Čipová karta JIS je zařízení, které kromě běžné bezkontaktní části slouží také jako bezpečné úložiště osobních certifikátů a především odpovídajících privátních klíčů. Jedná se o jeden ze základních prvků bezpečnosti v celé infrastruktuře veřejných klíčů (PKI). Od března 2019 jsou vydávány nové čipové karty JIS s odlišnými ovladači od společnosti OK Systém.

Jak poznám, že mám novou čipovou kartu?

Pokud je splněna alespoň jedna z následujících podmínek máte již novou čipovou kartu a postupujte dle tohoto návodu.

1. Číslo karty je vyšší než 142000 - číslo uvedené pod fotografií začínající písmenem ZXXXX je vyšší než 142 tisíc.
2. Stávající program pro správu čip. karek "Token Admin" hlásí neznámý token.
3. Elektronický název čipové karty je "OKsmart 3.0 MiniOs"

Pro správnou funkci čipové karty je nutné mít naistalovány ovladače karty (minidriver) a ovladače čtečky čipových karet. Pro použití karty v prohlížeči mozilla Firefox je třeba mít ještě nainstalovanou a zavedenou knihovnu oksmartpkcs11.dll.

Instalace ovladačů čipových karet (minidriver)

Instalace Windows 7 a Windows 10

Ve Windows se ovladače instalují automaticky prostřednictvím "Windows Update" po vložení karty do čtečky. Podmínkou je mít funkční četčku čipových karet s příslučným ovladačem. Po vložení karty systém oznámí "Nalezen nový HW -> Vyhledávám ovladač". Jakmile je ovladač čipové karty nainstalován je možné jí používat ve všech programach využívající systémové úložiště certifikátů Windows.

Je možné, že systém ovladače z Windows Update nenejde. pak je nutné minidriver nainstalovat pomocí následujícího instalátoru. Nainstalujte 64bit verze, oksmart64-minidriver.msi (2.26 MB, MSI).

Instalace knihovny PKCS#11 pro Firefox a Thunderbird

Pokud chcete používat čipovou kartu i v prohlížeči Mozilla Firefox, nebo poštovním klintovi Thunderbird potřebujete naintalovat ještě podporu knihovny PKCS#11. Příslušní ovladač najdete zde: 64bit verze, oksmart64-pkcs11.msi (1.46 MB, MSI). Před instalací se prosím ujistětě, že máte nainstalován minidriver oksmart (ručně, nebo automaticky), bez něj nebude podpora čipové karty funkční.

Instalace Linux

Viz. samostatný návod na stránce Ikey3000 - Linux

Použití

Internet Explorer

Po správné instalaci se po vložení tokenu do USB slotu zaregistrují všechny certifikáty do Windows úložiště MSCAPI jako další CSP. Certifikáty jsou tak připraveny k použití v prohlížeči Internet Explorer a v dalších programech používajících MSCAPI (OpenVPN, MS Outlook Expres). Před použitím certifikátu na tokenu budete vyzváni k zadání kódu PIN.

Mozilla Thunderbird a Firefox

Pro použití v produktech rodiny Mozilla je nutné nejprve zaregistrovat další bezpečnostní zařízení. Informace o bezpečnostním zařízení jsou uloženy každém profilu, proto je nutné bezpečnostní zařízení nainstalovat pro každý program a každý profil zvlášť.

• Instalátor ovladačů čipové karty SafeSign instaluje kartu do Firefoxu automaticky

• Tento postup použijte jen v případě, že chcete instalovat kartu ručně:

1. V menu Nástroje -> Možnosti -> Rozšířené -> Šifrování -> Bezpečnostní zařízení
2. Stisknou tlačítko Načíst
3. Vyplnit položky

  Jméno modulu: SafeSign
  Název souboru modulu: c:\WINDOWS\system32\aetpkss1.dll

Inis

Pro použití tokenu s aplikací Inis musí být kromě správně nainstalovaného ovládacího SW přítomna a povolena i Java verze 1.6 a vyšší.

Webauth

Karta s certifikátem umožňuje přihlásit se do systému WebAuth bez zadáni hesla, jen pomocí PINu a karty. Pokud nemáte počítač se systémem Orion IS budete pravděpodobně potřebovat nainstalovat certifikáty certifikačních autorit.

1. Klikněte na stránku http://crl.zcu.cz
2. Dole na stránce vyberte odkaz pro CESNET CA ROOT odpovídající vašemu prohlížeči
3. To samé opakujte i pro odkaz na certifikát Personal Signing.

Čtečky čipových karet

Zde je možné stáhnout drivery pro nejpoužívanější čtečky čipových karet.

• Klávesnice DELL RT7D60 s čtečkou SmartCard [1]
• PCMCI čtečka Gemplus GemPC 32bit [2] / PCMCI čtečka Gemplus GemPC 64bit [3]
• PCMCI Expres čtečka Gemplus GemPCExp 32bit [4] / PCMCI Expres čtečka Gemplus GemPCExp 64bit [5]
• USB čtečka Gemplus GemPC 32bit [6] / USB čtečka Gemplus GemPC 64bit [7]

FAQ

Místo editačního pole pro zadání PINu, se zobrazí tento obrázek.

Pravděpodobně používáte čtečku karet integrovanou s klávesnicí. Zadejte pin na numerické klávesnici. Takto vám systém oznamuje použití tzv. PINpadu, kdy zapsaný PIN není zpracováván počítačem, ale přímo čipovou kartou. Nevýhoda nezobrazování znaků při zadávání, je vyvážena vysokou bezpečností. V této konfiguraci není možné odposlechnout PIN karty.

Systém schvalování probíhá pomoci Javy. Pokud chcete vidět, co se děje, tak než kliknete na schválení v INISu klikněte pravým tlačítkem myši na ikonu Javy v trayi (dole vpravo vedle hodin). Najeďte na Open Console a klikněte. Zobrazí se vám okno konzole. Tam klikněte na Clear. Poté již v INISu dejte schválit. V okně konzole proběhne celý proces. Můžete obsah zkopírovat a poslat na operator@service.zcu.cz. Značně to urychlí vyřešení problému.

Pozor!
Na některých verzích Windows (zejména Windows 10) v tomto nastavení nefunguje čtečka správně (např. schvalování v magionweb.zcu.cz) a je potřeba vypnout PinPad. To se udělá následovně.

V registru HKLM\SOFTWARE\A.E.T. Europe B.V.\SafeSign\2.0 nastavit hodnotu DisablePinPadReaders na 1 (true). Na 64bit je klíč následovně: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\A.E.T. Europe B.V.\SafeSign\2.0. Restartujte PC.