Skatteforlaget |
|
Dokumentets metadata
| Offentliggjort: | 10-04-2019 |
| Dokumenttype: | Nyhedsbrev til virksomheder |
Toldstyrelsen opgraderer systemet til indberetning af filer ("FTPS Gateway") i ICS & MANIFEST.
Skatteforvaltningen opgraderer systemet til indberetning af filer ("FTPS Gateway") i ICS & MANIFEST.
Revision 3. (den 28. februar 2019)
Omfatter udelukkende systemerne ICS og Manifest.
TFE omlægges i august måned 2019
Produktion omlægges i oktober måned 2019.
Krævede ændringer til jeres systemer
Den opgraderede FTPS Gateway er baseret på et nyt hyldevareprodukt, som pga. skærpede krav til sikkerhed kræver en ændring i proceduren for autentificering, men også fjerner muligheden for at selskaber (identificerer med et CVR-nummer) kan anvende flere certifikater til at hente filer i en delt udbakke.
Da jeres system i dag integrerer med Skatteforvaltningen 's FTPS Gateway, skal det derfor fremadrettet tilpasses som følger:
- Der skal i tillæg til OCESII-certifikatet fremover medsendes gyldigt brugernavn ("username") og brugerkode ("password"). Brugernavnet ("username") er fremover en sammensætning af CVR-nummer og enten RID- eller UID-værdien i OCESII-certifikatet på formen:Virksomhedscertifikater (VOCES): CVR_xxxxxxxx_UID_yyyy…y
- Eksempel:
- Medarbejdercertifikater (MOCES): CVR_xxxxxxxx_RID_yyyy…y
CVR_12345678_UID_9876543210
Brugerkoden til produktionsmiljøet tildeles af Skatteforvaltningen og fremsendes via Bluewhale.dk eller evt. Digital Post stillet til selskabets CVR-nummer. Brugerkoden vil IKKE blive tilsendt via alm. e-mail.
- De selskaber der anvender et certifikat (C1) til indberetning og et andet certifikat (C2) til at hente svarfiler i udbakken skal være opmærksom på, at den nye FTPS Gateway ikke understøtter denne opdeling. Det er derfor nødvendigt at anvende certifikat C1 til både indberetning og hente svarfiler.
- Den nye FTPS Gateway vil fremover være tilgængelig på port 6381 og High Ports 36000 - 36100. Dette skyldes at Skatteforvaltningen idriftsætter den nye FTPS Gateway parallelt med den nuværende og flytter selskaber over i bundter.
Nuværende FTPS Gateway | Den nye FTPS Gateway |
Adresse: secureftpgatewaytest.skat.dk Port: 6371 High Ports: 35000-35100 | Adresse: secureftpgatewaytest.skat.dk Port: 6381 High Ports: 36000-36100 |
- Den nye FTPS Gateway vil fremover IKKE returnere flg. fejlkoder
BACKEND_SYSTEM_NOT_AVAILABLE
SERVICE_DOES_NOT_EXIST
CLIENT_NO_PERMISSION
GUID_NOT_FOUND
ROLE_COULD_NOT_BE_FOUND
AUTHORIZATION_TIMED_OUT
Forhåndsregistrering af certifikat sikrer, at alle autentificering og autorisation til services kan godkendes af systemet.
- Den nye FTPS Gateway tillader ikke længere, at en fil indsendes med allerede indsendt filnavn. Dette sikrer, at indberettede filer afvikles i identificerbare transaktioner.Indsendelse af filer med genbrug af filnavn vil medføre fejlkoden:
FILENAME_CANNOT_BE_REUSED_FOR_TRANSACTION
- Den nye FTPS Gateway anvender kun Transport Layer Security (TLS):
- TLSv1.2
VIGTIGT!: TLSv1, som anvendes i den nuværende FTPS Gateway, er deaktiveret og understøttes IKKE i den nye FTPS Gateway. Dette gælder også TLSv1.1.
- Den nye FTPS Gateway tilpasser service strukturen i henhold til de roller som et certifikat er tildelt i det Centrale Sikkerhedssystem. Upload af filer kan kun ske under en specifik service folder og download af filer kan kun ske fra 'out' folder.
- Den nye FTPS Gateway implementeres gradvis per system i løbet af 2019 - startende med DMR, efterfulgt af PSRM/DMI osv. Hvis jeres system eksempelvis forbinder til ICS/Manifest gennem FTPS-GW, så vil der i en periode være behov parallel opkobling. Helt konkret skal jeres system kunne koble op til to forskellige portnumre.
Foruden ovenstående tilpasninger i jeres systemer, skal I indgå i følgende forløb:
- Selskaber skal indsende det/de OCESII-certifikat(er), der i dag benyttes i TFE- og i Produktionsmiljøet. Certifikatet skal indsendes til e-mail: jp-driftscenter@ufst.dk VIGTIGT: For at gøre dette punkt mest smidigt for selskaberne vil den nuværende FTPS Gateway fra 1. september 2018 løbende migrere selskabernes OCESII-certifikater til den nye FTPS Gateway helt automatisk. Selskaber, der indberetter efter denne dato, skal dermed IKKE indsende certifikat per e-mail. Den tildelte brugerkode lægges på den eksisterende FTPS Gateway under en "dummy" service benævnt NyFTPSLoginInfo i en fil benævnt Ny_FTPS_Login_Info.txt. Eks. login med certifikat tilhørende CVR = 12345678 og UID = 9876543210 og hent filen UID_9876543210/NyFTPSLoginInfo/Ny_FTPS_Login_Info.txt.
- Det er muligt at teste adgang og login til den nye FTPS-Gateway i både TFE- og Produktionsmiljø fra d. 1 august 2019 og fremefter.
- Produktionssætning d. .. oktober 2019 kl. 09:00-11:00. Det er vigtigt at I fra dette tidspunkt kommunikerer på den nye port i jeres integrationer med ICS og Manifest og at jeres system på dette tidspunkt understøtter den ændrede virkemåde som beskrevet ovenfor.
Opgradering af Skatteforvaltningen‘s FTPS Gateway medfører IKKE ændringer til flg. områder af løsningen:
- OCESII-certifikatet, der af selskabet anvendes til autentificering, herunder de rettigheder, der er tildelt certifikatet i TastSelv Erhverv under "Rettigheder til Selvbetjening".
- Server-certifikatet, der identificerer Skatteforvaltningen ‘s FTPS Gateway ("Server Certificate")
- OCESII-rodcertifikatet (CA), der definerer hvilke klientcertifikater, der kan anvendes til autentificering.
- IP- og DNS-adressen for Skatteforvaltningen ‘s FTPS Gateway (dog ændres port-nummer til forbindelsen jf. ovenstående punkt 4)
Certifikatfremsendelse
Den nye FTPS Gateway tillader kun adgang med certifikater som "trustes" på forhånd, og fremadrettet er det således nødvendigt at fremsende nye certifikater. Der er tale om en "public" version af certifikatet, som kan dannes på basis af P12 certifikat. Husk at angive mobilnummer i email idet dette anvendes i forbindelse med fremsendelse af login kodeord via krypteret email.
Følgende illustrerer hvorledes certifikat fil kan dannes i Windows og Linux miljø.
Windows
Importer p12 certifikat.
Exporter certfikat fra mmc (Certificate plugin).
Linux
Udfør denne kommando:
openssl pkcs12 -in VOCES_gyldig.p12 -out CVR_ 30808460_UID_ 25351738.pem
cer/pem filen er " Base64 encoded ASCII file" og kan fremsendes via normal email.
Liste over berørte services
ICS
SummariskIndgangsangivelseOpdaterService
SummariskIndgangsangivelseOpretService
SummariskIndgangsangivelseSamlingOmdirigerService
Manifest Manifest.AfgangsdeklarationOpdaterManifest.AfgangsdeklarationOpretManifest.AfgangsdeklarationSletManifest.AnkomstdeklarationOpdaterManifest.AnkomstdeklarationOpretManifest.AnkomstdeklarationSletManifest.EksternAnkomstOgAfgangsIndberetningOpretManifest.MidlertidigOpbevaringOpdaterManifest.MidlertidigOpbevaringOpretManifest.MidlertidigOpbevaringOpsplitOpretManifest.MidlertidigOpbevaringSletManifest.TolddokumentSamlingHent
Ændringslog
- Revision: DMR udgave
- Revision: PSRM, MiniMF og DMI udgave
- Revision: ICS og Manifest udgave