Frågor och svar om certifikat

• Tekniska frågor om certifikatet
• Certifikat och intressentgruppstestning
• Att underteckna certifikat
• Hämtning av certifikat
• Förnyande av certifikat
• Certifikat och SaaS-tjänsten
• Certifikat och bokföringsbyråer

Tekniska frågor om certifikatet

Hur spärrar man ett certifikat?

En begäran om spärrning av ett certifikat görs till Inkomstregisterenheten under tjänstetid och till helpdesk utanför tjänstetid.

Läs mera: Spärrning av certifikatet

Begäran om spärrning av certifikat för testmiljön görs till organisationen för inkomstregistrets intressentgruppstestning.

Kan vår tekniska kontaktperson få meddelanden som gäller ansökan om certifikat på engelska?

De meddelanden som gäller certifikattjänsten och sänds till de tekniska kontaktpersonerna är på tre språk (finska, svenska och engelska).

Kan en kund ha flera certifikat i användning på samma gång? Kunden har flera programvaror i användning.

Kunderna kan ha flera certifikat i användning på samma gång. Det är också möjligt att en kund använder samma certifikat i olika programvaror.

Kan certifikat administreras i inkomstregistrets e-tjänst, t.ex. kan en certifikatfil laddas?

Personer som har rätt att teckna organisationens firma kan se en lista på certifikat som organisationen använder i inkomstregistrets e-tjänst. Hen kan dessutom beställa nya certifikat via e-tjänsten.

Den tekniska processen för sökningen av certifikat och hämtningen av dem sker enligt instruktionerna för certifikattjänsten. Detaljerade anvisningar skickas per säker e-post till den tekniska kontaktpersonen.

Om programvaruleverantör X skaffar ett eget certifikat, kan alla bokföringsbyråer som använder programvaran därefter använda programvaran X:s certifikat?

Programvaruleverantör X fungerar som programvaruföretag. Varje kund som använder programvaran X, såsom en bokföringsbyrå eller ett företag, ska skaffa ett eget certifikat för produktionsanvändning av inkomstregistret.

Ska varje programvaruföretag som genomför ett tekniskt gränssnitt i inkomstregistret, genomföra ett tekniskt gränssnitt också i certifikattjänsten?

Certifikatet för produktionsskedet ska skaffas av programvaruföretagets kundföretag (en bokföringsbyrå eller ett företag). I praktiken ska man dock i programvaran genomföra en lösning med vilken certifikatet hämtas och sparas för användning av programvaran.

Vad har SFTP-kanalen för adress?

I inkomstregistrets produktionsbruk är adressen sftp.tulorekisteri.fi.

Testmiljö: sftp-testi-2.tulorekisteri.fi

Hur identifierar jag mig i SFTP-kanalen?

SFTP-användarnamn är av formen 0ac1ee931da7cf1ce_PW. Användarnamnet skickas till kontaktpersonen för testningen och till den tekniska kontaktpersonen via e-post när den part som genomför testningen har hämtat ett testcertifikat. I SFTP-kanalen identifierar man sig med SSH-autentisering med användarnamnet och en privat nyckel av det nyckelpar som intressentgruppen har använt för att skriva under signaturbegäran för certifikatet (CSR). Något lösenord används alltså inte.

Varför kommer det ett SSLHandshakeException-undantag (inkomstregistrets och certifikattjänstens gränssnitt) när man använder Web Service-tjänsterna?

Problemet hänger sannolikt ihop med den TLS/SSL-version som kundprogrammet använder och därmed anknutna kryptobibliotek. Inkomstregistrets och certifikattjänstens Web Service-gränssnitt använder ett protokoll enligt TLSv1.2 och kundprogrammet ska använda samma version. Kända problem: 

Java 7 och tidigare versioner → Uppdatera till Java 8 eller senare.

SoapUI OpenSource, version 5.3.0 och tidigare använder en föråldrad version av Java. → Uppdatera SoapUI till version 5.4.0 eller uppdatera/ersätt SoapUI-paketerade Java till version 8.

Certifikat och intressentgruppstestning

Hur kan jag ändra en annan person till certifikatets tekniska kontaktperson? Ska jag skriva ett nytt avtal?

Något nytt avtal behövs inte. Personen som har skrivit under det ursprungliga avtalet kan ändra på certifikatets tekniska kontaktperson genom att uppdatera certifikatets uppgifter i inkomstregistrets e-tjänst.

Hur testas förnyande av ett certifikat?

Det är möjligt att testa förnyande av ett certifikat i certifikattjänstens testbädd. Läs mera i anvisningen om certifikattjänstens testbädd.

Hur stänger man ett certifikat?

I intressentgruppstestningsskedet görs en begäran om stängning till den organisation som testar inkomstregistret, om det handlar om ett certifikat som beviljats för testning.

Vad används FO-numren på PDF-listan till i intressentgruppstestningen, om man inte kan hämta ett certifikat med dem?

Till varje organisation som testas skickas 40 FO-nummer och 200 personbeteckningar. Intressentgrupperna kan själva välja hur många löntagare varje betalare med FO-nummer har i löneuppgiftsmaterialet. Också personbeteckningarna kan fritt fogas till FO-numret. Man kan vid behov få fler testkunder från inkomstregister projektet. 

Du kan också anmäla till inkomstregistret ett begränsat antal av era egna testkoder som ni vill lägga till på inkomstregistrets intressentgruppstestning.

För närmare anvisningar om testning, se dokument om intressentgruppstestningen

När ett certifikat ansöks i testmiljön, hur länge gäller engångslösenordet för att hämta certifikatet (OTP, TransferPassword)?

De överföringskoder som behövs för att hämta certifikatet är i kraft i 14 dygn.

Vilken är certifikattjänstens adress i miljön för intressentgruppstestningen och vart ska tjänsteanropen skickas?

• En dynamisk WSDL kan hämtas på adressen  https://pkiws-testi.vero.fi/2017/10/CertificateServices.wsdl
• Samma WSDL och XML-scheman kan även laddas ned från inkomstregistrets webbsida
• Då gränssnittet används för ansökan om certifikat, ska tjänsteanropen skickas till adressen https://pkiws-testi.vero.fi/2017/10/CertificateServices

Detta tjänsteanrop ska göras med HTTP POST-metoden och dessutom ska följande HTTP-rubriker ställas in (headers)

Content-Type: text/xml;charset=UTF-8

SOAPAction: "getCertificate"

• SOAPAction ska vara action för operationen i fråga och de finns i WSDL-beskrivningen.
  – SOAP-meddelanden kan i princip inte skickas med webbläsaren, åtminstone inte utan tillägg (extensions och plugins), utan man måste använda ett program som kan skicka SOAP-meddelanden.

Vilket FO-nummer och kundnamn används i punkten GetCertificateRequest?

Här följer ett exempel på denna punkt och svar på CustomerID-punkten:

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:cer="http://certificates.vero.fi/2017/10/certificateservices">

<soapenv:Header/>

<soapenv:Body>

<cer:GetCertificateRequest>

<Environment>TEST</Environment>

<CustomerId>Artificiellt FO-nummer i meddelandet ”Testavtalet för inkomstregistret har behandlats”</CustomerId>

<!--Optional:-->

<CustomerName>Artificiellt kundnamn i meddelandet ”Testavtalet för inkomstregistret har behandlats”</CustomerName>

<RetrievalId>från certifikattjänsten erhållen RetrievalId</RetrievalId>

</cer:GetCertificateRequest>

</soapenv:Body>

</soapenv:Envelope>

Vår organisation vill använda flera olika certifikat i intressentgruppstestningen av inkomstregistret. Ska vi ingå ett testavtal för varje certifikat för intressentgruppstestning?

Nej. Varje organisation ingår ett testavtal för intressentgruppstestningen. Om en organisation vet att den behöver flera certifikat för testningen, anteckna med anmälan om inledning av testning antalet nödvändiga certifikat och användningsbegränsningarna för certifikaten. Om olika certifikat har olika tekniska kontaktpersoner, ska också deras uppgifter meddelas.

Om testavtalet redan godkänts eller om testningen redan pågår, kan programvaruföretaget begära flera certifikat med kontaktblanketten för testning.

Testning blanketter

Är det nödvändigt att från resehanteringssystemet genomföra ett tekniskt gränssnitt till certifikattjänsten eller är det så att certifikat inte överlämnas för testning på annat sätt än via gränssnittet för certifikattjänsten?

Certifikatet för testningen sänds enbart via certifikattjänstens gränssnitt.

Den privata nyckel som anknyter till certifikatet innehas enbart av den programvara som anknyter till inkomstregistret, varför kunden ska bilda den. Certifikattjänstens gränssnitt är ett Web Service-gränssnitt, varför hämtningen av certifikat kan integreras som en fast del av kundprogrammet eller så kan certifikatet hämtas med separata Web Service-programvaror såsom SoapUI eller Postman.

Att underteckna certifikat

Vilka är uppgifterna i signaturbegäran för certifikatet?

I det skede då en signaturbegäran för certifikatet (CSR) bildas, begärs uppgifter om den organisation som skaffar certifikatet (Subject). Av dessa uppgifter lönar det sig att i signaturbegäran fylla i följande organisationsuppgifter:

• Common Name (CN), anteckna det artificiella FO-numret
• Organization (O), anteckna det tilldelade kundföretagsnamnet
• Country (C), anteckna FI

I produktionen används företagets egna uppgifter, i testmiljön används de testorganisationsuppgifter som getts till företaget.

Vilka är de rätta attributen för användningen av Signature-noden?

I inkomstregistrets dokumentation är den teknisk bestämning av underteckning i inkomstregistrets gränssnittsdokumentation: Tekniskt gränssnitt − Tillämpningsanvisning.

<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />

<SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256" />

<Reference URI="">

<Transforms>

<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />

<Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />

</Transforms>

<DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256" />

Hur bildas ett nyckelpar? Hur skapas en PKCS#10-certifikatfil och hur fogar man en offentlig nyckel till den?

Lösningarna beror på tekniken parten använder sig av. I kapitel 5 i anvisningen om certifikattjänstens testbädd presenteras ett möjligt sätt att skapa en signaturbegäran för certifikatet (CSR) i PKCS#10-format i certifikattjänstens testmiljö.

Hur fogas CSR-data till en signNewCertificate-operation?

Den base64-enkodade signaturbegäran (CSR) som finns i CertificateRequest-elementet ska anges utan start- och sluttaggar:

-----BEGIN CERTIFICATE REQUEST-----

base64 enkodad CSR-----

END CERTIFICATE REQUEST-----

Granskas de värden som ingår i CSR (signaturbegäran för certifikatet), såsom common name? Finns det fastställda begränsningar vad gäller dessa, till exempel ska de uppgifter som ingår i CSR vara de samma som i det ursprungliga certifikatet då ett certifikat förnyas, eller ska dessa uppgifter på något sätt motsvara uppgifterna om det företag som skaffar certifikatet?

CSR används tekniskt sett enbart för att leverera en offentlig nyckel. Dess integritet granskas, men de egentliga datafälten i certifikatet utnyttjas inte. Användning av data i andra sammanhang, såsom för att utreda fel är inte uteslutet, varför det är bra att fylla i relativt korrekta uppgifter.

Hämtning av certifikat

När ska certifikatet hämtas?

Certifikatet måste hämtas inom 14 dygn från att den skapats. Hämtningstiden kan inte förlängas. Om tidsfristen löper ut, måste organisationen göre en ny certifikatansökan och hämtat certifikatet i tid.

Varför lyckas inte hämtningen av certifikat?

Hämtningen av certifikat kan misslyckas till exempel på grund av en felaktig hämtningskod (RetrievalId).

Vid ansökan om certifikat måste man beakta att en signaturbegäran (SignNewCertificate) får göras med överföringskoder (TransferId och TransferPassword) bara en gång. Hämtning av certifikat (GetCertificate) kan göras med samma hämtningskod (RetrievalId) flera gånger. På grund av en fördröjning mellan signaturbegäran och hämtningen är det skäl att vänta en stund.

Begäran om att skapa ett certifikat som hämtas med en GetCertificateRequest-begäran är fortfarande under behandling.  Har situationen en egen felkod?

Det finns inte en separat felkod. Tidsfördröjningen för ansökan om certifikat har förlängts i GetCertificateRequest-begäran, vilket betyder att situationer där begäran fortfarande är under behandling allt mer sällan borde förekomma.

Vilken är behandlingstiden vid hämtning av ett begärt eller förnyat certifikat med en GetCertificateRequest-begäran?

I dokumentationen har väntetiden fastställts till 5 minuter, men i praktiken är tiden kortare än 30 sekunder. Ofta är tiden klart kortare.

Hur får en redovisningsbyrå engångslösenordet och överföringskoden via det tekniska gränssnittet? Behöver slutkunden alls befullmäktiga redovisningsbyrån?

Redovisningsbyrån ingår ett avtal om användningen av det tekniska gränssnittet i inkomstregistrets e-tjänst och anger kontaktpersonen för certifikatet.

Kontaktpersonen för certifikatet får ett säkert e-postmeddelande till sin angivna e-postadress och ett SMS med en PIN-kod med vilken hen kan öppna e-postmeddelandet. Överföringskoder (TransferID och TransferPassword) som hänför sig till certifikatbegäran finns i e-postmeddelandet. 

En redovisningsbyrå ska inneha ett giltigt uppdragsavtal och behörighet att agera för sin kund.

Ska man skapa en egen offentlig nyckel, en privat nyckel samt en separat PKCS#10-certifikatbegäran för varje kund för skapandet av ett nytt certifikat? Räcker det inte med en gemensam offentlig/privat nyckel samt en fil för PKCS#10-certifikatbegäran för alla kunder? I så fall skulle den överföringskod och det engångslösenord som skickats till kunderna räcka till identifiering vid skapandet av en ny hämtningskod för certifikat och XML-underskriften.

Om det är fråga om en bokföringsbyrå, kan byrån använda sitt eget certifikat och skapa material och anmäla uppgifter för sina kunder. Om det är fråga om förmedling av material, ska man skapa ett eget nyckelpar och en signaturbegäran för certifikatet för varje kund och skapa certifikat av dessa.

Hur sparas ett certifikat som fåtts från en getCertificate-operation i en fil?

Om det certifikat som fås i svarsmeddelandet sparas manuellt i en fil, ska man i den base64-enkodade uppgiften i Certificate-elementet lägga till start- och sluttaggar på den egna raden, på så sätt att certifikatuppgiften lämnar mellan dessa:

-----BEGIN CERTIFICATE-----

base64-enkodat certifikat

-----END CERTIFICATE-----

Förnyande av certifikat

Hur och när förnyas ett certifikat? Kan ett certifikat förnyas automatiskt?

Organisationen ser certifikatets giltighetstid i inkomstregistrets e-tjänst eller från själva certifikatet. Organisationen skickar begäran om förnyande av ett certifikat tidigast 60 dygn innan certifikates sista giltighetsdatum via inkomstregistrets e-tjänst. Om certifikatet hinner löpa ut innan förnyande av certifikatet måste organisationen göra en nya certifikatansöka i inkomstregistrets e-tjänst.

Huruvida det är möjligt att förnya ett certifikat automatiskt beror på programvaruhusens praxis.

När ett certifikat förnyas, ersätter det nya certifikatet det gamla genast, eller är det gamla i kraft fram till giltighetsdatumet för det ursprungliga?

Det tidigare certifikatet lämnar i kraft, fram till dess att det går ut eller en separat begäran görs för att stänga det. Det nya certifikatet är ersättande i det hänseendet att det har samma DN som det tidigare, men själva certifikatet är nytt

Ska man generera ett nytt nyckelpar?

Ja. Med förnyelse av nyckeln vill man minska risken av att nyckeln hamnar i fel händer.

Hur skapar man en XML-underskrift med en privat nyckel?

Specifikationerna för XML-underskrifter har publicerats i inkomstregistrets gränssnittsdokumentation.

Vilken teckenuppsättning ska användas i gränssnittets tjänster?

UTF-8-teckenuppsättningen ska användas i gränssnittets tjänster.

Certifikat och SaaS-tjänsten

Vilket är förfarandet om ett företag köpt lönerelaterade tjänster som en SaaS-tjänst av en programvaruleverantör? Kan det på samma server finnas många företags certifikat för inkomstregistret?

Inkomstregistret tar inte ställning till hur många certifikat som finns på samma server. Med andra ord är inte antalet begränsat.

Också i SaaS-tjänsten skaffar varje företag som anmäler uppgifter ett eget certifikat. Som teknisk kontaktperson för certifikatet är det möjligt att utse en företrädare för SaaS-serviceleverantören, då han eller hon för företagets räkning kan hämta och installera ett certifikat.

Certifikat och bokföringsbyråer

Hur hämtar man certifikat och hur används de i en bokföringsbyrå? Har bokföringsbyrån ett certifikat som används för alla kunder?

Exempel: Bokföringsbyrå A, med kunderna:
Kund 1 Ab
Kund 2 Ab
Kund 3 Ab 

Bokföringsbyrå B, med kunderna:
Kund 2 Ab
Kund 4 Ab, vill själv göra materialbeställningar

En prokurist vid bokföringsbyrån ingår ett serviceavtal med inkomstregistret och skaffar ett certifikat.

I samband med ansökan om certifikat är det möjligt att som teknisk kontaktperson utse till exempel en företrädare för programvaruföretaget, som i praktiken sköter hämtningen av certifikat för bokföringsbyrån. Certifikatet kan i praktiken bildas för bokföringsbyrån av den aktör som bokföringsbyråns prokurist antecknat som teknisk kontaktperson.

Vilket är förfarandet för Kund 2 Ab, vars löneärenden sköts av Bokföringsbyrå A och Bokföringsbyrå B?

Bägge bokföringsbyråer har egna certifikat och de sköter ärenden för sina kunders räkning på normalt sätt, enligt överenskommelsen om uträttande av ärenden med Kund 2 Ab.

Vilket är förfarandet för Kund 4 Ab, som själv vill göra materialbeställningar, men vars anmälningar sköts av Bokföringsbyrå B?

Kund 4 Ab kan använda e-tjänsten för att beställa material eller skaffa ett eget certifikat. Bokföringsbyrå B har ett eget certifikat, som används för anmälan.

Behöver bokföringsbyråer och företag som använder löneberäkningsprogram skaffa certifikat? Behöver ett företag eller en bokföringsbyrå befullmäktiga programvaran X att sända material för dess räkning?

Företag och bokföringsbyråer som använder ekonomiförvaltningsprogrammet behöver var och en egna certifikat. Om en bokföringsbyrå sköter ett företags ärenden, behöver bokföringsbyrån ett certifikat, som det använder för att uträtta ärenden för alla sina kunders räkning. Ett företag som är kund hos en bokföringsbyrå behöver med andra ord inte ett eget certifikat, om det inte själv anmäler löner via gränssnittet.

När en bokföringsbyrå förbundit sig till användningsvillkoren för inkomstregistret, kan det anmäla uppgifter via gränssnittet för ett kundföretag som det företräder. Med andra ord behöver det företag eller den bokföringsbyrå som använder ekonomförvaltningsprogrammet ett certifikat.

Suomi.fi-befogenheter behövs inte för att använda det tekniska gränssnittet. Däremot används Suomi.fi-identifiering i e-tjänsten för inkomstregistret och företaget ska ge nödvändiga personer och aktörer Suomi.fi-fullmakter för att sköta ärenden för dess räkning.

Hur ska man förfara om en bokföringsbyrå eller ett företag har flera programvaror, från vilka anmälningar produceras direkt till inkomstregistret (till exempel löneberäknings- och resehanteringsprogram)?

Samma certifikat kan användas i olika programvaror hos samma bokföringsbyrå/kundföretag. Samma certifikat kan användas med olika programvaror vid en bokföringsbyrå eller företag, om samma typ av certifikat lämpar sig för olika programvarors behov. Alternativt kan ett eget certifikat skaffas för varje programvara.