Jeg var ude for at skulle bestille et Nets OCES II testcertifikat for en kunde og dette voldte mig en del problemer. Derfor har jeg besluttet mig for at dokumentere det, sådan at andre kan bruge mine erfaringer. Det er nemlig sådan at Nets testmiljø som udgangspunkt er lavet til at teste NemID login løsninger, men der er en del virksomheder og institutioner som er begyndt at bruge de certifikater som er udstedt i Nets testmiljøer i deres egne testmiljøer. På samme måde som produktionscertfikaterne skal bruges i produktionsmiljøet. Og det giver jo egentlig meget god mening. Det er dog ikke et brugsscenarie som Nets har forudset og opsætningen er derfor en smule kluntet og det er svært at finde information om hvordan man gør det. Bemærk i øvrigt at certifikat og signatur bruges om det samme i denne artikel.
Nets signaturer
Nets udsteder 4 forskellige typer certifikater:
- Personsignatur – Udstedes automatisk til alle registreret i det danske CPR register. Dette bruges til at logge på diverse selvbetjeningsløsninger for borgere i det danske samfund. For personer med enkeltmandsvirksomheder kan det i nogle tilfælde også bruges i stedet for en medarbejdersignatur.
- Medarbejdersignatur – Udstedes til ansatte som har brug for at agere på vegne af en virksomhed. Dette vil ofte være på selvbetjeningsløsninger rettet mod danske virksomheder.
- Virksomhedssignatur – Udstedes til virksomheden og bruges til at signere mails.
- Funktionssignatur – Udstedes til virksomheden og bruges til at signere kald til software og services som virksomheden integrerer op imod. Bedste praksis er at benytte forskellige funktionscertifikater til forskellige løsninger.
Certifikater fra hhv produktions- og testmiljøet kan skelnes fra hinanden ved at kigge på certifikatkæden. Det er også denne som bruges til at verificere certifikatet og man kan derfor ikke bruge et certifikat udstedt i testmiljøet til en løsning i produktionsmiljøet og omvendt. Jeg starter med at beskrive hvordan certifikater i produktionsmiljøet oprettes og herefter bliver det mere tydeligt hvordan testmiljøet adskiller sig.
Produktionsmiljøet
For at bestille enten virksomhedssignatur eller funktionssignatur skal man starte med at bestille en medarbejdersignatur.
Den første medarbejdersignatur
Dette gøres på https://www.medarbejdersignatur.dk/ under ‘Bestil medarbejdersignatur’.
Når den første medarbejdersignatur bestilles udfyldes en formular og bestillingen bekræftes ved enten at underskrive med ejerens eller administratorens private NemId eller ved at udprinte, underskrive og indsende en bestillingsformular enten via mail, fax eller post. Den første som bestiller medarbejdersignatur bliver automatisk NemID administrator.
Yderligere certifikater
Herefter kan NemID administratoren tilgå en portal under selvbetjening hvor man kan bestille yderligere medarbejdersignaturer, samt virksomhedsignatur og funktionssignaturer.
Det er som udgangspunkt til at have med at gøre, vær dog opmærksom på at de første 3 medarbejdersignaturer, virksomhedssignaturer og funktionssignaturer er gratis og herefter koster det penge at bestille en ny signatur. Desuden er det ikke muligt at omdøbe eller på anden måde ændre i certifikaterne når de først er oprettet. Tænk derfor over navngivningen af især funktionssignaturer inden oprettelse.
Testmiljøet
Der er overordnet 3 måder man kan få fat på OCES II certfikater i testmiljøet:
- Man kan downloade og benytte generiske test certifikater som Nets har udstillet til udviklere. Disse kan findes på denne side.
- Man kan få oprettet enkeltstående test certifikater til specifikke virksomheder.
- Man kan oprette en tjenesteudbyderaftale. I denne forbindelse oprettes test certifikater for virksomheden, samt andre indstillinger som gør at man kan udvikle løsninger med NemLogin.
I denne artikel fokuseres der på løsning nummer 2 som er den som mangler at blive beskrevet på Nets sider. Det er denne løsning som skal benyttes hvis man skal integrere op mod en softwareløsning eller service som benytter NemID testcertifikater til autenticering dvs funktionscertifikater.
Den første medarbejdersignatur
Hvad man ikke skal gøre
I testmiljøet findes der en side: https://erhverv.pp.certifikat.dk/ som er fuldstændig identisk med medarbejdersignatur.dk. Man løber dog hurtigt på problemer hvis man forsøger at bestille den første medarbejdersignatur på samme måde som i produktion. Selvom bestillingsflowet er fuldstændig identisk med produktionsmiljøet, så vil bestillingen ikke gå igennem. Hvis man forsøger at godkende bestillingen ved at underskrive med privat NemID får man en fejl. Dette giver mening da folks private NemId ikke er oprettet i testmiljøet. Hvis man i stedet indsender en underskrevet formular får man en automatisk mail om at bestillingen er forældet og at man skal starte forfra.
Den rigtige måde…
Det man i stedet skal gøre er at klikke ind på Nets tjenesteudbydersupport. Udfyld kontaktoplysninger i formularen. Herefter vil alle påkrævede felter vil være irrelevante, udfyld disse med ‘-‘ eller lignende. For miljø, vælg da ‘Test’. Til sidst skriver man i kommentarfeltet at man ønsker at få oprettet et test certifikat og angiver det telefonnummer man gerne vil kontaktes på.
Herefter vil man blive ringet op af en supporter fra Nets som kan oprette test-medarbejdersignatur for én. Dette gjorde jeg og den supporter som ringede mig op fortalte mig at den prisliste som er inde på supprortsiden ikke gælder for testmiljøet. Man behøver derfor ikke være bange for at modtage en regning efterfølgende. Han fortalte mig også at testcertifikater ikke oprindeligt var tiltænkt til testmiljøer udenfor Nets og at det derfor ikke er en del af deres dokumentation. Forskellen på denne løsning og en egentlig tjenesteudbyderaftale er at der ikke fra Nets side skal whitelistes nogle ip-adresser og det er derfor en mindre opgave at oprette et enkeltstående testcertifikat, fremfor en egentlig tjenesteudbyderaftale.
Yderligere certifikater
Når man har modtaget og aktiveret medarbejdersignaturen med hjælp fra supporteren kan man logge på selvbetjening her: https://erhverv.pp.certifikat.dk/ og selv oprette test-virksomhedscertifikater og test-funktionscertifikater. På samme måde som i produktion. Bemærk her at man kan oprette så mange certifikater man lyster uden at det koster penge.
Kilder: