Kako do novog DEMO certifikata...

Jan 16, 2015 at 3:51 PM
Edited Jan 16, 2015 at 9:40 PM
Da skratim muke i postedim vas buljenja u Finin sajt, s velikom masom blago sivkastog teksta na bijeloj pozadini u fontu velicine -100 (vrlo citljivo!), svima koji skuze da im je DEMO certifikat istekao, a treba im novi, evo mojih iskustava...
  1. Preuzmite ZAHTJEV u PDF formatu, popunite ga i isprintajte (ja sam stavio da mi sve dodje na email).
  2. Napravite kopiju osobne od skrbnika certifikata.
  3. Odnesite to u lokalni Finin ured na salter za fiskalizaciju.
  4. Cekajte da vam stigne email poruka (meni je stigla prije nego sto sam se vratio iz Fine !!!) sa referentnim i autorizacijskim kodovima.
  5. Pomocu Internet Explorera (ISKLJUCIVO!), idete na Link za preuzimanje DEMO certifikata, gdje ce vam se ponuditi unos referentnog i autorizacijskog koda, te automatski instalirati certifikat FISKAL 1 (sve pustite po defaultu - RSA FULL, M$ Enhanced Cryptogr. Prov. v1.0, 2048).
Ako vam sad treba certifikat u .pfx formatu, kako biste ga instalirali na druga racunala, trebate ga exportirati u fajl pomocu MMC konzole. Certifikat je instaliran kao Personal\Certificates\FISKAL 1. Dvoklik na njega, izabrati tab DETAILS i onda Copy to file, prilikom cega cete odrediti njegovu lozinku za buduce instalacije i ime fajla.

NAPOMENA:
Sve ovo je za varijantu iste DEMO okoline koja je trenutno u produkciji (dakle one od kad je pocela fiskalizacija prije 2 godine), a ne one koja ce nastupiti krajem 2015.

EDIT (NAPOMENA2): sve ovo je odradjeno na XP SP3 / IE 8
Jan 20, 2015 at 12:44 PM
Možda i ja nešto doprinesem...

Vi koji ste kao i ja izabrali da se certifikat čita iz certificate storea a ne iz datoteke naći ćete se u situaciji da se novi FISKAL 1 instalira uz stari istoimeni certifikat. Kod mene je nakon instalacije postao aktivan novi (sreća u nesreći), ali više mi nije ispravno radila provjera ZKI za račune izdane starim certifikatom, a u praksi to još znači i da bi kod komitenata nove certifikate (ako se jednako zovu kao i stari) trebalo ishoditi prije, ali nikako instalirati do trenutka isteka starog.

Mislim da u formularu za zahtjev za izdavanje možete navesti i željeni naziv certifikata (FISKAL 2...), što sam ja šefu zaboravio napomenuti, a vjerojatno će i većina korisnika to previdjeti ako im svima to ne napomenemo barem stoput (a nećemo...). Zato sam omogućio i učitavanje certifikata iz datoteke, jer nju mogu preimenovati kako želim, dok u storeu nigdje nisam našao načina kako preimenovati jedan od dva FISKALA 1...

Valjda će ukinuti fiskalizaciju dok još vrijede prvi produkcijski FISKALI 1 :)
Feb 24, 2015 at 8:46 AM
Možda, ali samo možda, to i neće biti veliki problem...

Igrom slučaja, jedan klijent koji se nedavno odlučio preći na moju aplikaciju, nije se mogao sjetiti passworda za certifikat...
Kako je prošlo više od godinu dana od izdavanja, (samo unutar prve godine moguće je postavljanje novog psw), morao je kupiti novi certifikat
I taj certifikat se automatski zvao Fiskal 2....
Tako da se nadam da vode evidenciju i da će svaki slijedeći biti za broj veći :)
Feb 24, 2015 at 11:00 AM
Prilikom ispunjavanja zahtjeva za novi demo certifikat, nisam vodio racuna o tome pa sam stavio da se i novi demo vidi kao FISKAL 1. Mislim da sam tu pogrijesio (iako je nebitno jer se radi o mom demo certifikatu pa me bas briga za stari koji je istekao), jer da je to bio neki produkcijski certifikat, nastala bi zbunjola u certifikat storeu (preko kojeg ja vucem certifikate, ne iz fajla), tj. ne bi mogla biti instalirana oba (stari i novi), jer se zovu isto (a to se vise ne moze promijeniti!!!).

Tako da vjerojatno treba voditi racuna o brojevima novih certifikata, ako negdje postoji upit za to (kao kod novog demo-a).
Sep 24, 2015 at 1:59 PM
Pozdrav,

zna li netko koji je URL servisa u novoj DEMO 2014 okolini?
Sep 24, 2015 at 2:05 PM
Zar nije to sve po starom kao i ranije i to na 'https://cistest.apis-it.hr:8449/FiskalizacijaServiceTest'
Lp
Sep 24, 2015 at 2:10 PM
tZac wrote:
Zar nije to sve po starom kao i ranije i to na 'https://cistest.apis-it.hr:8449/FiskalizacijaServiceTest' Lp
Ne radi mi preko tog URL-a pa zato i pitam, a i logično bi mi bilo da za novu okolinu naprave novi URL.

S druge strane, lako je moguće da je kod mene pogreška. :)
Sep 24, 2015 at 2:14 PM

handinho wrote:

S druge strane, lako je moguće da je kod mene pogreška. :)
Izgleda da je tako jel kod nas sve šljaka kao i ranije

Sep 24, 2015 at 2:45 PM
Provjerio sam jesu li učitana oba certifikata (novi "Fiskal 1" u Personalu i "Fina Demo Root CA" u Trusted Root-u) i oba su tamo.

Kod slanja SOAP poruke javlja mi ovaj exception:

"The remote certificate is invalid according to the validation procedure."

Zato sam i pitao postoji li novi URL.

Što se tiče novog Demo 2014 certifikata, certification path je:
  • Fina Demo Root CA
    ---Fina Demo CA 2014
    -----FISKAL 1
Koliko sam shvatio iz opisanih promjena profila, ne bi se trebao mijenjati programski kod.
Stari Demo certifikat mi je funkcionirao bez problema.
Sep 25, 2015 at 7:01 AM
@handinho - nisam oko certifikata baš doma, ali jesi li provjerio da ti na računalu nije još uvijek i stari Fiskal 1?
Kod mene su po isteku prvog ishodili novi certifikat, ali također za staru demo okolinu, a nisu u zahtjevu promijenili ime, tako da mi je i on stigao kao Fiskal 1. Kada sam ga instalirao dobio sam u storeu dva Fiskala 1, a noviji je preuzeo primat (vidi moj post gore), što me je začudilo jer sam pretpostavljao da će novi cert pregaziti stari, ali kako ispada, naziv certifikata nije unique u certificate storeu.
Kod mene su dakle oba imala isti put certificiranja, pa je šljakao barem novi, a kod tebe možda, ako imaš ovakav scenario, dolazi do nekog sukoba radi različitog puta certificiranja za dva istoimena certifikata...?
Samo nagađam, ali možda sam i ubo...
Sep 25, 2015 at 7:07 AM
Isto tako, imam i jednu (pustu) želju:
Bilo bi lijepo da gospoda koja izdaju certifikate sami pri zaprimanju zahtjeva za izdavanje certifikata po OIB-u provjere koliko je certifikata tražitelj već ishodio, pa da ih sami numeriraju Fiskal 2, Fiskal 3... jer nije za očekivati da će baš svaki kafandžija o tome voditi računa...
Coordinator
Sep 25, 2015 at 7:10 AM
Tako je i trebalo biti - no - očito je evidencija prekompleksna :)

Uglavnom, uobičajena praksa kod izdavanja certifikata (npr. SSL ili code sign i sl.) je da ti sam određuješ kako će ti se certifikat zvati, naziv, dakle, uopće nije važan. Inzistiranje na nazivu "FISKAL 1" nema smisla, pogotovo što ne vode brigu o numeraciji kod slijedećeg certifikata. Moglo je biti i samo "FISKAL"...
Sep 25, 2015 at 7:14 AM
Ili da su polje 'Naziv certifikata' u obrascu zahtjeva ostavili praznim, uz napomenu da je podatak obavezan, pa tko dvaput upiše 'Složna braća' sam si je kriv...
Coordinator
Sep 25, 2015 at 7:17 AM
Uobičajeno se koristi thumbprint certifikata, koji je jedinstven, no u slučaju fiskalizacije bi to sigurno bilo kompleksnije nego po nazivu... no, sada smo tu gdje jesmo :)
Sep 25, 2015 at 7:25 AM
OK, Nino, pošto si već tu, što ti misliš o ovom gornjem scenariju, jer koje sam sreće i moji će za par dana ishoditi novi demo cert, ali sada za novu demo okolinu i opet će mi stići Fiskal 1 (Copy3 of), dakle s novim certification pathom. Hoće li moći koegzistirati u storeu sa prethodna dva ili ću potpuno morati prijeći na čitanje iz datoteke?
Coordinator
Sep 25, 2015 at 7:59 AM
Sigurno je da će koegzistirati u certificate storeu. Jedino je problem što ti dohvat po nazivu vjerojatno neće dobro raditi.
Sep 25, 2015 at 8:52 AM
@PBDudek

To je prvo što sam provjerio i sve bi trebalo biti ok.

Zbunjuje me to što koriste termin "nova okolina", a nigdje ne kažu je li servis isti ili su napravili novi:

"Da bi korisnici Fininih digitalnih certifikata svoja rješenja/sustave mogli pravovremeno testirati i po potrebi prilagoditi, Fina je uspostavila novu Demo okolinu pod nazivom Fina Demo 2014 okolina."
Sep 25, 2015 at 9:00 AM
Ne znam onda, nemam drugih ideja, ali kako sam već rekao, još ni ja ni nitko od mojih korisnika nismo imali posla sa novim certifikatima, jer stari još vrijede, ali svima nam to dolazi. I ja sam razumio kako nikakvih promjena, pa ni promjene URL-a, a koje bi se ticale krajnjih programskih rješenja, neće biti.
Sep 25, 2015 at 11:57 AM
Stigao odgovor od APIS-a:

Poštovani,

URL za spajanje na testnu okolinu sustava fiskalizacije je nepromijenjen. Isti je naveden u tehničkoj specifikaciji za korisnike: https://cistest.apis-it.hr:8449/FiskalizacijaServiceTest
Ako koristite DNS ime za pristup servisu nećete imati problema.

Lijep pozdrav
Sep 25, 2015 at 6:20 PM
nrasinec wrote:
Sigurno je da će koegzistirati u certificate storeu. Jedino je problem što ti dohvat po nazivu vjerojatno neće dobro raditi.
Mislio sam na miroljubivu koegzistenciju, a ne ovako da mi novi (važeći) certifikat totalno izdominira stari (istekli) :)
Instalacijom drugug Fiskala 1 izgubio sam mogućnost da provjerim (ponovno generiram) ZKI računa koji su fiskalizirani starim certifikatom, što prema propisima moram omogućiti, osim ako (barem stare) certifikate ne učitavam iz datoteke, koje, za razliku od certifikata u storeu, mogu preimenovati kako želim.

P.S. Bogu hvala, promijenili su captchu sa hijeroglifa na sliku!!!
Sep 28, 2015 at 8:13 AM
Problem je bio u tome što nisam instalirao i "stari" DEMO root certifikat (lijepo piše u exceptionu).
Feb 8 at 10:40 AM
Moj DEMO certifikat je istekao. Danas, 8.2. izdan je novi. Prvo sam deinstalirao stari Personal i root certifikat. Zatim sam preuzeo odavdje i instalirao Fina Demo Root CA u Trusted Root Certification Authorities, Fina Demo CA 2014 u Intermediate Certification Authorities te odavdje FISKAL 1 u Personal.
Spajam se na https://cistest.apis-it.hr:8449/FiskalizacijaServiceTest
Koristim Windows 10 i COM komponentu.

Dobijam grešku -2146233079 The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel. TrustFailure nakon svakog slanja.

Jesam li što preskočio kod instaliranja certifikata?
Feb 8 at 1:33 PM
Edited Feb 8 at 2:15 PM
*
Feb 8 at 2:21 PM
Edited Feb 8 at 2:22 PM
Stvar kod mene sada radi, nakon instaliranja democacert.cer (stari root)

Probao sam i nakon toga deinstalirati nove Demo Root CA root i novi Fina Demo CA 2014 i i dalje radi.

Novi personal i stari root, nije mi jasno. Ne bunim se dok dobivam odgovor (JIR), ali volio bih znati zašto je tako.
Feb 8 at 3:33 PM
da li kod produkcije isto radi sa starim produkcijskim root cert ?
Feb 9 at 6:57 AM
Tako je, kod mene radi u produkciji novi cert (izdan u 12.mj prošle god) i stari root.

Prvo sam bio maknio sve i stavio novi cert i fiskalizacija nije prolazila. Dok sam skonto kombinaciju i uopće do ćega je mlade dobio.
Feb 11 at 8:25 PM
Ja koristim raverus.fiskalizacijaDEV.dll i sve mi radilo savršeno od početka do nazad dva tjedna.

Jedan korisnik uzeo novi certifikat, a drugi zaboravio pasword i uzeo novi (FISKAL 2). Kod njih mi non stop greška The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel. Ne znam što napraviti. Ima li ko ideju?
Feb 12 at 7:18 AM
Feb 18 at 10:45 AM
Imao sam istu situaciju i to me malo brine. Vidim da novi root certifikat ima 4096-bitni ključ a stari ima 2048-bitni ključ.

Možda je u tome problem.

Da li to možda ima veze sa prelaskom na novi TLS protokol?

Tko zna šta nas još čeka ove godine
Feb 19 at 7:31 AM
Hvala Kruu. Sve radi sa starim certifikatom!