==== Konfigurace pro kryptografii ====

Kryptografické jádro IS Orsoft Open vyžaduje povolenou "silnou kryptografii" v JRE serveru.

=== Krypto-Tokeny ===

{{:orsoftopen:o0:konfig:konfig_krypto_token1.jpg?500|konfig_krypto_token1.jpg}}

Princip fungování kryptotokenů (čipových karet):

  * Token je HW zařízení, které provádí kryptografické operace
      * Pomocí tokenu lze podepisovat elektronické dokumenty
      * Soukromý klíč pro elektronický podpis **NIKDY NEOPUSTÍ TOKEN**
      * K tokenu musím znát PIN
  * Z hlediska IS Orsoft probíhají kryptografické operace na klientu Openu

V této chvíli je podpora tokenů implementována v těchto oblastech:

  * Předávání dat na ČSSZ z PaM IS Orsoft (zatrhněte v konfiguraci "Použít čipovou kartu pro zasílání VREP").
  * Podepisování výplatek posílaných mailem (zatrhněte v konfiguraci "Použít čipovou kartu pro podepisování PDF").

Pro správné fungování je třeba zajistit následující:

  * Na klientském počítači musí být Orsoft Open spuštěn pod JRE s povolenou silnou kryptografií
  * Na klientském počítači musí být nainstalována správná PKCS#11 knihovna (API rozhraní)
      * Například pro token TokenME (Bit4ID) od PostSignum se jedná o driver bit4id_xpki_admin.msi (viz [[http://www.postsignum.cz/token_me.html|http://www.postsignum.cz/token_me.html]])
  * V konfiguraci Nastavení kryptografie je třeba nakonfigurovat cestu k této PKCS#11 dll knihovně (tam, kde leží na klientském počítači). Tato konfigurace je na osobu, takže každý kdo pracuje s tokeny musí si tuto cestu nakonfigurvat zvlášť.
      * Pro TokenME se jedná o
<code>

C:\Windows\System32\bit4xpki.dll

</code>

  * Pro eToken 5110CC se jedná o

<code>
C:\Windows\System32\eTPKCS11.dll

</code>

  * Pro čipové karty ID Prime MD3840, MD840 a MD841 je cesta ke knihovně

<code>
C:\Windows\System32\eTPKCS11.DLL

</code>

  * Předpokládáme, že na tokenu (čipové kartě) je již klíč a certifikát naimportován.

== Konfigurace kryptografie ==

Pokud budete mít na čipové kartě pouze jeden podpisový certifikát, tak při použití čipové karty bude vybrát tento certifikát. V případě, že je víc podpisových certifikátů, tak je třeba nastavit "defaultní alias" v konfiguraci Kryptografie.

Konfiguraci kryptografie naleznete ve volbě Kmenová data / Parametry / Konfigurace / Konfigurace Kryptografie. Při vstupu do kryptografie jste dotázání na PIN. Pokud zadáte správné PIN, tak se Vám nabídne seznam klíčů na čipové kartě. Pokud dáte Zrušit, tak se Vám zobrazí aktuálně zadaný alias klíče, nepůjde vybrat jiný. Klíč lze vybrat pouze v případě, že máte zaškrtnutou volbu "Použít PKCS 11" nebo "Použít PKCS 11 pro PDF".

Pozor! V některých případech (ověřeno na Bit4ID tokenu a importovaném klíči) je ALIAS v hexadecimálním tvaru. Tak je také uložen v registrech jako defaultní ALIAS. Program se však snaží zobraz čitelnou reprezentaci názvu klíče. Proto se může stát, že v některých případech při výběru ALIASu uvidíte správný název aliasu (čitelný) a pak když půjdete do této konfigurace a nezadáte PIN, tak uvidíte, že uložený alias vypadá úplně jinak. PIN k čipové kartě neukládáme, vždy se na něj dotazujeme (zatím. Možná v budoucnu budě řešeno).

{{:orsoftopen:o0:konfig:konfig_krypto_form.jpg?600|konfig_krypto_form.jpg}}

== Specifická konfigurace tokenu eToken 5110 CC ==

Při použití QSCD (kvalifikovaného tokenu v souladu s eIDAS) nelze použít standardní konfiguraci dříve podepsanou.

V tokenu eToken 5110 CC jsou 2 virtuální tokeny - každý má svůj vlastní slot! Musí se použít jiná PKCS11 knihovna, než doporučuje pošta - IDPrimePKCS1164.dll (pro x64 systémy) a IDPrimePKCS11.dll (pro x86 systémy). Původní eTpkcs11.dll nepublikuje 2 sloty, ale pouze jeden a není tak správný přístup k CC části tokenu. Postup:

  - Vyžádejte si tento DLL soubor u Vašeho konzultanta IS Orsoft.
  - Uložte jej na místní disk v počítači, kde uživatel používá IS Orsoft například do
<code>

c:\PostSignum\IDPrimePKCS1164.dll

</code>

  - V konfiguraci kryptografie doplňte tuto cestu do pole "Absolutní cesta na klientu k PKCS#11 dll"
  - Vyskočte z této volby a znovu vstupte.
      - Měl by se Vám nabídnout seznam existujících slotů na tokenu
  - Vyberte slot a po vystoupení a nastoupení do této volby se ukáže seznam certifikátů
  - Musíte najít ten slot, který obsahuje kvalifikovaný certifikát dle eIDAS
      - V našem případě je ten spránvý CC slot č. 16.

**Pozor! Do CC části je jiné heslo než k samotnému tokenu (tzv. QPIN nebo také Digital Signature PIN) **

== Podpisová karta ProID+Q ==

ProID+Q nebo ProID+Q (gen. 2) (dále jen prostředek) je čipová karta nebo USB token schválená jako kvalifikovaný prostředek pro vytváření elektronických podpisů a elektronických pečetí v souladu s nařízením eIDAS.
Info ke kartě: (viz [[https://www.postsignum.cz/proid_q.html|https://www.postsignum.cz/proid_q.html]])

Postup pro použití ProID+Q:

  - Nainstalujte na klientský počítač podpůrný SW karty dle návodu PostSignum.
  - V Konfiguraci pro kryptografii vyplňte:
      - Použít čipovou kartu pro VREP - tím se bude vyžadovat PIN při vstupu do tohoto dialogu
      - V konfiguraci kryptografie doplňte tuto cestu do pole "Absolutní cesta na klientu k PKCS#11 dll" podle toho, jestli máte 32-bitovou JRE nebo 64.
        - Jak zjistit verzi JRE? Nápověda-O Aplikaci-Klient: řádek os.arch obsahuje buď x86=32 bitová JRE nebo x64=64 bitová JRE
        - Pro 64-bitovou JRE C:\Windows\System32\proidqcm11.dll
        - Pro 32-bitovou JRE C:\Windows\SysWOW64\proidqcm11.dll
  - Vyjděte zpět do menu
  - Při vstupu do Konfigurace kryptografie by nyní měl vyžadovat PIN
  - Pokud správně zadáte PIN měl by nabízet "Alias klíče na kartě"
  - ProID+Q neřeší sloty.


==== Jak vyzkoušet, zda funguje podepisování tokeny a kartami? ====

  - Vlastní podpis lze vyzkoušet v Aplikační jádro - Parametry - Konfigurace - Klíče a certifikáty
      - Nabídka "Další" - Kryptografie - Podepsání PDF Dokumentu na klientu TOKEN
  - **POZOR!!! ** Pro vlastní použití tokenů v rámce Personalistiky a mezd je třeba mít v rámci sítě **povolené připojení ze serveru na klienta**       - Jedná se většinou o nastavení Firewallu na klientském počítači - povolení connect z IP adresy serveru
      - Je to proto, že podepisování se provádí "na žádost" aplikačního serveru na klientu.
      - Prověření funkčnosti této cesty: Pošlete zprávu určitému klientu
        - Administrace - Přístupová práva - Přihlášení uživatelé - Zpráva vybranému uživateli (mohu i sám sobě :-) ) - zpráva musí začínat na "callback: Lorem ipsum ...." (při callback použije původní volání SERVER-->KLIENT)
        - Pokud tato zpráva nedorazí, tak je problém v nastavení sítě (resp. firewallu)