Postup volání služeb s využitím kvalifikovaného certifikátu
Webové služby, které poskytuje MZe v rámci portál farmáře MZe (dále PF) s typem zabezpečení PF (služba vyžaduje autorizaci minimálně na úrovni loginu do portálu farmáře a WS klíče) je možné autentizovat i pomocí elektronického podpisu ve formátu xml:Signature.
Výhody použití certifikátu
Webové služby poskytované ze strany MZe se rozdělují na čtecí a zápisové.
Čtecí služby
Čtecí služby poskytují informace z konkrétního agendového systému. Vstupní parametry těchto služeb jsou většinou velmi podobné a jedná se o určitou formu filtračních parametrů (rok, číslo zvířete, číslo žádosti, atd.).
U čtecích služeb není přínos použití certifikátu významný, protože podepsání requestu klientským certifikátem vůči agendovému systému, zde nepřináší pro volající stranu žádný benefit.
Zápisové služby
V rámci zápisových služeb předává volající strana do agendového systému určitá data. Prostředí MZe poskytuje několik zápisových služeb, které se využívají pro přenos dat do agendových systémů. Tyto zápisové služby si můžeme rozdělit na služby, které:
- poskytují rozhraní pro příjem dat do agendy, které je vykonávána na straně rezortu MZe (zde konkrétní ÚKZÚZ) agendou dle správního řádu (žádosti o uznání porostu, žádosti o uznání osiva),
- poskytují rozhraní pro příjem dat, která nejsou vedena v agendě na straně rezortu MZe dle správního řádu (hlášení pohybů zvířat, prohlášení vůči Registru vinic nebo Registru sadů, zakládání zemědělských parcel, atd.)
Použití certifikátu pro služby uvedené výše pod bodem 1. znamená realizaci celého elektronického podání pouze prostředictvím uvedené služby bez nutnosti využití dalšího rozhraním (datové schránky, písemné formy žádosti). Na straně žadatele, tak významně klesá administrativní zátěž při komunikaci s rezortem MZe.
Parametry certifikátu, jeho registrace a definice oprávnění
Parametry certifikátu
Ze strany MZe je vyžadován kvalifikovaný certifikát vydaný důvěryhodnou certifikační autoritou.
V rámci ČR se jedná o autority:
- První certifikační autorita, a.s. (I.CA),
- Česká pošta, s.p. (PostSignum QCA),
- eIdentity a.s.
Registrace certifikátu
Certifikát musí být před jeho použitím párován s konkrétním účtem 99. Ke konkrétnímu účtu 99 je možné v jeden okamžik mít propojen pouze 1 certifikát.
V současné době je registrace certifikátu možná třemi způsoby:
Způsob registrace | Popis postup |
---|---|
S využitím poštovního klienta - pouze v případě, že emailová adresa je evidována pouze pro jeden účet 99. Nelze takto registrovat certifikát pokud je stejná emailová adresa vedena pro více účtů 99. |
Odešlete na emailovou adresu certimport@mze.gov.cz podepsanou emailovou zprávu dle standardu SMIME. Email je nutné odeslat z klientského SW, který podporuje práci s elektronicky podepsanými email - např. Outlook. Podpora ve webových poštovních klientech (email.cz, gmail.com) není obvyklá.
Systém elektronický podpis vyhodnotí a pokud je v pořádku zašle zpět na email odesílatele výzvu k potvrzení registrace certifikátu. Tuto výzvu je nutné znovu odeslat (formou reply) na adresu certimport@mze.gov.cz a znovu provést podpis emailové zprávy.
Pokud zpracování opakované výzvy dopadlo dobře je uživatel informován o registraci certifikátu ke konkrétnímu účtu 99. |
Prostřednictvím helpdesku MZe. |
Kontaktujte helpdesk MZe (telefonicky, emailem) a sdělte jim, že chce k určitému účtu 99 přiřadit veřejný klíč vašeho certifikátu. HD MZe ověří soulad jména, příjmení a emailu v certifikátu proti údajům u účtu 99 a provede párování.
+420 222 312 977 nebo pište na: helpdesk@mze.gov.cz. |
Prostřednictím portálu mze.gov.cz | Do aplikace Editace kontaktů byla přidána nová funkcionalit, která umožňuje vložení veřejné části certifikátu. Návod na vložení certifikátu tímto způsobem je na konci článku. V současné době se jedná o nejrychlejší a nejpohodlnější způsob jak registraci provést. |
Certifikát je možné zaregistrovat i do testovacího prostředí k testovacím účtům 99. Pro registraci do testovacího prostředí pomocí emailu je nutné využít emailovou adresu certimport-test@mze.cz nebo opět oslovit helpdesk MZe.
Definice oprávnění
Oprávnění pro použití certifikátu při volání zápisových webový služeb je omezeno.
Důvodem nastavení oprávnění je ochrana samotného subjektu, aby měl pod svou kontrolou osoby/loginy, které mohou činit podání za subjekt prostřednictvím webových služby s elektronickým podpisem.
Pro organizaci s automatickým režimem přidělování rolí byla role přidělena automaticky všem účtům 99. U organizace s ručním režimem přidělování rolí by bylo nutné roli prostřednictvím aplikace SURF nastavit konkrétním účtům.
Omezení je pouze pro zápisové služby (aktuálně OOS_ZUP01C, OOS_ZUO01B). Na čtecí služby se omezení nevztahuje.
Parametry pro generování xml:Signature
Parametr/vlastnost | Hodnota/vysvětlení |
---|---|
Typ zabezpečení | BinarySecurityToken |
Způsob přenosu veřejného klíče
BinarySecurityToken atribut ValueType |
Přenáší se pouze samotný certifikát klienta bez cesty k nadřízené certifikační autoritě.
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 |
Kanonizační metoda | http://www.w3.org/2001/10/xml-exc-c14n# |
DigestMethod
(více možných variant) |
http://www.w3.org/2000/09/xmldsig#sha1
http://www.w3.org/2001/04/xmlenc#sha256 |
SignatureMethod
(více možných variant) |
http://www.w3.org/2000/09/xmldsig#rsa-sha1
http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 |
Podepisovaná část | soapenv:Body |
WSadressing | není nutné uvádět |
Příjem podání
OCSP
V rámci volání systém MZe vyhodnocuje platnost certifikátu na systém OCSP. Pokud má autorita systém OCSP zaveden a v době zpracování XMLsignature je OCSP systém pro MZe nedostupný je volání ukončeno chybou.
Korektní podání
Korektně přijaté elektronické podání je takové, které projde validací elektronického podpisu a zároveň je zpracováno agendovým systémech.
Až na drobné výjimky je korektně přijaté podání to, kdy odpověď systému MZe je s http statusem 200.
U některých agendových systém je strukturovaná odpověď chyby, která se také vrací v rámci http statusu 200 a je nutné vždy přijetí zprávy v odborném SW volající strany vyhodnocovat.
Potvrzení u podání s elektronickým podpisem
U podání, která jsou učiněna s elektronickým podpisem a jsou z pohledu rezortní organizace vyhodnocena jako přijatá je odesláno potvrzení o přijetí nebo informace o zahájení správního řízení pokud je žádost ve správním řádu.
Přehled chybových stavů
Kód chyby | Vysvětlení |
---|---|
X299911 | Zpráva obsahuje více výskytů SOAP hlavičky WSSE:Security. |
X299920 | Platnost zprávy vypršela. Zkontrolujte prosím nastavení času na Vašem počítači a pošlete zprávu znovu. |
X299950 | Digitální podpis zprávy je porušen. |
X299990 | Nepodařilo se sestavit řetěz certifikátů. Použitý certifikát pravděpodobně nebyl vydán povolenou certifikační autoritou. Vyberte prosím platný certifikát, nebo kontaktujte správce systému. |
X299991 | Použitý certifikát nebyl vydán důvěryhodnou certifikační autoritou. Vyberte prosím platný certifikát, nebo kontaktujte správce systému. |
X299992 | Nepodařilo se ověřit stav zneplatnění certifikátu. Prosím kontaktujte správce systému. |
X299999 | Použitý certifikát byl zneplatněn. Vyberte prosím platný certifikát. |
X230000 | Vyžadován digitální podpis zprávy. |
X230001 | Vyžadován digitální podpis nebo HASH zprávy. |
X230050 | Certifikát je neplatný, nelze pokračovat ve zpracování. |
X230051 | Použitý certifikát je v tento okamžik neplatný. Platnost certifikátu ještě nezačala. |
X230052 | Použitý certifikát je již v tento okamžik neplatný. Platnost certifikátu skončila. Vyberte prosím platný certifikát. |
X230053 | Použitý certifikát není určen k digitálnímu podpisu. Vyberte prosím platný certifikát, nebo kontaktujte správce systému. |
X230149 | Není vyplněn atribut UIDkey/@certificateSN. Nelze pokračovat ve zpracování. |
X230100 | Uvedená hodnota sériového čísla Vašeho osobního certifikátu v atributu UIDkey/@certificateSN nesouhlasí s certifikátem, kterým byla zpráva podepsána. Nelze ověřit Vaši identitu. Prosím kontaktujte Vašeho administrátora. |
X230215 | Použitý osobní certifikát uživatele není certifikátem očekávaným (registrovaným) v příslušné autorizační databázi (nesouhlasí CA). Vyberte prosím správný certifikát, nebo kontaktujte správce systému. |
X230216 | Použitý osobní certifikát uživatele není certifikátem očekávaným (registrovaným) v příslušné autorizační databázi (nesouhlasí sériové číslo). Vyberte prosím správný certifikát, nebo kontaktujte správce systému. |
X230217 | Použitý osobní certifikát uživatele není certifikátem očekávaným (registrovaným) v příslušné autorizační databázi (nesouhlasí data certifikátu). Vyberte prosím správný certifikát, nebo kontaktujte správce systému. |
X230210 | Uživatel nemá v autorizační databázi registrován osobní certifikát. Nelze ověřit identitu. Prosím kontaktujte správce systému. |
X230897 | Nastala chyba při ověřování podpisu. Prosím kontaktujte správce systému. |
Testování
Testování elektronického podpisu je možné provádět na všech čtecích službách bez jakéhokoliv omezení. Princip vyhodnocení dat requestu je stejný pro zápisové a čtecí služby a pokud tak bude mechanismus tvorby elektronického podpisu fungovat pro čtecí služby je velká pravděpodobnost, že bude funkční i pro služby zápisové.
Nástroj SoapUI
Vývojářský nástroj SoapUI má v sobě podporu pro tvorbu elektronicky podpesané XML zprávy. Na následujících obrázcích je patrný způsob konfigurace, který umoňuje zaslat elektronicky podepsané XML.
Je důležité v rámci SoapUI nastavit odebrání bílých znaků při generování dat requestu.