Loading…
Tilbage
×

Info

Der findes en nyere version af resourcen her

[OLD] FAQ: Hvordan fornyes et funktionscertifikat?


Hvordan fornyes et funktionscertifikat?

Et funktionscertifikat skal fornyes hvert andet år. Ca. en måned før certifikatet udløber vil du modtage en mail fra DanId om, at certifikatet skal fornyes (med titlen ”Din digitale signatur skal fornyes”). E-mailen indeholder et link, der gør det muligt straks at forny certifikatet. Det eneste krav er, at det gamle certifikat ligger på computeren og at det endnu ikke er udløbet.

Selve processen for fornyelse er ganske simpel. Når man følger linket er første skridt at vælge certifikatet, der skal fornyes. Efter at have accepteret vilkårene er der kun et valg tilbage, om man vil bruge standard eller avancerede indstillinger. Avancerede indstillinger giver mulighed for at gøre den private nøgle eksporterbar og undgå at certifikatet installeres, så det er tilgængeligt via Microsoft Cryptography API (CAPI).

Der er dog et par punkter, du skal være opmærksom på i forbindelse med fornyelsen.

Efter fornyelsen vil både det gamle og det nye certifikat ligge på computeren. Hvis man anvender digital signatur som anbefalet af DanId, vil der være et program til sletning under ”Digital Signatur/Slet Digital signatur”. Hvis man vælger dette program kommer der en dialog frem, hvor man kan vælge hvilket certifikat man vil slette.   

Selvom det fornyede certifikatet i princippet er det samme (bare fornyet) og med samme certifikat subject, får certifikatet alligevel et nyt nøglepar. Den nye offentlige nøgle publicerer DanId umiddelbart efter udstedelsen på dir.certifikat.dk. Da det er fra dir.certifikat.dk, at afsenderen henter den offentlige nøgle på modtageren, giver det problemer, hvis modtageren ikke umiddelbart efter udstedelsen tager det nye certifikat i anvendelse.

Hvis dette ikke sker, vil man i modtageservicen ikke kunne afkryptere meddelelsen og der vil opstå en sikkerhedsfejl. Bemærk dog, at selvom modtageservicen opdateres med det samme, kan det stadig give problemer i en overgangsfase, da afsendere ofte cacher resultatet af opslag i dir.certifikat.dk. Default for denne caching er 14 dage, så det kan i visse tilfælde være relevant at få afsendere til at fremtvinge en opdatering af cachen, f.eks. ved at genstarte servicen.

Til afsendelse er opdateringen mindre kritisk. Afsenderservicen signerer meddelelser med certifikatets private nøgle, men vedlægger den offentlige nøgle i selve meddelelsen. Dette betyder, at afhængigheden til dir.certifikat.dk ikke eksisterer i forbindelse med afsenderservicens signering af meddelelser og modtagerservicens validering af denne signering.

 

Andre FAQ om NemHandel og Certifikater:

  1. Hvordan udstedes et funktionscertifikat?
  2. Hvordan repræsenteres certifikatet i NemHandelsregistret?
  3. Hvad skyldes en fejl vedrørende 'OAEP Padding'?

FAQ som pdf:

http://digitaliser.dk/resource/526405/artefact/NemHandel+Certifikater+FAQ.pdf

 

 

Profilbillede

Problemer med afsendelse efter fornyelse

Kasper Grøndahl Christensen

Jeg har netop fornyet mit funktionscertifikat, men har problemer med afsendelse. En del endpoints accepterer fint mit nye certifikat, men nogle endpoints, heriblandt den offentlige oiosi2vans gateway, afviser med en sikkerhedsfejl:

Msg: En SOAP fault meddelelse blev returneret af det kaldte endpoint. Beskeden er: 'At least one security token in the message could not be validated.'. Fejlen skyldes: 'dig'.

Et par af de endpoints der svarer med ovenstående er:

http://kommercielvansgateway.kmd.dk/OiosiRasp12/AdgangTilNemHandel.svc

http://oiosi2vans.kmd.dk/OiosiVansGW/OiosiEndpointSecurityMOM.svc

Men da jeg kan sende til andre endpoints, må mit certifikat vel være OK?

Har skrevet til support@nemhandel.dk - men de har ikke svaret.

Har også kontaktet KMD, men indtil videre har de henvist mig til NemHandel supporten.

Er der en venlig sjæl herinde der kan foreslå en forklaring?

Hvor lang tid er der gået efter fornyelsen?

Jeg måtte ændre vores certifikat da det det ikke søge efter det i Digital Signatur
Jeg kan ikke huske hvor lang tid der gik før det virkede hele vejen rundt men det varede noget

Fejlen jeg fik retur var den samme: At least one security token in the message could not be validated.

- Peter

ændret af Peter Lykkegaard (14.12.2011)

Tak for tippet.

Dette er vel i modsætning til hvad der står i ovenstående FAQ, men jeg har nu skiftet tilbage til det gamle certifikat (der ikke er udløbet endnu), og det lader til at virke.

Det er et døgn og nogle timer siden jeg fornyede. Vil prøve det nye certifikat igen i morgen, og se om det så er kommet på plads.

I dag har jeg så skiftet til det nye certifikat igen - og nu ser det ud til at fungere.

Konklusionen må altså blive at det tager ca. 2 døgn før et nyt certifikat er på plads i alle systemer, og indtil da er det at foretrække at sende med det gamle certifikat.

/Kasper

Jeg ventede vist weekenden over, gad ikke rode med det om fredagen :-)

I øvrigt: Man skal opmærksom på at der kun kan være eet funktionscertifikat med samme navn, hvis man både har det gamle og nye certifikat installeret så er der intet der fungerer

- Peter

Det lønner sig at deltage ;-)
Jeg er lige rendt ind i samme issue: Nyt certifikat udstedt fredag eftermiddag

Oh well vi venter til mandag eftermiddag med skiftet og ser hvad der sker 

- Peter