Note utilizzo smart card tipologia CNS - Carta Nazionale dei Servizi
serie 1204…, 7420…
Modello “InCrypto34 V2”
Le presenti Istruzioni integrano quelle fornite unitamente alla cartellina contenente il
Codice di Emergenza (ERC, ex RRC).
Dopo la generazione di questo tipo di carta, tutti i codici PIN e PUK coincidono con le ultime otto
cifre del codice contenuto all'interno della busta di emergenza (ERC, ex RRC). L'utente può
decidere in seguito se modificare i PIN oppure no, anche separatamente, inserendo un nuovo codice
che però deve essere soltanto di otto cifre.
La prima operazione che l’utente deve fare quando riceve la smart card è la sua attivazione.
Per effettuare l’operazione di firma digitale è necessario digitare sempre i due PIN, cioè digitare
prima il PIN di protezione della smart card (PIN carta CNS) e poi il PIN di autorizzazione della
firma.
Per le istruzioni dettagliate vedi i paragrafi successivi, nei quali sono anche contenute delle
indicazioni per il corretto utilizzo della smart card.
1. I lettori di smart card
Per il corretto utilizzo di questo tipo di carta è necessario che sulla stazione siano installati i
driver del lettore aggiornati all'ultima versione; per l'installazione/aggiornamento seguire le
istruzioni presenti nel sito http://www.card.infocamere.it alla sezione Hardware.
Nota: in caso di lettori miniLECTOR già precedentemente installati, il nome della nuova
versione del driver varia da “miniLECTOR ....” a “ACS ...”: ad esempio, nel caso di
miniLECTOR mU31 (usb) il nuovo nome sarà ACS USB.
2. Come attivare la smart card
Prima di poter utilizzare, se presente, il certificato di sottoscrizione, è necessario attivare il
“PIN firma”: la corretta esecuzione dell'operazione di riattivazione del “PIN firma” garantisce
al titolare della smart card che nessuno abbia utilizzato il suo certificato di firma dal momento
dell'emissione della smart card al suo primo utilizzo.
L'operazione di attivazione può essere eseguita in una delle due modalità di seguito descritte:

da Dike, Menù Strumenti-Cambio PIN, in caso di primo utilizzo viene richiesta
automaticamente l'attivazione della smart card e appare la seguente finestra:
Versione 1.0 del 24/03/05
Pag. 1 di 6
digitare le ultime otto cifre del codice contenuto all'interno della busta di emergenza sia nella casella
PUK sia nella casella PIN, e cliccare su OK;

oppure dall'applicazione IcCNS (presente sul Desktop dopo l'installazione di Dike vers. 3.1.1),
Menù Utility-Attivazione PIN:
digitare le ultime otto cifre del codice contenuto all'interno della busta di emergenza sia nella casella
PUK sia nella casella PIN, e cliccare su OK.
Si ricorda che l'operazione di attivazione può essere fatta una sola volta per ogni smart card.
Versione 1.0 del 24/03/05
Pag. 2 di 6
3. Come firmare digitalmente un documento
Da Dike aprire il file che si desidera firmare.
Dopo aver selezionato la directory di destinazione del file firmato, apparirà la seguente finestra per
la digitazione del PIN di protezione della smart card:
Digitare il PIN di protezione della carta e cliccare su OK.
Apparirà quindi la seguente finestra per la digitazione del PIN firma:
Digitare il PIN firma e cliccare su OK
Versione 1.0 del 24/03/05
Pag. 3 di 6
4. Gestione della smart card
Vengono di seguito descritte le funzioni di Cambio PIN, Sblocco PIN e Cambio PUK.
 La funzione di Cambio PIN è disponibile da Dike, Menù Strumenti-Cambio PIN:
L'utente può decidere se modificare solo uno o entrambi i PIN.
 La funzione di Slocco PIN è disponibile dall'applicazione IcCNS, menù Utility-Sblocco PIN:
Versione 1.0 del 24/03/05
Pag. 4 di 6

La funzione di Cambio PUK è disponibile dall'applicazione IcCNS, menù Utility-Cambio
PUK:
Si raccomanda di usare con molta precauzione la funzione di Cambio PUK poiché quando il
PIN e il PUK CNS sono bloccati la carta diventa inutilizzabile.
Nel caso invece siano bloccati il PIN e il PUK di Firma la carta è utilizzabile solo col certificato di
autenticazione (se presente).
4. Utilizzo del certificato di autenticazione (se presente)
Il certificato di autenticazione può essere utilizzato per le funzionalità SSL (sempre), SMIME (se
nel certificato è impostato l'attributo Indirizzo e-mail) e smart card logon (se nel certificato è
impostato l'attributo MS Domain Login User). In quest'ultimo caso è necessario una particolare
versione del SysGillo CSP disponibile solo su richiesta.
Per utilizzare le smart card “InCrypto34 V2” per le funzionalità SSL e SMIME dai client Netscape
è necessario impostare come “Security Devices” la libreria PKCS #11 incryptoki2.dll, vedi
istruzioni presenti nel sito http://www.card.infocamere.it alla sezione Software/Utilizzo del software
di autenticazione. Le istruzioni relative ai client Mozilla, FireFox/ThunderBird saranno
disponibili a breve.
La versione 1.4.9.10 della libreria in questione (installata dal Dike 3.1.1) è in grado di gestire anche
le smart card con numeri di serie 1202... e 1203... Si ricorda però che non è possibile utilizzare
contemporaneamente sul medesimo browser/client come “Security Devices” la libreria ipmpki32.dll
(smart card con numeri di serie 1202... e 1203...) e la libreria incryptoki2.dll (smart card
“InCrypto34 V2”).
Versione 1.0 del 24/03/05
Pag. 5 di 6
Per utilizzare le smart card “InCrypto34 V2” per le funzionalità SSL e SMIME dai client Internet
Explorer, Microsoft Outlook e Outlook Express è necessario installare l'apposita versione di
SysGillo CSP disponibile sul sito http://www.card.infocamere.it alla sezione Software.
5. Istruzioni aggiuntive per i RAO
Le stazioni RAO sono configurate direttamente dalla procedura di emissione certificati in maniera
da mantenere allineati il PIN Carta ed il PIN Firma.
In fase di emissione quindi il RAO in possesso di una smart card “InCrypto34 V2”, deve digitare un
solo PIN per ogni operazione di firma.
Per lo stesso motivo è necessario che i RAO eseguano le operazioni di cambio pin delle proprie
smart card esclusivamente dalle stazioni RAO. In alternativa, qualora si esegua il cambio PIN di una
smart card RAO “InCrypto34 V2” da una stazione utente, è importante che non vengano disallineati
i due PIN (Carta e Firma).
Al termine della procedura di emissione la carta viene disattivata automaticamente dalla procedura
stessa. L'utente dovrà procedere alla sua attivazione come descritto al paragrafo 2.
In caso di riemissione di un certificato su una smart card già personalizzata, bisogna utilizzare la
modalità “Ready-Card” (titolare presente per la digitazione del PIN). L'operazione finale di
disattivazione, come è giusto che sia, fallirà; verrà conseguentemente visualizzato il messaggio
“Deattivazione PIN non eseguita”. Con ciò è da ritenersi correttamente conclusa la procedura di
riemissione.
In caso di aggiornamento dei driver dei lettori, è necessario modificare il file IcNewCertRa.ini:
cancellare le due righe che riportano i nomi dei vecchi driver altrimenti l'emissione va in errore.
Alla prima emissione il file verrà automaticamente aggiornato con i nuovi driver.
Versione 1.0 del 24/03/05
Pag. 6 di 6