Digital Signature Certificate su Windows 10 e Microsoft Edge: guida completa per scholarship.up.gov.in

Vuoi firmare le domande del portale scholarship.up.gov.in con un Digital Signature Certificate e non sai da dove iniziare? In questa guida pratica trovi tutto: come ottenere il certificato, installare token e driver in Windows con Microsoft Edge, registrare il DSC sul portale e risolvere i problemi più comuni.

Panoramica del problema

Molti utenti e istituti devono firmare in modo legalmente valido i moduli del portale scholarship.up.gov.in. Il portale, come spesso accade per i servizi della pubblica amministrazione indiana, richiede un Digital Signature Certificate (DSC) su dispositivo sicuro (token USB) e un browser correttamente configurato. Il processo coinvolge tre fasi: ottenere un certificato riconosciuto, installarlo in Windows con i driver del token ed effettuare la registrazione del DSC all’interno dell’account del portale per poter firmare i moduli.

Schema rapido dei passaggi

#	Passaggio	Dettagli operativi
1	Ottenere un DSC valido	Richiedere un certificato di firma di tipo Class 3 presso una CA riconosciuta da CCA India (ad es. eMudhra, Sify, Capricorn, NIC CA). Servono documento d’identità, foto e verifica video KYC.
2	Installare driver e utility del token USB	La CA fornisce un token “crypto‑token” o “eToken”. Scaricare e installare il driver del token e l’utility di gestione (es. SafeNet Authentication Client) con privilegi di amministratore.
3	Importare o attivare il certificato	Inserire il token USB. L’utility riconosce il certificato e carica la catena nel Windows Certificate Store. Impostare o cambiare il PIN del token.
4	Configurare il browser	Su Microsoft Edge abilitare eventuali estensioni di firma fornite dalla CA e, se richiesto dal portale, usare la modalità Internet Explorer per la compatibilità.
5	Registrare il DSC nel portale	Accedere al proprio profilo → “Register Digital Signature / DSC Management” → selezionare “USB Token”, scegliere il certificato e confermare inserendo il PIN. Il portale memorizza l’hash del certificato.
6	Firmare i moduli online	Durante l’invio della domanda, cliccare “Sign with DSC”, digitare il PIN del token, attendere la firma del PDF/XML e la ricevuta.

Significato e componenti del certificato

Un DSC è un certificato digitale personale o di ente, emesso da un’autorità di certificazione riconosciuta, che consente di apporre firme digitali con pieno valore legale nei processi previsti. Per l’uso su scholarship.up.gov.in è tipicamente sufficiente un certificato di firma (non serve la funzionalità di cifratura). Le precedenti Class 2 e Class 3 sono confluite in Class 3; scegli sempre l’opzione “Signing” rilasciata su token USB.

Il token USB contiene in modo sicuro la chiave privata e richiede un PIN per ogni operazione di firma. La catena di fiducia (root e intermediate) viene installata in Windows durante l’installazione dei driver o con l’utility della CA.

Prerequisiti e checklist

• Computer con Windows aggiornato e diritti amministrativi per installare driver.
• Microsoft Edge aggiornato e con possibilità di attivare la modalità Internet Explorer se richiesta.
• Token USB fornito dalla CA con PIN e PUK iniziali o busta sigillata contenente i codici.
• Documenti per la richiesta del certificato: identità, indirizzo, numero di telefono ed email per OTP.
• Connessione internet stabile, porte USB funzionanti e servizio “Smart Card” di Windows attivo.
• Facoltativo ma consigliato: utenza con diritti locali “Utenti del desktop remoto” disabilitata durante la firma, per evitare conflitti con sessioni RDP.

Ottenimento del certificato

Per ottenere il DSC, seleziona una CA riconosciuta. Il percorso standard prevede:

1. Scelta del profilo: tipo “Signing” su token hardware, validità uno o due anni.
2. Identificazione: caricamento dei documenti, foto, ed esecuzione del video KYC richiesto.
3. Consegna: ricezione del token USB già personalizzato e pronto all’uso, oppure ritiro presso un Registration Authority partner.
4. Codici: ricezione PIN e PUK iniziali o procedura per la loro impostazione al primo utilizzo.

Suggerimento: se possiedi già un DSC valido su token, puoi riutilizzarlo purché sia intestato alla persona/ente che firma sul portale e non sia scaduto.

Installazione dei driver del token

I driver variano in base al produttore del token (SafeNet, ePass2003, WatchData/ProxKey, TrustKey e altri). Procedura consigliata:

1. Rimozione di vecchi driver: apri “App e funzionalità” o “Programmi e funzionalità” e disinstalla client o driver di token non più usati, quindi riavvia.
2. Installazione del client corretto: avvia l’installer del produttore del token fornito dalla CA, scegli l’installazione tipica e consenti al driver di installare il minidriver CSP/CNG.
3. Verifica del servizio smart card: apri “services.msc”, assicurati che il servizio Smart Card sia in esecuzione e in avvio automatico.
4. Inserimento del token: collega il token a una porta USB diretta (evita hub non alimentati), attendi la finestra del client che ne segnala il riconoscimento.
5. Cambio PIN: tramite l’utility del token imposta un PIN forte e annota il PUK in luogo sicuro.

Verifica della presenza del certificato in Windows

Per accertare che il sistema veda il DSC:

• Apri la console “mmc”, aggiungi lo snap‑in “Certificati” per l’utente corrente, quindi controlla in Personale → Certificati la presenza del certificato con la dicitura “Hai una chiave privata che corrisponde a questo certificato”.
• Apri le impostazioni di Edge e cerca “Gestisci certificati”: dovresti vedere il certificato nella scheda personale, oppure nella scheda “Altro” in base al driver.

Se non lo vedi, reinstalla il driver o, nell’utility del token, esegui l’operazione “Install Certificates/Drivers” o “Initialize/Import Root Chain”.

Configurazione del browser

L’impostazione del browser influisce direttamente sulla riuscita della firma. Sequenza consigliata:

1. Estensioni della CA: alcune CA forniscono una piccola estensione o un componente nativo per dialogare con il token. Se previsto nelle istruzioni della CA, installalo prima di procedere.
2. Autorizzazioni: consenti pop‑up e reindirizzamenti per il dominio del portale; disattiva eventuali blocchi che impediscono download automatici di file temporanei PDF/XML durante la firma.
3. Modalità Internet Explorer: se il portale richiede controlli legacy:
   • Apri le impostazioni di Edge → Browser predefinito → consenti il ricaricamento dei siti in modalità Internet Explorer.
   • Visita il portale, apri il menu pagina e scegli “Ricarica scheda in modalità Internet Explorer”, spuntando l’opzione per ricordare la preferenza per le visite successive.
   • In questa modalità è disponibile lo stack di compatibilità necessario a molte librerie di firma utilizzate dai portali pubblici.
4. Pulizia cache: prima della prima registrazione del DSC, cancella cache e cookie relativi al dominio del portale per evitare conflitti con sessioni precedenti.

Registrazione del certificato nel portale

Una volta preparato l’ambiente, accedi al tuo profilo sul portale e registra il certificato:

1. Apri l’area profilo e cerca la voce Register Digital Signature / DSC Management.
2. Seleziona USB Token come dispositivo di firma.
3. Quando compare la finestra di selezione, scegli il certificato giusto (controlla nome del titolare e scadenza).
4. Inserisci il PIN del token quando richiesto e conferma.
5. Attendi il messaggio di esito positivo: il portale registrerà l’hash del certificato per i futuri utilizzi, senza memorizzare la chiave privata.

Se possiedi più certificati, registra esclusivamente quello destinato alle pratiche del portale per evitare errori di associazione.

Firma dei moduli sul portale

Per firmare una domanda o un documento:

1. Compila il modulo e avvia la procedura di invio.
2. Clicca Sign with DSC o il comando equivalente indicato nella pagina.
3. Seleziona il certificato, inserisci il PIN e conferma.
4. Attendi la generazione del PDF o dell’XML firmato e l’upload automatico sul portale.
5. Scarica e conserva la ricevuta di firma o l’acknowledgement con identificativo pratica e data/ora.

La firma avviene nel token: il portale invia un hash del documento, il token calcola la firma con la chiave privata e restituisce il risultato. In questo modo la chiave privata non lascia mai il dispositivo.

Buone pratiche e consigli operativi

• Compatibilità: verifica che il token e il certificato supportino chiavi a 2048 bit e algoritmo SHA‑256, richiesti dalla maggior parte dei portali.
• Gestione PIN e PUK: conserva in modo sicuro entrambi; in caso di blocco del PIN, il PUK consente lo sblocco. Se perdi anche il PUK, dovrai procedere a revoca e riemissione del certificato.
• Scadenza: i DSC hanno validità tipicamente di uno o due anni. Pianifica il rinnovo con anticipo, idealmente un mese prima della scadenza, per non interrompere le attività.
• Assistenza: per errori durante la firma, contatta prima il supporto del portale (che può verificare eventuali aggiornamenti o manutenzioni), poi la CA per testare il token su un ambiente di prova.
• Alternative software: molte piattaforme accettano firme basate su file PFX, ma il portale richiede in genere token USB; attieniti quindi alle istruzioni qui descritte.
• Sicurezza: non digitare il PIN in presenza di software di condivisione schermo; rimuovi il token quando non serve; aggiorna periodicamente driver e sistema operativo.

Risoluzione dei problemi

Gli inconvenienti più frequenti si risolvono con pochi passaggi mirati. Usa la tabella come guida rapida.

Errore o sintomo	Causa probabile	Soluzione consigliata
Nessun certificato trovato	Driver del token non installato o token non riconosciuto; servizio smart card disattivo; porta USB difettosa.	Installa o reinstalla i driver, verifica il servizio Smart Card, prova un’altra porta USB, riavvia il PC dopo l’installazione.
Richiesta di PIN che fallisce	PIN errato o token bloccato dopo tentativi falliti.	Usa il PUK per lo sblocco dall’utility del token; in mancanza del PUK contatta la CA per la riemissione.
Messaggio FAILEDTOVERIFY_SIGNATURE o verifica fallita	Catena di certificazione non presente; certificato errato o scaduto; file corrotto; data e ora di sistema non corrette.	Reinstalla la catena della CA dal client del token; verifica che il certificato selezionato sia quello di firma e sia valido; sincronizza data e ora.
Schermata bianca durante la firma	Estensione o componente nativo non installato; blocco pop‑up; conflitto con cache del browser.	Installa l’estensione richiesta dalla CA; consenti pop‑up; svuota cache e cookie del dominio; riprova in una nuova sessione in modalità Internet Explorer.
Richiesta di plugin legacy	La pagina invoca controlli compatibili solo con vecchi componenti.	Usa la modalità Internet Explorer in Edge; se previsto dalle istruzioni della CA, installa il componente ausiliario richiesto dal token.
Il certificato non compare in Edge	Il certificato è visibile solo dal minidriver del token e non nel personale dell’utente; installazione incompleta.	Apri l’utility del token e verifica la funzione “Install Certificates”/“User Certificates”; quindi controlla di nuovo in “Gestisci certificati”.
Errore di rete o di upload del file firmato	Connessione instabile o firewall troppo restrittivo.	Ripeti su rete diversa, usa un profilo di rete meno restrittivo o chiedi all’amministratore di autorizzare il dominio del portale.

Diagnostica rapida

• Test del token: apri l’utility del token e verifica che compaia il certificato con stato “Ready”.
• Controllo da riga di comando: esegui certutil -scinfo dal Prompt dei comandi per verificare il canale smart card e l’accesso al certificato.
• Verifica in console certificati: controlla che il certificato presenti l’uso “Digital Signature” e che la scadenza sia successiva alla data odierna.

Procedure dettagliate per il sistema

Ottimizzazione del sistema operativo

• Aggiornamenti: installa gli aggiornamenti cumulativi e i pacchetti di qualità che includono fix per smart card e CNG.
• Antivirus: autorizza l’utility del token; alcune soluzioni di sicurezza possono bloccare l’host nativo usato per la firma.
• Policy aziendali: in ambienti gestiti, chiedi che non vengano applicate policy che impediscano l’esecuzione dei moduli PKCS#11 o l’accesso alla smart card.

Impostazioni del browser

• Attiva “Consenti siti a essere ricaricati in modalità Internet Explorer” nelle impostazioni di Edge se il portale lo richiede.
• Consenti i pop‑up e la gestione automatica dei download per il dominio del portale.
• Se compaiono errori di “contenuti non sicuri”, verifica che tutte le risorse siano servite in HTTPS; se il portale carica elementi misti, resta in modalità IE per la sola firma.

Domande frequenti

Posso usare lo stesso DSC per più account sul portale?
In genere sì, a patto che l’intestatario del certificato coincida con il soggetto autorizzato a firmare per quel profilo. Alcune sezioni del portale possono limitare l’uso a un solo DSC per utente o istituto: attenersi alle istruzioni della piattaforma.

È possibile firmare da macOS o Linux?
La configurazione più stabile è su Windows con Microsoft Edge. Altri sistemi possono funzionare solo se il token dispone di driver e il portale è compatibile; per evitare interruzioni si consiglia l’ambiente Windows.

Ho perso il token o credo sia compromesso: cosa devo fare?
Richiedi revoca immediata del certificato alla CA, quindi procedi a nuova emissione. Aggiorna i riferimenti nel portale registrando il nuovo DSC.

Che differenza c’è tra firma e cifratura nel DSC?
La firma assicura autenticità e integrità; la cifratura protegge la confidenzialità. Per il portale serve la sola firma digitale.

È necessario il timestamp?
La marcatura temporale può essere applicata automaticamente da alcune soluzioni; sul portale, la ricevuta e i log di sistema attestano data e ora della presentazione. Conserva sempre la ricevuta.

Controlli di qualità prima della registrazione

1. Integrità del certificato: verifica che nel dettaglio siano presenti “Digital Signature” tra gli usi consentiti e che l’algoritmo di hash sia SHA‑256 o equivalente.
2. Validità: controlla periodo di validità e che non vi siano marcature di revoca.
3. Catena di fiducia: accertati che i certificati root e intermediate siano installati nella posizione corretta.
4. PIN: cambia il PIN predefinito e annota il PUK in luogo separato.

Esempio di flusso operativo nel portale

1. Accedi con le tue credenziali al portale.
2. Completa o aggiorna i dati del profilo come richiesto.
3. Apri l’area di gestione del DSC e registra il certificato selezionando il token USB e il certificato corretto.
4. Durante l’invio della domanda, utilizza il pulsante di firma, inserisci il PIN, attendi la conferma e scarica la ricevuta.
5. Conserva la ricevuta insieme ai documenti originali e al log di invio.

Strategie di prevenzione degli errori

• Ambiente pulito: usa un profilo di Windows dedicato alle firme per ridurre interferenze con altre estensioni o utility.
• Ridondanza: tieni a disposizione un secondo PC con driver già installati per le scadenze urgenti.
• Backup delle impostazioni: conserva i pacchetti di installazione dei driver in una cartella di rete o in un archivio sicuro.
• Formazione: prepara una mini‑guida interna con screenshot dei passaggi principali per nuovi operatori.

Appendice sulla verifica tecnica

Se devi diagnosticare problemi avanzati:

• Dettagli certificato: apri le proprietà del certificato e verifica Subject, Serial Number, Key Usage, algoritmo dell’insieme di chiavi e lunghezza della chiave.
• Repertorio CRL/OCSP: il certificato include i punti di distribuzione per verifica di revoca; in reti molto filtrate chiedi l’apertura degli endpoint necessari.
• Event Viewer: consulta i log di Applications and Services Logs → Microsoft → Windows → CAPI2 per errori di catena di fiducia o CSP/CNG.

Checklist finale

• DSC attivo su token USB con PIN e PUK noti e custoditi.
• Driver del token installati e servizio smart card in esecuzione.
• Certificato visibile in “Gestisci certificati” e in MMC.
• Edge configurato con eventuale estensione della CA, pop‑up consentiti e, se necessario, modalità Internet Explorer.
• DSC registrato nell’area profilo del portale.
• Firma di prova eseguita con ricevuta salvata.

Note per istituti e amministrazioni

Per uffici con più operatori che firmano frequentemente:

• Gestione token: assegna un responsabile per la custodia e il monitoraggio delle scadenze; evita la condivisione indiscriminata del dispositivo.
• Postazioni dedicate: preconfigura alcune postazioni con driver e modalità IE già attive.
• Procedure operative standard: definisci un breve SOP che includa verifica del PIN, check della data di scadenza e salvataggio sistematico delle ricevute.

Suggerimenti per continuità operativa

• Annota in calendario l’inizio della finestra di rinnovo del certificato con promemoria.
• Conserva copie dei kit di installazione e della documentazione del token per reinstallazioni veloci.
• Prepara un profilo Edge alternativo da usare in caso di anomalie del profilo principale.

Riepilogo

Per firmare su scholarship.up.gov.in occorre un DSC su token USB rilasciato da una CA riconosciuta, i driver corretti, Edge configurato con eventuale estensione e, quando serve, la modalità Internet Explorer. Dopo la registrazione del certificato nell’area utente, la firma dei moduli diventa un’operazione rapida: selezioni il certificato, inserisci il PIN, ottieni la ricevuta e concludi l’invio. Seguendo le indicazioni di questa guida, ridurrai al minimo gli errori e garantirai firme digitali conformi, tracciabili e sicure.

---

Contenuti collegati

• Gestione sicura di PIN/PUK e procedure di revoca.
• Allestimento di postazioni di firma per uffici con molti utenti.
• Verifica della catena di certificazione e dei log CAPI2 per diagnosi approfondite.

---

Seguendo questi passaggi il certificato sarà correttamente installato, registrato e pronto per firmare digitalmente le pratiche di borsa di studio.