Podpis elektroniczny – jak zainstalować komponent KIR/Szafir?

Zaktualizowano 2026-05-28

Obejrzyj nagranie z webinaru “Podpis elektroniczny a eTeczka”

Obejrzyj webinar

Podpis kwalifikowany na platformie eFOB działa wyłącznie na platformie Windows z wykorzystaniem przeglądarki WWW (Chrome, Edge, Firefox lub Opera).

Poniższa procedura opisuje instalację wszystkich wymaganych komponentów w systemie Windows.

Instalacja wstępna

Procedura instalacji różni się w zależności od rodzaju posiadanego certyfikatu mobilnego (mSzafir) lub na karcie (USB). Procedura instalacji składa się z trzech kroków:

1. **Środowisko JAVA **W zależności od wymagań firmowych IT należy zainstalować jedną z najnowszych wersji: a) OpenJDK typu open source dostępnej do użycia komercyjnego – polecana jest wersja 21 utrzymywana przez Microsoft, do pobrania ze strony: https://learn.microsoft.com/pl-pl/java/openjdk/download b) komercyjną wersję Oracle JRE ze strony: https://www.java.com/pl/download/ Uwaga: wymagane jest zakupienie subskrypcji Oracle: https://www.oracle.com/java/java-se-subscription/.

2. Rozszerzenie do Windows (program Szafir Host)Linki do instalacji w podrozdziale poniżej.

3. Rozszerzenie do przeglądarki internetowej (Szafir SDK WEB)

• Google Chrome / Microsoft Edge: https://chromewebstore.google.com/detail/szafir-sdk-web/gjalhnomhafafofonpdihihjnbafkipc
• Firefox: https://www.elektronicznypodpis.pl/download/webmodule/firefox/szafir_sdk_web-0.0.10-anfx.xpi
• Opera: https://chromewebstore.google.com/detail/szafir-sdk-web/gjalhnomhafafofonpdihihjnbafkipc

Aktualne pliki instalacyjne Szafir do pobrania ze strony KIR https://www.elektronicznypodpis.pl/informacje/aplikacje/

Uwaga: po instalacji JAVA oraz rozszerzeń do Windows i przeglądarki internetowej wymagane jest całkowite zamknięcie wszystkich okien przeglądarki i jej restart. Bez wykonania tego kroku okno podpisu uruchomi się i będzie ciągle w stanie ‘W trakcie…’ uruchomienia (niebieski status), co uniemożliwi faktyczne wykonywanie podpisów kwalifikowanych.

KROK 1. Instalacja środowiska JAVA (OpenJDK)

Do poprawnej obsługi środowiska podpisów kwalifikowanych niezbedne jest zainstalowanie środowiska uruchomieniowego JAVA.

Rekomendowane oprogramowanie Microsoft OpenJDK należy pobrać pod linkiem:

• (Windows x64, Msi) https://learn.microsoft.com/pl-pl/java/openjdk/download#openjdk-21

Podczas instalacji należy postępować zgodnie z wyświetlonymi krokami.

KROK 2. Instalacja aplikacji Szafir Host

Do poprawnego złożenia podpisu kwalifikowanego niezbędne jest oprogramowanie „Szafir Host”, które powinno być zainstalowane na komputerze osoby składającej podpis.

Oprogramowanie należy pobrać pod linkiem (Aplikacje i sterowniki \ Aplikacje i sterowniki \ Podpis elektroniczny Szafir):

• (Windows 64-bit, wersja 1.2.1) https://www.elektronicznypodpis.pl/storage/file/core_files/2025/4/23/5a0d51798e371ff9d6830ae1508a1f9e/szafirhost.msi
• (Windows 32-bit, wersja 1.2.1) https://www.elektronicznypodpis.pl/storage/file/core_files/2025/4/23/8207c07e041f2425e788f3c970bb6975/szafirhost_x86.msi

Jeżeli nie jest zainstalowana w systemie przeglądarka, przy próbie uruchomienia modułu „Szafir SDK”, poinformuje o konieczności przeprowadzenia takiej instalacji. W oknie wyświetlonym przez przeglądarkę pojawią się przyciski pozwalające na pobranie oprogramowania dla wybranego systemu operacyjnego (w tym wypadku tylko Windows).

Podczas instalacji należy postępować zgodnie z wyświetlonymi krokami:

1. Zaznacz pole „Akceptuję warunki Umowy licencyjnej”, aby potwierdzić akceptację warunków licencji produktu Szafir Host. 2. Kliknij przycisk „Zainstaluj”, aby rozpocząć instalację komponentu. Instalacja może wymagać uprawnień administratora systemu Windows lub pomocy działu IT. W razie pojawienia się komunikatu systemowego Windows o zgodzie na wprowadzenie zmian wybierz „Tak” i poczekaj na zakończenie instalacji.

KROK 3. Instalacja rozszerzenia do przeglądarki

Złożenie podpisu z poziomu przeglądarki wymaga zainstalowania wtyczki.

Dla przeglądarki Chrome należy pobrać rozszerzenie Szafir SDK Web z Chrome Web Store pod linkiem https://chromewebstore.google.com/detail/szafir-sdk-web/gjalhnomhafafofonpdihihjnbafkipc

Instalacja wtyczki wymaga wydania zezwolenia przez użytkownika przeglądarki i potwierdzenia decyzji o instalacji – jak na poniższym ekranie.

Dla przeglądarki Firefox rozszerzenie nie jest dostępne w Web Storze i należy je pobrać z linka https://www.elektronicznypodpis.pl/download/webmodule/firefox/szafir_sdk_web-0.0.10-anfx.xpi

Przeglądarka Opera współpracuje z rozszerzeniem z Chrome Web Store i należy je pobrać z linka https://chromewebstore.google.com/detail/szafir-sdk-web/gjalhnomhafafofonpdihihjnbafkipc

Instalacja wtyczki wymaga wydania zezwolenia przez użytkownika przeglądarki i potwierdzenia decyzji o instalacji – jak na poniższym ekranie.

Instalacja komponentów dla certyfikatu mobilnego

Dodatkowo dla certyfikatów mobilnych (bez karty i czytnika) do prawidłowego działania podpisu elektronicznego należy pobrać i uruchomić:

1. Oprogramowanie CloudSigner do obsługi i zarządzania wirtualnymi kartami elektronicznymi

https://www.elektronicznypodpis.pl/aplikacje-i-sterowniki

Dodanie karty wirtualnej mSzafir w oprogramowaniu CloudSigner

Po pobraniu i zainstalowaniu CryptoCard CloudSigner należy otworzyć aplikację z listy działających aplikacji Windows lub z menu Start.

1. W oknie CloudSigner – kart wirtualne kliknij przycisk +

2. Wybierz typ karty wirtualnej mSzafir i zatwierdź

3. Uruchom aplikację mobilną mSzafir w telefonie i wybierz opcję “Generuj kod”

4. Wygenerowany kod wprowadź w polach kodu OTT i zatwierdź

5. W aplikacji mSzafir potwierdź autoryzację operacji

6. Po autoryzacji w aplikacji CloudSigner będzie widoczna lista aktywnych certyfikatów.

Szczegółowa instrukcja instalacji karty wirtualnej pod linkiem https://www.mszafir.pl/gfx/mszafir/userfiles/_public/tutoriale/jak_wykorzystac_certyfikat_mszafir_w_dowolnej_aplikacji_podpisujacej_20240425.pdf

Instalacja komponentów dla certyfikatu na karcie

Dla certyfikatów na karcie (z czytnikiem lub przy wykorzystaniu klucza USB) do prawidłowego działania podpisu elektronicznego należy pobrać odpowiednie sterowniki dla danej karty podpisu kwalifikowanego. Poniżej opisana jest instrukcja dot. karty Graphite.

Instrukcja aktywacji karty Graphite oraz certyfikatu kwalifikowanego

W celu aktywacji karty oraz certyfikatu należy pobrać i uruchomić Instalator Szafir dostępny pod linkiem: https://www.elektronicznypodpis.pl/aplikacje-i-sterowniki

Podczas instalacji postępuj zgodnie z wyświetlonymi krokami.

W ostatnim kroku nalezy podłączyć czytnik z kartą do komputera i potwierdzic przyciskiem “Zakończ”.

Oprogramowanie automatycznie uruchomi okno Menadżer CryptoCard Graphite, w celu aktywacji karty.

Po wybraniu opcji “Aktywuj kartę” należy podać kod PUK (otrzymany w kopercie) i zatwierdzić przyciskiem OK.

W kolejnym kroku nalezy aktywować podpis kwalifikowany.

W polu PIN transportowy nalezy podać PIN z otrzymanej koperty a w polach poniżej nadać własny kod PIN (od 6 do 16 znaków, składający się z cyfr oraz liter).

Pełna instrukcja instalacji oprogramowania Szafir pod linkiem https://www.elektronicznypodpis.pl/storage/file/core_files/2024/6/10/a26e19b431c39fe1139505d233da9d88/20200225_instrukcja_aktywacji_karty_graphite.pdf

Aplikacja Szafir nie wykrywa certyfikatu zapisanego na karcie

Podczas podpisu dokumentów może pojawić się błąd braku wykrycia podpisu kwalifikowanego, pomimo jego faktycznej instalacji.

Jako pierwszy krok należy w oknie podpisu eFOB “PODPISZ DOKUMENTY” zaznaczyć checkbox “Pokaż okno szczegółów podpisu”. W sytuacji, gdy podpis będzie dostępny pojawi się poniższe okno, a w nim:

1. Podgląd dokumentu

2. Informacje o certyfikacie podpisu / certyfikacie timestamp

Jeśli w powyższym oknie certyfikat nie jest widoczny (2) tj. pokazywane jest przycisk “Wybierz certyfikaty” – w aplikacji Szafir jego naciśnięciu zostanie wyświetlone poniższe okno:

W takim przypadku można wypróbować poniższe rozwiązania:

1. Ręczne wskazanie sterownika karty kryptograficznej

W większości przypadków problem rozwiązuje się po ręcznym uzupełnieniu konfiguracji biblioteki do podpisów.

Schemat postępowania można znaleźć np. w artykule EKW – ręczne wskazanie sterownika karty kryptograficznej.

2. W systemie wybrano niewłaściwą bibliotekę PKCS#11 dla karty

Jeżeli na komputerze użytkownika zainstalowano oprogramowanie do obsługi różnych kart kryptograficznych, aplikacja podpisująca może próbować użyć niewłaściwej biblioteki PKCS#11. W takiej sytuacji karta lub certyfikat mogą nie zostać wykryte, mimo że poprawna karta jest włożona do czytnika.

Przykładowo, jeżeli użytkownik chce użyć karty CenCert Encard, aplikacja powinna korzystać z biblioteki:

• C:\Program Files (x86)\ENCARD\enigmap11.dll – dla aplikacji 32-bitowych,
• C:\Program Files\ENCARD\enigmap11-x64.dll – dla aplikacji 64-bitowych.

Jeżeli jednak system lub aplikacja odwołuje się zamiast tego do biblioteki:

• C:\Program Files\SafeNet\Authentication\SAC\x64\IDPrimePKCS1164.dll

oznacza to, że używana jest obsługa innego typu karty niż ta aktualnie włożona do czytnika. W efekcie aplikacja może nie wykrywać certyfikatu albo zgłaszać brak dostępnej karty.

W takiej sytuacji należy:

1. sprawdzić, czy w systemie nie są zainstalowane różne programy lub biblioteki do obsługi kart kryptograficznych,
2. ustalić, jaki typ karty posiada użytkownik,
3. dla karty CenCert Encard wskazać właściwą bibliotekę PKCS#11,
4. upewnić się, że aplikacja nie korzysta z biblioteki przeznaczonej dla innego typu karty,
5. po zmianie ustawień zamknąć przeglądarkę i ponownie uruchomić proces podpisu.

Jeżeli w oknie podpisu nie został wykryty certyfikat kwalifikowany, można skorzystać z dwóch dostępnych opcji:

1. Pokaż okno szczegółów – otwiera okno Szafira z wyborem certyfikatów i dodatkowymi opcjami diagnostycznymi,
2. Uruchom certyfikat domyślny – uruchamia certyfikat domyślnie wskazany w systemie.

Po wybraniu opcji Pokaż okno szczegółów należy:

1. kliknąć przycisk Wybierz certyfikaty,
2. w oknie Szafira kliknąć Wskaż ręcznie plik sterownika karty,
3. następnie kliknąć Wskaż plik i wybrać właściwą bibliotekę PKCS#11 dla używanej karty

Dla karty CenCert Encard będzie to odpowiednio:

• C:\Program Files\ENCARD\enigmap11-x64.dll – dla aplikacji 64-bitowych,
• C:\Program Files (x86)\ENCARD\enigmap11.dll – dla aplikacji 32-bitowych.

Po wskazaniu właściwej biblioteki należy zatwierdzić wybór i ponownie spróbować wykonać podpis.

Uwaga: problem może wystąpić szczególnie wtedy, gdy na komputerze są zainstalowane komponenty do obsługi kilku różnych typów kart, a aplikacja automatycznie wybiera nie tę bibliotekę, która odpowiada karcie używanej przez użytkownika.

3. Dodatkowa diagnostyka

Niektórzy dostawcy podpisów udostępniają narzędzia do generowania dodatkowych raportów odnośnie występujących błędów.

Przykładowo, dla podpisu kwalifikowanego CERTUM należy wykonać poniższe kroki:

• zainstalować pakiet proCertum CardManager:proCertum CardManager – CERTUM » Wsparcie techniczne
• w ramach proCertum Diagnostic należy uruchomić Generuj raport

Program powinien wylistować wszystkie biblioteki związane z kartą, w tym cryptoCertum3PKCS.dll – jeśli nie pokaże, to oznacza braki w instalacji.

4. Aktualizacja sterowników

Jeśli powyższe rozwiązania nie pomogą, należy sprawdzić wersje zainstalowanych sterowników i pobrać najnowsze dostępne.

5. Kontakt z dostawcą podpisu

W przypadku nadal występujących błędów należy kontaktować się z infolinią dostawcy podpisu kwalifikowanego.

Usprawnij procesy kadrowe z Inteligentną eTeczką Pracownika!

Testuj za darmo