Guida alla configurazione di DigitalSign Guida alla configurazione di DigitalSign Pagina 1 di 19
Indice 1. Riferimenti... 2 2. Scopo e campo di applicazione... 2 3. Configurazione Internet... 3 4. Abilitare la verifica delle CRL... 5 5. Aggiornamento del DB delle CA accreditate e attendibili... 6 6. Configurazione della Marca al documento (formato TSD)... 11 7. Marcatura Temporale... 12 8. Impostare l Elenco LDAP... 17 9. Informazione aggiuntive su DigitalSign... 19 1. Riferimenti Manuale Utente - DigitalSign (completo) Manuale Utente - DigitalSign (semplificato) Guida all installazione della patch per attivare la notifica di Aggiornamento Automatico Guida all'installazione di una nuova versione di DigitalSign tramite Aggiornamento Automatico Sito del Certificatore Lombardia Informatica www.lispa.it/ca/firma Digitale, sezione Applicazioni di firma digitale 2. Scopo e campo di applicazione Il presente documento fornisce istruzioni operative che l utilizzatore di DigitalSign deve seguire per configurare correttamente DigitalSign in modo da poter fruire dei servizi erogati dal Certificatore di Lombardia Informatica e nel contempo consentire un corretto funzionamento dell applicazione quando si generano o si verificano documenti elettronici firmati e marcati digitalmente. Nello specifico verranno descritte le corrette impostazioni per accedere ai seguenti servizi: Impostazioni di accesso ad Internet Verifica delle Liste dei Certificati Revocati/Sospesi (CRL) Aggiornamento del DB delle CA accreditate e attendibili Configurazione corretta della Marca Temporale al documenti (formato TSD) Marcatura Temporale Elenco dei certificati e delle CRL pubblicati su LDAP Essendo DigitalSign un applicazione che consente l apposizione e la verifica di firme digitali è di fondamentale importanza per chi gestisce documenti elettronici che potrebbero avere impatti legali, mantenere la propria applicazione costantemente aggiornata e correttamente configurata. Pertanto è fortemente consigliato verificare che la versione in uso dell applicazione sia l ultima rilasciata dal certificatore (sul sito del Certificatore Lombardia Informatica S.p.A. - www.lispa.it/ca/firmadigitale - all interno della sezione Applicazioni di firma digitale, è pubblicata l informazione su qual è l ultima versione aggiornata di DigitalSign resa disponibile dal Certificatore) e che siano impostate tutte le configurazioni descritte all interno del presente documento. Il presente documento si applica esclusivamente alle seguenti edizioni di DigitalSign: - Edizione LISIT - Lombardia Integrata S.p.A. - Edizione LISPA - Lombardia Informatica S.p.A. Guida alla configurazione di DigitalSign Pagina 2 di 19
3. Configurazione Internet Aprire DigitalSign, scegliere la voce dal menù Strumenti, quindi selezionare Opzioni. Sulla finestra che appare a video selezionare la scheda Configurazione Internet, come illustrato nella figura seguente. Guida alla configurazione di DigitalSign Pagina 3 di 19
Quindi impostare la corretta configurazione di connessione Internet (accesso diretto ad Internet o tramite proxy) e inserire il segno di spunta sulla voce Verifica disponibilità aggiornamenti di DigitalSign ogni 7 giorni, quindi impostare l aggiornamento a ogni 1 giorni, come illustrato negli esempi in figura sotto riportati. Attenzione: nelle versioni precedenti a DigitalSign 3.1.3.14 Edizione LISPA la funzione Configurazione automatica del proxy non funziona correttamente. E necessario pertanto inserire manualmente i parametri richiesti del proxy eventualmente presente (Indirizzo IP, Porta, userid e password di accesso). oppure: Quindi premere il tasto OK per rendere effettive le modifiche apportate. Guida alla configurazione di DigitalSign Pagina 4 di 19
4. Abilitare la verifica delle CRL Aprire l applicazione, scegliere la voce dal menù Strumenti, quindi selezionare Opzioni di Security. Nella finestra che appare a video verificare che siano selezionate le seguenti impostazioni. Se così non fosse procedere alla configurazione come illustrato di seguito. Livello di sicurezza selezionare la voce Verifica STRONG Opzioni di Verifica selezionare la voce Verifica stato di sospensione/revoca dei certificati (usa CRL) selezionare la voce Consenti aggiornamento automatica CRL in fase di verifica selezionare la voce Forza rilettura di CRL anche non scadute e impostare ogni 48 ore selezionare la voce Verifica nesting del periodo di validità dei certificati e impostare i seguenti valori: Validità M.T. emesse prima del 3/12/2009 (DPCM 13/01/2004): 5 anni Validità M.T. emesse dopo il 3/12/2009 (DPCM 30/03/2009): 20 anni Guida alla configurazione di DigitalSign Pagina 5 di 19
5. Aggiornamento del DB delle CA accreditate e attendibili Aprire l applicazione, scegliere la voce dal menù Strumenti, quindi selezionare Opzioni di Security. Nella finestra che appare a video, aprire la scheda CA accreditate/attendibili e verificare che siano selezionate le seguenti impostazioni. Se così non fosse procedere alla configurazione come illustrato di seguito. Opzioni per DB (autenticato dall utente) di certificati attendibili selezionare la voce Abilita all uso del DB di CA attendibili selezionare la voce Considera attendibili i certificati on-board Guida alla configurazione di DigitalSign Pagina 6 di 19
Dopo aver verificato che le impostazioni Internet siano configurate correttamente (vedi capitolo 3) aggiornare il DB delle CA accreditate premendo il primo pulsante Aggiorna adesso. Nella finestra che appare a video, premere il pulsante SI. Guida alla configurazione di DigitalSign Pagina 7 di 19
Quindi se la configurazione Internet è impostata correttamente, verrà effettuato l aggiornamento del DB delle CA accreditate, come illustrato nella figura seguente. Terminato il download è possibile eseguire l aggiornare del DB delle CA attendibili premendo il secondo pulsante Aggiorna adesso. Guida alla configurazione di DigitalSign Pagina 8 di 19
Nella finestra che appare a video, premere il pulsante SI. Quindi se la configurazione Internet è impostata correttamente, verrà effettuato l aggiornamento del DB delle CA attendibili, come illustrato nella figura seguente. Guida alla configurazione di DigitalSign Pagina 9 di 19
A questo punto premere il pulsante OK come illustrato nella figura seguente per rendere effettive le modifiche eventualmente apportate alla configurazione. Guida alla configurazione di DigitalSign Pagina 10 di 19
6. Configurazione della Marca al documento (formato TSD) Aprire l applicazione, scegliere la voce dal menù Strumenti, quindi selezionare Opzioni. Nella finestra che appare a video, verificare che sia selezionata la voce Aggiungi metadata (TSD). Se così non fosse procedere alla selezione come illustrato nella figura seguente. Quindi premere il pulsante OK per rendere effettive le modifiche eventualmente apportate alla configurazione. Guida alla configurazione di DigitalSign Pagina 11 di 19
7. Marcatura Temporale Aprire l applicazione, scegliere la voce dal menù Strumenti, quindi selezionare Configurazione Servizi e successivamente Marcatura Temporale, come illustrato nella figura seguente. Sulla finestra che appare a video selezionare l account di marcatura temporale Lispa (Autenticato) e premere sul pulsante Proprietà. Invece nel caso non ci fosse alcun account pre-impostato, premere sul pulsante Nuovo per provvedere al suo inserimento. Guida alla configurazione di DigitalSign Pagina 12 di 19
In caso d inserimento di un nuovo account, inserire il nome dell account Lispa (Autenticato) e premere il pulsante Avanti. Nella finestra che appare a video inserire manualmente, o eventualmente modificare, i parametri così come descritto di seguito: Parametri dell host selezionare dal menù a bandierina la voce HTTP o HTTPS impostare nella voce URL del server TSA il seguente indirizzo: https://tsslispa.tipki.it/tsa/gettimestamp.ashx selezionare la voce Autenticazione RFC3161 selezionare la voce Richiedi credenziali al momento dell'uso, oppure inserire le proprie credenziali (user-id e password ricevute al momento dell attivazione della propria smart card di firma) selezionare dal menu a bandierina della voce Funz. HASH il parametro: sha256 La figura seguente mostra la maschera di inserimento di un Nuovo account di Marcatura temporale con già impostati i parametri appena descritti. Guida alla configurazione di DigitalSign Pagina 13 di 19
Invece la figura seguente illustra la maschera che appare a video quando si modifica un account di Marcatura temporale già esistente, modificata con i parametri appena descritti. Al termine dell inserimento/modifica dei parametri, premere il pulsante OK per rendere definitive le impostazioni effettuate. Guida alla configurazione di DigitalSign Pagina 14 di 19
Procediamo ora alla descrizione della corretta configurazione dell account di marcatura temporale Lispa (Extranet SISS) da utilizzare solo su postazioni attestate alla Extranet SISS. Sempre sotto la voce del menù Strumenti, selezionare Configurazione Servizi e successivamente Marcatura Temporale. Sulla finestra che appare a video selezionare l account di marcatura temporale Lispa (Extranet SISS) e premere sul pulsante Proprietà. Invece nel caso non ci fosse alcun account pre-impostato, premere sul pulsante Nuovo per provvedere al suo inserimento. In caso d inserimento di un nuovo account, inserire il nome dell account Lispa (Extranet SISS) e premere il pulsante Avanti. Nella finestra che appare a video inserire manualmente, o eventualmente modificare, i parametri così come descritto di seguito: Parametri dell host selezionare dal menù a bandierina la voce Direct TCP inserire come parametro IP porta il seguente valore: 318 impostare nella voce IP Address o nome host il seguente indirizzo: tss.cgi.crs.lombardia.it selezionare la voce TSA policy e impostare il seguente valore: 1.3.6.1.4.1.7790.4.4.1 selezionare dal menu a bandierina della voce Funz. HASH il paramtro: sha256 Guida alla configurazione di DigitalSign Pagina 15 di 19
La figura seguente mostra la maschera dell account di timestamping Lispa (Extranet SISS) con impostati i parametri appena descritti. Al termine dell inserimento/modifica dei parametri, premere il pulsante OK per rendere definitive le impostazioni effettuate. Quindi premere OK per uscire dalla finestra degli Account di marcatura temporale (TSA). Guida alla configurazione di DigitalSign Pagina 16 di 19
8. Impostare l Elenco LDAP Aprire l applicazione, scegliere la voce dal menù Strumenti, quindi selezionare Configurazione Servizi e successivamente Elenchi in Linea LDAP, come illustrato nella figura seguente. Sulla finestra che appare a video selezionare l account LDAP LISPA e premere sul pulsante Proprietà. Invece nel caso non ci fosse alcun account pre-impostato, premere sul pulsante Nuovo per provvedere al suo inserimento. Nella finestra che appare a video inserire manualmente, o eventualmente modificare, i parametri così come descritto di seguito: Account per il Directory Service Inserire la voce LDAP Impostare nella voce Nome del server il seguente indirizzo: ldap.crs.lombardia.it La figura seguente mostra la maschera dell account LDAP LISPA descritti. con impostati i parametri appena Guida alla configurazione di DigitalSign Pagina 17 di 19
Quindi aprire la scheda Avanzate della stessa finestra e inserire manualmente, o eventualmente modificare, i parametri così come descritto di seguito: Inserire come Porta del Servizio Directory (LDAP) il valore seguente: 389 Inserire come Base di ricerca il valore seguente: c=it così come illustrato nella figura successiva. Al termine dell inserimento/modifica dei parametri, premere il pulsante OK per rendere definitive le impostazioni effettuate. Guida alla configurazione di DigitalSign Pagina 18 di 19
9. Informazione aggiuntive su DigitalSign Sul sito del Certificatore Lombardia Informatica S.p.A. - www.lispa.it/ca/firmadigitale - all interno della sezione Applicazioni di firma digitale, è pubblicata l informazione su qual è l ultima versione aggiornata di DigitalSign resa disponibile dal Certificatore. L utente può così verificare se la versione installata sulla propria postazione di lavoro corrisponde all ultima versione aggiornata. Per verificare questa informazione è sufficiente aprire DigitalSign, scegliere la voce dal menù Aiuto, quindi selezionare Informazioni su DigitalSign. Nella finestra che segue vengono riportate le informazioni relative alla versione di DigitalSign installata sulla propria postazione. All interno della stessa pagina web è pubblicato, oltre alla presente informativa, anche il documento Guida all installazione della patch per attivare la notifica di Aggiornamento Automatico e Guida all'installazione di una nuova versione di DigitalSign tramite Aggiornamento Automatico, in cui vengono fornite istruzioni operative che l utilizzatore di DigitalSign deve seguire per installare autonomamente una nuova versione dell applicazione. Guida alla configurazione di DigitalSign Pagina 19 di 19