TJÄNSTEBESKRIVNING FÖR PROGRAMVARUGHUS SAMLINK CERTIFIKATTJÄNST 3.6.2014
OY SAMLINK AB SAMLINK CERTIFIKATTJÄNST 2 (7) Innehållsförteckning Innehållsförteckning No table of contents entries found.
OY SAMLINK AB SAMLINK CERTIFIKATTJÄNST 3 (7) 1 Inledning Bilaga beskriver hurdana meddelanden man kan skicka och ta emot i Samlinks certifikathämtningstjänst.i WSDL beskrivs tre operationer: getcertificate getservicecertificates revokecertificate Samlinks systemlösning stöder endast getcertificate. I Samlinks certifikathämtningstjänsts SOAP-meddelande används inte kryptering eller packning. Samlinks systemlösning stöder inte packning eftersom de meddelanden som går i tjänsten i allmänhet är små. I WSDL innehåller ApplicationRequest en Base64-kodad CertApplicationRequest vars schema beskrivs i CertApplicationRequest_20090422.xsd (bilaga 2). Svarsmeddelandets ApplicationResponse innehåller en Base64-kodad CertApplicationResponse vars schema beskrivs i CertApplicationResponse_20090422.xsd (bilaga 3). Detta dokument beskriver Samlinks certifikathämtningstjänsts getcertificate-operation och användningssätten för elementen CertApplicationRequest och CertApplicationResponse. 2 Klientprogramvarans certifikathämtning - användningsfall I klientprogramvaran ska man första gången skapa ett PKI-nyckelpar. Med hjälp av nyckelparet skapar man en certifikatbegäran (CSR). Certifikatbegäran skickas till Samlinki WS-kanalen så att kunden första gången använder ett engångslösenord (Transfer-Key) i identifieringen och därefter det gällande certifikatet. Ett tidigare hämtat och gällande certifikat kan hämtas igen med samma CSR. När ett certifikat gäller mindre än 60 dagar kan kunden hämta ett nytt certifikat så länge certifikatbegäran har skapats med ett nytt nyckelpar. Med ett gammalt nyckelpar kan man inte hämta ett nytt certifikat. Ett nytt certifikat kan hämtas bara om certifikatet ännu inte har hämtats eller om det nuvarande certifikatet har under 60 dagars giltighetstid kvar. Om man försöker förnya ett certifikat mot villkoren ovan är resultatet ett fel enligt följande tabell: Nyckel Användare Glitighetstid Beskrivning Ny Ny Inget vartificat Normalt skapande an nytt Ny Gammal Under 60 Normalt förnyande Ny Gammal Över 60 FEL: Cartifikatet får ännu inte förnyas Gamla Ny Under 60 FEL: Felaktig användaruppgift Gammal Ny Över 60 FEL: Felaktig användaruppgift Gammal Gammal Under 60 FEL: Den privata nyckeln måste genereras på nytt Gammal Gammal Över 60 Det gamla certifikatet återställs
OY SAMLINK AB SAMLINK CERTIFIKATTJÄNST 4 (7) 3 getcertificate-operation Nedan ges en närmare beskrivning av elementen i SOAP-meddelandet ett och ett. 3.1 SenderId Avsändarens unika identifikationskod och användarkod. Den överläts till företaget när avtalet undertecknades.värdet är detsamma som i elementet CertApplicationRequests CustomerId som beskrivs senare och i fältet Surname (SN) i certifikatbegäran. 3.2 RequestId Försändelsens unika identifikationskod som ska göra det lättare att utreda problem.samlink kontrollerar inte om identifikationskoden har använts tidigare. 3.3 Timestamp Tidsstämpel som anger när Application Request Header har skapats. 3.4 ApplicationRequest Innehåller den Base64-kodade CertApplicationRequest. 4 CertApplicationRequest 4.1 CustomerId Unik identifikationskod och användarkod för den som gjorts certifikatets signaturbegäran.den överläts till företaget när avtalet undertecknades.värdet är detsamma som i elementet SenderID som beskrevs ovan och i fältet Surname(SN) i certifikatbegäran. 4.2 Timestamp Obligatorisk i schemat. Värde används inte. 4.3 Environment Värde: PRODUCTION Testegenskapen används inte. 4.4 SoftwareId Programvarans exakta identifikationskod som ska göra det lättare att utreda problem. 4.5 Command Värde: GetCertificate
OY SAMLINK AB SAMLINK CERTIFIKATTJÄNST 5 (7) 4.6 ExecutionSerial 4.7 Encryption 4.8 EncryptionMethod 4.9 Compression 4.10 CompressionMethod 4.11 Service Obligatorisk i schemat. Normalvärdet MATU används. 4.12 Content Base64-kodad certifikatets signaturbegäran (PKCS#10). 4.13 TransferKey Engångslösenord (8+8) som används första gången. Den första delen överlåts till företaget när avtalet undertecknas, den andra delen kommer separat per post. När kunden har tagit emot det signerade certifikatet, används certifikatet (elemntet Signatuer) i identifieringen av kunden och då får elementet inte längre förekomma. I WS-kanalen markeras engångslösenordet som använt när det signerade certifikatet går till kunden. 4.14 SerialNumber 4.15 Signature Första gången identifierar kunden sig med engångslösenordet (elementet TransferKey). Efter det används elementet TransferKey inte längre utan identifieringen sker med XML-signaturen. 5 CertApplicationResponse
OY SAMLINK AB SAMLINK CERTIFIKATTJÄNST 6 (7) 5.1 CustomerId Den identifikationskod som kunden använder i CertApplicationRequest. 5.2 Timestamp Tidsstämpel som anger när CertApplicationResponse har skapats. 5.3 ResponseCode och ResponseText 00 OK 05 OKÄND TILLÄMPNINGSFORFRÅGAN 06 CERTIFIKATET FÅR ÄNNU INTE FÖRNYAS 07 FELAKTIG ANVÄNDARUPPGIFT 08 DEN PRIVATA NYCKELN MÅSTE GENERERAS PÅ NYTT 12 DEN FORMELLA GRANSKNINGEN AV MATERIALET MISSYCKADES 26 TEKNISKT FEL 30 IDENTIFIERINGEN MISSLYCKADES 5.4 ExecutionSerial 5.5 Encrypted 5.6 EncryptionMethod 5.7 Compressed 5.8 CompressionMethod 5.9 CustomerExtension 5.10 Certificates Innehåller ett Certificate-element.
OY SAMLINK AB SAMLINK CERTIFIKATTJÄNST 7 (7) 5.11 Certificate Innehåller elementen Name, Certificate och CertificateFormat. 5.11.1 Name Certifikatets subjekt t.ex.surname=9923233, CN=YRITYS AB, O=Aineistopalvelut-Samlink, C=FI 5.11.2 Certificate Base64-kodad undertecknat certifikat (X509v3). 5.11.3 certificateformat Värde: X509 5.12 Signature Samlink lägger till XML-signaturen i alla meddelanden. Kunden ska kontrollera att signaturen är riktig. 6 Bilagor Bilagorna kan laddas ner frå Samlinks hemsidor. Certifikattjänst WSDL-dokumentation CertApplicationRequest.xsd schema CertApplicationResponse.xsd schema