Installatiehandleiding SafeSign en PKI Klasse X certificaten

Installatiehandleiding SafeSign en PKI Klasse X certificaten Juni 2014

© 2014 Copyright KPN Lokale Overheid Alle rechten voorbehouden. Zonder voorafgaande schriftelijke toestemming van KPN Lokale overheid mag niets uit dit document worden gereproduceerd, verspreid of toegankelijk gemaakt door middel van druk, (foto)kopie, database of anderszins, hetgeen ook van toepassing is op gehele of gedeeltelijke bewerking.

Inhoudsopgave

Hoofdstuk 1.

Inleiding

Hoofdstuk 2.

Installeren Gemplus-drivers en aansluiten smartcard reader 5

2.1 GemPC Twin 2.2 GemPC Key Hoofdstuk 3.

3

5 5 Installeren SafeSign software

3.1 Windows XP of hoger

7 7

Hoofdstuk 4.

Gemnet CSP CA-G2 certificaat installeren

Hoofdstuk 5.

Installatie via Windows Terminal Server & Citrix omgeving 14

Hoofdstuk 6.

PIN wijzigen met het Token Beheer Programma

16

Hoofdstuk 7.

Troubleshooting

18

© KPN Lokale Overheid

11

2 van 18

Hoofdstuk 1. Inleiding

Dit document bevat instructies voor de installatie van uw smartcardreader en Klasse X certificaten op smartcard. Gelieve dit document aandachtig door te nemen voordat u de software installeert of de smartcard reader aansluit. Voor een juiste werking is het van belang om de volgorde van de stappen, zoals onderstaand aangegeven, aan te houden. Sommige installatie-stappen kunnen in bepaalde situaties worden overgeslagen. Raadpleeg daartoe het betreffende hoofdstuk: •

Installeren Gemplus-drivers en aansluiten smartcard reader (Hoofdstuk 2)

•

Installeren SafeSign-software (Hoofdstuk 3)

•

CA-certificaat installeren (Hoofdstuk 6)

•

Installeren SafeSign-software op Citrix of Terminal Server (Hoofdstuk 8)

Voordat u begint •

In deze handleiding wordt de installatie beschreven van de SafeSign Administrator Setup. Deze wordt aanbevolen voor de PKI-contactpersoon. Op de Installatiepagina wordt tevens een beperkte user-versie aangeboden; deze wordt aanbevolen voor de overige gebruikers.

•

Controleer of u de gewenste smartcard reader heeft. Indien op het systeem een ouder type reader is aangesloten, bijvoorbeeld de GemPC 410/413 of de GemPC 430/433, dan wordt u geadviseerd deze te vervangen voor de GemPC Twin reader. Deze kunt u bij KPN Lokale Overheid bestellen.

•

U dient voldoende systeemrechten te hebben om software/hardware te installeren op uw systeem. Indien u vermoedt dat u onvoldoende systeemrechten heeft om software en/of hardware te installeren op uw systeem, neem dan contact op met uw systeembeheerder. Download de juiste Gemplus driver-software via https://kpnlokaleoverheid.nl/installeren/ als er nog geen smartcard reader is aangesloten.

•

De SafeSign software wordt online gedistribueerd via een Installatiepagina. Surf naar https://kpnlokaleoverheid.nl/installeren/ en download hier de laatste SafeSign versie.

© KPN Lokale Overheid

3 van 18

Hieronder vindt u relevante hyperlinks en IP-adressen. Aan de hand van deze gegevens kan uw systeem- of netwerkbeheerder u toegang verlenen. URL:

IP-adres:

https://forms.kpnlokaleoverheid.nl

91.233.206.125

https://sesam.gemnet.nl (op Internet)

145.222.106.96

Bij gebruik van een firewall dienen poort 80 (HTTP) en poort 443 (HTTPS) open te staan. De firewall dient onderstaande zaken toe te staan: •

Ondersteuning van Java(script)

•

Ondersteuning van (sessie)cookies

•

Ondersteuning van VB-script

•

Ondersteuning van Active-X

© KPN Lokale Overheid

4 van 18

Hoofdstuk 2. Installeren Gemplusdrivers en aansluiten smartcard reader

Voordat u uw smartcard reader kunt gebruiken, dient u de bijbehorende programmatuur, de zogenoemde driversoftware, op uw systeem te installeren. Kies aan de hand van onderstaande afbeeldingen welke hardware u in uw bezit heeft.

NB: indien op het systeem een ouder type reader is aangesloten, bijvoorbeeld de GemPC 410/413 of de GemPC 430/433, dan wordt u geadviseerd deze te vervangen door de GemPC Twin reader. 2.1 GemPC Twin 1.

Sluit alle applicaties op uw systeem af. Sluit de smartcardlezer nog niet aan.

2.

Ga naar: https://kpnlokaleoverheid.nl/installeren/

3.

Selecteer de juiste driver bij stap 2; Let bij de keuze op: besturingssysteem, 32 of 64 bit en taalversie (Eng).

4.

Volg de instructies op.

5.

Geef de directory op waar u de driver-software wilt opslaan.

6.

Sluit de GemPC Twin USB smartcardlezer aan op een vrije USB-poort.

7.

Een 'New Hardware Found' dialoog verschijnt.

8.

De smartcardlezer wordt automatisch geïnstalleerd.

2.2 GemPC Key 1.

Sluit alle applicaties op uw systeem af. Sluit het USB-token nog niet aan op de pc.

2.

Ga naar: https://kpnlokaleoverheid.nl/installeren/

3.

Selecteer de juiste driver bij stap 2; Let bij de keuze op: besturingssysteem, 32 of 64 bit en taalversie (Eng).

4.

Volg de instructies op.

5.

Geef de directory op waar u de driver software wilt opslaan.

6.

Sluit de GemPC Key USB token aan op een vrije USB poort.

7.

Een 'New Hardware Found' dialoog verschijnt.

8.

Het USB-token wordt automatisch geïnstalleerd.

© KPN Lokale Overheid

5 van 18

LET OP: Indien de computer waar de smartcard gebruikt wordt gekoppeld is aan een ‘Terminal Server’ of ‘Citrix omgeving’, dan dient de GemPlus driver lokaal en niet op de server geïnstalleerd te zijn (zie hoofdstuk 8). Informeer hiervoor bij uw systeembeheerder. Indien de smartcard reader niet goed werkt, dan kan een mogelijke oplossing zijn om de driver óók op de server te installeren. LET OP: Voor het gebruik van ieder van de bovengenoemde smartcard readers heeft u lees- en schrijfrechten nodig op de volgende folder in het register: HKEY_LOCAL_MACHINE/Software/Microsoft/Cryptography/Calais/Readers Windows zorgt ervoor dat de certificaten van de smartcard naar de ‘personal certificate store’ in Windows worden gekopieerd. Deze techniek wordt ‘Certificate Propagation’ genoemd. In Windows 7 /2008 omgevingen heeft Microsoft hiervoor een standaard service gemaakt. In Windows XP/2003 omgevingen wordt dit door een standaard Windows service (Winlogon) gedaan. Deze standaard service voert het ‘Certificaat Propagation’ alleen uit als deze enabled is in de registry. De locatie van de registry setting is: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\ScCertProp Activeer deze sleutel door de waarde op ‘1’ te zetten.

© KPN Lokale Overheid

6 van 18

Hoofdstuk 3. Installeren SafeSign software

LET OP: Indien de computer waar de smartcard gebruikt wordt gekoppeld is aan een ‘Terminal Server’ of ‘Citrix omgeving’, dan dient de SafeSign software niet lokaal maar op de server geïnstalleerd te zijn (zie hoofdstuk 8). Informeer hiervoor bij uw systeembeheerder. 3.1 Windows XP of hoger Systeemvereisten: •

BIOS dient opengesteld te zijn voor COM- of USB-poorten (t.b.v. smartcard reader).

•

Gebruikers dienen voldoende rechten (lokale administrator) te hebben voor het aansturen van de extern geïnstalleerde smartcard reader.

•

Toestaan dat er een map SafeSign Standard met verwijzingen toegevoegd wordt aan het Start-menu onder Programma’s. U kunt ook een snelkoppeling naar de map SafeSign Standard aanmaken op het bureaublad.

Open SafeSign.msi na het downloaden en unzippen van de software. Het volgende scherm verschijnt:

Selecteer [Nederlands (Nederland)] en klik op [OK]

© KPN Lokale Overheid

7 van 18

De installatie wordt nu voorbereid, wacht op het volgende scherm

Klik op [Volgende] om de installatie te starten, klik op [Annuleren] om te stoppen.

Accepteer de licentieovereenkomst door de optie “Ik ga akkoord..” te selecteren en klik op [Volgende]

© KPN Lokale Overheid

8 van 18

Het volgende scherm verschijnt:

Kies [Volgende] om de bestanden in de default map te installeren. Wilt u een andere locatie gebruiken dan kunt u met behulp van [Wijzigen] een andere map kiezen. Het volgende scherm verschijnt nu

Laat de default-instellingen ongewijzigd en klik op [Volgende].

© KPN Lokale Overheid

9 van 18

Het volgende scherm verschijnt:

Klik op [Installeren] om de installatie te starten. Wanneer het installeren voltooid is verschijnt onderstaand scherm:

Klik op [Voltooien] om de installatie af te sluiten.

© KPN Lokale Overheid

10 van 18

Hoofdstuk 4. Gemnet CSP CA-G2 certificaat installeren

Start uw webbrowser en ga naar het Digital ID Center van KPN Lokale Overheid op: https://www.klasse-x.pki.gemnetcsp.nl/ en klik op CA INSTALLEREN.

Kies ervoor om het bestand te openen. Het volgende scherm verschijnt:

© KPN Lokale Overheid

11 van 18

Kies voor ‘Certificaat installeren…’ Kies via bladeren: ‘Vertrouwde Basis certificeringsinstanties’

© KPN Lokale Overheid

12 van 18

Klik op ‘Volgende’ en hierna op ‘Voltooien’

Mogelijk verschijnt de volgende waarschuwing, hier moet u op ‘YES’ klikken:

Uw CA Certificaat is nu succesvol geïnstalleerd.

© KPN Lokale Overheid

13 van 18

Hoofdstuk 5. Installatie via Windows Terminal Server & Citrix omgeving

Systeemvereisten: •

Maak gebruik van versies van Microsoft Terminal Server of Citrix waarop ondersteuning wordt gegeven.

•

Gebruik van een hardware-device (PC of thin client) waarop de driver van de Gemplus smartcardreader geïnstalleerd kan worden.

•

Bij gebruik van een standaard PC dient de BIOS opengesteld te zijn voor COM- of USB-poorten (t.b.v. smartcardreader).

Installatie hard- en software: Lokaal: De driver ten behoeve van de smartcardreader moet lokaal op de thin- of fat client geïnstalleerd worden (zie hoofdstuk 2). Server: Op de Terminal of Citrix server dient u de volgende items te installeren: - SafeSign Software (zie hoofdstuk 3). Binnen Internet Explorer moet, voor een correcte werking van de smartcard(s), het Gemnet CSP CA – G2 certificaat geïnstalleerd te zijn (zie hoofdstuk 5). Rechten: Na installatie van alle hard- en software moet u ervoor zorgen dat de beheerders / gebruikers gebruik kunnen maken van tokenbeheerprogramma of tokenadministratie. Dit programma is onderdeel van de geïnstalleerde SafeSign software en wordt gebruikt om: •

De smartcard uit te lezen

•

De pin- en puk codes te wijzigen

© KPN Lokale Overheid

14 van 18

De correcte werking van de smartcardreader kan als volgt gecontroleerd worden: Plaats een smartcard in de smartcardreader. Het lampje van de smartcardreader dient nu continu groen te branden. Ga naar het ‘Token Beheer Programma’ via het Startmenu. Bij een correcte werking is het ‘Token Label’ en de status van de smartcard zichtbaar.

© KPN Lokale Overheid

15 van 18

Hoofdstuk 6. PIN wijzigen met het Token Beheer Programma

Om de PIN-code te wijzigen van uw smartcard opent u de Token Beheer Programma van SafeSign. Open het Token Beheer Programma via: Start > Alle programma’s > SafeSign Standaard > Token Beheer (of Token Administratie) Kies menu-optie [Token]

Klik op [Wijzig PIN]

Vul bij “Huidige PIN:” de PIN-code in die is toegewezen bij initialisatie van de smartcard, deze is in de PIN-mailer aan u bekend gemaakt .

© KPN Lokale Overheid

16 van 18

Vul bij “Nieuwe PIN:” en bij “Bevestig nieuwe PIN:” uw nieuwe PIN-code in. Klik op [OK]. Het volgende scherm verschijnt bij een succesvolle verandering. Klik op [OK]

Herhaal deze handelingen voor de PUK-code, door uit het pulldown menu [Wijzig PUK] te selecteren. Ook de PUK-code is in de PIN-mailer aan u bekend gemaakt. Met de PUK-code kunt u een geblokkeerde PIN-code deblokkeren. De PIN-code blokkeert nadat deze 3 keer achter elkaar foutief is ingegeven. Dit geldt ook voor de PUK-code.

© KPN Lokale Overheid

17 van 18

Hoofdstuk 7. Troubleshooting

Toegang tot een certificaat-toepassing via een Citrix-omgeving? Voordat u een certificaat-toepassing opstart dient u eerst uw smartcard in de reader te plaatsen. Gedurende het gebruik van de toepassing dient de smartcard in de smartcard reader te blijven. Haalt u de smartcard er tussentijds uit terwijl u nog gebruik maakt van de toepassing dan kunnen conflicten ontstaan in Citrix. Mocht dit voorkomen dan dient u de toepassing (bijv. een webbrowser) af te sluiten en opnieuw op te starten. Dit is een bekende fout (known error) van Citrix en dient door Citrix opgelost te worden. Het lampje van de smartcard reader knippert niet Dit kan verschillende oorzaken hebben: •

De reader is verkeerd aangesloten => controleer de stappen van de installatiewegwijzer

•

De reader is defect => probeer een andere smartcard reader

De PIN-code wordt niet gevraagd terwijl een smartcard in de smartcard reader aanwezig is en/of een melding “Unable to find a compliant card” wordt getoond Dit kan verschillende oorzaken hebben: •

De poorten in de BIOS staan niet open => controleer de BIOS

•

De gebruiker heeft onvoldoende rechten (minimaal lokale administrator vereist) => controleer of de gebruiker voldoende rechten heeft om extern geïnstalleerde randapparatuur aan te spreken

•

De reader is verkeerd aangesloten => controleer de stappen van de installatiewegwijzer

•

De smartcard is defect => probeer een andere smartcard

Zie ook de “Veel gestelde vragen over Klasse X certificaten” op: https://kpnlokaleoverheid.nl/veelgestelde-vragen/ Voor het melden van problemen en vragen betreffende de configuratie kunt u terecht bij de Servicedesk via: Tel: 070-343 69 00 Email: [email protected] Voor overige vragen: KPN Lokale Overheid Afd. Validatie Postbus 19535 2500 CM Den Haag Email: [email protected] Website: kpnlokaleoverheid.nl

© KPN Lokale Overheid

18 van 18