Postup volání služeb s využitím kvalifikovaného certifikátu

Webové služby, které poskytuje MZe v rámci portál farmáře MZe (dále PF) s typem zabezpečení PF (služba vyžaduje autorizaci minimálně na úrovni loginu do portálu farmáře a WS klíče) je možné autentizovat i pomocí elektronického podpisu ve formátu xml:Signature.

Výhody použití certifikátu

Webové služby poskytované ze strany MZe se rozdělují na čtecí a zápisové.

Čtecí služby

Čtecí služby poskytují informace z konkrétního agendového systému. Vstupní parametry těchto služeb jsou většinou velmi podobné a jedná se o určitou formu filtračních parametrů (rok, číslo zvířete, číslo žádosti, atd.).

U čtecích služeb není přínos použití certifikátu významný, protože podepsání requestu klientským certifikátem vůči agendovému systému, zde nepřináší pro volající stranu žádný benefit.

Zápisové služby

V rámci zápisových služeb předává volající strana do agendového systému určitá data. Prostředí MZe poskytuje několik zápisových služeb, které se využívají pro přenos dat do agendových systémů. Tyto zápisové služby si můžeme rozdělit na služby, které:

  1. poskytují rozhraní pro příjem dat do agendy, které je vykonávána na straně rezortu MZe (zde konkrétní ÚKZÚZ) agendou dle správního řádu (žádosti o uznání porostu, žádosti o uznání osiva),
  2. poskytují rozhraní pro příjem dat, která nejsou vedena v agendě na straně rezortu MZe dle správního řádu (hlášení pohybů zvířat, prohlášení vůči Registru vinic nebo Registru sadů, zakládání zemědělských parcel, atd.)

Použití certifikátu pro služby uvedené výše pod bodem 1. znamená realizaci celého elektronického podání pouze prostředictvím uvedené služby bez nutnosti využití dalšího rozhraním (datové schránky, písemné formy žádosti). Na straně žadatele, tak významně klesá administrativní zátěž při komunikaci s rezortem MZe.

Parametry certifikátu, jeho registrace a definice oprávnění

Parametry certifikátu

Ze strany MZe je vyžadován kvalifikovaný certifikát vydaný důvěryhodnou certifikační autoritou.

V rámci ČR se jedná o autority:

  • První certifikační autorita, a.s. (I.CA),
  • Česká pošta, s.p. (PostSignum QCA),
  • eIdentity a.s.

Registrace certifikátu

Certifikát musí být před jeho použitím párován s konkrétním účtem 99. Ke konkrétnímu účtu 99 je možné v jeden okamžik mít propojen pouze 1 certifikát.

V současné době je registrace certifikátu možná třemi způsoby:

Způsob registrace Popis postup
S využitím poštovního klienta - pouze v případě, že emailová adresa je evidována pouze pro jeden účet 99. Nelze takto registrovat certifikát pokud je stejná emailová adresa vedena pro více účtů 99.

Odešlete na emailovou adresu certimport@mze.cz podepsanou emailovou zprávu dle standardu SMIME. Email je nutné odeslat z klientského SW, který podporuje práci s elektronicky podepsanými email - např. Outlook.

Podpora ve webových poštovních klientech (email.cz, gmail.com) není obvyklá.

 

Systém elektronický podpis vyhodnotí a pokud je v pořádku zašle zpět na email odesílatele výzvu k potvrzení registrace certifikátu. Tuto výzvu je nutné znovu odeslat (formou reply) na adresu certimport@mze.cz a znovu provést podpis emailové zprávy.

 

Pokud zpracování opakované výzvy dopadlo dobře je uživatel informován o registraci certifikátu ke konkrétnímu účtu 99.

Prostřednictvím helpdesku MZe.

Kontaktujte helpdesk MZe (telefonicky, emailem) a sdělte jim, že chce k určitému účtu 99 přiřadit veřejný klíč vašeho certifikátu.

HD MZe ověří soulad jména, příjmení a emailu v certifikátu proti údajům u účtu 99 a provede párování.

 

+420 222 312 977 nebo pište na: helpdesk@mze.cz.

Prostřednictím portálu eagri.cz Do aplikace Editace kontaktů byla přidána nová funkcionalit, která umožňuje vložení veřejné části certifikátu. Návod na vložení certifikátu tímto způsobem je na konci článku. V současné době se jedná o nejrychlejší a nejpohodlnější způsob jak registraci provést.

Certifikát je možné zaregistrovat i do testovacího prostředí k testovacím účtům 99. Pro registraci do testovacího prostředí pomocí emailu je nutné využít emailovou adresu certimport-test@mze.cz nebo opět oslovit helpdesk MZe.

V roce 2022 se ještě připravuje získávání certifikátu z Informačního systému základních registrů a certifikáty registrované v systému ROB bude možné využívat i na portálu eagri.cz.

Definice oprávnění

Oprávnění pro použití certifikátu při volání zápisových webový služeb je omezeno.

Důvodem nastavení oprávnění je ochrana samotného subjektu, aby měl pod svou kontrolou osoby/loginy, které mohou činit podání za subjekt prostřednictvím webových služby s elektronickým podpisem.

Pro organizaci s automatickým režimem přidělování rolí byla role přidělena automaticky všem účtům 99. U organizace s ručním režimem přidělování rolí by bylo nutné roli prostřednictvím aplikace SURF nastavit konkrétním účtům.

Omezení je pouze pro zápisové služby (aktuálně OOS_ZUP01C, OOS_ZUO01B). Na čtecí služby se omezení nevtahuje.

Parametry pro generování xml:Signature

Parametr/vlastnost Hodnota/vysvětlení
Typ zabezpečení BinarySecurityToken

Způsob přenosu veřejného klíče

 

BinarySecurityToken atribut ValueType

Přenáší se pouze samotný certifikát klienta bez cesty k nadřízené certifikační autoritě.

 

 

http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3

Kanonizační metoda http://www.w3.org/2001/10/xml-exc-c14n#

DigestMethod

 

(více možných variant)

http://www.w3.org/2000/09/xmldsig#sha1

 

http://www.w3.org/2001/04/xmlenc#sha256

SignatureMethod

 

(více možných variant)

http://www.w3.org/2000/09/xmldsig#rsa-sha1

 

http://www.w3.org/2001/04/xmldsig-more#rsa-sha256

Podepisovaná část soapenv:Body
WSadressing není nutné uvádět

Příjem podání

OCSP

V rámci volání systém MZe vyhodnocuje platnost certifikátu na systém OCSP. Pokud má autorita systém OCSP zaveden a v době zpracování XMLsignature je OCSP systém pro MZe nedostupný je volání ukončeno chybou.

Korektní podání

Korektně přijaté elektronické podání je takové, které projde validací elektronického podpisu a zároveň je zpracováno agendovým systémech.

Až na drobné výjimky je korektně přijaté podání to, kdy odpověď systému MZe je s http statusem 200.

U některých agendových systém je strukturovaná odpověď chyby, která se také vrací v rámci http statusu 200 a je nutné vždy přijetí zprávy v odborném SW volající strany vyhodnocovat.

Potvrzení u podání s elektronickým podpisem

U podání, která jsou učiněna s elektronickým podpisem a jsou z pohledu rezortní organizace vyhodnocena jako přijatá je odesláno potvrzení o přijetí nebo informace o zahájení správního řízení pokud je žádost ve správním řádu.

Přehled chybových stavů

Kód chyby Vysvětlení
X299911    Zpráva obsahuje více výskytů SOAP hlavičky WSSE:Security.
X299920    Platnost zprávy vypršela. Zkontrolujte prosím nastavení času na Vašem počítači a pošlete zprávu znovu.
X299950    Digitální podpis zprávy je porušen.
X299990    Nepodařilo se sestavit řetěz certifikátů. Použitý certifikát pravděpodobně nebyl vydán povolenou certifikační autoritou. Vyberte prosím platný certifikát, nebo kontaktujte správce systému.
X299991    Použitý certifikát nebyl vydán důvěryhodnou certifikační autoritou. Vyberte prosím platný certifikát, nebo kontaktujte správce systému.
X299992    Nepodařilo se ověřit stav zneplatnění certifikátu. Prosím kontaktujte správce systému.
X299999    Použitý certifikát byl zneplatněn. Vyberte prosím platný certifikát.
X230000    Vyžadován digitální podpis zprávy.
X230001    Vyžadován digitální podpis nebo HASH zprávy.
X230050    Certifikát je neplatný, nelze pokračovat ve zpracování.
X230051    Použitý certifikát je v tento okamžik neplatný. Platnost certifikátu ještě nezačala.
X230052    Použitý certifikát je již v tento okamžik neplatný. Platnost certifikátu skončila. Vyberte prosím platný certifikát.
X230053    Použitý certifikát není určen k digitálnímu podpisu. Vyberte prosím platný certifikát, nebo kontaktujte správce systému.
X230149    Není vyplněn atribut UIDkey/@certificateSN. Nelze pokračovat ve zpracování.
X230100    Uvedená hodnota sériového čísla Vašeho osobního certifikátu v atributu UIDkey/@certificateSN nesouhlasí s certifikátem, kterým byla zpráva podepsána. Nelze ověřit Vaši identitu. Prosím kontaktujte Vašeho administrátora.
X230215    Použitý osobní certifikát uživatele není certifikátem očekávaným (registrovaným) v příslušné autorizační databázi (nesouhlasí CA). Vyberte prosím správný certifikát, nebo kontaktujte správce systému.
X230216    Použitý osobní certifikát uživatele není certifikátem očekávaným (registrovaným) v příslušné autorizační databázi (nesouhlasí sériové číslo). Vyberte prosím správný certifikát, nebo kontaktujte správce systému.
X230217    Použitý osobní certifikát uživatele není certifikátem očekávaným (registrovaným) v příslušné autorizační databázi (nesouhlasí data certifikátu). Vyberte prosím správný certifikát, nebo kontaktujte správce systému.
X230210    Uživatel nemá v autorizační databázi registrován osobní certifikát. Nelze ověřit identitu. Prosím kontaktujte správce systému.
X230897    Nastala chyba při ověřování podpisu. Prosím kontaktujte správce systému.

Testování

Testování elektronického podpisu je možné provádět na všech čtecích službách bez jakéhokoliv omezení. Princip vyhodnocení dat requestu je stejný pro zápisové a čtecí služby a pokud tak bude mechanismus tvorby elektronického podpisu fungovat pro čtecí služby je velká pravděpodobnost, že bude funkční i pro služby zápisové.

Nástroj SoapUI

Vývojářský nástroj SoapUI má v sobě podporu pro tvorbu elektronicky podpesané XML zprávy. Na následujících obrázcích je patrný způsob konfigurace, který umoňuje zaslat elektronicky podepsané XML.

Je důležité v rámci SoapUI nastavit odebrání bílých znaků při generování dat requestu.

Související odkazy

Tyto webové stránky využívají k analýze návštěvnosti soubory cookies. Pokud váš internetový prohlížeč má v nastavení cookies povoleny, je nezbytný váš souhlas s použitím této technologie.

Více informací

Chyba komunikace se serverem

Nastaly technické problémy. Zkontrolujte prosím připojení k síti, a pokud pracujete jako přihlášený uživatel, ověřte prosím nastavení VPN a stav přihlášení.