Produkcija - Produkcijski certifikat (p12) i što još instalirati kod klijenata ?

Dec 15, 2012 at 12:59 PM

Pozdrav ekipa,

Čitajući kroz forume pronašao sam par odgovora na moje pitanje ali svaki je dao drugačiju informaciju pa da konkretno pitam

U SQL bazu snimam produkcijski certifikat (P12) sa kriptiranim passwordom.

Da li moramo na sva klijentska računala još instalirati neki certifikat, kao što smo morali kod tesitranja (Verifikacijski/root (samopotpisani) certifikat za Demo CA) ili ne ?

Nemam nikakva iskustva do sada sa certifikatima pa sorry ako je previse noob pitanje :)

Dec 15, 2012 at 8:09 PM

i mene zanima

tu ima uputa za skidanje produkcijskog certifikata http://www.fina.hr/lgs.axd?t=16&id=13539

i pri dnu se spominje instalacija RDC CA root certifikata

ali nemam pojma da li je to sve ili treba još nešto

Dec 15, 2012 at 10:33 PM

Koliko mi se cini ova 2 certifikata su zamjena za ona 2 demo koje smo mi koristili za testiranje FISKAL 1, koji sluzi za potpisivanje i vezan je bas za firmu (u njemu je OIB) i onaj drugi, DEMO (democacert.cer), samopotpisujuci, koji se nalazio u Trusted Root-u.

E sad je valjda ovaj *.P12 (prije je to bio *.PFX) taj glavni certifikat vezan za konkretnog obveznika fiskalizacije (https://mojcert.fina.hr/finacms), a ovaj RDC CA  (http://rdc.fina.hr) je zamjena za nekadasnji samopotpisujuci DEMO i koliko sam ja skuzio on sluzi za sifriranje same komunikacije kroz SSL.

Volio bih da ovo moje razmisljanje potvrdi (ili opovrgne) netko strucniji. Isto tako, da li je bitan redosljed instalacije? U uputama se navodi prvo instalacija privatnog, pa onda root certifikata, sto meni ne zvuci bas najlogicnije, ali ako je svejedno...

Isto tako, da li instalacija ovih certifikata smeta postojecim DEMO certifikatima? Jer pored toga sto ja imam DEMO od firme, morat cu imati i "prave" certifikate. Kako onda razlikovati ta 2 personalna certifikata, ako im se pristupa kroz Certifikat Store (CS), jer mi se cini da se oba u CS-u zovu FISKAL 1 (barem po slikama)? I jos nesto, koja je razlika izmedju P12 i PFX extenzija?

 

Dec 15, 2012 at 11:21 PM

a) nema razlike kod korištenja pfx i p12 certifikata

b) rdc ca certifikat služi da firefox/explorer ne gnjavi kod pristupa stranici rdc.fina.hr tj. to je certifikat koji potvrđuje https status, nije potreban za komunikaciju

c) najjednostavnije rješenje (ako postoji problem zbog istih naziva) jer koristiti certifikat kao datoteku...tad se ona može zvati bilo kako

Dec 16, 2012 at 9:26 AM

hmmm meni jos uvjek nije jasno :dumb:

Ja sam od svojih klijenata dobio P12 certifikat koji sam pohanio u bazu. Moje je pitanje samo da li ću na svako klijenstko računo morati instalirati i taj dodatni certifikat sa FINA-ine stranice jer viggor kaze da moram, dok AndrijaS kaze da ne ? .. u testnoj okolino sam MORAO ... ovo je jako vazno da saznam jer imamo puno lokacija cijelom hrvatskom pa da se znamo organizirati tj. nekima mozda napisato upute iako znam kako to zavrsava u 50% slučajeva.

Dec 16, 2012 at 11:34 AM

Cvijo...pažljivo pročitati upute Fine o preuzimanju certifikata, pogotovo dio koji se odnosi na RDC CA....

Dec 16, 2012 at 6:32 PM
AndrijaS wrote:

a) nema razlike kod korištenja pfx i p12 certifikata

b) rdc ca certifikat služi da firefox/explorer ne gnjavi kod pristupa stranici rdc.fina.hr tj. to je certifikat koji potvrđuje https status, nije potreban za komunikaciju

c) najjednostavnije rješenje (ako postoji problem zbog istih naziva) jer koristiti certifikat kao datoteku...tad se ona može zvati bilo kako


Jesi li ti siguran da RDC CA nije potreban? meni u DEMO varijanti nije radilo nista dok nisam njega (democacert.cer) instalirao. tek tad je proradio ECHO, a slanje racuna i posl.prostora tek kad sam instalirao i privatni DEMO certifikat.

Meni ne odgovara koristenje .pfx/.p12 fajlova jer vanjski program koji koristim za komunikaciju sa CIS-om je napravljen tako da ga cita iz CS-a (Fiska2Tray). Osim toga, postoji i dodatni problem zastite lozinke kojom se pristupa .pfx/p12 fajlovima.

Ajmo malo majstori za certifikate, pomozite nam u ovim nedoumicama.

BTW, kad se krene s tim produkcijskim certifikatima, jel onda vise nema zajebancije i testiranja? Racuni postaju zvanicni dokumenti, zar ne? Cime onda da klijenti vrse 2 dana testiranja prije pocetka stvarnog rada, kao sto stoji u dokumentaciji? Sa nasim DEMO certifikatom? Jer koliko mi se cini, samo softverske firme mogu dobiti DEMO certifikat ?!?!

Dec 16, 2012 at 9:20 PM

Vezano na democacert.cer,

S obzirom da radim fiskalizaciju za PDA uređaje potpisivanje i slanje u CIS radim preko WCF servisa pa sam imao problema sa SSL vezom na CIS ( The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel ), te sam dodao

ServicePointManager.ServerCertificateValidationCallback =New Net.Security.RemoteCertificateValidationCallback(Function() True)

liniju koda prije  request.GetRequestStream u funkciji SendSoapMessage.

Dodavanjem ove linije uočio sam da i ako na razvojnom kompu ako maknem DEMO cert iz Trusted Root veza na CIS radi.

Samo neznam dali je iz sigurnosnih razloga to u redu i dali će isto raditi u produkciji.

 

 

Dec 16, 2012 at 10:26 PM

U Fininom dokumentu: upute za preuzimanje produkcijskih certifikata:

9.  Dodatak: preuzimanje i pohrana RDC CA root certifikata

Da bi se riješio problem kojim Internet Explorer i Mozilla Firefox upozoravaju na mogući sigurnosni
problem prilikom pristupa stranici https://mojcert.fina.hr/finacms/, potrebno je prvo preuzeti RDC
CA root certifikat te ga zatim pohraniti unutar Windows Certificate Store-a.

Treba li nacrtati?

Dec 17, 2012 at 10:55 AM

@AdrijaS: ne nije potrebno crtati ja pitam

Verifikacijski/root (samopotpisani) certifikat za Demo CA koji sam morao instalirati na računalo da bi proveo testnu fiskalizacija, ja ovdje ne pitam o nikakvom preuzimanju certifikata da bi se rješio problem IE i Mozille ... nego jednostavno NISAM mogao sa svog računala napraviti fiskalizaciju dok nisam OVO instalirao ..pa mi nije jasno da li to moram isto tako instalirati kod svih klijenata ... a preuzimanje certifikata sa https://mojcert.fina.hr/finacms/ cu odraditi sa jednog računala ....

Da li je moje pitanje sada jasnije ?

Dec 17, 2012 at 11:10 AM
Edited Dec 17, 2012 at 11:13 AM

Koliko sam ja shvatio, Fina nije validan Certificate Authority (barem ne izvan granica Lijepe naše - time postižu "Finu uštedu"). Ne postoji ispravan certificate chain kojim se s kase može potvrditi da je cis.porezna-uprava.hr taj koji tvrdi da je (i ostvariti SSL vezu s njim), osim ako ti na kasi ne instaliraš verifikacijski root certifikat (produkcijski - RDC CA certifikat) kojim kažeš da vjeruješ Fini.

Iz istog razloga ti i browser javlja da ne može ostvariti sigurnu vezu sa mojcert.fina.hr, dok ne instaliraš taj RDC CA certifikat.

@AndrijaS:

Ako si se ti odlučio pouzdati u semantičke finese u Fininim uputama, puno sreće s tim.

Ja ću unaprijed instalirati i produkcijski root certifikat kod korisnika, da ne bi poslije 27.12 opet morao trčati od korisnika do korisnika.

Dec 17, 2012 at 11:13 AM

emu je u pravu.. Iako se moglo napraviti da je u jednom certifikatu cijeli "chain", odnosno da ne treba Root, ali dobro.. Znamo svi kakvi diletanti rade tamo..

Najispravnije moguće rješenje je uvijek imati i root i RDC, ne može štetiti, već samo biti od koristi.

Coordinator
Dec 17, 2012 at 11:28 AM

Evo još malo pojašnjenja: http://blog.fiskalizacija-dev.com.hr/post/2012/10/17/Certifikati-i-fiskalizacija.aspx

Dec 17, 2012 at 11:52 AM

To je naravno Demo CA, a koliko ja vidim "pravi" certifikat se niti nemože još skinuti?

Dec 17, 2012 at 11:57 AM

naravno da može:

http://rdc.fina.hr/CA/RDCca.cer

Dec 17, 2012 at 12:13 PM

Zavaljujem. Neznam kako sam to promašio.

Dec 17, 2012 at 12:17 PM

U produkcijskom certifikatu se nalazi cijeli "chain"

Dec 17, 2012 at 12:54 PM

@andrejp

Jesi siguran? To bi bilo super. Jedino što moramo čekati 27.12 da bi bili potpuno sigurni da stvar radi.

Dec 17, 2012 at 1:13 PM

Siguran sam. Kada potpisujem XML produkcijskim certifikatom dobijem i aplikacijski i root certifikat u potpisu. E sad, mene muči da li će to proći na produkcijskom serveru jer sa DEMO certifikatom u XML-u bi bio samo DEMO certifikat bez root.a

 

Dec 17, 2012 at 2:16 PM

kako će biti veselo 3 dana prije produkcije... xD

Dec 17, 2012 at 5:38 PM

 Ja, kada potpisujem produkcijskim, u potpisanom XMLu imam i dalje samo jedan certifikat - produkcijski :)

Andrej, jesi li možda "progurao" svoj produkcijski certifikat kroz Firefox?

Navodno da on, prilikom exporta, u certifikat injektira i root.
Neka netko provjeri ovu teoriju. Ja nemam kad - prodajem "fiskalne blagajne" :)))

Dec 17, 2012 at 5:55 PM

@mladene, probao jesam ja.

Pri potpisu,   <X509Certificate> node je uvijek jedan, bilo da se radi o produkcijskom ili demo certifikatu, samo sto je   <X509Certificate> node kod produkcijskog certifikata malo dulji od DEMO.

Ideje?

Dec 17, 2012 at 6:34 PM

Gospodo, kako je sada s time, da li mogu korisnicima vec instalirati produkt sa njihovim aplikativnim certifikatom ili moram cekati taj datum 27.12 . Dakle zanima me da li mogu instalirati produkcijske certifikate danas i staviti da je kasa u funkciji pa onda 27.12, resetirati program da opet sve ide od racuna broj 1 ili kako vec?

lp,Sanjin

Dec 17, 2012 at 6:59 PM

Očito da koristimo različita riješenja. Ja potpisujem XML tako da pokupim sve što nađem u P12 datoteci koju sam dobio od FINA.e

Pretpostavljam da vi ostali koristite rješenje gdje se iz store-a uzima samo certifikat sa nazivom FISKAL 1

Dec 17, 2012 at 7:07 PM

andrejp - očito imaš nekakvu pogrešku, ne bi smio imati 2 certifikata u potpisu, sistem je isti kao i s demo certifikatom

Dec 17, 2012 at 7:26 PM

Nije isti. u demo certifikatu imaš samo aplikativni certifikat u produkcijskom certifikatu (P12 datoteka koju preuzmeš od FINE) postoji uz aplikativni i root certifikat.

Dec 17, 2012 at 7:48 PM

@andrejp, a gdje ti vidiš dva certifikata? Daj nam neku sliku. Ja imam samo aplikativni cert.

Dec 17, 2012 at 8:04 PM

Ukratko, dobijem dva : 

1. <X509SubjectName>  CN=FISKAL 1, L=RIJEKA, O=IME_stranke HRXXXXXXXXXXX, C=HR  </X509SubjectName>
     <X509IssuerName>   OU=RDC, O=FINA, C=HR  </X509IssuerName>

2. <X509SubjectName>  OU=RDC, O=FINA, C=HR  </X509SubjectName>
    <X509IssuerName>  OU=RDC, O=FINA, C=HR  </X509IssuerName>

 

Znači dva javna ključa, potpisni i root CA koji ga je izdao.

Dec 17, 2012 at 8:21 PM
Edited Dec 17, 2012 at 8:26 PM

Ja nemam atribute koje si naveo.
Kod mene je ovako :

 

        <KeyInfo>
          <X509Data>
            <X509IssuerSerial>
              <X509IssuerName>OU=RDC, O=FINA, C=HR</X509IssuerName>
              <X509SerialNumber>OvdjeJeMojSerijskiBroj</X509SerialNumber>
            </X509IssuerSerial>
            <X509Certificate>OvdjeJeBase64String</X509Certificate>
          </X509Data>
        </KeyInfo>

 

Ja ne koristim "fiskalizator" s ovih stranica. Samostalno sam sve napisao u C#. Sada dohvaćam cert iz P12 datoteke. Idem probati iz storea.

/Edit :
I kada dohvatim iz Windows storea, ista mi je stvar. Samo jedan cert.
Jesi možda primio cert Firefoxom. Linux?

Dec 17, 2012 at 8:28 PM

Koristim rješenje dohvata certifikata iz pfx fajla.

Ista struktura mi je kao kod Mladena.

@adnrejp, mislim da tebi neće biti ispravan XML.

Dec 17, 2012 at 8:33 PM

@andrejp, a koju grešku dobiješ sa servera kada probaš poslati tako potpisani XML?

Dec 17, 2012 at 8:33 PM
Edited Dec 17, 2012 at 8:35 PM

Prolazi normalno na testnom serveru. 

Mislim na DEMO certifikat u kojem sam stavio FISKAL 1 demo certifikan i ROOT certifikat. 

 

Dec 17, 2012 at 8:34 PM

andrej, ne pratim.. produkcijski certifikat, koji ima chain u sebi, prolazi na serveru.. koji nije produkcijski? kako?! 

Dec 17, 2012 at 8:35 PM

Uostalom, vidjet ćemo 27.12.. Ako ne prođe ima da me nema :)

Dec 17, 2012 at 8:36 PM

bolje da od nas konstruktivno "dobiješ po nosu" nego od klijenata :)

Dec 17, 2012 at 8:38 PM

ni ja više ne pratim.

ovo sve pričamo za produkcijski certifikat, ne demo. meni javlja 002, da cert nije izdala FINA, ali to je vjerojatno zato što na demo serveru ne radi LDAP.

Dec 17, 2012 at 8:40 PM
Edited Dec 17, 2012 at 8:42 PM

I ja sam danas probao to isto izvesti, mladene i javi upravo to - nije izdan od strane Fine.

@andrej, probaj obrisati DEMO Root iz storea, staviti root certifikat u FISKAL 1 i probati napraviti konekciju. To je jedini nacin da isprobas da li ce ti raditi produkcijski FISKAL bez RDC-a. 

Dec 17, 2012 at 8:44 PM

APIS je potvrdio da je greška 002 "normalno ponašanje" u trenutnim uvjetima. dakle produkcijski certifikat na demo server.
Produkcijski certifikat na produkcijski server mi ne komunicira na "niskoj razini" - dakle "endovi" si ne skidaju ni SSL "omotnicu". ali valjda će doći i dan kada neće biti tako sramežljivi  :)

Malo me štrecnulo, ne volim se vraćati na nešto što sam odradio. :)

Uživajte.

Dec 17, 2012 at 8:49 PM

Koliko se ja razumijem u design patterne ovakvih sustava, uvijek je bilo razdvojeno produkcijsko i testno okruženje raličitim certifikatima i koje nije radilo "cross-over", tako da je ovo sve u redu što se tiče Apisa.

cheerss

Dec 18, 2012 at 4:13 PM
Edited Dec 18, 2012 at 5:05 PM

auuuuuu, ja sam se pogubio negdje na pola topica :)

Jasno mi je sve sa ovim P12 fileom .. ako je tocno sto andrejp kaze onda SUPER ne trebam uciti korisnike kako instalirati root certifikat ali sve ovo drugo sto ovdje pise smrdi mi da to nije tako i da ce morati svi oni skinut i instalirati taj certifikat ...

Eh sada ako je tako .. ajmo mi napravit neki msi ili exe program koji u sebi ima ugradjen produkcijski certifikat i koji ce se instalirat u CS ? .. jel to moguce ? pa ja njima ljepo posaljem MSI  jer ako ja njih moram ucit ajde ti klikni tui pa browse pa thrusted pa next pa next pa jooooj vec vidim, a ici na 100+ računala i lokacija .. jaooo

 

evo .. isprobao ja ovo i radi ..instalira mi se certifikat u thrusted root (znaci ja bih moga u bazu usnimiti i ovaj .cer File i provjeriti da li postoji u CS-u ako ne pozvati ovo da se instalira na računala .. jel bi to radilo ? .. ?

C# code

            X509Store store = new X509Store(StoreName.Root, StoreLocation.LocalMachine);
            store.Open(OpenFlags.ReadWrite);

            foreach (X509Certificate2 cert in store.Certificates)
            {
                //Debug.WriteLine(cert.IssuerName.Name);
                if (cert.SerialNumber == "3F1BCE21")
                    return;
            }
            
            X509Certificate2 finaRDCcert = new X509Certificate2(@"C:\...\RDCca.cer");
                        
            store.Add(finaRDCcert);
            store.Close();
 
Eh sada ja provjeravam da li postoji taj certfikat po serijskom broju .. ne znam da li je serijski broj uvjek isti za taj certifikat ili da provjeravam po mozda public key vrijednosti ili issueru ili sl ?
 
Direktan link na produkcijski cert  http://rdc.fina.hr/CA/RDCca.cer
ili pazi sada .. da nam Ninek doda static metodu
Raverus.FiskalizacijaDEV.PopratneFunkcije.InstalirajRDCa()
i
Raverus.FiskalizacijaDEV.PopratneFunkcije.InstalirajRDCa( string filePath) 
 
Ako ne navedemo filepath Ninek stavi u sam projekt DLL sadasnji certifikat i sa njim se instalira, a u slcuaju da FINA promeni mi samo prosljedimo path ?
Jao kako bi to bilo super ! :)
Dec 19, 2012 at 6:19 AM

gospodo, stvar je prosta ko pasulj! Do sada ste radili sa DEMO CA certifikatom koji se instalira u trusted root dakle u Certificate Store i imali ste FISKAL 1 , aplikativni demo aplikativni  cert koji ste isto tako mogli instalirati u Personal CS ili ga exportat u pfx datoteku. U Produkcijskom okruzenju sada imate umjesto DEMO CA certifikata, RDC CA koji se instalira na isti nacin kao i  DEMO CA i imate taj novi aplikativni certifikat koji se identicno instalira kao i demo aplikativni cert. Dakle kako ce vas program handlati certifikate je druga pjesma, medjutim, sto se tice broja certifikata i instalacije, to je to.

Dec 19, 2012 at 11:47 AM
Edited Dec 19, 2012 at 11:48 AM
sanjink wrote:

...


Ma covjece jel ti znas u cemu je problem ? .. pa imamo 100+ računala i klijenata raznih dobi 55+ godina koji jedva znaju kliknuti misem. Odlazak na sve lokacije je problematican, a poslati im upute kako instalirati je besmisleno .. zato sam dao ovaj primjer gore gdje bi se instalacija RDC CA certifikata napravila direktno kroz Raverus modul gdje ne bi trebali objasnjavati korisnicima niti pisati upute ... jel ti sada jasnije gdje je problem ?, a ne kako certifikati rade i sto treba .. treba instalirati RDC CA na sva računala to i to je problem !

Dec 19, 2012 at 12:18 PM

@Cvijo, ja sam Sanjin a ne "Ma covjece jel ti znas u cemu je problem ?". Ako imas tih problema koje si naveo, spajas se kod stranaka Teamviewerom i instaliraj im ti te vrazje certifikate sam, od doma, jos si otvoris lagano pivicu i udri:). tako ja radim...Ovo na cemu je tebi bilo zapelo oko certifikata nije bilo namjenjeno onima koji to znaju, a pretpostavljam da ti znas.

lp, Sanjin

Dec 19, 2012 at 12:20 PM
sanjink wrote:

@Cvijo, ja sam Sanjin a ne "Ma covjece jel ti znas u cemu je problem ?". Ako imas tih problema koje si naveo, spajas se kod stranaka Teamviewerom i instaliraj im ti te vrazje certifikate sam, od doma, jos si otvoris lagano pivicu i udri:). tako ja radim...Ovo na cemu je tebi bilo zapelo oko certifikata nije bilo namjenjeno onima koji to znaju, a pretpostavljam da ti znas.

lp, Sanjin

Je je, a licenca za Teamviewer!!!

Dec 19, 2012 at 12:22 PM

kod instalacije tv-a stavis opciju home and office use:)

Dec 19, 2012 at 12:27 PM
sanjink wrote:

kod instalacije tv-a stavis opciju home and office use:)

Je je, stavis ti ..... !
A kaj velis na : "Remote Control & Desktop Sharing. Free for private use." 

 

Dec 19, 2012 at 12:35 PM

velim da je to super.....private use....pa to radis privatno, za sebe, ne naplacujes instalaciju certifikata, bar ja ne

Dec 19, 2012 at 12:36 PM
sanjink wrote:

velim da je to super.....private use....pa to radis privatno, za sebe, ne naplacujes instalaciju certifikata, bar ja ne

Da, a odrzavas aplikaciju tako da juris kod korisnika ?

Dec 19, 2012 at 12:58 PM
Edited Dec 19, 2012 at 12:59 PM

@sanjink: nisam mislio nista lose pod tim Covjece .. ali ti očito nemaš puno korisnika na raznim lokacijama, instalacija Teamviwera je isto tako instalacija gdje zahtjeva da to ljudi znaju instalirati, a ako idem ja to instlirati onda mogu i certifikat zar ne ?. Neke tvrtke imaju zabranu bilo kakvih alata za daljinjsko upravljanje (temaviewer, remote desktop, proxy servere i sl.).

Ocito nisi citao moj odgovor jer ja sam ponudio rjesenje gdje bi se sve ovo moglo izbjeci ali eto . .. nvm .. idemo dalje

Dec 19, 2012 at 1:43 PM

tocno tako, idemo dalje.....

Dec 20, 2012 at 9:58 PM
Što treba još napraviti u produkaciji - mislim na izmjenu URL? Koristim com dll. Hvala
Dec 20, 2012 at 10:06 PM

Da li imamo saznanja što sa portom 8449 i vatrozidom? Da li kod korisnika treba nešto posebno podesiti ili defaultno neće biti problema na relaciji vatrozid-raverus ?

Dec 21, 2012 at 1:52 AM

Pitah Finu da li je u produkcijskoj okolini dovoljno na računalu imati samo produkcijski certifikat (p12 datoteku) ili je nužno instalirati još i RDC CA root certifikat?

Odgovor je:

Za potrebe produkcije koristit će se produkcijski root certifikat RDCca.cer.
RDC CA root certifikat je certifikat kojeg je izdao i potpisao davatelj usluga certificiranja (CA). Certifikat sadrži javni ključ i naziv CA koji je izdao certifikat. Root certifikat je potrebno jednokratno importirati na računalo kako bi se u naknadnoj primjeni digitalnih certifikata mogla obavljati verifikacija istih.

Dakle, nažalost morat ćemo instalirat root cert.

Zbog čega su u uputama za preuzimanje produkcijskog certifikata opisali najkompliciraniji način instalacije root certifikata (preko mmc konzole), kad postoji daleko jednostavniji način: klik na RDCca.cer, pa onda Install Certificate --> Place certificate in the following store --> Browse --> Trusted Root ?
Postoji li neka razlika?

Coordinator
Dec 21, 2012 at 5:19 AM

@slavica, samo promijeniš CisUrl

@imatic, ovo defaultno je, na žalost, široki pojam - prema našim saznanjima, da li ćeš morati otvarati port na routeru ili ne ovisi o samom modelu routera kao i o provideru preko kojeg ideš na Internet. Uzmi u obzir da komunikacija po 8449 MORA biti otvorena - isto je i pitanje proxy-a ili nekih drugih ograničenja koja mogu postavljati samo AV/Firewall programi na klijentu.

@solar, ne postoji nikakakva razlika u tome kako si certifikat instalirao ("ubacio" u CS). A što se tiče toga da se ne koristi root certifikat, bilo bi pravo iznenađenje da je FINA odlučila certifikat potpisati od nekog od priznatih certificate authority-a van HR, kako bi se osigurao certificate chain - ipak smo mi na ovim prostorima poznati kao najbolji, najljepši, najjeb..., mislimo da sve počinje i završava sa nama, pa je valjda i FINA preponosna (ili kaj već) pa da se spuštaju na taj nivo da idu van HR po tim pitanjima :)

Dec 21, 2012 at 7:07 AM

Ok, i ja se pomalo gubim....pa zar nije u windowsima dovoljno dva puta kliknuti na tu P12 datoteku i oba se certifikata sama instaliraju?

Dec 21, 2012 at 7:09 AM

Da li je moguće napraviti batch file koji registrira sve potrebne DLL-ove usto i certifikate?

Dec 21, 2012 at 2:26 PM
Edited Dec 21, 2012 at 2:27 PM
Kruu wrote:

Da li je moguće napraviti batch file koji registrira sve potrebne DLL-ove usto i certifikate?

da .. ja sam napravio upravo to, tj. kada se moja aplikacija starta provjeri da li je root certifikat instaliran u CS-u ako nije prvo instalira rootcertifikat. Aplikativni certifikat ne isntaliravam na računalo nego ga prilikom svake fiskalizacije učitam iz cachea (prvi puta iz baze) i tako potpisujem.

Znaci nije problem napraviti i batch koji bi oba certifikata instalirao na kompjuter (nisam siguran koje ovlasti mora imati korisnik na kompjuteru .. mislim da mora biti ADMIN svog računala da bi stavio certifikat u thrusteed cumputer store).

Imas topic na kojem sam postao kod kako mozes instalirati u c#-u (http://fiskalizacija.codeplex.com/discussions/408492).. ako treba mogu sloziti neki .exe program kojem postavis putanju do oba certifikata i stisnes instaliraj ako ima potrebe :)

 

@andrejp : ne .. P12 je aplikativni certifikat i on čak nije niti nužan da bude na tvom računalu instaliran (možeš ga učitavati u runtime.u iz baze, diska itd.) dok root RDC Ca mora biti instaliran u CS-u. Sada vjerovatno bi se i ovo dalo izvesti da i njega koristis u kombinaciji sa aplikativnim certifikatom ali nisam to isprobavao.

Znači ako koristiš potpisivanje iz CS-a onda trebaš odvojeno isntalirati p12 i root RDC

Dec 21, 2012 at 2:47 PM

Ja kao da sam u nekoj paralelnoj dimenziji :rofl:

Evo, danas sam ih par instalirao. Kliknem dva put mišem na P12 datoteku, on me pita password za aplikativni certifikat i uz njega instalira root certifikat.

Dec 21, 2012 at 2:53 PM
Edited Dec 21, 2012 at 2:57 PM

@andrejp: bogami si u pravu ! .. sada sam obrisao RDC, DEMO, FISKAL 1 iz CS-a i startao samo svoj p12 i instalirao se i root RDC Ca .. dakle ako koristite potpisivanje iz CS-a ne iz file.a ili baze onda je dovoljan sam P12 dvostruki klik , next, next, odabrati thrusted , yes, yes i to je to! (ova 2 zadnja yes, yes upravo i je to .. prvi instalira RDC, a drugi yes instalira FISKAL 1)

Eto valjda smo i to rješili

Dec 21, 2012 at 7:49 PM
Kruu wrote:

Da li je moguće napraviti batch file koji registrira sve potrebne DLL-ove usto i certifikate?


Za svoju aplikaciju koristim mali loader koji kontrolira verzije datoteka, pa sam sve ugurao unutar njega.

S obzirom da ne koristim pametni alat kao Cvijo, certifikate instaliram s (recimo da je u c:\)

CertMgr.exe /add c:\democacert.cer /s /r localMachine root

, zapamtim da je instaliran da tom računalu i nadam se najboljem. :)

Ovo, navodno, ne radi na Win7.

Dec 22, 2012 at 8:08 PM
Cvijo wrote:
Kruu wrote:

Da li je moguće napraviti batch file koji registrira sve potrebne DLL-ove usto i certifikate?

da .. ja sam napravio upravo to, tj. kada se moja aplikacija starta provjeri da li je root certifikat instaliran u CS-u ako nije prvo instalira rootcertifikat. Aplikativni certifikat ne isntaliravam na računalo nego ga prilikom svake fiskalizacije učitam iz cachea (prvi puta iz baze) i tako potpisujem.

Znaci nije problem napraviti i batch koji bi oba certifikata instalirao na kompjuter (nisam siguran koje ovlasti mora imati korisnik na kompjuteru .. mislim da mora biti ADMIN svog računala da bi stavio certifikat u thrusteed cumputer store).

Imas topic na kojem sam postao kod kako mozes instalirati u c#-u (http://fiskalizacija.codeplex.com/discussions/408492).. ako treba mogu sloziti neki .exe program kojem postavis putanju do oba certifikata i stisnes instaliraj ako ima potrebe :)

 

Lako sam riješio registriranje DLL-ova sa batchom. Ali mi je problem registriranja  certifikata, mislim nije frka instalirati jedan cert nakon svega, pogotovo ako se instalira i RDC.

Dec 24, 2012 at 7:50 AM
Edited Dec 24, 2012 at 8:01 AM

Pozdrav,

Da li bi se moglo ukratko opisati što treba napravaviti kod instalacije na korisničko računalo.

Instalirao sam RDC cert u trusted...

Radni certifikat pozivam iz foldera gdje je snimljen.

Da li se može s radnim certifikatom slati na url testni?

Kod slanja na radni url dobijem timeout..

Kod slanja na testni dobijem:

The underlying connection was closed: Could not establish trust relationship for the SSL/TSL secure channel.

Dec 24, 2012 at 10:03 AM

Radni url ne radi.

Radni certifikat ne radi na testnom serveru.

Živjeli! :)))

Dec 24, 2012 at 10:15 AM
Edited Dec 24, 2012 at 10:16 AM

hvala andrej,

Sav sam se zapetljo jer sam nekako mislio da ću radni postaviti na testni url i 27. samo prebaciti na radni url. Na kraju sam doznao da je moguće samo s testnim radit, i još sam imao problema u postavljanju demo certifikata na klijentsko računalo.

Certifikat fiskal_1 pozivam iz file-a, a demo (testni) sam instalirao u trusted... i sad mi radi. da li će i s radnim biti isto tako da se instalira RDC a da se radni (fiskal 1) poziva iz file-a. Da li ću morati obrisati demo certifikat iz instaliranih certifikata?

Da li se mora dva dana raditi na testnom?

Dec 26, 2012 at 12:18 PM

@zadzic

"i još sam imao problema u postavljanju demo certifikata na klijentsko računalo", Ja imam te probleme i sad možeš li mi pomoć

Dec 26, 2012 at 12:28 PM

Znaci sutra ako postavimo putanju na produkcijski CIS i instaliramo RDC i koristimo produkcijski certifikat i prijavimo poslovni prostor to je onda pocetak rada u kojemu vise nema natrag?

Dec 26, 2012 at 12:52 PM

Teoretski.

 

Ali ne vidim razloga zašto ne bi mogli prijaviti poslovni prostor, poslati par pravih računa radi provjere da li sve radi i onda krenuti sa svime 1.1.2013

Dec 26, 2012 at 2:51 PM

A ne znam da li takve racune treba stornirat ako ne zelis da ti obracunaju porez na njih ma to je sve nest traljavo?

Dec 26, 2012 at 3:19 PM

Ja ću ih stornirati, uredno fiskalizirati pa poslati podatke o poslovnom prostoru koji vrijede od 1.1.2013. 

Ako ne iskrsne neki bug sutra ujutro...

Dec 26, 2012 at 5:08 PM

Srećom, imam jednu stranku koja je inzistirala da odmah krene sa produkcijskim serverom.

 

Nego, jel' taj server kreće u ponoć 27.12?  Ako je tako ima ću večeras doček jer neću moći spavati ako prije ne  isprobam :)

Dec 26, 2012 at 8:40 PM
andrejp wrote:

Srećom, imam jednu stranku koja je inzistirala da odmah krene sa produkcijskim serverom.

 

Nego, jel' taj server kreće u ponoć 27.12?  Ako je tako ima ću večeras doček jer neću moći spavati ako prije ne  isprobam :)

:) Svkako javi kako je prošlo :)

Dec 27, 2012 at 9:31 AM

da treba http://rdc.fina.hr/CA/RDCca.cer

Dec 27, 2012 at 9:41 AM

p12 je isti stvar ko i pfx jeld onaj password koji stavis na p12 je isto kao sto smo radili sa pfx-om?

Dec 27, 2012 at 10:31 PM

gospodo, da vam kazem da kod mene radi sve u produkciji kod 5 stranaka, bez problema i da sam velik dio posla napravio sam i zadovoljan sam, sutra idem na put i nema me do 4.o1 pa cemo dalje....u produkciji je svih 5 kasa, sve radi kako treba, a od 1,1, cu se spojiti na njhova racunala buduci da neznaju stisnuti jedno dugme za prijelaz na novu godinu pa cu to uciniti umjesto njih....svima zelim puno uspjeha u poslu...poz, Sanjin

Dec 28, 2012 at 3:12 PM
dotvip wrote:

Vezano na democacert.cer,

S obzirom da radim fiskalizaciju za PDA uređaje potpisivanje i slanje u CIS radim preko WCF servisa pa sam imao problema sa SSL vezom na CIS ( The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel ), te sam dodao

 

ServicePointManager.ServerCertificateValidationCallback =New Net.Security.RemoteCertificateValidationCallback(Function() True)

 

liniju koda prije  request.GetRequestStream u funkciji SendSoapMessage.

Dodavanjem ove linije uočio sam da i ako na razvojnom kompu ako maknem DEMO cert iz Trusted Root veza na CIS radi.

Samo neznam dali je iz sigurnosnih razloga to u redu i dali će isto raditi u produkciji.

 

Zahvaljujem na ovoj liniji koda.

Zanimljivo je da iz desktop aplikacije WCF ne radi problem dok poziv WCF-a s PDA uredjaja radi problem tj. dobijem poruku kao i ti. 

Linija koda u c#:

 ServicePointManager.ServerCertificateValidationCallback = new System.Net.Security.RemoteCertificateValidationCallback(delegate { return true; });

Dec 28, 2012 at 10:07 PM
Edited Dec 28, 2012 at 10:09 PM

evo za dodatnu igru ...

//vjeruj svim certifikatima
System.Net.ServicePointManager.ServerCertificateValidationCallback =
((sender, certificate, chain, sslPolicyErrors) => true);

// provjeri subject
System.Net.ServicePointManager.ServerCertificateValidationCallback
                = ((sender, cert, chain, errors) => cert.Subject.Contains("APIS"));

// delegiraj svoju metodu
System.Net.ServicePointManager.ServerCertificateValidationCallback += new RemoteCertificateValidationCallback(ValidateRemoteCertificate);
 

Dec 31, 2012 at 4:20 PM

Nevjerojatno da su u FINI ponovno pokazali vanzemaljsku inteigenciju,

Kad jednom skineš P12 i zaboraviš i iz nekog razloga neznaš prvi puta upisani password, kod sljedečih skidanja P12 sa servera , više ne pita za dodjelu passworda nego automatski dodjeljuje stari, koji ionako neznaš.