baka kaže:


Ali samo na hardveru s intel procesorom. Na Apple silicon Macu ne radi. Tako kaže AKD.

Ping, hvala, znam da je moguće, ali meni kilavi. Jednom hoće, drugi put se čini da hoće, ali onda kad krene snimati potpisani dokument, kaže da nema certifikat, svaki cca 20. put kompletno zaglavi stroj (treba reboot), i tako... Ono što mene zanima je - ako probaš kod sebe neki bilo koji PDF dokument potpisati 10x uzastopno, radi li bez problema 10x ili je 50/50?

Kod mene najčešće probam prvi put, neće. Onda quit adobe, izvadim karticu, vratim karticu, ponovno otvorim PDF, napravim potpis, sve OK. I tako...

Da, radi ko sve na windozama, malo oće malo neće

smayoo kaže:


Ovo što opisuješ u zadnjoj rečenici je standardno i na win i na Macu. On sam odlučuje kad hoće a kad neće dopustiti pristup certifikatu. Slična stvar je i sa poslovnim certifikatima banaka i općenito cijelom tom PKI infrastrukturom na razini "države".

Recimo na Win je super što ti iz čistog mira javi da esigner modul ne radi i baci fatal exception jer nema pristup mreži po portu 5001 iako nemaš ni kartice u čitaču niti si pokrenuo aplikaciju, samo se diže servis eOI s Win.

Realno, tebi eOI možda treba samo za lokalno potpisivanje PDF-ova elektroničkim potpisom, a ne za komunikaciju sa servisima za građane i poslovne subjekte... i nema razloga da eID paket uopće jaši po mreži, no eto...

I zato s posla ništa ne potpisujem korištenjem čitača kartica. I zato koristim eOI 2gen za potpis PDF-ova kod koje je "ista priča" kao i onaj FINA potpis u oblaku. Imaš app na mobu kojem daš PDF i on te pita pristupni i potpisni pin te umetne digitalni potpis sa eOI na zadnju novu stranu u dokumentu.

Pristup visoke razine isto tako ide putem Certilia appa... biraš na e-građanima kao vjerodajnicu Certilia osobni mobile.ID, ide web forma sa user/pass upitom koja okida 2FA i daje ti 60 sekundi da potvrdiš prijavu u Certilia appu na mobu.

Potpis eZahtjeva kroz sustav eGrađana još nisam probao... ali eto, provjerit ćemo i to.

Nažalost, ja čitač ne mogu u cijelosti zaobići jer digitalni potpis na PDF moram napraviti dvaput - jednom karticom ovlaštenog inženjera, a jednom osobnim certifikatom neke vrste, kao direktor firme.

Ovo što si napisao "On sam odlučuje kad hoće a kad neće dopustiti pristup certifikatu." - odnosi se na što? Adobe? AKD Middleware? Karticu?...

Odnosi se na čitač.

Ubaciš karticu u čitač, čitač zasvijetli zeleno.

Na WIN:
Dolje u ćošku imaš ikonicu middlewarea koja ti pokaže uredno da je kartica umetnuta.

Otvoriš Acrobat Reader i u njemu PDF koji želiš potpisati. Stisneš potpiši. On javi grešku da ne može učitati cert. Ugasiš Acrobat, upališ ga opet, ponoviš - radi.
Ako ne proradi, kartica van i sve opet. Ako ni to ne pomogne, kartica van i drugi port na računalu. Ako i to faila - restart kompa s karticom vani i tek naknadno karticu unutra natrag.

Isti vrag je i kod pristupa eServisima (mirovinsko, hzzo...) iskoči ti prozor i pita te pristupni pin koji ukucaš ispravan i ne proradi iz prve nego veli e ne mogu učitati certifikat. Onda ugasiš browser i ponoviš i sve magično proradi. Ili jednostavno ako ne upali promijeniš browser. I 2-3 restarta. Pa reinstalacija programske podrške za JAVA-u. Pa uklanjanje eventualne programske podrške za druge čitače i kartice.

Ukratko, besmisleno ti je uopće tražit neko "pouzdano" rješenje kad je stvar stohastička skroz. Radi kad hoće i kako hoće.

OK, to su i moja iskustva s windowsima (na 6-7 različitih hardvera i virtualki). Našao sam (slučajno, ćorava koka), jednu kombinaciju, virtualbox, windows 7, firefox, gemalto čitač, s kojom potpisivanje mojih zahtjeva na e-dozvoli (dozvola.mgipu.hr/naslovna), da kucnem o drvo, prolazi uvijek, 100%, ponovljivo, od prve, bez problema. Dakako, ako radi potpisivanje, znači da sam prethodno uspio i prijavu odraditi. Ali to je to. Ne radi ništa drugo (e-građani, Adobe...). No, eto, ja sretan, jer mi jedino to na windowsima treba (to što ne radi na Macu).

Na Macu (probavao sam jedino na svom MBP 15" 2015, OS 10.13), osim što službeno ne radi potpisivanje kroz browser (nema e-signer modula za Mac), identifikacija kroz browser (firefox) radi uredno svaki put, bez greške, bez ovakvog zapinjanja koje opisuješ (opet, da kucnem o drvo), i sa karticom komore, i s eOI, i s bankarskim karticama, ali potpisivanje PDF dokumenta kroz Adobe Reader šepa i kašlje na način kojeg sam već opisao.

Zato mi je nekako čudno da bi problem bio u čitaču (tj. njegovom kext-u za macOS 10.13) ili kartici, ali ne isključujem tu mogućnost, s obzirom da na Macu nemam mogućnost probati potpisivanje u bilo čemu drugom osim Adobe Readera.

Ima li neki drugi (ne nužno besplatan) PDF reader za Mac s kojim se može odraditi digitalni potpis?

Jesi li probao Foxit ?

smayoo kaže:


I've been jinxed.

Išao sam probati i sad mi uopće ne radi. Nažalost ne mogu ti pomoći.
Moja konfiguracija MacOS 12.1, Adobe acrobat reader DC (zadnja verzija). Cijelo vrijeme osobna vidljiva u eID clientu i bez problema se spajam na e građane. To me navodi na zaključak kako nije problem u kartici ili čitaču.

Kako se točno manifestira to da ti uopće ne radi? Kad odabereš digitalno potpisivanje (More Tools | Certificates | Digitally Sign), ponudi li ti certifikat s eOI uopće ili ti kaže da nemaš certifikata za potpisivanje?

jzelko kaže:


Hvala na prijedlogu, nisam ranije. Sad sam instalirao (450 MB?? i oni se pretvaraju u bloatware...) i vidim da nominalno ima modul za digitalno potpisivanje, ali on pak ne radi uopće. Ponudi mi certifikate s kartice, ali kad ga odaberem, izbaci grešku -25316

Međutim, vidim da imaju aktivan i dinamičan korisnički forum pa idem tamo pitati, možda je samo kvaka u tome da treba nešto poklikati u Keychain Accessu.

smayoo kaže:


Kaže kako nemam certifikata za potpisivanje i kako moram spojiti uređaj na kojem mi se nalazi certifikat.

Daddo, je li i tebi isti takav problem? To je vjerojatno onda tokend problem?

Yup. Ista poruka i ista greška. Iako kod Manage digital ID uredno ima PKCS#11 modul i tamo učitanu istu stvar kao i Firefox, vidi AKD modul i certifikata oba, čak piše logged out, pa ti nudi log in i prijaviš se pinom odgovarajućim i sve 5. Osim što Acrobat reader se i dalje pravi mutav kad ideš u potpisivanje i javlja da nema certova valjanih ni uređaja. Od cca 40 pokušaja jednom je ponudio čitač i uredno potpisao kako treba.

Jednom od 40, to je 2.5%?

Monterey, eOI druge generacije. Prije tog je bilo sve od el Capitana naovamo i prva generacija eOI, ponašalo se kod potpisa identično i sa Gemaltom i sa trenutnim Alcorom.

Na Win je slično samo rijeđe. I ima taj problem sa AKD servisom koji se starta s Windowsima pa javlja da nema komunikacije po portu 5xxxx.

Ukratko, ako ti treba potpisivanje bilo čega osobnim certifikatom, eOI 2gen i potpis certilia appom na mobu.

Za poslovni dio - Fina potpis u oblaku.

To je najmanji hassle.

eOI 2gen te spašava šaltera za dokumente, potvrda i obrazaca iz porezne, hzmo, hzzo… ali ono - potpiši digitalno dokument “izvan sustava” je - traljavo, bez obzira na sustav na kojem ga koristiš (probati moram još neku linux distribuciju detaljnije, no dosad je isto ko i s Macom).

Na windows 7 i 10 gotovo savršeno funkcionira identifikacija ili digitalno potpisivanje bilo preko osobne ili kartice komore, na Google chrome pregledniku. Jedina zamjerka, što prilikom potpisivanja osobnom ili karticom komore izbacuje dva certifikata, a u stvari postoji samo jedan od svakog. Pa ako krivog odabereš, ne prolazi potpisivanje. Ponoviš postupak i odabereš drugog. Uglavnom se ponuđeni redoslijed ne mijenja. Bitno je odabrati onaj prvi, a ne drugi.
U početku sam šizio na to, a onda sam taj štres srezao u korjenu i pomirio se da je tako glupavo. A trebalo bi biti jednostavno za isprogramirat

Ja bih rekao da samo imaš sreće da ti je okruženje pristupa internetu tamo odakle to radiš - takvo da ti ne stvara probleme

JOHN kaže:


Na Win 7 ili 10 stvar funkcionira. I to je dovoljno. To što nekad funkcionira u Chromeu, nekad u Firefoxu, a nekad neće ni u Internet Exploreru manje je bitno. Bitno da ti funkcionira.

A ova priča o 2 certifikata, to ti je zato što Win učini automatski dostupnima certifikate sa svih kartica koje si instalirao na računalu. Ti si potpisnik u oba slučaja, pa ti je ime certifikata isto. No sam certifikat nije, a on ti ne napiše koji je koji niti možeš sam dodijeliti neku oznaku instaliranom certifikatu. Jednostavno pročita podatke o tome na kog certifikat glasi i to ti ponudi. Ovisno o appletu koji je dignut (kad se digne, jer ipak je to Java i APIS-IT rješenje koje je fragmentirano, pa trebaš pronaći kombinaciju verzije Jave i preglednika u kojoj to radi svaki put) i sustavu u koji se prijavljuješ ili koristiš nekad možeš, a u većini slučajeva NE, vidjeti detalje certifikata i po tome zaključiti koji odabrati.

No eto, tebi to, veliš, savršeno funkcionira... osim što....

Drago mi je zbog tebe, da ti radi. I nisam ni ljubomoran.

Može sad detalji o kojim je certifikatima (tko je izdavatelj) riječ, koje su verzije operativnih sustava s kojim zakrpama i koje verzije JRE su instalirane, te u kojim sve preglednicima radi to prijavljivanje i potpisivanje?

I nekakav hodogram kako to implementirati na 100-ak računala različitih platformi i konfiguracija.

Hvala unaprijed. Platim i klopu i cugu za taj info.

Meni to nikako da proradi. Stvarno se pitam kako je moguće da se takva diletantska rješenja puštaju u promet.
Ajde kad se malo intenzivnije pozabavim time, pronaći ću i ja neki workaround kojim mogu potpisivati.
Ali kako da se time služi stara baka, kojoj unuci namještaju klimu na ljeto ili zimu.
Time se bore već puno godina! Previše!
Kad ja na baušteli nešto userem odmah mi zabiju nogu u jaja. A ovim slijepcima sve prolazi!

Daddo kaže:


ETO LINK vezan u problem s portom 55555. Lijepo tvrdi da netko ili nešto lokalno na računalu već koristi navedeni port. Ne koristi, provjereno. Na računalu doma ja kontroliram i aplikacije i mrežu, firewall je ugašen a po mreži idu samo aplikacije kojima je to dopušteno. Mrežni logovi nemaju nikakve komunikacije po portu zabilježene (ni TCP ni UDP), nijedan servis (osim eSignera?) nije dignut a da koristi taj port. Poruka se javlja odmah po prijavi korisnika u računalo prije nego se ijedna korisnička aplikacija stigne pokrenuti.

I ok, to je kod mene doma i na jednom računalu.

Na poslu - ista stvar, na 2 različita OS-a dva različita domenska korisnika, u mreži koju ne kontroliram ja.

Istovremeno, doma, na Mac računalu u virtualki s istom verzijom Win kao i onom fizički instaliranom na PC računalu - eOI aplikativni software - radi uredno.

Dragi lastane, jesam li ja normalan? I tko tu koga?

@tino1 - što ti točno (potpis eZahtjeva kroz sustav eGrađani korištenjem eOI, elektronički potpis PDF-ova korištenjem eOI, potpisivanje nekim drugim potpisnim certifikatom gdje je FINA kao izdavatelj) i gdje ne radi (Windows / Mac)?

Koji čitač koristiš?

Daddo kaže:


Pokušao sam dati zahtjev za novu vozačku (njihova plastična kartica puca po sredini i ne može ni izdržati rok valjanosti, a o osobnoj da ne govorim) na Mac-u. I tu mi je trebao E-potpis. Čitač je neki na kojem ništa ne piše (ne znam koji je). Prvo na Brave, pa mi je gospođica objasnila da to odradim na Firefoxu, ali ni na jednom ni na drugom ne radi!

Na Macu nećeš moći potpisati eZahtjev za vozačku kao ni bilo što drugo u eGrađani sustavu korištenjem čitača kartica i elektroničke osobne iskaznice prve generacije. Zasad jedini način da na Macu potpisuješ takve zahtjeve u sustavu eGrađani je korištenje nove eOI druge generacije i Certilia aplikacije na mobitelu koju instaliraš tijekom aktivacije eOI prilikom preuzimanja.

U jednom od koraka eZahtjeva za vozačku ili putovnicu te pita potpis i čime ga želiš napraviti. Imaš 3 opcije, prva je kartica, druga je prijava u sustav mojID (kad to klikneš traži te user/pass koji si generirao kod aktivacije eOI, prijava ide kao 2FA i potvrđuješ u Certilia app na mobu da si to ti, slično kao online plaćanje karticom kad te app banke ili izdavača traži da potvrdiš transakciju u nekom vremenu), treća je Nastavi na mobilnom uređaju.

Na Macu ta prva opcija ne radi (isprobano), javlja da nema potrebne potpisne podrške. Druge dvije prolaze prijavu i trebale bi raditi (nisam završio proces jer mi se ne predaje zahtjev za putovnicu).

Daddo kaže:


Koje je to govno! Evo imam novu ličnu, ne mogu se prijaviti s njom na e građanin, a kamo li nešto potpisat. Ovaj mobilni certifikat ne mogu dobiti jer mi je detektirao Mac OS, a osim toga nije pronašao njihov program, ako se to može nazvati programom, i ako sam preko njega (najnovija verzija -AKD eID Middleware 3.3.0.Copyright (C) 2021 AKD d.o.o.) aktivirao ličnu.

Ja sam uspio iz trećeg pokušaja. Firefox. U Safariju ne radi. Certiliu (app na mobu) mi nije htio aktivirati iz prve, pa sam pitao kog sam znao da ima istu generaciju OI i rekao mi je da obrišem app i sve ponovim i prošlo je.

KUDOS, Rusty. Nije prvi put da ponudiš rješenje isprobano koje radi.

Daddo kaže:


Certiliju bi svakome toplo preporučio zbog jednostavnosit i mobilnosti. Zbog toga i jedan ispravak netočnog navoda: Certilija se može aktivirati i sa "starom novom" osobnom, tj onom prvom sa čipom.

Može. Ali ne na Macu. Jer ne prepoznaje čitač ako eOI nije aktivirana ranije.

I opet, certilia je super rješenje jer je jednostavno. Kome treba i tko je “komornik” - Fina potpisivanje u oblaku je rješenje za koje ne treba nikakva programska podrška, dovoljan je browser i pristup internetu i mobitel koji je token sa OTP kodom koji stiže SMS-om. Autentikacija ide s ranije postavljenom lozinkom (IIRC) i OTP-om.

Imam ovakav čitać kartica: s3.eu-central-1.amazonaws.com/cnj-img/images/zM/zM2xfDIGxMCO

Imam MacBookAir M1 na macOS Big Sur 11.6

Na kompu je već instaliran Firefox.

Da li ima prepreke da mi radi eOI da pristupim eGrađaninu i eventualno digitalno potpisivanje ili ima problema s time.

Ako je netko prošao proceduru da ukratko opiše po redu što treba raditi ako je redosljed koraka bitan.

Hvala nekome na trudu.

Ništa te nisam skužio! Kad probam napraviti profil mobile.eid.hr ne da mi jer sam na Mac-u? Što uopće ne kužim, jer se prijavljujem na internetu i po meni bi to bila zajebancija da toj stranici mogu pristupiti bilo čime. Riba bi im to napravio između dvije pive od zajebancije.
Ja mislim da bi to trebalo dati na provjeru ustavnom sudu! Neki ljudi su očito jednakiji od drugih.

tino1 kaže:


Evo ti korak po korak:

1. Sa stranice Aktiviraj eOI preuzmeš PKG datoteku "MacOS eID Middleware v3.3.0 instalacija"

2. Nakon preuzimanja datoteke, istu otvoriš i odradiš instalaciju aplikacije EidClient (trebat će ti admin lozinka za instalaciju).

Nakon instalacije imat ćeš u Applications folderu folder EidClient i u njemu aplikaciju koja se zove Client.
Ta aplikacija ti treba jer instalira osim samog AKD programa (zapravo GUI-ja za pristup osobnoj iskaznici unutar kojeg možeš upravljati PIN-ovima i PUK-om otključati eventualno zaključanu eOI) i "driver" da bi uopće mogao koristiti certifikate na Macu - PKCS#11 modul koji je potrebno učitati u Mozilla Firefox preglednik.

3. Ako nemaš instaliran, instaliraj Mozilla Firefox. eOI (koliko je meni poznato) službeno ne radi u nijednom drugom pregledniku na Macu.

3.U Mozilla Firefox pregledniku pod Settings ima dio Privacy & Security. Unutar Certificates imaš gumb Security Devices. Klik na to otvara Device Manager prozor.

4. U Device Manager prozoru imaš gumb Load, klikni na njega. Pita te za naziv modula - Module name (default je PKCS#11 Module, možeš to promijeniti u recimo AKD eID Module) i putanju do modula - Module Filename.

Putanja do modula za eOI koju je potrebno upisati u Module Filename je:

/usr/local/lib/pkcs11/libEidPkcs11.dylib

Kad si to odradio, zatvori Firefox, restartaj računalo, ubaci eOI u čitač i možeš pokušati prijavu u sustav eGrađani vjerodajnicom visoke razine - eOsobna iskaznica. Za prijavu će te pitati PIN koji nije onaj potpisni nego onaj prvi. (Sama eOI ima 2 certifikata na sebi, možeš provjeriti pokretanjem one Client aplikacije, no nažalost zbog nedostatka potpisnog drivera/modula na Macu je dostupan samo dio za prijavu u sustav).

Ako ti to radi, odjavi se iz eGrađana i onda pokušaj aktivirati mobileID na linku mobile.eid.hr/ (tu će ti reći da preuzmeš Certilia app, kreirat ćeš potrebni username i pass i prijaviti se s eOI u sustav a na mob koji je u sustavu naveden ćeš dobiti aktivacijski kod kao dio 2FA procesa).

Jednom kad imaš aktivan mobileID i Certilia app na mobu možeš se i prijavljivati u eGrađane njime (umjesto eOsobna biraš Certilia osobni mobile.ID kao vjerodajnicu).

U certilia appu na mobu možeš potpisati PDF tako da ga učitaš, odnosno potpisati bilo koji eZahtjev kojem pristupaš s računala a prijavio si se u eGrađane s eOI karticom u čitaču.

Cijeli ovaj proces važi samo za eOI i sustav eGrađani odnosno potpisivanje u sustavu eGrađani ili putem mobitela. Potpisivanje PDF-ova u Acrobat readeru ne radi na taj način (odnosno češće ne radi nego radi), pa za to preporučam izvaditi FINA certifikat koji zovu "potpis u oblaku".

Potpisivanje PDF dokumenata u Certilia appu na mobitelu na kraj dokumenta dodaje još jednu stranicu i stavlja elektronički potpis.
Potpisivanje PDF dokumenata korištenjem FINA potpisa u oblaku radi preko web preglednika i tamo možeš birati gdje ćeš staviti potpis unutar dokumenta.

@zabac: Nisam probao ali na M1 strojevima bi procedura trebala biti ista po koracima.

jura22 kaže:


Na Apple silicon Macu ti ništa neće raditi, barem za sad. To je službeni odgovor kojeg sam dobio od AKD tehničke podrške prije 2-3 mjeseca.

@tino1, to se možda i na tebe odnosi - ako imaš M1 Mac, zaboravi, s njega ne možeš baš ništa napraviti.

Daddo kaže:


Samo da možda naglasimo za one koji su izgubljeni u svemu ovom:

Certilia app je povezan s eOI ili drugim digitalnim certifikatom na kartici (od neke inženjerske komore, liječničke komore, javnobilježničke komore, itd.)

FINA potpis u oblaku NIJE povezan ni sa kojom od tih kartica, nego je neovisno izdan certifikat koji se posebno plaća. Može ga zatražiti bilo koja fizička osoba, ili može biti vezan uz neki poslovni subjekt. Također, kod zahtjeva za izdavanje FINA certifikata treba biti pažljiv jer oni imaju različite certifikate, također i na kartici, i na USB sticku, a ovaj u oblaku treba posebno tražiti.

EDIT:

Najvažnije!
FINA certifikat za potpis u oblaku služi JEDINO potpisivanju PDF i XML dokumenata. Ne može poslužiti umjesto eOI za aktivnosti na E-građani.