Eesti

Smart-ID digiallkirjastamise teenuse liidestamine

Smart-ID abil antud digiallkirjadel on juriidiliselt sama jõud nagu omakäelisel allkirjal. Smart-ID on eIDAS sertifitseeritud ning annab kõrgeimatele standarditele vastavat QES-tasemega digiallkirja, mis kehtib kõikjal Euroopa Liidus.

E-teenusele digiallkirjastamise võimaluse lisamiseks peaks teenus juba Smart-ID’ga liidestatud olema.

Arendajale vajalikud tehnilised liidestusjuhised asuvad GitHubis.

 

Mida peaksid teadma enne digiallkirjastamisteenuse lisamist?

Smart-ID teenusega liitudes ja digiallkirjastamise (QES-tasemega allkirjad) kasutamiseks tuleks liituda veel kahe täiendava teenusega. Kõige mugavam on ajatempliteenus ja kehtivuskinnitusteenus tellida kohe, sama liitumistellimusega!

Arendamist saab alustada kohe, vastu test-teenuseid: see on tasuta, turvaline ja ilma ajalise surveta. Meeles tasub aga pidada, et testimisteenuste kasutamiseks on vajalik eelnev liitumine.

Smart-ID: isikutuvastuse ja elektroonilise allkirja andmise vahend

Smart-ID lahendus baseerub lihtsal, kõigi tänapäevaste raamistikega sobival REST APIl.

Kõik arendamiseks vajalikud ligipääsud saab kätte niipea, kui SK ID Solutions on jõudnud Smart-ID tellimisvormi ära kinnitada.

OCSP ehk kehtivuskinnitusteenus

Kehtivuskinnitusteenus ehk OCSP (Online Certificate Status Protocol) on vajalik sertifikaadi kehtivuse reaalajas kontrollimiseks. Lihtsamalt öeldes võimaldab see tagada, et allkirjastajal oleks õigus seda allkirja anda, ja et talle läheks kogu allkirjastamisega seotud vastutus.

Kuidas see töötab? OCSP kliendina saadab teie e-teenus välja sertifikaadipäringu. Responder-server kontrollib sertifikaadi kehtivust (või mitte-kehtivust) ning kinnituse andmise aega, ja väljastab selle peale kas siis digiallkirjastatud (või allkirjastamata) vastuse.

OCSP tehniline lisainfo
Test-teenus: http://demo.sk.ee/ocsp

Ajatempliteenus: andmete muutmatuse kinnituseks

Ajatempliteenus tõendab, et kindlad andmed eksisteerisid kindlal ajahetkel. See annab digiallkirjale teise poole allkirja juriidilisest kehtivusest: kinnituse, et allkirjastatud infot pole pärast allkirjastamist enam muudetud.

SK ajatempliteenus kasutab avaliku võtme infrastruktuuri (PKI), vastab rahvusvahelistele standarditele ning väljastab eIDAS sertifitseeritud ajatempleid.

Ajatempliteenuse tehniline lisainfo
Test-teenuse aadress: http://demo.sk.ee/tsa/

Konteineri loomine

Smart-ID ja seotud teenuste jaoks on vaja luuga tehniline allkirjakonteiner. Oleme püüdnud kogu protsessi võimalikult lihtsaks ja sujuvaks muuta:

Smart-ID teegid ehk client libraries (PHP, Java, Ruby) annavad kogu vajaliku info. Loomulikult on lubatud ka oma konteinersüsteemi kasutamine!

Konteineri loomiseks tasub üle vaadata meie DigiDoc4j ja Digiallkirjastamise (DSS) repod.

Väliseid allkirjastamisteenuseid saab kasutada näiteks Adobe Acrobat Sign, eDoks, Dokobit ja SigningServices allkirjastamisteenustega.

1. samm:
faili elektroonilise allkirjastamise vahendid

  • Allkirjakonteineri loomine.
  • Laadi üles dokument: toetame ASICE, PDF, eDOC, aDOC ja teisi failitüüpe, kuid soovitame kindlasti kasutada ASICE’t kui kõikjal üle Euroopa Liidu aktsepteeritavat standardit.
  • Smart-IDga allkirjastamine toimub kasutaja seadmest, PIN-2 abil.

2. samm:
allkirjastamisaja fikseerimine

3. samm:
kasutaja sertifikaadi kehtivuse kontroll

  • Allkirjasertifikaadi kehtivuse kinnitamiseks on vaja kehtivuskinnitusteenust ehk OCSP-teenust.

Allkirjastamise protsess

KUIDAS DIGIALLKIRJASTAMINE TOIMUB?

Kogu kommunikatsioon lõppkasutaja ja usaldusteenuse vahel käib Smart-ID poolel: kliendi e-teenus liidestatakse ainult Smart-IDga. Juhul, kui Smart-ID lahendust soovitatakse kasutada nii kasutajate autentimiseks kui allkirjastamiseks, on eeltingimuseks ka OCSP ja ajatempliteenusega liitumine.

QES-TASEMEL ALLKIRJA ANDMINE

Enne digiallkirja andmist on vajalik kasutaja autentimine – nii saab kliendi e-teenuses luua allkirjapäringu räsi (hash’i) ja selle koos kasutajatunnusega süsteemi salvestada. Kõik kehtivuskontrollid teostab Smart-ID oma backendi poolel. E-teenusele saadetakse tagasi vastus, mis kas juba on digiallkirjastatud (ehk et kliendi süsteem saab allkirja salvestada ja kasutajale edusõnumit kuvada) või, kui allkirjastamine ebaõnnestus, sisaldab sessiooniinfot (seal hulgas ka ebaõnnestumise põhjust).