Overitelj digitalnih potrdil ZZZS

Pri uporabi različnih pametnih kartic oziroma na njih zapisanih digitalnih potrdil na istem računalniku lahko nastopijo težave. Rešiti jih je mogoče z ročno registracijo digitalnih potrdil.

Registracija/propagacija digitalnega potrdila v lokalno shrambo uporabnika (na računalnik se prenese javni ključ in digitalno potrdilo) je potrebna v primeru uporabe aplikacij, ki uporabljajo Windows sistemsko shrambo potrdil. Primer takšne aplikacije je spletni brskalnik Crome ali Edge. V aplikacijah, ki za dostop do pametne kartice uporabljajo vmesnik PKCS#11, registracija digitalnega potrdila ni potrebna, saj aplikacija digitalna potrdila pridobi neposredno iz pametne kartice.

Za registracijo digitalnega potrdila pri različnih medprogramjih skrbijo različne storitve. Lahko se zgodi, da proces registracije ovira normalno delo s pametno kartico, zato je potrebno proces začasno ali trajno onemogočiti ter registracijo potrdil izvesti ročno. Za medprogramja, ki so najpogostejša na slovenskem trgu, so postopki naslednji:

Thales Classic Client – registracija digitalnega potrdila se izvede preko aplikacije »Reg Tool« (RegTool.exe), ki se zažene preko nastavitev v registru. Potrebno je izbrisati vnos RegTool  pod ključem HKLM\Software\Microsoft\Windows\CurrentVersion\Run. Ročna registracija digitalnih potrdil je mogoča preko pripomočka Classic Client Toolbox (Start | Thales | Classic Client | Classic Client Toolbox). Potrebno je izbrati opcijo Potrdila, nato pa označiti režo čitalnika z izbranim digitalnim potrdilom, ki ga želimo registrirati, vnesti kodo PIN glede na izbrano reži čitalnika in pripadajočim digitalnim potrdilom in izbrati možnost Registriraj vse.

Za delovanje OnLine sistema in dostopa do sistema eZdravja preko knjižnice IKLIB, orodje Regtool ni potrebno. Potrebno je za delovanje nekaterih spletnih aplikacij tako ZZZS, NIJZ in drugih izvajalcev. V primeru sočasne uporabe sistema OnLine, eZdravje in Regtool je delovanje vidno upočasnjeno, možne so tudi večje motnje ki lahko privedejo do nestabilnosti delovanja kartic in čitalnikov.

NXP Semiconductors IDProtect – je namenjeno delovanju nove elektronske osebne izkaznice. Sobivanje z medprogramjem Thales Classic Client ob ustrezni konfiguraciji obeh medprogramij je zadovoljivo. Za delovanje sistema OnLine namestitev IDProtect ni potrebna. V primeru namestitve je delovanje kartičnega sistema upočasnjeno.

ActivIdentity Activ Card Gold – ta različica medprogramja uradno ni več podprta. Registracija potrdil je mogoča zgolj preko ročnega postopka (avtomatskega postopka ni), tako da ni potrebno ničesar spreminjati.

ActivIdentity Activ Client – privzeto se namesti in nastavi storitev, ki izvede registracijo potrdil na pametni kartici, ko uporabnik le-to vstavi v čitalnik pametnih kartic. Za spreminjanje nastavitev tega medprogramja mora biti na računalniku nameščena komponenta »Advanced Configuration Manager«, ki je del namestitvenega paketa ActivClient. Pripomoček se zažene preko menija Start | ActivIdentity | Advanced Configuration Manager. Potrebno je spremeniti vrednost nastavitve Certificate Availability | Make certificates available to Windows on card insertion na »No«. Ročna registracija digitalnih potrdil se izvede preko možnosti v pripomočku Start | ActivIdentity | ActivClient | User Console, kjer je potrebno izbrati možnost Tools | Advanced | Make Certificates Available to Windows.

Microsoft Base Smart Card Service Provider (Minidriver, npr. Thales .NET) – v okoljih Windows od verzije Windows 10 naprej je mogoče z avtomatsko registracijo potrdil upravljati preko politike skupin (Group Policy) za lokalni računalnik. Nastavitev se nahaja v mapi Local Computer Policy | Computer Configuration | Administrative Templates | Windows Components | Smart Card. Možnost  Turn on certificate propagation from smart card je potrebno nastaviti na vrednost Disabled. Ročna registracija digitalnih potrdil ni mogoča.

Thales SafeNet Authentication Client – medprogramje namenjeno delovanju Gemalto in Thales USB ključev. Sobivanje z medprogramjem Thales Classic Client je zadovoljivo, opazno je upočasnjeno delovanje. USB ključi se ne uporabljajo v sistemu OnLine.

V kolikor ste morali namestiti druga medprogramja, predlagamo da se v primeru težav v delovanju  sistema kartice zdravstvenega zavarovanja obrnete na proizvajalca programske opreme, ki zahteva namestitev!

Ta priporočila ne morejo zagotavljati odprave vseh tovrstnih težav, zato ZZZS ne odgovarja za morebitno nedelovanje ali druge težave, ki bi nastale na podlagi teh priporočil.