".
  9. Ponovno preverite, da korensko ali vmesno potrdilo ni podvojeno v kakšnem drugem razdelku in zavihku. Če je podvojeno, ga brišite povsod razen v Login/Certificates.

POMEMBNO: Vsa potrdila verige zaupanja (osebno, vmesno in korensko potrdilo) morajo biti nameščena samo v Login/Certificates, kot na sliki (Keychain Ventura 13.6), osebno pa bo vidno tudi v zavihku Login/My Certificates.:

Če želite namestiti svoje osebno digitalno potrdilo tako v Keychain kot v Firefox (dve popolnoma ločeni shrambi digitalnih potrdil):

  1. naredite varnostno kopijo osebnega digitalnega potrdila,
  2. brišite osebno digitalno potrdilo iz vseh razdelkov Keychaina,
  3. brišite vmesno in korensko potrdilo iz vseh razdelokov Keychaina,
  4. uvozite po vrsti korensko, vmesno in osebno potrdilo v shrambo potrdil Firefoxa
  5. uvozite po vrsti korensko, vmesno in osebno potrdilo v Keychain, razdelek Login
  6. Korenskemu in vmesnemu digitalnemu potrdilu nastavite Trust na "Always Trust".
  7. Osebnemu digitalnemu potrdilu nastavite Trust na "Use System Default".

Digitalna potrdila (osebno in verigo) v shrambo Firefoxa namestite le, če niso že nameščena v Keychain. Če na primer namestite samo osebno digitalno potrdilo v shrambo potrdil Firefoxa, proXSign ne bo deloval in bo javljal napako -22. V tem primeru bo uporabnik v shrambi Firefoxa sicer videl tudi korensko in vmesno digitalno potrdilo, a gre v resnici za potrdila, ki so nameščena v Keychain in ne v shrambo Firefoxa. Podpisna komponenta proXSign ne deluje navzkrižno, med dvema shrambama digitalnih potrdil (osebno potrdilo v shrambi NSS/Firefox, korenska in/ali vmesna potrdila pa v shrambi Keychain). Podobno velja tud v OS Windows.

Druge težave

Imam problem s podpisno komponento Proxsign, vendar si ne morem pomagati z nobenim od zgornjih odgovorov.

Pošljite nam čim podrobnejši opis težave. Tudi, če boste za to porabili nekaj več časa, bo problem rešen hitreje, ker vas ne bo treba spraševati po dodatnih informacijah. V vašem poročilu o težavi povejte oziroma priložite čim več od naslednjih podatkov:

  • če ste podpisno komponento namestili in vam ne deluje preizkus podpisovanja, sliko zaslona, kaj se izpiše, ko kliknete na "Podpiši" in izberete potrdilo.
    Sliko zaslona na večini računalnikov naredite tako, da pritisnete tipko "prt sc"/"Print Screen" (desno v prvi vrsti tipk na vrhu) in nato s tipko Ctrl-V (Prilepi) shranite sliko v dokument ali besedilo v elektronski pošti.
  • če vam preizkus podpisovanja deluje, naslov http://… aplikacije, ki vam ne deluje, npr. http://evem.gov.si in sliko zaslona, kjer pride do problema s podpisovanjem
  • naziv brskalnika (npr. Chrome, Firefox, Edge, Internet Explorer, …)
  • operacijski sistem (tudi verzija, npr. Windows 10, Mac OS Catalina, Linux Ubuntu 20.4, ...),
  • verzija podpisne komponente (izpiše se ob zagonu v oknu podpisne komponente levo spodaj, npr. 2.1.4.88). Okno podpisne komponente dobite:
    (Windows 7,8,10) z dvojnim klikom na zeleno ikono SETCCE proXSign na namizju desno spodaj
    (Mac OS) s klikom na zeleno ikono SETCCE proXSign na vrhu namizja desno
    (Linux) okno ostane odprto po zagonu komponente
  • izdajatelj vašega osebnega potrdila (SIGEN-CA, PoštarCA, Halcom, …),
  • ali je potrdilo shranjeno v shrambi brskalnika ali na pametni kartici
  • če je potrdilo na pametni kartici, vrsta kartice in gonilnika za kartico (npr. Gemalto, Nexus, ActivIdentity, itd.)
  • datoteka s sledjo izvajanja (log) komponente proxsign, ki jo dobite v mapi
    (Windows 7,8,10) %UserProfile%\AppData\Roaming\SETCCE\proXSign\logs
    (Mac OS) /Users/<uporabnik>/Library/Application Support/SETCCE/proXSign/logs/
    (Linux) v podmapi $HOME/.local/share/SETCCE/proXSign/logs/

V primeru, da ne deluje komunikacija med brskalnikom in podpisno komponento, bomo skoraj zagotovo potrebovali tudi izpis konzolnega okna z napakami iz JavaScripta v brskalniku, kjer prihaja do problema.

  • V Internet Explorerju dobite konzolno okno s tipko F12 in klikom na zavihek "Konzola". Vsebino konzolnega okna lahko posnamete z desnim gumbom in "Kopiraj vse".
  • V Firefoxu dobite konzolno okno s tipko F12 ali Ctrl-Shift-K in klikom na zavihek "Konzola". Vsebino konzolnega okna lahko posnamete z desnim gumbom in "Izberi vse/Kopiraj".
  • V Chrome-u ali Edge-u dobite konzolno okno s tipko F12 ali Ctrl-Shift-J in klikom na zavihek "Console". Vsebino konzolnega okna lahko shranite z desnim gumbom in "Shrani kot".

Opis težave prosimo pošljite na ekc@gov.si.