Návody

Alternatívna aplikácia aQES  - súhrnný SK návod.pdf, EN manual.pdf

Slúži na podpísanie PDF súborov s PDF AdES, alebo ľubovoľných súborov s ASiC-E podpisom. Kvôli ochrane pred poškodením sú kópie pôvodných elektronických dokumentov uložené do balíka ZIP premenovaného na "*.qcfg". Ak podpisujete z webu, stačí spustiť aplikáciu aQES a web stránka zašle do aplikácie aQES balík "*.qcfg". Inak balík "*.qcfg" vytvoríte pretiahnutím súborov s dokumentmi, alebo jedného adresára, nad prázdny zoznam aplikácie aQES, alebo ich vyberiete po stačení tlačidla "Vytvor/Otvor balík dok. a podpisov (*.QCFG)". Ak sú súbory len PDF, podpisuje sa s PAdES, inak s ASiC-E. Po otvorení alebo vytvorení balíka "*.qcfg" je možné jeho súbory exportovať označením položky, napr. šípkami na klávesnici a kliknutím na tlačidlo export, ktoré je v pravom hornom rohu s ikonu súboru s disketou, alebo premenovať "*.qcfg" na "*.zip" a pracovať so zip balíkom. 

Ak pred podpisovaním, po spustení aplikácie aQES, nie je vľavo hore vybraný vhodný spôsob prístupu k podpisovému certifikátu, napr. Windows alebo priamo konkrétny typ kartového ovládača, zaškrtnite ho. Po jeho výbere: 

• vložte čipovú kartu do čítačky pripojenej k počítaču, 
• kliknite na tlačidlo obnoviť, ktoré je vľavo hore s ikonou kľúča s kruhom šípok, alebo stlačte Ctrl+R, 
• po výzve, zadať PIN pre Token (BOK pre občiansky preukaz) alebo zadať podpisový PIN ak karta má len jeden PIN, sa po jeho zadaní načíta zoznam dostupných podpisových certifikátov,
• vpravo vedľa tlačidla obnoviť, kliknutím na zoznam certifikátov, si vyberte svoj podpisový certifikát začínajúci s QES pre vyhotovenie kvalifikovaného elektronického podpisu, alebo s AdES pre vyhotovenie zdokonaleného podpisu. Po výbere certifikátu sa odporúča kliknúť na nastavenia a uložiť si výber, pri novom spustení sa automaticky pokúsi nastaviť zvolenú položku.
• Ak máte vybraný podpisový certifikát a kliknete na tlačidlo info, zobrazí sa platnosť a položky vybraného certifikátu.

Dokument alebo ASiC kontajner si v zozname aplikácie aQES prezeráte kliknutí naň myšou (vnorenie) a späť do zoznamu (vynorenie) sa vrátite stlačením tlačidla šípky "Späť". V zozname dokumentov sa môžete posúvať aj šípkami klávesnice a prezerať stlačením medzery. Ak sa pred podpisovaním prezerá PDF, prvý riadok je PDF s poslednými zmenami, ktoré nemusia byť chránené podpisom a pod ním sa môžu nachádzať revízie chránené podpisom alebo časovou pečiatkou PDF dokumentu. Ak označíte revíziu a kliknete na tlačidlo pridať podpis, vyhotovíte podpis z označenej revízie. Ak sa prezerá ASiC kontajner, po kliknutí na formulár sa aplikácia pokúsi stiahnuť HTML vizualizáciu zo slovensko.sk, inak zobrazí XML obsah formulára. Ak sa v zozname označil ASiC kontajner alebo popísané PDF, kliknutím na info tlačidlo, vpravo hore, zobrazí sa informácia o podpisoch, certifikátoch podpisovateľa a iných položkách podpisu, vrátane použitého dôveryhodného zoznamu s informáciami o udelení kvalifikovaného štatútu vydavateľovi podpisového certifikátu.

Pred vyhotovením podpisu dokumentov zo zoznamu, ľavá strana riadku zoznamu obsahuje meno súboru dokumentu a pravá strana typ podpisu a prípadne názov súboru na uloženie podpisu.

Podpis vyhotovíte stlačením tlačidla "Pridaj podpis/pečať a časovú pečiatku". Aplikácia aQES vyhotovuje podpisy postupne podľa zoznamu a požaduje zadávanie podpisového PIN, prípadne aj BOK pred zadaním PIN. Podpísané dokumenty a podpisy sa uložia do súboru "*.qcfg".

Ak nastane chyba pri podpisovaní, obsah balíku "*.qcfg" sa vymaže, aby neobsahoval neúplné dokumenty. Do balíka "*.qcfg" sa vloží textový súbor "error.txt", obsahujúci chybovú hlášku o dôvode neúspešného podpísania. Ak sa podpisuje cez web a nastala chyba pri podpisovaní, veľkosť súboru "*.qcfg" sa nastaví na 0 a v http stave sa namiesto 200 vrátia stavy 400, 408, 410 a 412. 

Podrobnejšie:

Aplikácia aQES očakáva po jej spustení otvorenie alebo zaslanie žiadosti na podpísanie, alebo len prezeranie podpísaných dokumentov v PDF alebo v ASiC kontajneri. Po prijatí žiadosti sa aplikácia zobrazí nad všetky iné okna.

• Žiadosti vo forme súboru "*.QCFG" sú buď zaslané z lokálnej adresy 127.0.0.1, z webovej stránky zobrazenej vo webovom prehliadači, kedy je možné naraz zadať viacero požiadaviek (viacnásobne cez POST), napr. z viacerých stránok, aplikácia na to upozorní zobrazením modrého čísla čakajúcich žiadostí vedľa tlačidla na export súboru a postupne po podpísaní načíta ďalšiu čakajúcu žiadosť.

• Žiadosti môžu byť zadané aj lokálne cez zadanie dokumentov na podpis alebo prezeranie, napr. ASiC a PDF, kedy aplikácia vytvorí balíček "*.qcfg" alebo výberom a otvorením už vyhotoveného súboru "*.QCFG", po stlačení tlačidla "Vytvor/Otvor balíček dokumentov a podpisov *.QCFG...", alebo ako parameter príkazového riadku: aQES.exe a jedného súboru "*.QCFG". Ak by boli ako parameter zadané viaceré súbory, aplikácia aQES ich ponúkne uložiť do balíčka "*.qcfg". 

Stlačením tlačidla "X", vedľa tlačidla exportu súboru, zrušíte aktuálnu prípravu podpísania/prezerania bez uloženia zmien. 

Súbor "*.QCFG" je formátu ZIP a obsahuje súbory na podpis alebo prezeranie a pri podpise aj konfiguračný "cfg.txt" textový súbor v adresári "META-INF". Súbor "*.QCFG" zasiela web stránka z webového prehliadača, alebo si ho vytvoríte/otvoríte lokálne z disku počítača. Odporúčanie je kliknúť na súbor aQES.exe pravým tlačidlom myši a odoslať odkaz na plochu. Aplikáciu aQES pohodlne otvoríte pretiahnutím súboru "*.QCFG" na odkaz aQES alebo pretiahnutím na odkaz aQES ľubovolných súborov určených na podpis alebo prezeranie, napr. ASiC kontajnerov. 

Ak súbor "*.QCFG" nemáte, kliknutím na tlačidlo "Vytvor/Otvor balíček dokumentov a podpisov *.QCFG..." môžete označiť súbory na podpis/prezeranie a program Vám navrhne jeho vyhotovenie a uloženie na disk, kde si ho môžete prípadne upraviť (ak označíte len PDF súbory, podpisuje sa s PAdES, inak sa použije ASiC-E). Výsledok podpísania sa uloží do "*.QCFG" a je zaslaný ako odpoveď POST webovej stránke, alebo sa aktualizuje zadaný súbor na disku. 

Po premenovaní "*.QCFG" na "*.zip" pracujete s balíkom "*.zip" podpísaných súborov, kde sa nachádza aj súbor "*.DSId", ktorý identifikuje Váš podpis pre prípadné ďalšie použitie, napr. ak rovnaké dokumenty podpisuje viacero osôb. Identifikácia podľa DSId je definovaná v STN ISO 14533-4. Po pretiahnutí "*.qcfg" na odkaz na QES aplikáciu, aplikácia QES zobrazí podpis a podpísané súbory na základe DSId súboru. 

Aplikácia aQES zobrazuje v zozname súborov v jednom riadku vľavo meno podpisovaného súboru a v pravo formát podpisu PAdES/ASiC pred názvom súboru, do ktorého sa podpis uloží. Pri prezeraní revízií PDF dokumentu, po vložení PDF po stlačení "Vytvor/Otvor balíček dokumentov a podpisov *.QCFG...", sa po kliknutí na PDF, zobrazí v prvom riadku originál s možnými nepodpísanými zmenami a pod ním jednotlivé podpísané revízie s menom podpisovateľa revízie.

Ak PDF podpísalo viacero podpisovateľov, v aplikácii aQES pred podpísaním vo formáte PAdES, môžete kliknúť na riadok s PDF súborom, zobrazí sa zoznam, kde v prvom riadku je PDF súbor a pod ním sa zobrazia všetky jeho podpísané revízie s uvedeným menom z certifikátu podpisovateľa. Revízií je toľko, koľko je podpisov a časových pečiatok dokumentu. Ak kliknete na revíziu, zobrazí sa obsah revízie PDF a po kliknutí na tlačidlo späť, máte označenú revíziu, ktorú kliknutím na tlačidlo "Pridaj podpis..." podpíšete a podpísaná revízia sa uloží do "*.QCFG" s pridaným názvom "RevX_*.pdf" k pôvodnému názvu a kde X je číslo revízie (0 je prvá revízia). Ak po označení PDF kliknete na tlačidlo Info, zobrazia sa položky revízie PDF, napr. z certifikátu podpisovateľa a položky Dôveryhodného zoznamu použité pri validácii.

Ak podpisujete s ASiC-E, tak ak zadáte neexistujúci názov súboru v zozname "*.QCFG" ako súbor podpisu ASiC-E, tak všetky súbory s identickým názvom súboru podpisu sa uložia do tohto nového súboru ASiC-E a podpíšu sa jedným ASiC-E podpisom.

Ak cez tlačidlo "Vytvor/Otvor balíček dokumentov a podpisov *.QCFG..." zadáte podpísať len jeden existujúci súbor ASiC-E, do tohto ASiC-E sa vloží ďalší nový podpis všetkých jeho súborov (každý podpisovateľ podpisuje rovnaké dokumenty).

Ak "*.QCFG" súbor už obsahuje podpis ASiC-E, tak všetky súbory v zozname "cfg.txt", s týmto názvom súboru, sa postupne vkladajú do tohto súboru ASiC-E a po narazení na požiadavku podpísať existujúci ASiC-E súbor s jeho rovnakým názvom súboru pre podpis ASiC-E, sa všetky novo vložené súbory a pôvodné súbory v ASiC-E súbore podpíšu v ASiC-E s CAdES podpisom. Duplicitné názvy súborov sa do ASiC nevložia. Podpisovanie pokračuje prehľadávaním súboru "cfg.txt" a podľa jeho spracovania sa vyhotovujú podpisy. Je na Vás, aké kombinácie podpísania dokumentov si do "cfg.txt" zadáte.

Podrobnejší popis obsahu súboru "cfg.txt" je nižšie v kapitole "Režim QES - Web Signer".

Aplikácia aQES vie zobraziť formuláre podľa štandardu MIRRI, používané v elektronickej schránke a to v On-line móde a aj v off-line móde s formulármi použitými v on-line móde a aj načítanými cez aplikáciu GetForOff.zip (zip, 5.10 MB, ExportFormularov_2023-05-25.csv), alebo formuláre Ministerstva spravodlivosti a NBÚ, ktoré v sebe obsahujú okrem XML aj transformáciu do HTML. Aplikácia vie zobraziť aj transformáciu XML do HTML, ak "*.QCFG" obsahuje súbor "*.XML" a súbor "*.XSL/*.XSLT", ktorý sa odlišuje len v koncovke, teda s identickým menom súboru a to po kliknutí na XML súbor v aQES zozname. Aplikácia aQES umožňuje aktuálne zobrazený obsah "odfotografovať" a uložiť ako obrázok, aby nedošlo omylom ku skopírovaniu iných meta údajov. Prednastavený formát PNG možno zmeniť pri ukladaní obrázku.

Súbor "*.QCFG" sa v aplikácii aQES používa pre zabezpečenie vysokej bezpečnosti, aplikácia pracuje len s kópiami súborov, kedy samotný "*.QCFG" súbor a aj všetky spracovávané súbory sú uzamknuté pred a počas podpísania exkluzívne na prístup len pre aQES aplikáciu. Uzamknutie zabráni modifikáciám inými aplikáciami, alebo čítaniu obsahu súborov. Na zobrazenie sa vždy používa iba kópia a to vo web prehliadači, ktorá sa po zobrazení zahodí a tak modifikácia v prehliadači nemá vplyv na obsah podpísaných súborov. Súbor "*.QCFG" navyše umožňuje pred zaslaním do aQES aplikácie zadať ku každému súboru jeho hash s identifikátorom hash algoritmu, na základe čoho aQES overuje hash a v prípade nezhody, ukončí podpisovanie. Hodnota hash je vo formáte DId a je definovaná v STN ISO 14533-4. 

V nastavení aplikácie, kliknutie na koliesko, sú len základné nastavenia, či je aplikácia on-line, časovej pečiatky a proxy servera, ostatné sú dostupné v ini súbore v adresári pre nastavenia, ktorý vznikne po stlačení tlačidla "Ulož nastavenia", v nastavení je možné uviesť aj cestu na globálne nastavenie "OffLineTSLDirectory=" prednastavené na lokálne, ktoré by malo obsahovať len niektoré globálne hodnoty. Globálne nastavenie je možné zaslať aj v "*.QCFG" v adresári "META-INF" v súbore "*.ini". 

Win      c:\Users\používateľ\AppData\Roaming\QES\CFG\ 

MacOS ~/Library/Containers/sk.webnode.qes/Data/QES/CFG/

Linux        /home/používateľ/QES/CFG/

Pridávanie vizuálneho zobrazenia do podpísaných PDF

Po nastavení položky "FisWidget=1" v "aQES.ini" súbore a zmene nižšie uvedených položiek. Ak súbor "aQES.ini" skopírujete do súboru "set.ini" a ponecháte len nižšie uvedené položky, "set.ini" nakopírujete do adresára "META-INF" v "*.qcfg" súbore, obsahujúcom v koreňovom adresári PDF súbory pripravené na podpis, pri podpísaní sa vložia položky vizuálneho podpisu PDF:

• Na poslednú stranu vpravo dole sa umiestni transparentný obdĺžnik, po kliknutí myšou naň sa zobrazia parametre podpisu napr. v Adobe Reader. 

• Do obdĺžnika je možné nastaviť zapísať dátum napr. "Podpísané dňa:" zo systému podpisovateľa a CN meno podpisovateľa. 

• V ini súbore sa zapne táto možnosť, zadefinuje pozícia a veľkosť obdĺžnika. Pre dátum a CN položku je možné nastaviť pozíciu Y a veľkosť fontu. 

• Ak je menovka dátumu a CN nezadaná, dátum alebo CN sa nezobrazia. 

• Obdĺžnik je možné nastaviť na bežnú pozíciu podpisovateľa nad text dokumentu pre kliknutie myšou.

Položky súboru "set.ini":

[aQES]
FisWidget=1 WidgetOffsetX=50 WidgetOffsetY=80 WidgetWidth=160 WidgetHeight=40 WidgetDate=Dňa: WidgetCertCN=Podpísal: WidgetDateY=20 WidgetDateFontSize=12 WidgetCertCNY=5 WidgetCertCNFontSize=10

Aplikácia aQES môže požadovať len vybrané úrovne podpisu.

Ak sa vyžaduje len kvalifikovaný elektronický podpis, do súboru aQES.ini alebo do "*.qcfg", ktorý zasiela web na podpis do aplikácie aQES, sa do adresára META-INF zapíše súbor "*.ini", ktorý obsahuje len dva riadky:

[aQES]
SupportedSignatureSealLevels=QES

Ak podpisovateľom vybraný certifikát nie je pre QES, vyzve aplikácia označiť takýto certifikát (prvé písmená oddelené medzerou v zozname certifikátov), inak neumožní vyhotoviť podpis.

Ak je položka SupportedSignatureSealLevels prázdna alebo nezmenená, kontrola sa nevykoná. Nezmenená znamená, že obsahuje všetky kombinácie

SupportedSignatureSealLevels=QES QESeal AdES-QC AdESeal-QC AdES AdESeal ES ESeal

Elektronický dokument

Elektronický dokument podľa definície v čl. 3 ods. 35 nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 (Corrigendum) o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (ďalej aj "nariadenie eIDAS"), je akýkoľvek obsah uložený v elektronickej forme, najmä text alebo zvukový, obrazový či audiovizuálny záznam.

Právne účinky elektronických dokumentov sú uvedené v článku 46 nariadenia (EÚ) č. 910/2014: právny účinok elektronického dokumentu a jeho prípustnosť ako dôkazu v súdnom konaní sa nesmie odmietnuť výlučne z dôvodu, že má elektronickú formu.

Podľa typu dokumentu, zadaného do zoznamu aplikácie QES, sa vyberie prednastavený formát podpisu, pozri prílohu vykonávacieho rozhodnutia Komisie (EÚ) 2015/1506 EUR-Lex - 32015D1506 - EN - EUR-Lex (europa.eu). Napr. pre PDF sa vyberie PDF podpis. Podpisovateľ si môže formát podpisu zmeniť pravým tlačidlom myši po kliknutí na riadok s názvom dokumentu.

Slovenský formát elektronického dokumentu definuje § 46 ods. 2 písm. c) vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy, ako štandard prijímania a čítania podpísaných elektronických dokumentov vo formáte jazyka pre prenos dátových prvkov podľa § 12 v štruktúre podľa prílohy č. 7 (ďalej len "kontajner XML údajov" koncovka súboru (*.XDCF)). Keďže štát vyžaduje použitie elektronického dokumentu formátu "Kontajner XML údajov" (XMLDataContainer), musí bezplatne zabezpečiť aj jeho vyhotovenie, modifikovanie, spracovanie a čítanie. Aplikácia QES neslúži na editovanie elektronických dokumentov, ale na vyhotovenie ich zabezpečenia a informatívnu validáciu ich zabezpečenia kvalifikovaným elektronickým podpisom, pečaťou a časovou pečiatkou. Editovanie dokumentu "Kontajner XML údajov" formátu (XMLDataContainer), musí občanom zabezpečiť orgán verejnej moci, ktorý vyžaduje použitie dokumentu "Kontajner XML údajov" a rovnako aj kontrolu, či "*.XDCF" obsahuje korektne vyplnené položky podľa požiadaviek v "*.XSD" schéme. Aplikácia QES zabezpečuje vizualizáciu *.xdcf do HTML po dvojkliku na *.xdcf, alebo jeho označení a kliknutí na "Zobraz kópiu..." v on-line pripojení. Zobrazenie je možné aj v off-line, ak počas online bola transformácia v ZIP súbore nahraná z https://formulare.slovensko.sk/ do off-line adresára "c:\Users\pouzivatel\AppData\Local\QES\XDCF\" počas zobrazenia "*.xdcf", ktorého cesta je v "qes.ini" súbore zadaná do "OfflineZipXdcfDirectory=", čo je možné použiť pre prípady, ak organizácia aktualizuje ZIP s transformáciami centrálne.

Aplikácia QES umožňuje podpísanie a validáciu ľubovoľného formátu elektronického dokumentu, ktorý je identifikovaný vo validačnej správe rozšírením mena súboru a aj prostredníctvom MIME Content-Type, ktorý je registrovaný v systéme, kde je QES aplikácia použitá.

Odporúčania, ako zabrániť aby ste sa stali obeťou útokov na elektronické dokumenty, nájdete na stránke: Aplikácie TL a QES (gov.sk)

Nevyhnutné podmienky pre podpisovanie v aplikácii QES

Podpisovateľ musí mať pred spustením aplikácie QES v systéme Windows nainštalovanú čítačku čipovej karty, ovládače pre čipovú kartu (Windows alebo PKCS#11) a v čítačke vloženú čipovú kartu, napr. občiansky preukaz s čipom. V karte musí mať vydaný kvalifikovaný certifikát. 

Do občianskeho preukazu s čipom (eID) si môže osoba požiadať vydanie kvalifikovaného certifikátu pri prevzatí občianskeho, alebo si na počítači sama požiada vydanie kvalifikovaného certifikátu cez eID aplikáciu MV SR.

Aplikáciu QES si podpisovateľ bezplatne nainštaluje 

• z Microsoft Store, kde si ju po inštalácii prvý krát spustí pre jej správnu inicializáciu, alebo 

• ju môže rozbaliť zo ZIP súboru do adresára napr. "C:\QES\" a s administrátorskými právami spustiť nastavenie asociácii "QES_Install_Run_as_admin.bat" na ASiC súbory a XDCF formuláre MIRRI.

Postup podpísania PDF:

Do aplikácie QES môže zadať zoznam PDF dokumentov viacerými spôsobmi, podľa toho ktorý mu najviac vyhovuje:

1. Po kliknutí na odkaz QES, na ploche Windows, sa zobrazí okno na výber jedného alebo viacerých súborov (napr. PDF).

2. Označí, vo Windows prieskumníkovi, jeden alebo viacero súborov na podpis a ich pretiahnutím na ikonu aplikácie QES, na ploche Windows, sa otvorí aplikácia QES a súbory sa vložia do zoznamu súborov na podpis.

3. V predchádzajúcom kroku je možné označiť iba jeden názov adresára a do zoznamu aplikácie QES sa vložia všetky súbory z označeného adresára.

4. Po kliknutí na odkaz QES, na ploche Windows, sa zobrazí okno na výber súborov, ktoré zavrie a klikne na tlačidlo "Pridaj súbory...".

5. Po kliknutí na odkaz QES, na ploche Windows, sa zobrazí okno na výber súborov, ktoré zavrie a klikne na tlačidlo s ikonou adresára napravo od nápisu tlačidla "Pridaj súbory...", kedy vyberie adresár, ktorého všetky súbory sa pridajú do zoznamu aplikácie QES.

6. Prostredníctvom editovania txt súboru (ktorý sa vytvorí v adresári z ktorého je spustený program QES.EXE po stlačení tlačidla s ikonou uloženia zoznamu vľavom dolnom rohu aplikácie QES, ktoré sa zobrazí po zaškrtnutí voľby v pravom hornom rohu aplikácie QES (expert)), ktorého každý riadok obsahuje cestu na jeden súbor.

V hornom výbere aplikácie QES, kliknutím na zobrazenie zoznamu certifikátov, vyberie podpisovateľ svoj zeleno označený certifikát, ak už nie je nastavený.

Kliknutím na tlačidlo "Pridaj podpis..." je vyzývaný zadať BOK/PIN, čím podpisuje súbory zo zoznamu.

Hromadné podpísanie viacerých dokumentov

Podpisovateľ, po vložení zoznamu dokumentov do aplikácie QES, klikne na "Pripoj kľúče" / "Connect keys", vyberie "Smart karta" / "Smart card", vyberie PKCS#11 knižnicu napr. (proidqcm11.dll pre MONET+ ProID+Q) a (eTPKCS11.dl pre IDPrime 940), zadá PIN na token, čo je BOK pri eID občianskom preukaze a napr. 0000 pri kartách vydaných v SNCA NASES, zaškrtne "QES PIN" a zadá PIN na kľúč kvalifikovaného certifikátu. Pri viacnásobnom podpísaní môže dôjsť, pri jeho nesprávnom zadaní, k zablokovaniu QES PIN.

Neodporúča sa zaškrtnutie "QES PIN", ak podpisovateľ nepotrebuje hromadné podpisovanie.

Podpisovateľ po nastavení, klikne na tlačidlo "Otvor", čím sa zatvorí okno pripojenia kľúčov. 

Ak nie je vybraný podpisový certifikát, vyberie ho.

Skontroluje zoznam dokumentov aplikácie QES určených na podpis, prípadne vloží ďalšie súbory na podpis, napr. stovku PDF dokumentov.

Podpísanie dokumentov spustí stlačením "Pridaj podpis...", pričom sa mu opakovane nezobrazuje výzva na zadanie BOK/PIN. 

Kroky spojené so stlačením tlačidla "Pridaj podpis"

V štandardnom nastavení podpisovateľ len skontroluje či je v prvom riadku aplikácie QES vybraný jeho podpisový certifikát a či je vyfarbený zeleno (neexpiroval). Ak je táto podmienka splnená, stlačí "Pridaj podpis...".

Ak nie, podpisovateľ nemá správne nastavenia a postupuje podľa nasledovných krokov a po úspešnom nastavení klikne na tlačidlo "Ulož nastavenia" (vpravo hore koliesko s disketou) aby predošlé kroky už nemusel opakovať pri budúcom podpisovaní:

• Ak zoznam v ponuke podpisového certifikátu obsahuje viacero zelených certifikátov, tak podpisový certifikát nie je vybraný automaticky, je prázdny, a je potrebné označiť podpisový certifikát. Podpisovateľ vyberie jeden certifikát z ponuky, po kliknutí na šípku na konci riadku a pokračuje postupom od začiatku tejto kapitoly.
• Po stlačení tlačidla "Pripoj kľúče", podpisovateľ skontroluje či je vybraný Windows, ak nie je, vyberie ho, stlačí tlačidlo "Retry" a pokračuje postupom od začiatku tejto kapitoly. Ak nemal, pred spustením aplikácie QES, vloženú kartu do čítačky, klikne na "Windows" a stlačí tlačidlo "Retry", čím sa aktualizuje zoznam certifikátov Windows.
• Ak výber Windows nepomohol, po stlačení tlačidla "Pripoj kľúče" vyberie "Smart karta" a pripojí podpisový kľúč (prepojený na kvalifikovaný certifikát podpisovateľa, aby aplikácia vedela, ktorý certifikát pri podpise použiť) tak, že v otvorenom okne "Úložisko kľúčov" vyberie zeleným obrázkom označenú knižnicu čipovej karty PKCS#11, napr. "eID SK" (ak nie je zelený obrázok pred žiadnou knižnicou (*.dll) vo výbere, nie je nainštalovaný ovládač na čipovú kartu PKCS#11). Podpisovateľ zadá BOK (heslo na kartu, ak podpisový kľúč má samostatný PIN) (potom stlačí enter, alebo klikne na Open). Po zatvorení okna na pripojenie kľúčov, ak nie je vybraný certifikát podpisovateľa v zozname, vyberie certifikát podpisovateľa zo zoznamu (napr. ak je na výber z viacerých certifikátov). Ak bude aplikácia QES pre podpísanie potrebovať podpisový PIN, zobrazí výzvu na zadanie podpisového PIN, napr. na vložený občiansky preukaz s čipom v čítačke kariet s čipom. Žiadosť na zadanie PIN môže byť zobrazená aj až úplne na záver podpisovania. Ak čipová karta nemá BOK (dva rôzne PINy), namiesto BOK sa zadá PIN.

Platnosť certifikátu si vie prekontrolovať pred podpisom stlačením tlačidla "?", alebo po podpise kliknutím na "eIDAS Info" podľa postupu v poslednej kapitole.

Kvalifikovaná elektronická časová pečiatka

Kvalifikovaná elektronická časová pečiatka je poskytovaná kvalifikovanou dôveryhodnou službou. Dôveryhodnú službu definuje v čl. 3 ods. 16 nariadenie (EÚ) č. 910/2014: "dôveryhodná služba" je elektronická služba, ktorá sa spravidla poskytuje za odplatu a spočíva... . Občan si môže vybrať, od ktorého kvalifikovaného poskytovateľa služieb kvalifikovaných časových pečiatok sa rozhodne službu odoberať, po zvážení podmienok za akých je služba poskytovaná vybraným poskytovateľom. Kvalifikovaného poskytovateľa si môže vybrať z poskytovateľov z celej EÚ, ak je uvedený v dôveryhodnom zozname ktorejkoľvek krajiny EÚ. Prezerať ich je možné napr. prostredníctvom nástroja Komisie EÚ: EU Trust Services Dashboard (europa.eu) označenú ako "QTimestamp".

Nastavenie v aplikácii QES. Zaškrtne sa "Server časovej pečiatky" a kliknutím na tlačidlo hodín je vyzvaný na zadanie adresy získanej od poskytovateľa časovej pečiatky.

Ak poskytovateľ požaduje ďalšie nastavenia, je možné zadanie

• OID politiky poskytovateľa časových pečiatok,
• zapnúť autentifikáciu heslom výberom "Basic" a zadaním mena a hesla, alebo
• zapnúť autentifikáciu klientskym TLS certifikátom, kedy sa zaškrtne "User TLS file:", zadá zaslané heslo od poskytovateľa a kliknutím na "..." zadá cestu na súbor s kľúčom na autentifikáciu, ktorý mu zašle poskytovateľ a uložený je na disk, napr. "*.pfx" alebo "*.p12". Niektorí poskytovatelia časových pečiatok ešte neprešli na TLSv1.3 a ak sa nepodarí získať časovú pečiatku, v nastaveniach v "Proxy & Net" zaškrtnutím "TLSv1.3 ..." vynútite použiť starý protokol TLSv1.2, čím sa môže odstrániť časté zlyhanie siete, rozpojené zo strany servera. 

Nastavenia sa uložia po zatvorení dialógového okna v okne hlavnej aplikácie tlačidlom uloženia (vpravo hore). 

Zobrazovanie podpísaných ASiC kontajnerov vo Windows

Ak chceme kliknutím otvárať súbory s koncovkou ASiCS, ASiCE, SCS, SCE, ZEP a P7M, potom je potrebné aplikáciu QES nainštalovať kliknutím podľa nasledujúcich krokov:

• spustiť aplikáciu QES a zobraziť nastavenia aplikácie kliknutím na koliesko vpravo hore "*",
• v tab "Appl. View" zaškrtnúť "Install QES  as ASiC Windows Appl." (zopakovať ak je zaškrtnuté), čím sa otvorí prieskumník a vyhotoví odkaz na Pracovnú plochu,
• v prieskumníkovi kliknúť pravým tlačidlom myši na súbor "QES_Install.bat" a v ponuke kliknúť na "Spustiť ako správca".

Aplikácia sa spúšťa odkazom z pracovnej plochy, alebo sa na ikonu na pracovnej ploche QES preťahujú dokumenty určené na podpis alebo na validáciu.

Aplikácia sa spúšťa odkazom z pracovnej plochy.

Podpis konateľa alebo splnomocnenej osoby

Mandátny certifikát môže v položkách mena subjektu obsahovať údaje o dvoch rôznych osobách:

• Položky podpisovateľa, osoby držiteľa certifikátu, nezačínajú s "MANDANT".

• Ak položky začínajú s "MANDANT", potom obsahujú údaje o osobe za ktorú držiteľ certifikátu koná, alebo ktorú zastupuje.

Správnosť všetkých položiek certifikátu overil vydavateľ certifikátu v čase vydania certifikátu. Ak údaje v certifikáte prestanú byť aktuálne, je povinnosťou osôb uvedených v mene subjektu certifikátu, požiadať o zrušenie certifikátu.

Podpisovateľ môže uviesť/vybrať do položky "Dôvod alebo opis" text, ktorý upraví alebo napíše podľa toho, v akej funkcii podpisuje písomnosť a uvedie http adresu na register, ktorý umožní overenie napr. jeho funkcie, alebo uvedie názov priloženého elektronického dokumentu, ktorý obsahuje napr. plnú moc a ktorý elektronicky podpísal alebo zapečatil splnomocniteľ.

Režim "QES Web Signer" v aplikácii QES alebo v aplikácii aQES

Aplikáciu QES je možné spustiť aj v režime "Web Signer", kliknutím na tlačidlo "Podpisuj z webu" / "Run Web Signer", alebo v príkazovom riadku s parametrom "-w", napr. "QES.EXE -W". Automatické spustenie v móde "Web Signer", pri štarte Windows počítača, nastavíte kliknutím na tlačidlo nastavenie "koliesko" vpravo hore a v tab "Web signer" zaškrtnite, "Spusti Web Signer pri spustení systému Windows". V aplikácii aQES sa Web Signer spustí hneď po spustení aplikácie aQES.

Postup, ako organizácia žiada z ich web stránky, alebo registratúry, vyhotovenie podpisu alebo validáciu:

Stránka Web prehliadača vytvorí spojenie na QES/aQES na adresu http: //127.0.0.1:8080 alebo ::1 pre IPv6 a zašle cez http POST binárne súbor "*.QCFG" (premenovaný ZIP) s Content-Type: application/zip obsahujúci dokumenty na podpísanie a adresár "META-INF" s konfiguračným súborom "*.cfg" (TXT v UTF-8). V http adrese sa nemusí uvádzať path ale len http / https, lokálna IP adresa a port. 

Ak je port 8080 obsadený, pokúsi sa otvoriť nasledovných 10 portov (8081 - 8090). Či na porte beží QES/aQES vie zistiť zavolaním http OPTIONS, ktoré vráti v hlavičke začínajúci reťazec "Server: QES Web Signer" ... . 

Ak má byť server v aQES HTTPS, v "aQES.ini" súbore "c:\Users\používateľ\AppData\Local\QES\CFG\aQES.ini" je potrebné nastaviť 

isWebSerUseTLS=1
WebSerCertFile=cesta na súbor *.pfx
WebSerCertPassword=heslo na kľúč v súbore *.pfx
FServerThreadSSLMode=1

Ak súbor *.pfx nemáte, môžete si ho vygenerovať a certifikát vydať v bezplatnej aplikácii LockIt.zip. Kliknite na tab "Tvoj kľúč je", vyberte "Súbore", kliknite "Nový kľúč", zadajte položky ako "sám sebou, Ďalej, Ďalej, zadajte krajinu, Vlastné meno 127.0.0.1, zaškrtnite TLS klient a server, Ďalej, Ďalej, Generuj", kliknite pravým tlačidlom myši na váš nový certifikát, v popup menu vyberte "Uložiť certifikát do súboru" a zadajte meno pre certifikát, zadajte meno pre súkromný kľúč a dva krát zadajte heslo pre kľúč.  

Súbor "*.cfg" obsahuje zoznam dvojíc názvov dokumentov na podpis a súborov s typom podpisu, do ktorých sa podpis uloží a voliteľným názvom súboru podpisu. Jeden "*.cfg" môže obsahovať viacero podpisov rôznych dokumentov a mien súborov ASiC kontajnerov alebo PDF súborov do ktorých sa podpis uloží. Podpisy ASiC sa vyhotovujú ako posledné.

Napr. dva PDF dokumenty (označené žlto) budú podpísané spolu naraz v jednom ASiC súbore "kontajner.asice" ak zip súbor "*.qcfg" obsahuje "Test1.pdf", "Test2.pdf" a "t1.pdf" a  "t1.pdf" sa podpíše s PAdES v rovnakom súbore lebo meno súboru podpisu nie je zadané a súbor "META-INF/i.cfg" má obsah:

FILE=Test1.pdf
HASH=
NOTICE=Content-Type: application/pdf
FILE=kontajner.asice
HASH=
NOTICE=Content-Type: application/vnd.etsi.asic-e+zip
FILE=Test2.pdf
HASH=
NOTICE=Content-Type: application/pdf
FILE= kontajner.asice
HASH=
NOTICE=Content-Type: application/vnd.etsi.asic-e+zip
FILE=t1.pdf
HASH=
NOTICE=Content-Type: application/pdf
FILE=
HASH=
NOTICE=Content-Type: application/pdf

V položke HASH je hash súboru vo formáte DId podľa definície v STN ISO 14533-4 vo formáte "base64url", "base64" alebo "hex". Podrobné príklady sú v súbore ZIP.

Aplikácia QES spustená ako Web Signer, po prijatí http POST žiadosti, zobrazí QES aplikáciu so súbormi na podpis, poľa žiadosti "*.cfg" na podpísanie a s "*.DSId" súborom zhodným s názvom súboru s podpisom na zobrazenie podpísaných dokumentov s možnosťou ich validovania overením podpisu stlačením "eIDAS info...". 

Po stlačení tlačidla "Pridaj podpis..." zašle QES ako odpoveď na POST podpísané súbory v súbore "*.QCFG" a pri validácii sa zašle prijatý súbor "*.QCFG" s aktualizovanými, validovanými podpismi, po zavretí aplikácie QES, na Web prehliadač.

Web prehliadač, po podpísaní v QES, príjme v návrate z http POST súbor *.QCFG s výsledkom podpísania.

Pri volaní pre validáciu (iba pre formát PDF a ASiC), napr. po podpísaní po zopakovanom zaslaní súboru *.QCFG, v QCFG súbore by mal ostať len jeden súbor (*.DSId) identifikujúci podpis pre validovanie, ak QCFG obsahuje viacero súborov (*.DSId), použije sa len jeden. Pozri kapitolu 3.3 v ISO 14533-4:2019(en), Processes, data elements and documents in commerce, industry and administration - Long term signature profiles - Part 4: Attributes pointing to (external) proof of existence objects used in long term signature formats (PoEAttributes).

Podrobnosti o obsahu súboru "*.QCFG" sú uvedené v nápovede po stlačení tlačidla "?" v aplikácii QES.

Ak by pri podpise, alebo validácii došlo k predčasnému ukončeniu, QES vráti v stave http protokolu info v návrate z POST volania a nastaví nulovú veľkosť súboru "*.QCFG".

Systém žiadajúci podpis získa "*.QCFG" obsahujúci buď podpísané súbory, alebo v prípade chyby má súbor "*.QCFG" nulovú veľkosť a http nasledovný stav:

400: 'Bad Request' - Ak sa žiadosť nepodarilo načítať

404: 'Not Found' - Ak sa súbor nepodarilo zaslať

408: 'Request Time-out' - Ak podpisovateľ nevykonal podpísanie do zadaného času - 10 min

410: 'Gone' - Ak už odpoveď nebude dostupná, napr. používateľ predčasne ukončil aplikáciu.

412: 'Precondition Failed' - Ak nedošlo k podpísaniu či už chybou podpisovateľa pri výbere podpisového kľúča, alebo ukončením aplikácie bez podpísania.