Page History

Magazyn certyfikatów dostępny jest w postaci znacznik <LocalStore>. Znacznik ten zawiera elementy z zakodowanymi w Base64 certyfikatami podmiotów świadczących usługi certyfikacyjne <CACertificate> oraz adresy HTTP/HTTPS/LDAP wskazujące na podmioty udzielające informacji na temat ważności certyfikatów w formie list CRL lub odpowiedzi OCSP.

<LocalStore>
 
<CACertificate><!-- [ 02 ] PL
	VALIDITY: 2002-06-11 => 2027-06-11
	SUBJECT : C=PL; O=Unizeto Sp. z o.o.; CN=Certum CA
	ISSUER  : C=PL; O=Unizeto Sp. z o.o.; CN=Certum CA
	SERIAL  : 010020
--><X509Certificate>
MIIDDDCCAfSgAwIBAgIDAQAgMA0GCSqGSIb3DQEBBQUAMD4xCzAJBgNVBAYTAlBMMRswGQYDVQQKExJVbml6ZXRvIFNwLiB6IG8uby4xEjAQBgNVBAMTCUNlcnR1bSBDQTAeFw0wMjA2MTExMDQ2MzlaFw0yNzA2
MTExMDQ2MzlaMD4xCzAJBgNVBAYTAlBMMRswGQYDVQQKExJVbml6ZXRvIFNwLiB6IG8uby4xEjAQBgNVBAMTCUNlcnR1bSBDQTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAM6xwS7TT3zNJc4YPk/E
jG+AanPIW1H4m9LcuwBcsaD8dQPugfCI7iNS6eYVM42sLQnFdvkrOYCJ5JdLkKWoePhzQ3ukYbDYWMzhbGZ+nPMJXlVjhNWo7/OxLjBos8Q82KxujZlakE403Daaj4GIULdtlkIJ89eVgw1BS7Bqa/j8D35in2fE
7SZfECYPCE/wpFcozo+47UX2bu4lXapuOb7kky/ZR6By6/qmW6/KUz/iDsaWVhFu9+lmqSbYf5VT7QqFiLpPKaVCjF62/IUgAKpoC6EahQGcxEZjgoi2IrHu/qpGWX7PNSzVttpd90gzFFS269lvzs2I1qsb2pY7
HVkCAwEAAaMTMBEwDwYDVR0TAQH/BAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAQEAuI3O7+cUus/usESSbLQ5PqKEbq24IXfS1HeCh+YgQYHu4vgRt2PRFze+GXYkHAQaTOs9qmdvLdTN/mUxcMUbpgIKumB7bVjC
mkn+YzILa+M6wKyrO7Do0wlRjBCDxjTgxSvgGrZgFCdsMneMvLJymM/NzD+5yCRCFNZX/OYmQ6kd5YCQzgNUKD73P9P4Te1qCjqTE5s7FCMTY5w/0YcneeVMUeMBrYVdGjux1XMQpNPyvG5k9VpWkKjHDkx0Dy5x
O/fIR/RpbxXyEV6DHpx8Uq79AtoSqFlnGNu8cN2bsWntgM6JQEhqDjXKKWYVIZQs6GAqm4VKQPNriiTsBhYscw==</X509Certificate>
	<CRLAddress>https://crl.certum.pl/ca.crl</CRLAddress>
</CACertificate>
 
...
 
</LocalStore>

Adresy list CRL dla poszczególnych certyfikatów zawarte są w znaczniku <CRLAddress> umieszczonym w kontenerze <CACertificate>. Dla każdego podmiotu możliwe jest również dołączenie adresów z historycznymi listami CRL, za pomocą elementu <HistoricalCRLAddress> umieszczonego za elementem <CRLAddress> Każda z lokalizacji list CRL musi być zapisana w postaci zgodnej z URI. W przypadku gdy CA nie obsługuje CRL należy ustawić wartość <CRLAddress>NO_CRLDISTRIBUTIONPOINT</CRLAddress>.

Wskazanie na adres usługi OCSP dla poszczególnych urzędów certyfikacji odbywa się poprzez znacznik <OCSPAddress>, umieszczony za elementami wskazującymi na listy CRL w kontenerze <CACertificate>. Lokalizacja usługi OCSP musi być zapisana w postaci zgodnej z URI (HTTP/HTTPS). Dodatkowo, za sekcją <LocalStore> musi pojawić się wpis <UseOCSPOverCRL>true</UseOCSPOverCRL>; w przypadku jego braku, komponenty Szafir SDK będą używały list CRL. Jeśli usługa OCSP będzie niedostępna, wykorzystywane będą listy CRL.

Sekcja <Signing> pozwala na wybranie odpowiedniego rodzaju certyfikatu lub bezpośrednio certyfikatu używanego do składania podpisu elektronicznego, poprzez odfiltrowanie pozostałych certyfikatów. Domyślnie nie ma ograniczeń na certyfikat (<AnyCertificate>). Możliwe są ponadto opcje:

• <AnyQualifiedCertificate> - dowolny kwalifikowany certyfikat
• <AnyNonQualifiedCertificate> - dowolny niekwalifikowany certyfikat
• <OneCertificate> - jeden certyfikat, identyfikowany za pomocą <Issuer> (wystawca w postaci DN, po przecinkach) oraz <Serial> (numer seryjny w postaci DEC – dziesiętnej – można odczytać go przy pomocy Szafir bezpośrednio, lub z poziomu Windows, konwertując z HEX do DEC przy użyciu kalkulatora Windows).

<Signing>
	<SigningCertificate>
		<OneCertificate>
			<Issuer>organizationIdentifier=VATPL-5260300517,CN=COPE SZAFIR -Kwalifikowany,O=Krajowa Izba Rozliczeniowa S.A.,C=PL</Issuer>
			<Serial>Numer_seryjny _certyfikatu_w_postaci_DEC</Serial>
		</OneCertificate>
	</SigningCertificate>
</Signing>

Parametry usługi znakowania czasem konfigurowane są w znaczniku <TimeStamping>. Znacznik <TimeStampingCertificate>, analogicznie jak <SigningCertificate>, określa rodzaj certyfikatu używanego do podpisywania żądania oznaczenia czasem. Żądanie znakowania
czasem jest podpisywane w celach identyfikacji subskrybenta usługi. Możliwe jest wyłączenie podpisywania żądań znakowania czasem, poprzez ustawienie wartości atrybutu Authorization=”false” znacznika <TimeStamping>. Gwarantowana jest obsługa procesu znakowania czasem dokumentów znacznikiem czasu wydanym przez KIR. W przypadku korzystania z usług znakowania czasem KIR S.A., atrybut Authorization musi mieć wartość domyślną „true”. Znacznik <Host> określa adres usługi znakowania czasem. Ujęcie sekcji <TimeStamping> w komentarz blokuje wykorzystanie usługi.

<TimeStamping Authorisation="true">
	<TimeStampingCertificate>
		<AnyCertificate />
	</TimeStampingCertificate>
	<!-- KIR Szafir TSA -->
	<Host>http://www.ts.kir.com.pl/HttpTspServer</Host>
	<!-- Certum Public QLTS -->
	<!-- <Host>http://public-qlts.certum.pl</Host> -->
	<!-- CUZ Sigillum QTSA1 -->
	<!-- <Host>http://tsa.sigillum.pl</Host> -->
</TimeStamping>

Konfiguracja dostawców kryptografii odbywa się w sekcji znacznika <CryptoProviders>. Komunikacja z urządzeniami kryptograficznymi (karta kryptograficzna lub moduł kryptograficzny HSM) odbywa się z wykorzystaniem interfejsu PKCS#11 i stosuje się znacznik <HardwareProvider>. W istniejącej konfiguracji settings_cryptoproviders domyślnie zdefiniowany jest sprzętowy dostawca kryptografii do obsługi kart kryptograficznych CryptoTech Carbon, CryptoTech Graphite oraz CryptoTech CloudSigner:

<CryptoProviders>
 
<!-- PKCS11 KIR Carbon -->

<HardwareProvider>
	<Name>PKCS#11 Type A</Name>
	<URI>CCP11s.dll</URI>
</HardwareProvider>

<!-- PKCS11 KIR Graphite -->

<HardwareProvider>
	<Name>PKCS#11 Type A</Name>
	<URI>CCGraphitep11.dll</URI>
</HardwareProvider>

<!-- PKCS11 KIR mSzafir -->

<HardwareProvider>
 	<Name>PKCS#11 Type A</Name>
 	<URI>file:///c:/Program%20Files/CryptoTech/CryptoCard/CloudSignerP1164.dll</URI>
</HardwareProvider>
<HardwareProvider>
 	<Name>PKCS#11 Type A</Name>
 	<URI>file:///c:/Program%20Files%20(x86)/CryptoTech/CryptoCard/CloudSignerP11.dll</URI>
</HardwareProvider>
 
</CryptoProviders>

Możliwe jest używanie wielu różnych dostawców kryptografii poprzez wskazanie wielu znaczników <HardwareProvider>.

Standard kryptografii klucza publicznego PKCS#12 pozwala na użycie plików w formacie .p12 lub .pfx, które przechowują klucz prywatny i certyfikaty. Definicja tego wariantu odbywa się przy pomocy znacznika <SoftwareProvider>.

<CryptoProviders>
 
<SoftwareProvider>
	<Name>PKCS#12</Name>
	<URI>file:///c:/example.p12</URI>
</SoftwareProvider>


</CryptoProviders>

Elementy URI dostawców kryptografii muszą zawierać wpisy zgodne ze standardem URI. Obecnie dla dostawców kryptografii wspierane są URI wskazujące na pliki lokalne (file:///) oraz zasoby sieciowe (http:// i https://). Możliwe jest używanie URI względnych, należy jednak pamiętać, aby biblioteki umieścić w ścieżce widocznej pod System.getProperty(„java.library.path”) maszyny wirtualnej Java.

Dla biblioteki w standardzie PKCS#12 alternatywną formą do podania ścieżki URI jest podanie całego pliku w postaci zakodowanej w Base64.

<SoftwareProvider>
	<Name>PKCS#12</Name>
	<Base64Binary>JVBERi0xLjQKJdPr6eEKMSAwIG9iago8PC9UaXRs</Base64Binary>
</SoftwareProvider>

Komponenty Szafir SDK domyślnie nie pozwalają na wykorzystanie certyfikatów kwalifikowanych w trybie działania innym niż natywne okno Szafir. Niemniej jednak jeśli Integrator chce zaimplementować własny sposób prezentacji danych, może wykorzystać certyfikaty kwalifikowane używając inny tryb działania niż okno Szafir poprzez następujące ustawienie w pliku znacznika <AllowNonWindowForQC>.

<Settings>
	…
	<Algorithms>……..</Algorithms>
	<AllowNonWindowForQC>true</AllowNonWindowForQC>
</Settings>