Nova verzija tehničke specifikacije

Jun 10 at 10:10 AM
​Objavljena je nova verzija Tehničke specifikacije za korisnike_v1.3. koja je izmijenjena zbog isteka postojećeg poslužiteljskog certifikata i zamjene s certifikatom novog tipa FINA RDC 2015.
http://www.porezna-uprava.hr/HR_Fiskalizacija/Documents/Tehnicka%20specifikacija%20za%20korisnike%201.3.pdf

Idemo, s analizom :)
Jun 10 at 10:22 AM
Viggor:
Komparacijom Tehnicke specifikacije za korisnike 1.3 i 1.2 (ima zgodan programčić za komparaciju PDF-ova), jasno je da se prelazi na TLS 1.1 i 1.2 (poglavlje 3. na str. 24,), dakle ništa od TLS 1.0 koji je podržan na XP-u, tj. u NetFramework-u 4.0. To konkretno znači da ga sve kase na XP-u puše, a obzirom da prelazak na Win7/8/10 okolinu zahtijeva i značajno hardversko ulaganje, znači da treba kupiti nova računala sa novim Windowsima.

Jedino što nisam uspio eksplicitno naći je kad ova promjena nastupa, tj. do kad je krajnji datum korištenja SSL-a? Nije valjda u ponedjeljak???
Ako je to istina, onda nekoga u APISu treba objesiti i to više puta, em počinje EU nogomet, em sezona, a i državni vrh nam je trenutno u jako stabilnom stanju.
Jun 10 at 10:24 AM
Ako je istina da se bez najave i bez testne okoline napušta TSL 1.0 predlažem da ih bojkotiramo. Ionako je sve u raspadu. Time ćemo bar pokazati stvarno stanje
Coordinator
Jun 10 at 10:24 AM
Evo odgovora i ovdje, vezano uz TLS.

Što se tiče TLS-a, ovo je odgovor iz APIS od jučer na pitanje kada prelaze na TLS 1.2.
"
Poštovani,

za sada Vam ne možemo dati datum izmjene. Naravno isti će biti unaprijed objavljen na web stranici Porezne uprave. Preporučamo da počnete prelaziti na korištenje TLS protokola kako bi ste bili na spremni za promjene.

Lijep pozdrav
"
Coordinator
Jun 10 at 10:25 AM
Još jedna napomena - iako su, navodno, istu stvar s certifikatom koju su najavili na produkciji na ponedjeljak, već napravili na testu, tamo i dalje radi SSL
Jun 10 at 10:51 AM
nrasinec, ti si najupućeniji ovdje, tvoje mišljenje o ovoj liniji?

<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>


Ovaj sha1 na kraju? A kažu da se ide na sha256?
Koliko sam pronašao, sha256 daje duži kod od sha1.
Coordinator
Jun 10 at 10:55 AM
U ponedjeljak se mijenja samo certifikat koji se koristi za uspostavu HTTPS veze (SSL, tj. TLS), ne i certifikat koji se koristi za potpisivanje bilo XML zahtjeva (to je FISKAL 1) bilo XML odgovora (interni certifikat u posjedu Porezne).

Koliko ja to sve kužim, a ne tvrdim da je 100% točno, dosta je konfuznih informacija, ovo što ti spominješ ne bi trebalo imati nikakvog utjecaja.
Jun 10 at 11:07 AM
Ni meni baš nije jasno ali....da li to znači da neće raditi fiskalizacija onima koji imaju instaliran stari root certifikat (RDC)?
Jun 10 at 11:11 AM
Stanki wrote:
Ako je istina da se bez najave i bez testne okoline napušta TSL 1.0 predlažem da ih bojkotiramo. Ionako je sve u raspadu. Time ćemo bar pokazati stvarno stanje
Slažem se, ali kako? Neće te gnjavit netko iz APISA, "daj molim te, pređi više na TLS 1.1/1.2" nego će ti mobitel riknut od poziva tvojih korisnika da im ne radi fiskalizacija. I to usred sezone, koja samo što nije počela.
Jun 10 at 11:12 AM
Edited Jun 10 at 11:16 AM
Ako uspoređujemo kako je sve teklo na testnoj okolini, a tamo je nama prestala radit fiskalizacija sa starim root certom, onda će se isto dogoditi i na pravoj okolini. Dakle, nema druge nego radni vikend i istaliravat svima novi root cert. Bilo bi dobro da griješim .

A gašenje TLS 1.0 očito nije sada u planu
Coordinator
Jun 10 at 11:19 AM
Ja isto vjerujem (tj. nadam se) da sada neće ugasiti SSL/stare verzije TLS.

A što se tiče produkcije, vjerujem da će sve stati u ponedjeljak osim ako se ili programski stvari ne riješe drugačije ili ukoliko se ne instaliraju FinaRDCCA2015.cer i FinaRootCA u Trusted Root Certificate Store.

Dobra vijest za sve vas je ta da ćemo pokušati danas tijekom dana napraviti mali tool kojim će se moći to napraviti automatski :)

Stay tuned :)
Jun 10 at 11:47 AM
tZac wrote:
Dakle, nema druge nego radni vikend i istaliravat svima novi root cert. Bilo bi dobro da griješim .
E ne pada na pamet da to radim sad preko vikenda, osobito kod korisnika kod kojih ne naplaćujem nikakvo održavanje. Ako dođem u subotu i nedjelju kod korisnika i kažem da moram nešto instalirati u vezi novih certifikata možeš misliti koliko će oni to shvatiti. I onda ako slučajno u ponedjeljak ne bude radilo reći će mi da sam ja to nešto pokvario. Neka izdaju bez jira, imaju do četvrtka vremena da to riješe.
Ne vidim zašto bi instalacija novog rdc certifikata bila obveza programera.
Jun 10 at 11:54 AM
Može li mi netko na Fiskalizacija for dummies nivou objasniti jesam li dobro razumio:
U testnoj okolini su certifikati izdani 2012 zauvijek mrtvi, a ovi noviji će oživjeti kad se preinstaliraju/ažuriraju korijenski certifikati.
Što sa produkcijom? Više od pola korisnika mi još radi s važećim certifikatima iz 2013-te - jesu li i ti pokojni, pa vlasnicima novih trebam mijenjati root-eve, a ovi sirotani prvo moraju ishoditi nove/moderne produkcijske certove?
A ja svoj vikend bogami ne dam nikom.
Howgh!
Coordinator
Jun 10 at 12:12 PM
Tu se ne radi o FISKAL 1 certifikatima, pa, dakle, korisnici ne moraju raditi ništa. No, tvoje se rješenje za fiskalizaciju mora moći spojiti na CIS i kada u ponedjeljak promijene HTTPS certifikat - ako ne isprogramiraš nešto preko vikenda, mislim da će biti dovoljno kod svakog korisnika staviti nove root certifikate i da će nakon toga sve raditi.
Jun 10 at 12:23 PM
nrasinec wrote:
Tu se ne radi o FISKAL 1 certifikatima, pa, dakle, korisnici ne moraju raditi ništa. No, tvoje se rješenje za fiskalizaciju mora moći spojiti na CIS i kada u ponedjeljak promijene HTTPS certifikat - ako ne isprogramiraš nešto preko vikenda, mislim da će biti dovoljno kod svakog korisnika staviti nove root certifikate i da će nakon toga sve raditi.
Da, ali root certifikati nisu isti za certifikate izdane 2012/2013 i one koji se izdaju danas (i testne i produkcijske), a koliko ja berem, nema novih/ažuriranih/važećih root certifikata za ove stare (koji imaju nad sobom samo jedan certifikat).
Moj testni cert vrijedi do 09.12.2016. a nad sobom ima samo DEMO FINA HR (koji inače važi do 20.05.2023., ali je očigledno prekjučer ugašen/deaktiviran).
Je li to ono što će se dogoditi svima u produkciji koji još koriste certifikate izvađene 2013. koji im važe do kraja 2017.-te?
Coordinator
Jun 10 at 12:30 PM
Mislim da se i dalje ne kužimo.

Vidi: http://blog.fiskalizacija-dev.com.hr/post/2012/10/17/Certifikati-i-fiskalizacija.aspx

Ja pričam o certifikatu pod rednim brojem 4. a ti pod rednim brojem 1. Ili ?
Jun 10 at 12:31 PM
Edited Jun 10 at 12:33 PM
nrasinec wrote:
Tu se ne radi o FISKAL 1 certifikatima, pa, dakle, korisnici ne moraju raditi ništa. No, tvoje se rješenje za fiskalizaciju mora moći spojiti na CIS i kada u ponedjeljak promijene HTTPS certifikat - ako ne isprogramiraš nešto preko vikenda, mislim da će biti dovoljno kod svakog korisnika staviti nove root certifikate i da će nakon toga sve raditi.
Da li ovo mišljenje znači da se neće Raverus (i sve ostalo što ga koristi) morati kompajlirati kako bi radio sa TLS-om, tj. da će XP i dalje funkcionirati? Meni to baš nije jasno, tj. čini mi se da ako mijenjaju taj TrustedRoot certifikat, da se mijenja i način spajanja, tj. SSL na TLS, zar ne? Što onda znači da sve kase na XP-ima u ponedjeljak prestaju raditi. Ili mislim krivo?
Coordinator
Jun 10 at 12:33 PM
@viggor: da - nema mijenjanja Raverus koda, barem dok ne uvedu TLS v1.2. Pretpostavka je da sada NE UVODE TLS v1.2. jer ako uvode, u ponedjeljak će biti pušiona...

Mislim, bit će i ovako, jer na desecima tisuća računala treba srediti ovo sranje s root certifikatima...
Jun 10 at 12:38 PM
Može li netko staviti direktni link na taj novi RDC certifikat, da ne bauljamo po Fininom sajtu, jer ih sigurno ima više? Bio bih zahvalan, vjerojatno ne jedini,
Jun 10 at 12:39 PM
nrasinec wrote:
Mislim da se i dalje ne kužimo.

Vidi: http://blog.fiskalizacija-dev.com.hr/post/2012/10/17/Certifikati-i-fiskalizacija.aspx

Ja pričam o certifikatu pod rednim brojem 4. a ti pod rednim brojem 1. Ili ?
Ja sam nešto natucao čini mi se o 1 i 3, a ako ti (i svi ostali) govoriš o četvrtom, znači da kužim još manje nego što sam mislio :)
Coordinator
Jun 10 at 12:40 PM
Coordinator
Jun 10 at 12:41 PM
Linkovi koje sam dao u postu prije ovog se odnose na certifikat pod rednim brojem 3.
Jun 10 at 12:48 PM
Ako intaliram oba nova certifikata. Dali treba stari rdc brisati?
Jun 10 at 12:50 PM
Imena certifikata se razlikuju, pa na demo okolini nije trebalo brisati stare certifikate. Nama je sve prošlo bez brisanja starih.
Jun 10 at 1:06 PM
Edited Jun 10 at 1:07 PM
U čemu je razlika između FinaRootCA.cer i FinaRDCCA2015.cer?

Da li se to odnosi na vrstu klijentskih (aplikacijskih/korisničkih) koji su izdavani do 2014 i nakon toga pa onda u skladu s tim treba postaviti i odgovarajući Root? Koji je za "stare" (iz 2012.), a koji za "nove" certifikate? Ili treba spucati oba pa nek' se snalazi tko može? Pitam za produkciju, ne za demo, trenutno me demo ne brine toliko.
Coordinator
Jun 10 at 1:09 PM
Trebaš i jedan i drugi - otvori DEMO CIS URL u Chromeu i pogledaj certifikat, pa će ti biti jasnije. Ovo je uobičajena stvar, radi se o certificate chainu. Možeš pogledati i neki drugi HTTPS site.
Jun 10 at 1:12 PM
Please, prije nego izgubim i ovo malo preostalog mi samopoštovanja:
Test cert mi je radio do prije par dana.
Digao sam već jutros ova dva certifikata koja spominje Nino i instalirao ih (zdravoseljački dvoklikom i nextanjem).
Fiskalizacija i dalje ne prolazi, nakon kreiranja JIR-a u logu je na kraju:
Greška kod obrade i slanja dokumenta: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.
Što sam krivo napravio?
Čak ne trebam ni objašnjenje zašto :(
Jun 10 at 1:15 PM
Jun 10 at 1:19 PM
Edited Jun 10 at 1:20 PM
tZac wrote:
Pa za demo okruženje ti je stavljen ovaj link i s njega skineš i instaliraš
Jesam. Još jutros. I ne radi.
Jun 10 at 1:21 PM
Edited Jun 10 at 1:21 PM
nrasinec wrote:
Trebaš i jedan i drugi - otvori DEMO CIS URL u Chromeu i pogledaj certifikat, pa će ti biti jasnije. Ovo je uobičajena stvar, radi se o certificate chainu. Možeš pogledati i neki drugi HTTPS site.
Pitam zato što dosad (po starom) smo imali samo 2 certifikata u produkciji:
  • korisnički (Fiskal 1) u \Personal\Certificates
  • root (RDC) u \Trusted Root Certification Authorities\Certificates
Sad ispada da treba u Trusted Root staviti ova 2, koji mijenjaju stari RDC, koliko sam shvatio?
Jun 10 at 1:25 PM
A jesi ih gurnuo u Trusted Root ? Provjeri s "run certmgr.msc" jesu li na pravom mjestu
Jun 10 at 1:26 PM
Sorry, izgleda je problem bio u nextanju, nekako su završili u Međuustanovama za izdavanje certifikata. Kad sam mu naveo u koji store da ih strpa (Pouzdani korijenski), eto radi.
Jun 10 at 1:27 PM
tZac wrote:
A jesi ih gurnuo u Trusted Root ? Provjeri s "run certmgr.msc" jesu li na pravom mjestu
Hvala, baš je to bio problem.
Jun 10 at 1:31 PM
I još samo pitanjce, za produkcijsku okolinu, ako ih počnemo mijenjati danas, hoće li nam klijenti moći raditi do ponedjeljka, dakle jesu li novi certifikati operativni i prije 13. lipnja?
Jun 10 at 1:33 PM
Mislim da jesu jer imam par stranaka sa novim certifikatima kojima sam morao instalirati stari root certifikat da bi uopće radilo
Jun 10 at 1:34 PM
Znači, vrijeme je da se počne klikati?
Jun 10 at 1:35 PM
Edited Jun 10 at 1:41 PM
He he, naše komercijalno razmišljanje, a i tekma u nedjelju, definira da idemo na proizvodnju panike, nakon koje će i formula IznosNaseUsluge=BrzinaIntervencije Puta VeličinaPanike puta cijena na 2 - ( a i po Zakonu imamo 48 sati za rješenje problema :) )


Malo šale, ionako nam ugovori definiraju što, kada i kako
Jun 10 at 1:40 PM
Mogu se instalirati novi certifikati.
Prije sat vremena instalirao sam kod stranke nove certifikate upravo da vidim hoće li moći dalje raditi. Sve radi
Jun 10 at 1:43 PM
nrasinec wrote:
Dobra vijest za sve vas je ta da ćemo pokušati danas tijekom dana napraviti mali tool kojim će se moći to napraviti automatski :)

Stay tuned :)
Nino, we're tuned!!!
Jun 10 at 1:56 PM
PBDudek wrote:
Sorry, izgleda je problem bio u nextanju, nekako su završili u Međuustanovama za izdavanje certifikata. Kad sam mu naveo u koji store da ih strpa (Pouzdani korijenski), eto radi.
To sigurno nisi klikao po XP-u nego po nekoj sedmici ili slično, jer tamo certifikati ne idu gdje treba po automatizmu, već ih treba smjestiti ručno. Čini mi se da samo korisnički ode gdje treba sa NEXT-anjem.
Jun 10 at 1:58 PM
Pogledajte što je meni APIS odogovorio na moje pitanje da li će se 13.06.16. ukinuti stari root cert u produkciji:
Poštovani,



FINA RDC CA certifikat potpisnik iz 2003. godine neće biti ukinut sve dok ne prestane važiti i zadnji certifikat kojeg je potpisao. To se odnosi na sve ?stare? klijentske certifikate koji su još uvijek važeći i u slučaju sustava Fiskalizacije, uredno će nastaviti raditi. Promjena se odnosi isključivo na poslužiteljski certifikat Porezne uprave, nikako na klijentske certifikate.



Lijep pozdrav,

Fiskalizacija Help
Jun 10 at 2:01 PM
viggor wrote:
To sigurno nisi klikao po XP-u nego po nekoj sedmici ili slično, jer tamo certifikati ne idu gdje treba po automatizmu, već ih treba smjestiti ručno. Čini mi se da samo korisnički ode gdje treba sa NEXT-anjem.
Jest, da joj sedam materinih...
Eto, sori što sam vas maltretirao:)
Coordinator
Jun 10 at 2:25 PM
Evo tool-a s kojim možete automatizirano dodati demo i produkcijske root certifikate u trusted certificate store: https://fiskalizacijadev.blob.core.windows.net/certificate-check/CertificateCheck.zip

VAŽNO: Do ponedjeljka će echo prema produkciji javljati grešku, što je i ok - nema načina da se ovo provjeri prije ponedjeljka, tj. prije nego u produkciju ne stave novi certifikat.

Dajte komentare :)
Jun 10 at 2:35 PM
Edited Jun 10 at 3:49 PM
U mene radi (XP SP3)

U Trusted Root Certificates Authoriteis su dodani:
  • Fina Demo CA 2014
  • Fina Demo Root CA
  • Fina RDC 2015
  • Fina Root CA
    Vidim da je stari RDC ostao na mjestu.
SUPER!

EDIT:
Windows 7 (x64) čisto instaliran (bez ikakvih certifikata) javlja da instalacija NIJE uspjela (vidi sliku), ali instalira sve gdje treba (provjereno sa MMC). XP mi je javio da instalacija JESTE uspjela, ali tu imam instaliran i produkcijski korisnički certifikat, što na Win7 trenutno nema (možda zato javlja da nije, a u stvari jeste, što je i jedino bitno).
Probao sam na čistoj Win10x64, ali moram prvo instalirati neki netframework, pošto nema niti jedan.

EDIT2:
Windows 10 (x64) isto kao i kod Windows 7 - piše da NIJE uspjelo, a jeste. Kao što kaže cvrcak, RUN AS ADMIN. Sva 4 root certifikata su importirani gdje treba (slika)

Još ako bude u ponedjeljak radilo sa mojim DOS/Fiska/XP kombinacijama, sreći nikad kraja...
Coordinator
Jun 10 at 2:36 PM
thnx na feedbacku - to je upravo ono što tool i treba raditi :)
Jun 10 at 2:56 PM
Ili implementirate ovo :)

ServicePointManager.ServerCertificateValidationCallback = AddressOf ValidateRemoteCertificate
Public Function ValidateRemoteCertificate(ByVal sender As Object, ByVal certificate As X509Certificate, ByVal chain As X509Chain, ByVal sslPolicyErrors As Net.Security.SslPolicyErrors) As Boolean
    Return True
End Function
Jun 10 at 2:58 PM
Ma volim ovo kada se sve radi u zadnju sekundu. Kaj bi veliki problem bio da su to naveli 01.06.2016, grrrrrrr
Jun 10 at 3:08 PM
Za početak probala ja kod sebe, na Win 10x64 .... sa 'Run as administrator' prolazi, bez toga javlja access denied.
Kaže da su certifikati uspješno dodani, ali ne vidim ih sve.

U Trusted se nalaze:
  • Fina Demo Root CA
  • Fina Root CA - ovaj 2x
Jun 11 at 9:31 AM
Koji će to show biti u ponedjeljak. I fiskal1 ima na svojim stranicama važnu obavijest.
Moraju napraviti upgrade aplikacije, inače im neće raditi.
Jun 13 at 7:23 AM
Edited Jun 13 at 7:36 AM
Pozdrav,

eto probao sa tool-om i ručno i sve radi. Još jednom hvala na alatu.

Još da XP probam

Na XP ne radi

Provjera certifikata.
Dodajem (LocalMachine): FinaRDCCA2015
OK (LocalMachine): FinaRDCCA2015
Dodajem (LocalMachine): FinaRootCA
OK (LocalMachine): FinaRootCA
Dodajem (LocalMachine): demo2014_sub_ca
OK (LocalMachine): demo2014_sub_ca
Dodajem (LocalMachine): demo2014_root_ca
OK (LocalMachine): demo2014_root_ca
Dodajem (CurrentUser): FinaRDCCA2015
OK (CurrentUser): FinaRDCCA2015
Dodajem (CurrentUser): FinaRootCA
OK (CurrentUser): FinaRootCA
Dodajem (CurrentUser): demo2014_sub_ca
OK (CurrentUser): demo2014_sub_ca
Dodajem (CurrentUser): demo2014_root_ca
OK (CurrentUser): demo2014_root_ca
DEMO echo test...
Greška (DEMO echo test): The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.
PRODUKCIJA echo test...
Greška (PRODUKCIJA echo test): The operation has timed out
Certifikati NISU uspješno dodani.

Doda cert ali nemre vezu uspostaviti, ocigledno stari TLS ne radi više.
Jun 13 at 7:50 AM
Edited Jun 13 at 7:50 AM
Meni radi na XP

samo što je veza prema poreznoj jako opterećena pa jako šteka, malo radi malo ne radi
Jun 13 at 7:56 AM
Hmm, meni recimo na prijavi poslovnog prostora javi Trust Failure.
Probao sam dodati i rucno oba.
hmm, di je greška.
Coordinator
Jun 13 at 8:00 AM
Ako ti javi trust failure, nema što drugo biti osim certifikata... provjeri još da li se spajaš na test ili na produkciju i da li su svi certifikati u trusted root.
Jun 13 at 8:07 AM
Na xp sa sp2 ne prolazi, na xp sa sp3 prolazi... koincidencija?
Coordinator
Jun 13 at 8:09 AM
XP smo posebno testirali - prolazi i na SP1 i na SP2 i na SP3.

Imaš li .NET Framework 2.0 instaliran gore? Koje ti greške javlja?
Jun 13 at 8:09 AM
Je SP2 je, idem naci SP3.
Jun 13 at 8:12 AM
Vezano uz .NET Framework 2.0, pa do sada je bio instaliran jer je i prije trebao za modul. Skidam SP3 pa javim ako prodje nakon upgrade.
Coordinator
Jun 13 at 8:13 AM
OK :) Pitam za SP2 jer ne znam da li koristiš ovo rješenje ili nešto svoje :)

A možda je i neka kombinacija updatea ili tko zna čega...
Jun 13 at 8:15 AM
Ista situacija, XP SP2 nije prošlo. Stavio sam SP3 i radi. :)
Coordinator
Jun 13 at 8:16 AM
Daj samo javite - ŠTO ne radi? Ovaj naš novi CertificateCheck tool ili fiskalizacija?
Jun 13 at 8:18 AM
i jedno i drugo ne radi
Jun 13 at 8:19 AM
Na XP SP2 tool ne može staviti certifikate.

BTW, na XP SP2 sam probao staviti certifikate ručno i također nije išlo.
Jun 13 at 8:23 AM
Eto na win 10 sve opet radi zahvaljujuci aplikaciji , samo ju treba pokrenuti kao admin :)
HVALA!!

Coordinator
Jun 13 at 8:26 AM
hm... thnx za feedback... zaita čudno ovo za SP2 i certifikate.... nemam baš neko pojašnjenje zašto je tome tako :(
Jun 13 at 8:32 AM
nrasinec wrote:
hm... thnx za feedback... zaita čudno ovo za SP2 i certifikate.... nemam baš neko pojašnjenje zašto je tome tako :(
Samo i ja da potvrdim - svugdje prolazi samo XP SP2 neće nigdje...
Coordinator
Jun 13 at 8:37 AM
Očito, ipak, ima nešto u vezi s SP2: https://support.globalsign.com/customer/portal/articles/1499561-sha-256-compatibility ili https://support.microsoft.com/en-us/kb/968730

Na ovom drugom linku se spominje neki patch, tako da se čini da postoji način da se sve natjera na SP2 - nisam gledao detalje, koga zanima neka si pogleda :)
Jun 13 at 8:38 AM
Eto, niti meni kod korisnika sa SP2 ne prolazi niti preko tool-a niti kada ručno stavim certifikate
Jun 13 at 8:44 AM
nrasinec wrote:
Očito, ipak, ima nešto u vezi s SP2: https://support.globalsign.com/customer/portal/articles/1499561-sha-256-compatibility ili https://support.microsoft.com/en-us/kb/968730

Na ovom drugom linku se spominje neki patch, tako da se čini da postoji način da se sve natjera na SP2 - nisam gledao detalje, koga zanima neka si pogleda :)
"To apply this hotfix, the computer must have Windows XP Service Pack 3 (SP3) installed."

tnx anyway...
Jun 13 at 8:47 AM
Informacija s terena: Nakon instalacije SP3 sve prolazi! :)
Jun 13 at 8:51 AM
Edited Jun 13 at 8:51 AM
Ali baš mi je super Win XP poruka 'Import was succesfull!"
Operacija uspjela, pacijent mrtav.
Coordinator
Jun 13 at 8:56 AM
Kada smo kod svega toga, ako još niste sigurni zašto svi radimo ovo s certifikatima što radimo, odgovor je: zato što je netko odlučio da se certifikati koji se koriste u fiskalizaciji potpišu samoizdanim FINA root certifikatom. Ovo je, naravno, potpuno besmislena odluka: ako je bankama dovoljno dobro da certifikat potpiše neki "normalni" certificate authority, ako je dovoljno dobro i ePoreznoj, zaista nije jasno zašto nije dovoljno dobro (sigurno) za fiskalizaciju...

Ako postoji neki valjani razlog, bilo bi ga super čuti...
Jun 13 at 9:12 AM
Možda negdje griješim, ali pretpostavljam da je novi certifikat potreban za https komunikaciju sa serverom?

Ovaj novi, FinaRDCCA2015.cer zamijenjuje stari RDCca.cer koji smo instalirali po klijentima od 2013. godine.

Ja sam stari certifikat bacio na openssl uz naredbu: openssl x509 -inform der -in cerfile.cer -noout -text

Dobio sam između ostalog ovo:

Validity
        Not Before: Jul 21 10:57:43 2003 GMT
        Not After : Jul 21 11:27:43 2023 GMT

Ispada da certifikat važi još 7 godina i teško je zaključiti zašto bi prestao važiti jutros u 06.00?!
Coordinator
Jun 13 at 9:15 AM
Prestao je važiti certifikat od Porezne a ne od FINA-e; a taj novi certifikat od Porezne je potpisan novim root certifikatima od FINA-e.
Jun 13 at 9:26 AM
Jel ima netko pametni link za skinuti SP3 za XP koji je probao da radi.Ja napravio upgrade na test mašini pa se ne boota više, možda sam našao neku glupu verziju.
Jun 13 at 9:28 AM
Jun 13 at 9:42 AM
Edited Jun 13 at 9:44 AM
@maslinar
Taj provjereno radi, stavio sam ga na jednu kantu prije par sati.

Verzija sa filehipo ne radi jer je nekakva "debug" inačica.
Jun 13 at 9:48 AM
@trnac Hvalaaaa
Jun 13 at 9:58 AM
nrasinec wrote:
Ja isto vjerujem (tj. nadam se) da sada neće ugasiti SSL/stare verzije TLS.

A što se tiče produkcije, vjerujem da će sve stati u ponedjeljak osim ako se ili programski stvari ne riješe drugačije ili ukoliko se ne instaliraju FinaRDCCA2015.cer i FinaRootCA u Trusted Root Certificate Store.

Dobra vijest za sve vas je ta da ćemo pokušati danas tijekom dana napraviti mali tool kojim će se moći to napraviti automatski :)

Stay tuned :)
Puno hvala za tool...riješio me puno muke :)
Jun 13 at 10:01 AM
E taj sam i ja sa FileHippo instalirao i ne radi, prstom u pekmez, idem ovu probat pa isto javim
lp,
Jun 13 at 11:10 AM
Potvrđujem da http://windows-xp-service-pack-3.en.softonic.com/download ovaj SP3 radi bez greške.
Hvala na informaciji.
lp,
Jun 13 at 11:18 AM
Jeli svima danas šteka fiskalizacija? jedan račun prođe pa dva zapnu?
Jun 13 at 11:20 AM
Je, baš sam to isto želio pitati. Očito nešto ne ide kako bi trebalo :)
Jun 13 at 11:20 AM
"Pokušavam s ovim: http://windows-xp-service-pack-3.en.softonic.com/download

javim rezultat..."

Zaboravio prijavit uspješnost akcije...
Meni isto radi!
Jun 13 at 11:21 AM
Isto i kod nas
Jun 13 at 11:21 AM
Ide, pa stane, pa krene .....
Jun 13 at 11:44 AM
cipexp wrote:
Jeli svima danas šteka fiskalizacija? jedan račun prođe pa dva zapnu?
CIS je zauzet odbijanjem zahtjeva poslanih starim certifikatom? ;-)
Jun 13 at 11:49 AM
Koliko ja znam mislim da ovo nema veze sa provjerom zahtjeva od strane CIS-a.
Naši Zahtjevi se potpisuju produkcijskim fiskalnim certifikatom.
Kada CIS pošalje odgovor tada ga on potpisuje sa novim certifikatom i ako u softveru imate složeno da se to provjerava kada stigne odgovor tada je to problem.
Mi njihove odgovore ne provjeravamo i nemamo s tim problema :)
Jun 13 at 1:01 PM
nrasinec wrote:
Dajte komentare :)
Da ne ispadnem nezahvalan:
TOOL IS COOL!!!
TOOL RULES!!!
Jun 13 at 1:03 PM
tool je puno brži i jednostavniji od mmc, pa add ....... :-) Neno hvala
Jun 13 at 1:07 PM
ispravak .... Nino ..... puno, puno hvala
Jun 13 at 1:17 PM
tetraedar wrote:
ispravak .... Nino ..... puno, puno hvala
Preblago rečeno....

Nino je Luka Modrić fiskalizacije... :D
Jun 13 at 1:20 PM
Edited Jun 13 at 1:21 PM
Pridužujem se pohvalama.

Tool me danas spasio :)
Jun 13 at 3:01 PM
I ja se pridružujem pohvalama.
Nino, hvala za tool.
Sve radi na Win XP SP3.
Jun 13 at 6:31 PM
hvala nrasinec <3
Jun 13 at 6:43 PM
Nino hvala!!!
Jun 13 at 7:21 PM
Tool je super hvala puno puno... i da podjelim da sam imao samo jedan problem i ti na nekin XP home edition pa sam ih morao dodati ručno....
Jun 13 at 8:43 PM
Nino, HVALA, HVALA, HVALA.
Alatka je savršena!
Moram priznati da me je ovo zateklo potpuno nespremnog, pa sam negdje do 11 sati mislio da je konačno došao trenutak da predam meč i stavim ključ u bravu.
Ali Nino me i opet spasio, kako informacijom o čemu se uopće radi, tako i ingenioznim programskim rješenjem.
Još jednom, VELIKO HVALA.

P.S. Ako sam dobro shvatio, kad ukinu SSL, WinXP više ne igra. U tom trenutku Nini oporučno ostavljam sve svoje korisnike na milost i nemilost.
Nino, molim, javi mi na vrijeme.
Bez BAZINGA.
Coordinator
Jun 14 at 7:55 AM
Drago mi je za čuti da je tool odradio svoje i svima nam barem malo olakšao posao :)

Što se tiče XP-a, bit će i tu nekih iznenađenja, ne treba se predati bez borbe :)
Jun 14 at 9:30 AM
Izgleda da je danas još gora situacija sa fiskalizacijom nego jučer. Računi se vrlo često ne fiskaliziraju. Kako imamo neki testni program koji provjerava sve i svašta dolazim do zaključka da CIS server porezne uprave jednostavno nije dostupan. Što vi mislite?
Jun 14 at 9:39 AM

I nama danas svaki treci prolazi. Guuuužva. Jedino je steta da nisu cert mijenjali pocetkom 8 mj :)


uto, 14. lip 2016. 10:30 Stanki <[email removed]> je napisao:

From: Stanki

Izgleda da je danas još gora situacija sa fiskalizacijom nego jučer. Računi se vrlo često ne fiskaliziraju. Kako imamo neki testni program koji provjerava sve i svašta dolazim do zaključka da CIS server porezne uprave jednostavno nije dostupan. Što vi mislite?

Read the full discussion online.

To add a post to this discussion, reply to this email ([email removed])

To start a new discussion for this project, email [email removed]

You are receiving this email because you subscribed to this discussion on CodePlex. You can unsubscribe or change your settings on codePlex.com.

Please note: Images and attachments will be removed from emails. Any posts to this discussion will also be available online at codeplex.com

Jun 14 at 11:33 AM
Nešto se čudno dešava kada se certifikati instaliraju s tool-om. Danas me zovu klijenti da im ponovno ne prolaze računi.Na licu mjesta odem i vidim da certifikata nema u trusted root-u(certmgr.msc) i to se desilo na par mjesta iako mi je tool javio da su certifikati uspješno dodani. Naravno dodavao sam ih s 'RUN AS ADMINISTRATOR'. Da li je moguće da nakon gašenja kompa i ponovnog dizanja istog on ne vidi nove cert? Sada ih dodajem ručno :)
Jun 14 at 12:00 PM
Isto se i meni još jučer dogodilo, na dva mjesta. Koliko znam nije bilo gašenja.
Ponovila sam isti postupak, instalirala ih s toolom i dalje je radilo, a radi i danas koliko vidim.
Jun 14 at 12:51 PM
Dogodilo se i meni, nije bilo gašenja... instalirani ponovno s tool-om .... čekam slijedeći "nestanak" ...
Jun 14 at 12:59 PM
Ja nisam imao nikakvih problema jučer na XP SP3 instalacijama. Nitko mi se od jučer obrađenih nije žalio.

Bilo bi zgodno da oni koji imaju problema navedu s kojim Windowsima rade, kako bi se lakše našao problem.
Jun 14 at 1:03 PM
Kod mene WIN 7 i WIN 10
Jun 14 at 1:12 PM
Kod mene WIN 7
Jun 14 at 1:19 PM
Jeste li micali stari RDC ili ste ga ostavili. Da možda nije u tome problem? Ja sam ga svugdje ostavio instaliranog uz ova dva nova
Jun 14 at 1:43 PM
win 7, ostao je stari RDC jer bez njega ne ide potpis xml-a ......
Jun 14 at 9:12 PM
I kod mene na win 10 na jednom racunalu i nije bilo gasenja, prvo su prolazili pa onda nisu ...opet s toolom proletio i sve opet radi. Danas je opet stekalo. Izgleda da cu ih morat rucno ali to mi nema smisla..trebalo bi raditi.
Jun 14 at 9:29 PM
I meni gadno šteka jučer i danas. Svaki treći ili četvrti račun ne prođe od prve.
Jun 14 at 9:45 PM
Edited Jun 14 at 9:47 PM
Možda šteka zato što svi pokušavaju fiskalizirati račune od unatrag 2 dana, a možda i zato što jedan (koliki?) dio korisnika još ne zna da treba promijeniti certifikate pa njihove kase inzistiraju na fiskalizaciji sa starim RDC-om i rade neku vrstu zagušenja?

Primijetio sam nešto interesantno - jedan korisnik, kojem sam početkom godine instalirao najnoviji certifikat i usput bespotrebno (zato što je tad još radio stari RDC) dodao Fina RDC 2015 (ili Fina Root CA, više nisam siguran, ali 100% SAMO 1 od ta 2) me uopće nije kontaktirao zadnja 2 dana. Kad sam došao, našao sam svega par nefiskaliziranih računa od 13. i 14.6. Skoro svi su bili fiskalizirani i ništa mi nije bilo jasno, dok sa mmc-om nisam shvatio da ima instaliran jedan od tih novih Fininih root certifikata (onda sam se i sjetio što sam radio početkom 2016.).

Suma sumarum, dovoljan je samo 1 od ta 2 nova root certifikata kako bi sve radilo u produkciji (kladim se na Fina RDC 2015). Barm je tako na XP SP3.

Glede "nestanka" certifikata pod W10 nakon gašenja/paljenja, o čemu neki govore, jedino što mi pada na pamet su različiti korisnici (na jednom instalirani, pa onda podignut PC sa drugim korisnikom) na istom PC-u??? Nemoguće je da "nestanu" sami od sebe, ako su već viđeni sa mmc-om ili certmgr-om.

Glede starog RDC-a, negdje sam ga micao (uglavnom), a negdje ne i bilo je svejedno - svuda je radilo kako treba. Opet ponavljam, na XP SP3 instalacijama.
Jun 15 at 3:05 AM
Evo i ja da javim, imao sam jedan slučaj na Win7 da sam ponovo morao instalirati certifikat. Ne znam jel do reseta, drugog korisnika ili nešto treće...nadam se da neće više nitko javiti, inače ću poluditi. ;D ;D ;D ;D ;D

Btw. Pridružujem se pohvalama za tool.
Jun 15 at 7:06 AM
Ja sam primjetio i da demo radi samo s jednim cert, tocnije bez subordiniranog.
Sto se tice nestajanja cert iz trusted root-a, preporucam rucnu instalaciju. Kada instalirate cert samo klikanjem onda on ide u current user-a, jedino preko mmc ga mozete natjerati da ide u local computer.(trusted root cert auth).
Nadam se da nece vise nestajati i ako je neko nasao rijesenje neka ga podijeli s nama :)
Jun 15 at 8:58 AM
meni jutros nestala oba certifikata na 2 win7, sad su instalirani ručno, javim ako nestanu ..... :-(... ovo nije normalno
Jun 15 at 10:16 AM
Edited Jun 15 at 10:17 AM
Da ovo nestajanje nije vezano za temu Hakirani produkcijski certifikati?
Iako mi to više zvuči kao hoax, nikad se ne zna. Meni još nitko ništa nije reklamirao.
Jun 15 at 10:20 AM
Izgleda da ovaj problem nije neuobičajen.

http://superuser.com/questions/222206/trusted-root-certificates-regularly-disappear-on-windows-7
The solution was to install it into the Root store, which puts it under Registry (if you view physical stores in the Certificates snap-in), instead of the AuthRoot store, which puts it under Third-Party. I don't know why it was disappearing from Third-Party, but it hasn't happened since I made this change.
http://superuser.com/questions/387408/certificate-disappearing-from-trusted-root-certification-store
For some reason, to stop this happening, I had to add the certificate to both the Registry & Local stores under Trusted Root Certification storage.
Odd, but it works.
http://stackoverflow.com/questions/14282069/trusted-root-certificate-automatically-disappear-on-client-ssl-connection
Apparently, after a lot of running around, it is due to too many of the same certs in many stores. I open the MMC.exe > Add/Remove SnapIns > Certificates Notice >there are 3 types there (My User Account, Service Account & Computer Account). Open up My User and Computer Account, go through all the stores for each one >and DELETE all of the CA cert with the same name. Then add the CA cert in either My User Account or Computer Account, depending on how you access the certs (in the event of the cert being used programatically, install it in the Computer Account, [Trusted Root Certificate Authorities].
Coordinator
Jun 15 at 10:24 AM
Zaista čudno ovo za nestajanje certifikata - naše je testiranje, na žalost, bilo neuobičajeno kratko, jednostavno nije bilo vremena za bilo što drugo...

Thnx cvrcak za linkove, očito je da u samim Windowsima postoji neki dublji problem vezano uz to...
Jun 15 at 10:36 AM
Nema žaljenja, svaki se problem može riješiti ... ;)
Jun 15 at 10:57 AM
Edited Jun 15 at 10:59 AM
Od primjene novih certifikata imam problema sa fiskalizacijom (ponekad prođe unutar sekunde, a često završi sa Timeout porukom). Poslao sam mail Apis-u i dobio ovaj odgovor:

Poštovani,

Sustav Fiskalizacije uredno obrađuje zaprimljene poruke isto kao i prije promjene cerrtifikata. Provjera novog certifikata je složenija što bi nekim korisnicima moglo uzrokovati češći time-out. Preporučamo da provjerite da li je to slučaj kod Vas. Pokušajte malo povećati vrijeme čekanja na poruku odgovora.


Lijep pozdrav,

Mijenjao sam timeout parametar u config datoteci, ali ne pomaže. Ima li tko kakav prijedlog?

Inače, radi se o Win2003 serveru ili XP SP3 računalima. Demo radi uredno.
Jun 15 at 11:00 AM
Moj stroj, koji ne radi fiskalizaciju, ali je imao u ponedjeljak instalirane certifikate, danas nema, nije gašen, nije resetiran, nije fiskalizirao, win7, ponovo instalirani certifikati s mmc, nestali u roku od 10 minuta.... ponovo instalirani, čekam da vidim kad će opet nestati.
Jun 15 at 11:04 AM
Od primjene novih certifikata imam problema sa fiskalizacijom (ponekad prođe unutar sekunde, a često završi sa Timeout porukom). Poslao sam mail Apis-u i dobio ovaj odgovor:

Poštovani,

Sustav Fiskalizacije uredno obrađuje zaprimljene poruke isto kao i prije promjene cerrtifikata. Provjera novog certifikata je složenija što bi nekim korisnicima moglo uzrokovati češći time-out. Preporučamo da provjerite da li je to slučaj kod Vas. Pokušajte malo povećati vrijeme čekanja na poruku odgovora.


Lijep pozdrav,

Mijenjao sam timeout parametar u config datoteci, ali ne pomaže. Ima li tko kakav prijedlog?

Inače, radi se o Win2003 serveru ili XP SP3 računalima. Demo radi uredno.
Jun 15 at 12:41 PM
Edited Jun 15 at 12:41 PM
Win10. Nestali oba certifikata od jučer do danas na dva ista stroja. Nisu gašeni, ne rade fiskalizaciju. Imaju produkcijski certifikat i ove nove Fina Root.
Eh da. I na jednoj Win7 mašini - MP blagajni.
Jun 15 at 12:53 PM
Kako je Apis odgovorio, dalo bi se zaključiti da u koliko oni ne pojačaju servere moglo bi biti problema u sezoni. Stanje je malo jlz, a još sezona nije pravo ni startara..
Coordinator
Jun 15 at 1:06 PM
Uspostava sigurne (SSL/TLS) veze putem novih certifikata je, vjerojatno, sporija nego ranije - mislim da je u tom smislu SHA256 sporiji od SHA1.

Nisam detaljno proučavao niti testirao, no, pogledajte: https://msdn.microsoft.com/en-us/library/ms978415.aspx (iako pričaju o SHA512 a ne SHA256).
Jun 15 at 1:08 PM
Suma sumarum, dovoljan je samo 1 od ta 2 nova root certifikata kako bi sve radilo u produkciji (kladim se na Fina RDC 2015). Barm je tako na XP SP3.
za dot net je dovoljan jedan file FinaRootCA.cer, za android javu je opet dovolja jeda (ali ovaj drugi FinaRDCCA2015.cer)
a za openSSL trebaju iba ili mućak...
Jun 15 at 2:21 PM
hadamek wrote:
Win10. Nestali oba certifikata od jučer do danas na dva ista stroja. Nisu gašeni, ne rade fiskalizaciju. Imaju produkcijski certifikat i ove nove Fina Root.
Eh da. I na jednoj Win7 mašini - MP blagajni.
Da i meni ali kada sam ih onda dodao ručno prvo mi ponudi spremanje u trenutnog usera pa mislim da tu treba odabrati local machine i onda radi bez problema...
Jun 15 at 3:46 PM
Zanimljivo je da strai RDC nije nestajao bez obzira na OS, a da napomenem da on još uvijek vrijedi(2023.) i sve klijentske certifikate je on izdao i potpisao, ali on više kao ne treba JLZ.?????
Jun 15 at 6:17 PM
Jun 15 at 8:05 PM
Dodatno pojasnjenje dodatnog pojasnjenja, samo su zaboravili napisati da ce novi sigurniji certifikati nesigurno nestajati.Kakvi debili...:)
Jun 15 at 10:30 PM
sen_hadzic wrote:
Dodatno pojasnjenje dodatnog pojasnjenja, samo su zaboravili napisati da ce novi sigurniji certifikati nesigurno nestajati.Kakvi debili...:)
Evala, majstore, potpisujem!!!
I ne znam jesam li jedini kojem se čini da je ekipa iz Apisa koja je prije par godina koliko-toliko kvalitetno i smisleno odradila uvođenje fiskalizacije ili izumrla ili je nakon starta zajašena od nekih politoinformatičara koji jedva znaju naći Control Panel, ali su sposobni preko noći izokrenuti cijeli sustav bez realne potrebe a i bez ikakve analize mogućih posljedica, samo da se stekne dojam da se nešto radi.
Jun 16 at 7:54 AM
Pozdrav,
eto uspio naletiti na 2 machine sa windows XP home. Stranka sva sreca jos nije otvorila u sezoni, pa iako sam napravio upgrade na SP3, greška je da ne može uspostaviti
SSL/TLS secure vezu. Pretpostavljam da home verziji nedostaje nešto što pro ima. Da li netko zna da li se može što instalirati da radi veza.
lp,
Jun 16 at 8:58 AM
Pozdrav,

i dalje imamo probleme, cca 10% računa ne prolazi. Radi se o slanju računa sa WinXP SP3 i sa Win2003servera. Nadalje, situacija je različita i u vremenu odgovora. Na nekim lokacijama odgovor je unutar 1 sekunde, dok na nekima treba čekati i 15-ak. Svugdje je isti program i config Raverusa. U čemu bi mogao biti problem?

LP
Jun 16 at 9:05 AM
Na Windows XP sa SP3 ako ne prolazi treba instalirati zakrpu 375554_ENU_i386_zip.exe. Negdje bez tog updatea se ne može ispravno instalirati certifikat. To ti je tih 10% računala. pozz
Jun 16 at 9:11 AM
Sva računala imaju zakrpu i uredno instalirane certifikate. Radi se o cca 10% računa po računalu. Dakle, sa svakog računala fiskalizacija radi, ali povremeno šteka.
Jun 16 at 9:17 AM
To je to. Sve u redu. Tako sada radi fiskalizacija.
ServicePointManager.ServerCertificateValidationCallback = True obilazi certifikate, ali što taj validation radi? Kakve probleme može napraviti? Dali će zanemariti i vremensko ograničenje certifikata?
Jun 17 at 9:33 AM
Ponovno nestajanje certifikata. Certifikati instaliran u PON do danas uredno radili. Ujutro prvi račun s JIR-om svi ostali bez njega, naravno SSL error. Mislio sam da nestaju samo na kompovima koji imaju upaljen update, ali na ovom nije to slučaj(win 7).Sad sam ga instalirao ručno i čekam sljedeće nestajanje. Primjetio sam kada nestanu produkcijski tada nestanu i demo certifikati iz trusted rooth-a. Izgleda da nestaju svi SHA256 certifikati
Jun 17 at 10:28 AM
Ja sam ih 70ak instalirao, sve rucno i do sada nitko ne vristi.
Jun 17 at 11:05 AM
Edited Jun 17 at 12:16 PM
Ni meni se još nitko nije javio s takvim problemom. Većina instalirana pomoću Ninovog toola, gdje je trebalo, prethodno instaliran SP3.
Možda imam sreće pa imam retro klijente, većina je još na XP, a koliko sam skužio problemi su isključivo na win 7 i 10?

Edit: (oko 13:00)
Eto tako to kad zoveš vraga, on dođe. Upravo javilo nestanak na jednoj sedmici. Nakon reinstalacije radi.

Edit: (13:15)
Četiri računala na istoj lokaciji, kažu istovremeno, nestali certifikati (sedmice i desetke).
Jesu dali imena onih koje treba upucati?
Jun 17 at 12:22 PM
Da i meni ista stvar i to većinom na win 10??? Do danas sve radilo normalno....sada sam ih ponovno dodao ručno...nadam se da će sada ostati na mjestu....
Jun 17 at 1:04 PM
Koji antivirus? Mozda on zeza.
Jun 17 at 1:33 PM
Edited Jun 17 at 1:34 PM
Nestaju na računalima bez ikakve zaštite, na računalima s MSE ili na računalima s vanjskim antvir prog bez obzira. Pisao sam FINI i APIS-u zbog ovog problema pa molim i druge koji imaju ovaj problem da im pišu jer valjda misle da sam jedini s ovim problemom .(certifikati-fiskalizacija@fina.hr) (fiskalizacija.help@apis-it.hr). Zasad je još jedno pozitvno da certifikati nisu nestali gdje sam ih ručno instalirao ali za tu tvrdnju treba proći bar još malo vremena.
Jun 17 at 2:58 PM
Ja i kolege ih ručno instalirali na preko 100 računala sa svim mogućim OS i nigdje do sada nisu nestali.
Jun 17 at 3:15 PM
Upravo su mi javili iz FINE da nipošto ne instaliravamo certfikate pomoću TOOL-a jer su 99% sigurni da je u tome problem. Znači ručna instalacija u TRCA i ne bi trebalo biti problema
Jun 17 at 3:28 PM
Čitam ovo o nestajanju certifikata i čini mi se da za XP PRO SP3 nema pritužbi. To bi bio još jedan argument za nas koji u temi TLS 1.1/1.2 & XP zagovaramo metodu "ne talasaj" sa naprednijim OS-ovima.
Usput molim ovdašnje sudionike (PBDudek, markoveic, moremore ...) da se tamo barm okvirno izjasne koliko korisnika na XP-u imaju, da se malo prebrojimo, pa vidimo ima li se smisla nadati nekakvom XP-TLS rješenju ili se možemo smatrati otipisanima.
Jun 17 at 3:45 PM
gmacarol wrote:
Čitam ovo o nestajanju certifikata i čini mi se da za XP PRO SP3 nema pritužbi. To bi bio još jedan argument za nas koji u temi TLS 1.1/1.2 & XP zagovaramo metodu "ne talasaj" sa naprednijim OS-ovima.
Usput molim ovdašnje sudionike (PBDudek, markoveic, moremore ...) da se tamo barm okvirno izjasne koliko korisnika na XP-u imaju, da se malo prebrojimo, pa vidimo ima li se smisla nadati nekakvom XP-TLS rješenju ili se možemo smatrati otipisanima.
Ne vodim baš najbolje evidenciju ;) ali od cca 50 računala njih bar 40 su bili XP. Od toga njih pola sirotana koji stvarno jedva vode posao i ne znam zarade li išta, ali ostali komercijalistima i financijašima kupuju gamerske pile i monitore veličine nogometnog igrališta, a u dućanu prodavači taru račune na 256 RAM-a i 15" CRTovima.
Pa ti vidi...
Jun 17 at 9:33 PM
Edited Jun 17 at 9:33 PM
gmacarol wrote:
... da se tamo barm okvirno izjasne koliko korisnika na XP-u imaju, da se malo prebrojimo, pa vidimo ima li se smisla nadati nekakvom XP-TLS rješenju ili se možemo smatrati otipisanima.
Ali zašto otpisanima? U konačnici, ako moja DOS aplikacija (provjereno, 100%, samo mora biti x86) radi bez problema i u W7 i u W10 (W8 nisam probao), trebala bi i tvoja, tj. svačija. Nema, doduše, podršku za fullscreen, ali sve ostalo bi trebalo funkcionirati. Ja sam sve to isprobao na 10-tki, da vidim radi li i uz malo truda se može podesiti (ostavio sam post o tome na ovom forumu). Ovim insistiranjem na XP-u mi u stvari pokušavamo spasiti naše klijente od većeg (ili ponovnog) ulaganja, ali u kranjem slučaju, tko ih j... Ne bude li išlo, nema im druge nego uložiti lovu.

Ja ionako sve ovo više radim usput, iz nekog (starog) entuzijazma i da baš namjerno napravim da ta stara krama radi (uz vašu pomoć, naravno), a ne zbog nekog velikog financijskog probitka. Uostalom, sigurno ima dosta korisnika Raverusa, Fiske i sličnih rješenja koji su pasivni na forumu (i ne znamo koliko imaju XP korisnika). Pa mnogi nisu ni znali za ove promjene certifikata jer ne prate forum skoro nikako, a što i nije bilo potrebno obzirom na manje-više stabilan rad sistema od 2013.

Pogledajte što se desilo korisnicima Digitronovih fiskalizatora - oni koji su imali GPRS verziju se mogu, uz neku doplatu, nadograditi, a oni sa WiFi-jem ne mogu - mogu ih baciti. Takve barem informacije imam od mojih korisnika koji to koriste kao dodatnu kasu tamo gdje nemaju mjesta postaviti PC.
Jun 18 at 8:56 AM
sen_hadzic wrote:
Upravo su mi javili iz FINE da nipošto ne instaliravamo certfikate pomoću TOOL-a jer su 99% sigurni da je u tome problem. Znači ručna instalacija u TRCA i ne bi trebalo biti problema
Jedna stvar koju sam primjetio kod instalacije certifikata putem toola je da certifikati završe u AuthRoot storeu, a ako se dodaju ručno završe u Root storeu, možda je to problem zašto certifikati nakon nekog vremena nestanu.
Jun 18 at 11:56 AM
Evo i meni SVI cerifikati koje sam instalirao putem TOOL-a nestali kod svih korisnika kroz tjedan dana. Instalirao sam ih opet putem TOOL-a i za sada rade. Ukoliko opet počnu nestajati morat ću ih instalirati ručno. Nije mi jasan razlog. Svi useri imaju WIN7 ili WIN10.
Jun 18 at 12:20 PM
Pa zašto ih jednostavno ne instalirate ručno? To je 30sec posla. Ako imate svoju web stranicu, postavite ih gore, npr. www.primjer.hr/cert i u pola minute ste gotovi. Ako nemate web i to vam je problem ja vam dam svoj www gdje skidam.
Jun 18 at 7:44 PM
Edited Jun 18 at 8:00 PM
Uzrok brisanja certifikata je CAPI2. U Aplication Event Logu sam pronašao liniju: Successful auto delete of third-party root certificate:: Subject: <CN=Fina Root CA, O=Financijska agencija, C=HR> Sha1 thumbprint: <6202BF169AF27FA67ED0CEC66B782B83226126E9>.

Navodno CAPI2 briše certifikate ako se pripadajući certifikat ne nalazi u TRCA: Izvor: https://social.technet.microsoft.com/Forums/office/en-US/a3b4452a-2fe4-4ecd-b6a2-5ca384702d17/when-exactly-does-capi2-delete-automatically-an-internal-root-ca-event-id-4108-source-capi2?forum=winserversecurity
Based on my research, before CAPI2 determines whether certificates are trusted or not, the automatic root certificates update component will examine local trusted root CA list.
As the way I see it, the reason why certificates got deleted could be that there was no corresponding root CA certificate in the Trusted Root Certification Authorities store on those problematic machines when deletion happened. It could be someone or script/program deleted the root CA certificate.
I suggest you check the Trusted Root Certification Authorities store if the issue occurs in the future.
Dakle, bolje je ručno instalirati certifikate, bar dok Nino ne updatea tool.
Jun 19 at 5:09 PM
Sve u svemu, koliko vidim, kod većine korisnika ovo se riješilo s manje ili više problema, ali mislim da je to šala mala što će biti kad i ako porezna ugasi ssl protokol.
Iz ovog slučaja smo se mogli uvjeriti da se porezna ne obazire puno na probleme na terenu te se može očekivati da će se i ssl protokol ugasiti jednog ponedjeljka s tim da će najava biti u petak prije tog ponedjeljka.
I jednostavno će reći da su to najavili davnih dana, i što je istina istina je, to je najavljeno još u 2015.

Sutra ujutro printam tu njihovu obavijest i dajem je svakom korisniku, da ne bi bilo zašto mu to nitko nije rekao.
Jun 19 at 7:24 PM
Sigurno će biti panika. No, još uvijek ne postoji TESTNA okolina samo sa NOVIM protokolima! Ja sam u četvrtak poslao mail u APIS sa napomenom da moraju paziti da se na TSL 1.1 i 1.2 ne može preći bez prethodnih testiranja. Zahtjevao sam minimalno 30 dana rada u testnom okruženju, prije stavljanja u produkciju, kao i okviran datum uvođenja novih protokola. Imaju za odgovor 2 radna dana, dakle u ponedjeljak vam javim što sam dobio kao odgovor.
Jun 19 at 11:00 PM
mirko25 wrote:
Uzrok brisanja certifikata je CAPI2. U Aplication Event Logu sam pronašao liniju: Successful auto delete of third-party root certificate:: Subject: <CN=Fina Root CA, O=Financijska agencija, C=HR> Sha1 thumbprint: <6202BF169AF27FA67ED0CEC66B782B83226126E9>.
Ovo bi mogao biti uzrok problema, baš ću provjerit logove kod ovih 20% koje sam morao ručno instalirati.
Za CAPI2 izgleda vrijedi ona: "samo mi moooolim te nemoj pomagati".
Jun 20 at 10:11 AM
Možda ovo pomogne - u batch skripti... (admin ovlasti, naravno)

CertMgr.exe /add CertificateFileName.cer /s /r localMachine root
Jun 20 at 10:23 AM
Stigao i odgovor APIS-a vezan uz ukidanje TSL 1.0 protokola:
__Za sada još nije poznat datum ukidanja podrške te će svakako biti najavljeno na vrijeme.
Vaše prijedloge vezano uz testnu okolinu ćemo proslijediti nadležnima
__
Tražio sam minimalno 30 dana testne okoline sa novim protokolima i minimalno 30 dana najave prije ukidanja starog protokola.
Valjda će biti pametnih tamo da to tako bude. :)
Jun 20 at 10:55 AM
Imam računalo s Win Server 2003 Small Business (SP2) na koji ne mogu staviti certifikate. Zna li netko u čemu je kvaka?
Jun 20 at 11:01 AM
Vrlo vjerojatno ti treba SP3
Jun 20 at 11:03 AM
Edited Jun 20 at 11:03 AM
Da, i ja sam to prvo pomislio, ali SP3 za Win Server 2003 ne postoji.
Jun 20 at 11:19 AM
Onda je moguce da si u problemu :D
Jun 20 at 11:28 AM
Kolega markovieic napisao je u svom postu:
Na Windows XP sa SP3 ako ne prolazi treba instalirati zakrpu 375554_ENU_i386_zip.exe. Negdje bez tog updatea se ne može ispravno instalirati certifikat. To ti je tih 10% računala. pozz

Tražeči taj patch naletio samo na ovaj link:
https://forum.pulseway.com/topic/1250-windows-server-2003-could-not-establish-trust-relationship-for-the-ssltls-secure-channel-with-authority-error/

On se odnosi i na Windows 2003 server pa bi možda to bilo to.
lp,
Jun 20 at 12:27 PM
Hvala user1312

To je to. Radi!
TNX
Jun 20 at 1:23 PM
Super :)
Jun 20 at 2:30 PM
Edited Jun 20 at 2:31 PM
Netko me je pitao koliko imam XP korisnika...previše. Definitivno sa prelaskom na TSL XP zaboravljam. Iako je može preko Jave riješiti dosta jednostavno, ali xp će opet naići ubrzo na usko grlo.

Neznam kako je nino riješio u TOOL-u, ali ja nemam problema oko toga: Evo moga koda. Sklepano u ponedjeljak u tri minute (objekti imaju default imena),ali evo mozda pomogne
   If subInstallCert("RDC-TDUCA.cer", "C1.cer") Then
            Label3.Text = "Ok"
            If subInstallCert("RDCca.cer", "C1.cer") Then
                Label4.Text = "Ok"
                If subInstallCert("FinaRDC-TDUCA2015.cer", "C1.cer") Then
                    Label5.Text = "Ok"
                    If subInstallCert("FinaRDCCA2015.cer", "C1.cer") Then
                        Label6.Text = "Ok"
                        If subInstallCert("FinaRootCA.cer", "C1.cer") Then
                            Label7.Text = "Ok"
                            PosaljiMail()
                            Button1.Text = "ZAVRŠENO"
                        End If
                    End If
                End If
            End If
        End If
Function subInstallCert(ByVal s As String, ByVal s2 As String) As Boolean
    Dim b As Boolean = False
    Try

        'Using wc As New WebClient()
        '    'Dim startupPath = Environment.GetFolderPath(Environment.SpecialFolder.Startup)
        '    'wc.DownloadFile(s, Path.Combine(startupPath, s2))
        'End Using

        'Dim WC As New System.Net.WebClient
        'WC.DownloadFile(s, s2)


        Dim remoteUri As String = "http://mojadomenaSaCertifikatima/"
        Dim fileName As String = s
        Dim myStringWebResource As String = Nothing
        ' Create a new WebClient instance.
        Dim myWebClient As New WebClient()
        ' Concatenate the domain with the Web resource filename. Because DownloadFile 
        'requires a fully qualified resource name, concatenate the domain with the Web resource file name.
        myStringWebResource = remoteUri + fileName
        Console.WriteLine("Downloading File ""{0}"" from ""{1}"" ......." + ControlChars.Cr + ControlChars.Cr, fileName, myStringWebResource)
        ' The DownloadFile() method downloads the Web resource and saves it into the current file-system folder.
        myWebClient.DownloadFile(myStringWebResource, fileName)
        Console.WriteLine("Successfully Downloaded file ""{0}"" from ""{1}""", fileName, myStringWebResource)
        Console.WriteLine((ControlChars.Cr + "Downloaded file saved in the following file system folder:" + ControlChars.Cr + ControlChars.Tab + Application.StartupPath))



        Dim file As String
        ' Contains name of certificate file
        Dim store As New X509Store(StoreName.Root, StoreLocation.CurrentUser)
        store.Open(OpenFlags.ReadWrite)
        store.Add(New X509Certificate2(X509Certificate2.CreateFromCertFile(Directory.GetCurrentDirectory & "\" & s)))
        store.Close()
        b = True
    Catch ex As Exception
        b = False
    End Try

    Return b
End Function
UPDATE: instaliram svih 5 FINA certifikata. U funkciji drugi parametar ne koristim pa se proslijedjuje nesto bezbeze.
Coordinator
Jun 20 at 2:43 PM
Edited Jun 20 at 2:44 PM
Ovo je kod iz tool-a koji instalira certifikate:
AddCertificate("FinaRDCCA2015", Properties.Resources.FinaRDCCA2015, StoreLocation.LocalMachine);
AddCertificate("FinaRootCA", Properties.Resources.FinaRootCA, StoreLocation.LocalMachine);
AddCertificate("demo2014_sub_ca", Properties.Resources.demo2014_sub_ca, StoreLocation.LocalMachine);
AddCertificate("demo2014_root_ca", Properties.Resources.demo2014_root_ca, StoreLocation.LocalMachine);

AddCertificate("FinaRDCCA2015", Properties.Resources.FinaRDCCA2015, StoreLocation.CurrentUser);
AddCertificate("FinaRootCA", Properties.Resources.FinaRootCA, StoreLocation.CurrentUser);
AddCertificate("demo2014_sub_ca", Properties.Resources.demo2014_sub_ca, StoreLocation.CurrentUser);
AddCertificate("demo2014_root_ca", Properties.Resources.demo2014_root_ca, StoreLocation.CurrentUser);


private void AddCertificate(string message, byte[] certificate, StoreLocation location)
{
    UpdateStatus(string.Format("Dodajem ({0}): {1}", location, message));
    try
    {
        X509Certificate2 cert = new X509Certificate2(certificate);

        X509Store store = new X509Store(StoreName.AuthRoot, location );
        store.Open(OpenFlags.ReadWrite);
        store.Add(cert);
        store.Close();
        UpdateStatus(string.Format("OK ({0}): {1}", location, message));
    }
    catch (Exception ex)
    {
        inError = true;
        UpdateStatus("Greška: " + ex.Message);
    }
}
Jun 20 at 2:54 PM
    X509Store store = new X509Store(StoreName.AuthRoot, location );
```
Mislim da je ovdje problem. StoreName.Root bi trebalo biti umjesto StoreName.AuthRoot
Jun 20 at 3:01 PM
Ja sam prvo probao sa tvojim alatom ujutro, ali mi je zablokirao na XP pa sam isao radit svoj u kasi. Drugacije je ponesto...al tko zna mozda se ovo pokaze da nestaje...
    Dim store As New X509Store(StoreName.Root, StoreLocation.CurrentUser)
    store.Add(New X509Certificate2(X509Certificate2.CreateFromCertFile(Directory.GetCurrentDirectory & "\" & s)))
Jun 20 at 3:22 PM
Postoji slijedeća razlika prilikom instalacije certifikata kroz tool prema "ručnoj" instalaciji.

Tool instalira certifikat (relevantan je samo Fina Root CA) u slijedeće fizičke storeove:
Certificates (current user) / Trusted Root Crtification Authorities / Local Computer / Certificates
Certificates (current user) / Thiry-Party Root Certification Authorities / Local Computer / Certificates
Certificates (Local computer) / Trusted Root Certification Authorities / Thiry-Party / Certificates
Certificates (Local computer) / Third-Party Root Certification AUthorities / Registry / Certificates

a ručna instalacija u:
Certificates (current user) / Trusted Root Certification Authorities / Registry / Certificates

Nisam siguran što točno CAPI2 od gore navedenih lokacija sa certom briše, ali mislim da bi tool trebao instalirati u slijedeće fizičke storeove:
Certificates (current user) / Trusted Root Certification Authorities / Registry
Certificates (current user) / Thiry-Party Root Certification Authorities / Registry
Certificates (Local computer) / Trusted Root Certification Authorities / Registry / Certificates
Certificates (Local computer) / Third-Party Root Certification AUthorities / Registry / Certificates

Naime, po isksutvu nekih sa srtanih foruma, ovo kaj je u "Registry" fizičkom storeu CAPI ne dira.
Ne znam kak točno ovo gore realizirati kroz kod, ali mislim da bi to moglo biti riješenje.
Jun 20 at 4:14 PM
Upravo odradio ručno instaliranje certifikata svim klijentima. Na 90% računala nije radila fiskalizacija danas..... :S
Jun 20 at 4:25 PM
Ako ja mogu rezimirati:
Problem se javlja samo na Win 7 i 10 ako se instaliraju certovi pomoću tool-a u nedetektiranom trenutku (nije reset računala).
Zaključak: Tool je odradio dobar posao na značajnom udjelu XP kasa, a privremeo ugasio požar na 'suvremenijim' windozama, pa sad laganini možemo ručno preinstaliravati kako gdje nestanu.
Sve u svemu, ponavljam: hvala Ninu što se opet potrudio da nam olakša.
Jun 21 at 10:00 PM
Španjolci imaju bug, pao im server....mi hrvati ih hakirali 2:1
Jun 24 at 7:50 PM
Meni je jucer na 4 racunala s win10 stala fiskalizacija zbog certifikata, sada sam sve rucno odradio pa cemo vidjet.

2016-06-20 17:26 GMT+02:00 PBDudek <[email removed]>:

From: PBDudek

Ako ja mogu rezimirati:
Problem se javlja samo na Win 7 i 10 ako se instaliraju certovi pomoću tool-a u nedetektiranom trenutku (nije reset računala).
Zaključak: Tool je odradio dobar posao na značajnom udjelu XP kasa, a privremeo ugasio požar na 'suvremenijim' windozama, pa sad laganini možemo ručno preinstaliravati kako gdje nestanu.
Sve u svemu, ponavljam: hvala Ninu što se opet potrudio da nam olakša.

Read the full discussion online.

To add a post to this discussion, reply to this email ([email removed])

To start a new discussion for this project, email [email removed]

You are receiving this email because you subscribed to this discussion on CodePlex. You can unsubscribe or change your settings on codePlex.com.

Please note: Images and attachments will be removed from emails. Any posts to this discussion will also be available online at codeplex.com


Jun 24 at 9:12 PM
Edited Jun 28 at 11:05 AM
E pa ovo mi je mal blesavo. Nestali certifikati nakon 7 dana iako su ručno instalirani. Win10 , produkcijski Fiskal i novi Fina Root. Prvotno instalirani preko Tool-a , a onda ručno.

EDIT:
Uočeno još kod nekih korisnika, Win8. certifikati obrisani/nedsotaju nakon 7 dana. Svi instalirani ručno prema uputama.
Jun 28 at 7:00 PM
pratim temu od početka, ali mi je promakla informacija da li je bilo slučajeva da se certifikati brišu i sa onih računala pod Win7/8/10 gdje je certifikat instaliran samo ručno, odnosno nije instaliran ručno a nakon instalacije s tool-om. svi moji slučajevi su naknadna ručna instalacija. nemam niti jedan slučaj gdje sam certifikad od prve instalirao samo ručno, pa zato i pitam.
Jun 28 at 7:38 PM
zp1956 wrote:
pratim temu od početka, ali mi je promakla informacija da li je bilo slučajeva da se certifikati brišu i sa onih računala pod Win7/8/10 gdje je certifikat instaliran samo ručno, odnosno nije instaliran ručno a nakon instalacije s tool-om. svi moji slučajevi su naknadna ručna instalacija. nemam niti jedan slučaj gdje sam certifikad od prve instalirao samo ručno, pa zato i pitam.
Mi smo ih instalirali samo ručno i sve provjeravali sa mmc. Nismo dobili informaciju da se je koji obrisao.. bar za sada ?? Tko zna možda se počmu brisati nakon 30 dana?
Jul 1 at 2:56 PM
Nadam se da se originalni autor nece ljutiti, ali mi smo zbog velikog broja klijenata uzeli postojecu aplikaciju i malo je modificirali.
  • datoteke potrebne za rad aplikacije nalaze se u samoj aplikaciji, umjesto 4 datoteke imamo samo jedan exe
  • u aplikaciju je vec stavljen manifest pa nije potrebno raditi "Run as administrator", dovoljno je pokrenuti aplikaciju
  • aplikacija instalira certifikate samo u Local Machine, ne i u User Store (trebalo bi riješiti problema "nestanka" certifikata - naravno ako su vec instalirani na oba mjesta opet ce nestati, rucno pobrisite ili iz Local Machine ili iz User Store)
  • digitalno smo je potpisali kako bi se kao .exe mogla preuzimati kroz Chrome (inace odbija)
A klijentima smo dali uputu

a) preuzmi datoteku sa adrese http://integrator.hr/cert.exe
b) pokreni

Mozda nekom pomogne.