Secure FTP Handleiding

Secure FTP Handleiding Aansluiten op Equens Secure File Transfer Final

26-Januari-2015 Classification: Open Version 4.2

Handleiding | Aansluiten op Equens Secure File Transfer

OPEN

Content 1 1.1 1.2 1.3

Inleiding Onderhoud van dit document Doelgroep van dit document Opbouw van deze handleiding

5 5 5 5

2 2.1 2.1.1 2.1.2 2.2

Secure FTP netwerkvarianten en infrastructuur Twee netwerkvarianten Secure FTP via internet Secure FTP via IP-VPN Infrastructuur

7 7 7 7 8

3 3.1 3.2 3.3 3.4 3.5

Beveiliging Inleiding Versleutelde versturing van bestanden via TLS Authenticatie door middel van certificaten Toegang met gebruikersnamen en wachtwoorden Beheer van gebruikersnaam en wachtwoord

9 9 9 11 13 13

4 4.1 4.2 4.3 4.4

Naamgeving van de bestanden en het routeermechanisme Inleiding Secure FTP bestandsnaam conventie Ontvangen van verschillende typen bestanden Meerdere bestemming id's (optioneel)

14 14 14 15 15

5 5.1 5.2 5.3 5.4

Uitwijk- en back-up voorzieningen Standaard situatie Scenario bij lokale problemen Scenario bij netwerk uitval op de primaire locatie Scenario bij een totale uitval van de primaire locatie

16 16 16 16 17

6 6.1 6.2 6.3

Inrichten van uw netwerk Inrichten van de firewall Inrichten van de FTP cliënt op uw omgeving Inrichten van het netwerk voor gebruik van de test/acceptatie omgeving

18 18 18 18

7 7.1 7.1.1 7.1.2 7.1.3 7.2 7.3 7.4 7.5 7.6 7.7 7.8 7.9 7.10

Aanvragen en installeren van een certificaat Inleiding De procedure Voorbereiding Onderhoud Het aanvragen van een certificaat Het ophalen van het certificaat Het exporten van het certificaat Het importeren van het certificaat in uw Secure FTP cliënt Het ophalen van het Equens server certificaat (CA root certificaat) Het importeren van het Equens certificaat in uw Secure FTP cliënt Intrekken van het cliëntcertificaat ('revoken') Het ophalen van 'Certification Revocation List' Vernieuwen cliëntcertificaat

19 19 19 20 21 22 27 30 35 36 37 37 40 41

8

Testen van uw aansluiting

42

FINAL | Version 4.2 | 26-Januari-2015 | Page 2 of 73


OPEN

8.1 8.2 8.3 8.3.1 8.3.2 8.4 8.4.1 8.4.2 8.5 8.5.1 8.5.2 8.6 8.6.1 8.6.2 8.6.3

Inleiding Onderscheid in drie type testen Connectietest Kenmerken en randvoorwaarden van de connectietest Uitvoeren van de connectietest Filetransfer test Kenmerken en randvoorwaarden van de filetransfer testen Uitvoering van de filetransfer test Processing testen Kenmerken en randvoorwaarden van de processing testen Aanvragen van de processing testen FTP commando’s Het opzetten van een sessie Het wachtwoord aanpassen De data uitwisseling

42 42 43 43 43 43 43 43 45 45 45 45 46 46 46

9 9.1 9.2 9.3 9.4

Wijzigen van het wachtwoord Inleiding Specificaties van het wachtwoord Geldigheidsduur van het wachtwoord Werkwijze wijzigen van het wachtwoord

47 47 47 47 47

10 10.1 10.2 10.3 10.4

Versturen van bestanden Inleiding Handmatig versturen van bestanden Geautomatiseerd versturen van bestanden Binair versturen van bestanden

49 49 49 49 50

11 11.1 11.2 11.3 11.4 11.5

Ophalen van bestanden Inleiding Handmatig ophalen van bestanden Geautomatiseerd ophalen van bestanden Binair ophalen van bestanden Outputmelding per e-mail

51 51 51 52 52 52

12 12.1 12.1.1 12.1.2 12.2 12.2.1 12.3 12.3.1 12.3.2

Werken met gecomprimeerde bestanden Inleiding Randvoorwaarden m.b.t. het gehanteerde compressieprogramma Binair versturen van bestanden Versturen en ophalen van gecomprimeerde bestanden Randvoorwaarden Ophalen van gecomprimeerde bestanden Randvoorwaarden Kenmerken

53 53 53 53 53 53 53 53 53

13 13.1 13.2 13.3 13.4 13.5 13.6 13.7 13.8

Ondersteunende processen: vragen en wijzigingen Beschikbaarheid Secure FTP Contactinformatie afdeling Technical Support Informatie op de website van Equens Het doorgeven en wijzigen van specificaties Wijzigen van aansluitvorm Beëindigen van de aansluiting Wijzigen van verwerkingsafspraken Beëindigen van verwerkingsafspraken

55 55 55 55 55 56 56 56 56



OPEN

Annex 1

Relatie tussen naamgevingsconventie Secure FTP en interface beschrijving 'oude' I-Connect 57

Annex 2

Instructies voor de cliënt WS_FTP

58



1

OPEN

Inleiding

In deze handleiding vindt u informatie over Secure File Transfer van Equens, met name de Secure FTP aansluitvorm.

1.1 Onderhoud van dit document Onderhoud en beheer van dit document ligt bij Equens Corporate IT Middleware Management department. Wijzigingen en publicatie van dit document vindt uitsluitend plaats vanuit deze afdeling. Nieuwe versies van dit document worden als PDF bestand beschikbaar gesteld. Wanneer een nieuwe versie uitkomt, stuurt Equens de klant via e-mail een notificatie. De aankondiging wordt verstuurd naar het e-mailadres dat is opgegeven op het Service Request Formulier Secure FTP. Uw reactie betreffende onduidelijkheden of onjuistheden in deze handleiding stellen wij zeer op prijs. Stuur uw reacties naar de afdeling Technical Support van Equens (contact gegevens treft u aan in hoofdstuk 13, Ondersteunende processen: vragen en wijzigingen).

1.2 Doelgroep van dit document Deze handleiding is primair bedoeld voor diegenen die zich bezig houden met de implementatie van een aansluiting op Secure FTP en het gebruik daarvan: zoals netwerkspecialisten, functioneel en technisch ontwerpers en beheerders, ICT-architecten en FTP-programmeurs. Let op: Equens heeft de Secure File Transfer aansluitvorm de naam Secure FTP gegeven, niet te verwarren met SFTP (FTP met het SSH protocol).

1.3 Opbouw van deze handleiding Deze handleiding is ingedeeld in drie delen, waarin wordt uiteengezet: – Hoe de aansluiting met Secure FTP is ingericht – Wat u moet doen om een verbinding te maken – Wat de terugkerende handelingen zijn Hieronder worden deze drie delen nader toegelicht. In het eerste deel wordt beschreven hoe Equens de aansluiting met Secure FTP heeft ingericht. Dit deel beslaat de hoofdstukken 2 t/m 5, waarin u kunt lezen: – Met welke netwerkvarianten u kunt verbinden naar Secure FTP – Hoe de beveiliging werkt – De wijze waarop het systeem op basis van de bestandsnamen uw gegevens routeert naar hun bestemming – Hoe Equens backup en uitwijk heeft ingericht In het tweede deel wordt ingegaan op wat u eenmalig moet doen, om uw data bestanden voortaan aan te leveren met Secure FTP. Dit deel beslaat de hoofdstukken 6 t/m 8, waarin u kunt lezen: – De technische aspecten van het aansluiten (inrichten van uw netwerk) – Het aanvragen en installeren van een certificaat – Het testen van uw aansluiting In het derde deel wordt ingegaan op activiteiten die steeds opnieuw terugkomen. – Dit deel beslaat de hoofdstukken 9 t/m 13, waarin u kunt lezen:



– – – – –

Hoe Hoe Hoe Hoe Hoe

u u u u u

OPEN

uw wachtwoord kunt wijzigen bestanden instuurt bestanden ophaalt om dient te gaan met gecomprimeerde bestanden vragen en/of wijzigingen doorgeeft

Omdat elke FTP cliënt weer anders werkt, kunnen we geen algemeen geldige beschrijving geven. We hebben daarom in bijlage 2 een voorbeeld geschreven voor de WS_FTP client.



2

OPEN

Secure FTP netwerkvarianten en infrastructuur

2.1 Twee netwerkvarianten Ten behoeve van Secure FTP kan er gebruik gemaakt worden van twee netwerkvarianten: – Secure FTP via internet – Secure FTP via een private IP-VPN De beveiliging wordt applicatief geregeld via FTP met TLS en sterke encryptie. Een verbinding via internet heeft het voordeel dat hoge transfersnelheden mogelijk zijn en bovendien, wanneer u toch al over een internetverbinding beschikt zullen uiteraard ook de kosten lager zijn. Indien u kiest voor een robuustere verbinding is de private IP-VPN een goede oplossing, hier zijn echter extra kosten aan verbonden. Deze worden veroorzaakt door het beheer van de IP-VPN door de provider van de verbinding. Daarnaast valt deze aansluiting binnen Equens niet onder de standaard netwerkvarianten en zal gerealiseerd worden in projectvorm. Ook hiervoor zullen extra kosten worden berekend. De twee netwerkvarianten worden in de nu volgende paragrafen behandeld. 2.1.1 Secure FTP via internet Deze netwerkvariant heeft zowel de voorkeur van Equens als van de meeste gebruikers. De kenmerken zijn: – De snelheid van de filetransfers is afhankelijk van de bandbreedte van uw internet verbinding NB: Bij gebruik van het internet is doorgaans de beschikbare bandbreedte niet gegarandeerd – De beveiliging van uw infrastructuur die gekoppeld is aan het internet is uw verantwoordelijkheid, waarbij vanuit Equens het gebruik van firewalls nadrukkelijk wordt aanbevolen 2.1.2 Secure FTP via IP-VPN Voor banken en grote bedrijven heeft Equens de mogelijkheid om via een IP-VPN aan te sluiten. Deze IP-VPN is gebaseerd op een dedicated netwerk en heeft dus geen relatie met internet. Daarnaast zijn er afspraken te maken over bandbreedte garanties en beschikbaarheid. Een dergelijke verbinding heeft daarmee ook een ander veiligheids niveau. De IP-VPN verbinding is te schalen van 128 Kb/seconde tot 155 MB/seconde. Dit type verbinding kan ook interessant zijn als u meerdere soorten verkeer uitwisselt met Equens. Technisch gesproken is een aansluiting op een dergelijke verbinding sterk te vergelijken met een aansluiting op het internet. Gelet op het feit dat deze verbindingen altijd maatwerk zijn, wordt voor verdere informatie verwezen naar de afdeling Technical Support en zal er in deze handleiding niet verder op worden ingegaan.



OPEN

2.2 Infrastructuur Bij het aansluiten op Secure FTP zal de infrastructuur er globaal uitzien zoals in onderstaande figuur is weergegeven:

Afbeelding 1: Infrastructuur voor een Secure FTP verbinding



3

OPEN

Beveiliging

3.1 Inleiding In dit hoofdstuk wordt beschreven hoe de beveiliging van uw gegevens en de continuïteit van de dienstverlening wordt gewaarborgd. Afspraken en technische voorzieningen zorgen ervoor dat uw gegevens met Secure File Transfer altijd beveiligd zijn. Bij beveiliging gaat het om de volgende aspecten: Authenticiteit Authenticiteit wordt geregeld door middel van: – Certificaatverificatie en validatie – Controle op de gebruikersnaam en het wachtwoord Vertrouwelijkheid Vertrouwelijkheid over de publieke én interne verbindingen wordt gewaarborgd door het gebruik van FTP met Transport Layer Security (TLS), ook bekend als FTP Secure of FTPs met TLS. Integriteit Integriteit van de te transporteren data wordt gewaarborgd via het hashing mechanisme van TLS (digitale handtekening). Autorisatie Autorisatie wordt geregeld door middel van: – Controle op de gebruikersnaam en het wachtwoord – Controle op afgesloten verwerkings contracten

3.2 Versleutelde versturing van bestanden via TLS Met Secure FTP wisselt u via FTP met TLS bestanden uit die vertrouwelijke informatie kan bevatten. FTP met TLS lijkt qua gebruik erg op gewoon FTP, een belangrijk verschil is dat alle vertrouwelijke informatie via TLS geëncrypt wordt. De cliënt en server regelen dit automatisch voor u. Deze encryptie geldt zowel voor de gebruikersnaam en het wachtwoord dat nodig is om aan te loggen, als voor de bestanden die via FTP met TLS verstuurd worden. Standaard worden de volgende sterke "cipher suites" door Equens geaccepteerd, tenzij onderling anders is overeengekomen: RSA_WITH_AES_128_CBC_SHA RSA_WITH_AES_256_CBC_SHA RSA_WITH_3DES_EDE_CBC_SHA Let op: TLS v1.0 is het voorkeurs beveiligingsprotocol.

Een groot voordeel van deze manier van beveiliging is dat de beveiliging end-to-end is: van cliënt tot server. De data is niet alleen geëncrypt over het publieke deel van het netwerk, maar ook over de interne netwerken van de klant en Equens. Een bijkomend voordeel van deze manier van beveiliging, is dat de netwerkkoppeling tussen de klant en Equens niet meer apart beveiligd hoeft te worden. Men kan in principe over elk gewenst netwerk insturen, inclusief internet.



OPEN

Afbeelding 2: De aansluiting via Secure FTP is end-to-end beveiligd via TLS



OPEN

3.3 Authenticatie door middel van certificaten Een belangrijk beveiligingsonderdeel van de Secure FTP infrastructuur is het gebruik van digitale certificaten. Zowel de Secure FTP cliënt als de Secure FTP server zijn uitgerust met certificaten ten behoeve van authenticatie. Deze authenticatie berust erop dat de cliënt en server elkaars certificaten alleen accepteren wanneer deze getekend is door de juiste (Equens) Certificate Authority. Voor de uitgifte van de certificaten wordt gebruik gemaakt van een PKI (Public Key Infrastructure) dienst van Kpn. Dit bedrijf hanteert zeer hoge standaarden voor de bouw en het beheer van PKI systemen. Ten behoeve van Equens heeft Kpn een private CA (Certificate Authority) opgezet. Private wil in dit verband zeggen dat er door deze CA alleen certificaten ten behoeve van de dienst Secure FTP (en Connect:Direct) worden uitgereikt. Andersom accepteert de dienst Secure FTP ook alleen klanten met certificaten die door deze CA zijn uitgereikt. Equens heeft de volledige controle over de certificaat uitgifte. Via een RA functie bepaalt Equens welke certificaat aanvragen worden goedgekeurd of afgekeurd. Ook kan Equens eerder goedgekeurde certificaten revoken, bijvoorbeeld bij een geïdentificeerd security risico of bij afloop van een contract. Meer informatie over de certificaten kan gevonden worden in de Equens Certificate Policy, te downloaden van onze website: www.equens.com (Support - Connectivity). In het geval dat uw security policy het niet toelaat om de Equens PKI certificaten te gebruiken, neem dan contact op met de afdeling Technical Support van Equens.



OPEN

Afbeelding 3: Certificaat verstrekking door Equens



OPEN

3.4 Toegang met gebruikersnamen en wachtwoorden Alleen u heeft toegang tot uw bestanden bij Equens. Uw bestanden zijn niet alleen beveiligd tijdens het transport naar en van Equens, maar vanzelfsprekend ook bij Equens. Equens garandeert dat haar klanten alleen toegang hebben tot hun eigen gegevens/data/bestanden. Dit wordt mogelijk gemaakt doordat elke gebruiker zijn eigen gebruikersnaam en wachtwoord moet opgeven als hij toegang wil verkrijgen tot zijn mailbox. Het gebruik van de wachtwoorden is op de volgende manieren extra beveiligd: – De contactpersoon ontvangt een combinatie van gebruikersnaam en een initieel wachtwoord van Equens in een beveiligde envelop. Equens activeert de gebruikersnaam en het wachtwoord pas na het ontvangen van een schriftelijke ontvangstbevestiging die is ondertekend door de contactpersoon – De contactpersoon dient het initiële wachtwoord bij de eerste login te wijzigen. Wachtwoorden moeten minstens elke 35 dagen worden gewijzigd (nadat het initiële wachtwoord is gewijzigd). Zie voor meer informatie hoofdstuk 9, "Wijzigen van het wachtwoord" – Wanneer een wachtwoord kwijt is geraakt, kan een nieuw wachtwoord alleen worden aangevraagd door de (geautoriseerde) contactpersoon (aanvragen via de afdeling Technical Support) NB: Een contactpersoon wordt door Equens als geautoriseerd beschouwt als diens naam en handtekening geregistreerd is via het Service Request formulier. De contactpersoon is verantwoordelijk om het wachtwoord niet te delen en is verantwoordelijk voor het correcte gebruik van de certificaten en gebruikersnaam/wachtwoord combinatie op de systemen van de klant.

3.5 Beheer van gebruikersnaam en wachtwoord De geregistreerde contactpersoon is verantwoordelijk voor het beheer van de gebruikersnaam en wachtwoord binnen de eigen organisatie. Toegang tot Secure FTP is alleen mogelijk met een gebruikersnaam en wachtwoord. In uw organisatie zal een beperkt aantal personen bevoegd zijn om Secure FTP te gebruiken, elk met een eigen gebruikersnaam. Equens staat het delen van één gebruikersnaam en wachtwoord onder meerdere personen niet toe. Hiermee wordt ongeautoriseerd gebruik en interne fraude voorkomen. Extra gebruikersnamen en wachtwoorden kunnen via het 'Service Request Formulier SFT' aangevraagd worden. Dit formulier is te downloaden vanaf: www.equens.com (Support - Connectivity).



4

OPEN

Naamgeving van de bestanden en het routeermechanisme

4.1 Inleiding Wanneer u bestanden met Equens wilt uitwisselen via Secure FTP, dienen de bestandsnamen aan een specifieke naamgevingconventie te voldoen. Ingezonden bestanden worden op basis van de bestandsnaam binnen Equens gerouteerd naar het juiste verwerkende systeem. Equens kan ingezonden bestanden die niet aan de naamgeving voldoen niet routeren en niet verwerken. In deze gevallen ontvangt u een foutmelding per e-mail.

4.2 Secure FTP bestandsnaam conventie Binnen Secure FTP wordt de volgende standaard gehanteerd met betrekking tot de opbouw van de bestandsnamen: <SENDER>....<EXTENSION>

De afzonderlijke rubrieken zijn als volgt gedefinieerd: Rubriek

Formaat

Lengte

Omschrijving

<SENDER>

HOOFDLETTERS Alfa-numeriek

1-8

Identificatie (routeeradres) van de inzender. Deze wordt door Equens toegekend en bekend gemaakt aan de klant.


1-8

Identificatie (routeeradres) van de bestemming. Bevat SFT als het bestand bestemd is voor een Equens systeem (geen 'INTERPAY' of 'EQUENS'). Als de bestemming buiten Equens is of geen SFT is, dan moet dit veld gevuld worden met de bestemmingsnaam zoals door Equens is toegekend.


1-8

Identificatie van het type bestand dat uitgewisseld wordt. Dit filetype bepaald de manier van verwerken door Equens. Een overzicht van de meest gebruikte type bestanden is te vinden in de Typetabel op www.equens.com (Support - Connectivity)


1-8

Een unieke alfa-numerieke bestandsreferentie die door de Inzender is toegekend. Het veld moet beginnen met een letter en per inzender binnen 35 dagen uniek zijn.

<EXTENSION>


1-8

Toevoeging aan de bestandsnaam, bepaald door de aanleverende partij die het formaat van het bestand aangeeft.



OPEN

Belangrijke extensies zijn: TXT ('leesbare'/ASCII data) DAT (binair) PDF (Adobe Acrobat Reader formaat, binair) XLS (Microsoft Excel formaat, binair) XML (Extensible Markup Language formaat, binair) ZIP (gecomprimeerde bestanden, binair) De extensie heeft geen invloed op de routering door Equens. Tabel 1: Toelichting op de onderdelen van de bestandsnaam Specificaties: – Elk veld is verplicht met een punt als scheidingsteken – De maximale lengte van een veld is acht tekens Voor de relatie tussen de huidige Secure FTP naamgevingconventie en de vroegere I-Connect interface met tokenfiles, wordt verwezen naar de bijlage "Relatie tussen naamgevingconventie Secure FTP en interface beschrijving 'oude' I-Connect". Hieronder een voorbeeld van een juiste bestandsnaam zoals verzonden is van <SENDER> R0001234 naar SFT: R0001234.SFT.CLIEOP.C1234567.TXT

4.3 Ontvangen van verschillende typen bestanden Een klant kan meerdere typen bestanden ontvangen via Secure File Transfer. Elk type zal dan verwerkt worden door een specifieke applicatie bij de klant. Hiervoor is een mechanisme bij de klant nodig om elk type bestand op basis van het veld naar de juiste applicatie te routeren.

4.4 Meerdere bestemming id's (optioneel) Uitsluitend in complexe gevallen (bijvoorbeeld wanneer een concern meerdere vestigingen heeft, die elk dezelfde type bestanden verwerken en daarbij dezelfde aansluiting delen) is het mogelijk dat Equens meerdere namen aan een klant verstrekt. De klant kan dan intern routeren op basis van de id in de bestandsnaam. Aan het aanvragen van een extra id kunnen extra kosten verbonden zijn, voor meer informatie kunt u contact opnemen met de afdeling Technical Support.



5

OPEN

Uitwijk- en back-up voorzieningen

5.1 Standaard situatie Equens heeft twee identieke omgevingen; een primaire locatie en een secundaire locatie, elk met backup faciliteiten. In de normale situatie heeft elke klant een FTP verbinding met de primaire locatie. Dit is in onderstaand schema te zien:

Afbeelding 4: Route door Equens's omgeving, bij een normale situatie

5.2 Scenario bij lokale problemen Lokale problemen worden opgevangen door het dubbel uitgevoerd zijn van alle apparatuur op de primaire locatie.

5.3 Scenario bij netwerk uitval op de primaire locatie Wanneer er netwerk uitval is in de primaire locatie zal automatisch door het systeem de netwerk infrastructuur in de secundaire locatie gebruikt worden. Behalve een korte hik zal de klant hier niets van merken.



OPEN

Afbeelding 5: Route door Equens's omgeving, bij uitval van het netwerk op de primaire locatie

5.4 Scenario bij een totale uitval van de primaire locatie Indien de primaire locatie als geheel uitvalt, zal een procedure gestart worden om de secundaire locatie als uitwijklocatie op te brengen. Voor de verschillende netwerkvarianten zal via een aantal procedures ervoor gezorgd worden dat het FTP-verkeer naar de secundaire locatie wordt gerouteerd. Gedurende deze tijd zal er geen verbinding met Equens mogelijk zijn, na het opbrengen van de uitwijklocatie zal de klant niets merken en hoeft dus geen verdere aanpassingen te doen. Voor de downtijd wordt verwezen naar de Service Level Agreement (SLA) voor Secure FTP.

Afbeelding 6: Route door Equens's uitwijkomgeving, bij uitval van de primaire locatie



6

OPEN

Inrichten van uw netwerk

In dit hoofdstuk wordt uitgelegd wat er moet gebeuren om op netwerkniveau verbinding te maken met Secure FTP. Nadat dat gebeurd is, is het mogelijk om op transportniveau te gaan werken met FTP-commando's en -programma's. Voor Secure FTP kan gebruik gemaakt worden van twee netwerkvarianten: – Secure FTP via internet – Secure FTP via een private IP-VPN De specificaties van deze netwerkvarianten zijn beschreven in hoofdstuk 2 “Secure FTP netwerkvarianten en infrastructuur”.

6.1 Inrichten van de firewall Om gebruik te kunnen maken van Secure FTP in de productie omgeving dient u in de firewall TCP poort 21 en de poorten 52000 t/m 52025 open te zetten naar sft.equens.com (82.195.45.60). Voor de test/acceptatie omgeving dienen dezelfde poorten opgezet te worden, maar dan voor: sftacc.equens.com (IP: 82.195.45.59) NB: Indien u processing testen wilt uitvoeren (zie paragraaf 8.5 “Processing testen”), moet u aansluiten op de test/acceptatie omgeving. De test/acceptatie omgeving is niet bedoeld voor vertrouwelijke data. Het gebruik van productie data is niet toegestaan op de test/acceptatie omgeving.

6.2 Inrichten van de FTP cliënt op uw omgeving Het gebruik van de FTP cliënt kan op twee verschillende manieren worden gedaan, interactief via GUI schermen of batch-gewijs, meestal via een script. Voor de installatie en configuratie van de FTP cliënt en het gebruik van de certificaten dient u de handleiding van desbetreffende FTP cliënt te raadplegen. De FTP server is geconfigureerd voor FTP Passive Mode en voor explicit SSL/TLS. Zie de documentatie van uw FTP cliënt voor meer details. Omdat elke FTP cliënt weer anders werkt, kunnen we geen algemeen geldige beschrijving geven. We hebben een voorbeeld beschreven voor een veel gebruikte FTP cliënt (WS_FTP), deze kunt u terugvinden in bijlage 2.

6.3 Inrichten van het netwerk voor gebruik van de test/acceptatie omgeving De Equens File transfer omgeving bestaat uit twee omgevingen: de test/acceptatie omgeving en de productie omgeving. Het is niet toegestaan om testen uit te voeren in de productie omgeving, zie paragraaf 8.5 “Processing testen” voor meer informatie. Voor het gebruik van de test/acceptatie omgeving dient u een set aparte afspraken te maken met desbetreffende verwerkingsafdeling. Voor meer informatie hierover kunt u contact opnemen met de afdeling Technical Support. Op de test/acceptatie omgeving mag GEEN productie data gebruikt worden. U dient te testen met test/dummy data.



7

OPEN

Aanvragen en installeren van een certificaat

7.1 Inleiding In dit hoofdstuk laten we zien hoe u een certificaat (ook 'Digital ID' genoemd) verkrijgt bij Equens en deze installeert in uw Secure FTP cliënt. 7.1.1 De procedure In grote lijnen is de procedure als volgt: – Om het cliëntcertificaat te installeren: – U ontvangt de URL en de "Certificate Enrollment PIN" (enrollment code) – U vraagt het cliëntcertificaat aan bij Equens via uw browser – U haalt het certificaat op bij Equens via uw browser – U exporteert het certificaat vanuit uw browser – U importeert het certificaat in uw Secure FTP cliënt – U installeert/importeert het Equens CA root certificaat in uw Secure FTP cliënt In de volgende paragrafen wordt besproken hoe u de procedure uitvoert.

Certificaat Probleem Internet Explorer Sinds kort kunt u problemen ondervinden bij het installeren van certificaten met Internet Explorer. IE staat niet meer toe certificaten te downloaden die niet als vertrouwde basiscertificeringsinstantie zijn aangegeven. U kunt eenvoudig het root CA toevoegen aan de vertrouwde basiscertificeringsinstanties in IE door het root CA te downloaden van het digital id center. Kies daarvoor op de website voor: ‘INSTALL CA’, kies open. IE Start daarop een wizard om het certificaat te plaatsen. LET OP! Laat de wizard het certificaat niet automatisch plaatsen maar kies voor handmatige installatie. Selecteer de map: ‘vertrouwde basiscertificeringsinstanties’. Klik op ok. De wizard installeert nu de root CA op de juiste plek. IE weet nu dat dit certificaat gedownload kan worden. U kunt nu met uw pincode het certificaat ophalen onder de optie: “PICK UP ID”



OPEN

7.1.2 Voorbereiding Het is belangrijk dat, voordat u de procedure aanvangt, u aandacht besteed aan de volgende aspecten: Keuze van de aanvrager Bepaal eerst op welke medewerkers naam u het certificaat aanvraagt, want het certificaat is gekoppeld aan de persoon die het aangevraagd heeft! Dit is de enige persoon die het certificaat kan verlengen en intrekken ("revoken"). Wanneer de persoon aan wie het certificaat is uitgereikt het bedrijf verlaat, zal het nodig zijn een nieuw certificaat aan te vragen. Houd hiermee rekening bij het bepalen op wie zijn/haar naam het certificaat wordt aangevraagd.



OPEN

Keuze van het e-mailadres Het certificaat kan alleen opgehaald worden met de PC waarmee het is aangevraagd. Zorg dus dat u uw e-mail kan benaderen op of bij dezelfde PC als waarmee u het certificaat aanvraagt. Een productie certificaat is twee jaar geldig en test certificaten zijn één jaar geldig. Een waarschuwing zal naar dit e-mailadres verstuurd worden wanneer uw certificaat dreigt te verlopen (vanaf 30 dagen voor verlopen van het certificaat). Het overzetten van de certificaten naar de FTP machine Indien de machine waar de FTP-cliënt actief wordt een andere is dan de machine waarmee de certificaten zijn opgehaald, moeten het geëxporteerde cliëntcertificaat en het opgehaalde Equens CA root certificaat worden overgezet. De encryptie van het cliëntcertificaat gedurende transport moet gedaan worden met een wachtwoord dat alleen bekend is bij de persoon die het cliëntcertificaat heeft aangevraagd. Keuze van de browser De werkwijze en de screenshots in deze handleiding zijn gebaseerd op het gebruik van Microsoft Internet Explorer. Equens levert geen support bij problemen met andere browsers dan Microsoft Internet Explorer. Potentiële foutmelding Het kan voorkomen dat u de foutmelding "Error 1B6 occured. You may need to install OnSiteMSI" krijgt. Op de website https://cert.managedpki.com/services/InterpayNederlandBV001/client/help/index.html , 'Support', 'Updates', 'OnsiteMSI error' kunt u een bestand downloaden met het OnSiteMSI bestand en een installatiehandleiding. Het kan voorkomen dat u de foutmelding "Error 1B6 occured" krijgt (zonder een melding over OnSiteMSI), in dit geval kunt u onderstaande handelingen uitvoeren. In de Internet Explorer klik op "Tools - Internet options - Security - Trusted sites" knop "Sites". Voeg de volgende websites toe (zorg dat de "Require server verificaction" optie uit gevinkt is): *.managedpki.com Cert.managedpki.com Converteren van certificaten Sommige cliënts kunnen het standaard geëxporteerde formaat niet lezen. Het certificaat moet dan geconverteerd worden. Kijk bij de 'Frequently asked questions - Connectivity services' op www.equens.com voor meer informatie.

7.1.3 Onderhoud Het veiligstellen van uw certificaat Het is aan te raden dat het geëxporteerde cliëntcertificaat wordt veiliggesteld tegen ongeoorloofd gebruik. Maak daartoe een (encrypte) backup op een externe drager en berg deze veilig op. Equens kan een cliëntcertificaat niet opnieuw uitgeven. Wanneer het certificaat verloren gaat en nog geldig is, dan dient u het certificaat in te trekken ("revoken") en een nieuw certificaat aanvragen met de originele enrollment code. Het tijdig verlengen van uw certificaat Een productie certificaat is twee jaar geldig (een test certificaat is één jaar geldig). Wanneer het certificaat dreigt te verlopen, wordt u per e-mail gewaarschuwd (vanaf 30 dagen voor het verlopen van het certificaat).



OPEN

Wanneer de originele computer die gebruikt is voor het aanvragen van het certificaat en het certificaat op die computer nog beschikbaar zijn, kan het certificaat door uzelf verlengd worden. Volg de instructies in de ontvangen verlengings e-mail en de instructies op de KPN website. Is de originele computer niet meer beschikbaar, dan moet u een nieuw certificaat aanvragen zoals in hoofdstuk 7.2 is beschreven.

7.2 Het aanvragen van een certificaat Nadat uw Service Request Formulier door Equens is verwerkt, ontvangt u een URL en een "Certificate Enrollment PIN" (enrollment code) voor de CA website (PKI Portal) van Equens. Met deze enrollment code kunt u een cliëntcertificaat (ook "Digital ID" genoemd) aanvragen bij Equens. NB: Per 16 oktober 2006 opereert Interpay onder de naam Equens. Echter, de PKI omgeving bij KPN staat voorlopig nog op naam van Interpay Nederland. In de URL die u ontvangt, als in de adresbalk van de browser, ziet u dus nog /InterpayNederlandBV/ staan.

Stap 1 Neem de URL over in de adresbalk van uw browser URL Productie:

https://cert.managedpki.com/services/InterpayNederlandBV001/digitalidCenter.htm URL Test/Acceptatie:

https://cert-test.managedpki.com/services/InterpayNederlandBV/digitalidCenter.htm

U krijgt dan het volgende scherm in beeld: NB: 'Digital ID' is een synoniem voor 'certificaat'.



OPEN

Afbeelding 7: De openingspagina met opties m.b.t. certificaten.



OPEN

Stap 2 Klik op de eerste optie, 'Enroll' U krijgt dan het volgende scherm in beeld:

Afbeelding 8: Het formulier voor het aanvragen van een certificaat.



OPEN

Stap 3 Vul als volgt de contact- en identificatiegegevens in: -

De naam van de aanvrager (alleen alfanumerieke karakters zijn toegestaan, diakritische etc. zijn niet toegestaan). Denk er aan dat het certificaat gekoppeld is aan de persoon die het heeft aangevraagd. Dit is de enige persoon die het certificaat kan verlengen of intrekken ("revoken"). Wanneer de persoon aan wie een certificaat is uitgereikt het bedrijf verlaat, zal het nodig zijn een nieuw certificaat aan te vragen. Houd hiermee rekening bij het bepalen op welke naam het certificaat wordt aangevraagd.

-

Het e-mailadres waarop u certificaat meldingen wilt ontvangen. De eerste melding die u op dit e-mailadres zal ontvangen is een bevestiging van de aanvraag. Een tweede e-mail zal de benodigde gegevens voor het ophalen van het certificaat bevatten. Een productie certificaat is twee jaar geldig (een test certificaat is één jaar geldig). Op dit emailadres zullen wij u waarschuwen wanneer uw certificaat dreigt te verlopen. Houd hiermee rekening bij het bepalen welk e-mailadres u invoert.

-

De toegangscode voor de CA website (ook bekend als de 'Certificate Enrollment PIN') heeft u gelijk met de URL ontvangen. Deze enrollment code dient u op een veilige plek te bewaren.

-

De 'Challenge Phrase'. De Challenge Phrase is hoofdlettergevoelig en mag geen interpunctie bevatten. De Challenge Phrase is een zin die u moet onthouden. U heeft deze zin weer nodig wanneer u het certificaat wilt verlengen of intrekken. Als u de Challenge Phrase niet meer weet en een nieuw certificaat wilt aanvragen, dan moet u een nieuw certificaat aanvragen. Als u het certificaat wilt intrekken en de Challenge Phrase niet meer weet, dan moet u contact opnemen met de afdeling Technical Support om uw certificaat te laten intrekken ('revoken').

Stap 4 Verstuur het formulier door op de knop 'Submit' te klikken U krijgt het onderstaande scherm te zien, waarmee om bevestiging wordt gevraagd of het ingevoerde e-mailadres correct is.

Afbeelding 9: Het is belangrijk dat uw e-mailadres correct is ingevoerd.

Stap 5 Geef aan of uw e-mailadres correct is ingevoerd Indien u op 'Cancel' klikt, krijgt u de kans het e-mailadres te corrigeren in het Enrollment formulier. Indien u op 'OK' klikt, wordt het formulier verwerkt. Vervolgens krijgt u het volgende scherm te zien en een melding van Microsoft Internet Explorer:



OPEN

Afbeelding 10: Een standaard beveiligingsmelding van Microsoft Internet Explorer.

Stap 6 Klik op 'Yes' De aanvraag is nu voltooid. U krijgt onderstaand scherm in beeld. Hier wordt getoond dat een e-mail is verstuurd met instructies voor het installeren van het certificaat.

Afbeelding 11: U ziet een verzoek om uw e-mail te bekijken. Wanneer u uw e-mail bekijkt, zal blijken dat u het volgende bericht heeft ontvangen: From: [email protected] Send: woensdag 2 augustus 2006 14:13 To: Janssen, Dhr. G.A. (Geert) Subject: Equens Digital ID request confirmation Dear G.A. Janssen, Thank you for requesting a Digital ID. Equens Nederland is processing your request, and will notify you when your Digital ID is ready. If you have questions about your application, please contact Equens Nederland by replying to this e-mail message. Afbeelding 12: U krijgt een ontvangstbevestiging per e-mail.



OPEN

De status is nu als volgt: – Een Private Key is in de browser van deze computer aangemaakt – U heeft een e-mail ontvangen waarin uw aanvraag wordt bevestigd – Equens verwerkt uw aanvraag – Na enige tijd ontvangt u een e-mail met instructies voor het installeren van het cliëntcertificaat met de pincode in die e-mail

7.3 Het ophalen van het certificaat Na het ontvangen van de bevestiging van uw certificaat aanvraag is het certificaat klaar om opgehaald te worden. Stap 7 Open het tweede e-mailbericht In dit bericht staan de gegevens die u nodig heeft om het certificaat op te kunnen halen. From: [email protected] Send: woensdag 2 augustus 2006 14:24 To: Janssen, Dhr. G.A. (Geert) Subject: Your Equens Digital ID is ready Dear G.A. JANSSEN, Equens SE has approved your Digital ID request. To assure that someone else cannot obtain a Digital ID that contains your personal information, you must retrieve your Digital ID from a secure web site using a unique Personal Identification Number (PIN). You can retrieve your Digital ID by following these simple steps: Step 1: Visit the Digital ID retrieval web page, at: https://cert.managedpki.com/services/InterpayNederlandBV001/ client/nspickup.htm Step 2: In the form, enter your Personal Identification Number (PIN): Your PIN is: 641625923 Step 3: Follow the instructions on the page to complete the installation of your Digital ID. If you have any questions or problems, please contact Equens SE by replying to this e-mail message. Afbeelding 13: De e-mail met instructies en pincode.



Zoals – – –

OPEN

in de mail is aangegeven, dient u de volgende stappen te volgen: Knip/plak de URL uit de e-mail in de adresbalk van uw browser Vul de pincode uit de e-mail in op het formulier dat in uw browser verschijnt Volg de instructies die in de browser gegeven worden

Stap 8 Kopieer de URL en plak deze in de adresbalk van uw browser U krijgt dan het volgende scherm in beeld:

Afbeelding 14: De pagina waarmee u uw certificaat ophaalt.



OPEN

Stap 9 Vul de pincode in die in de e-mail staat vermeld, en klik op 'Submit' Let op! U dient het certificaat op te halen met dezelfde PC als waarmee u het certificaat heeft aangevraagd, omdat deze de private key bevat die eerder is aangemaakt. Indien u dit niet doet, krijgt u de volgende foutmelding in beeld:

Afbeelding 15: Foutmelding wanneer u een andere PC gebruikt. Wanneer het goed gaat krijgt u het volgende scherm te zien, een melding van Microsoft Internet Explorer. Deze melding geeft aan dat het cliëntcertificaat klaar is om geïnstalleerd te worden:

Afbeelding 16: Een standaard beveiligingsmelding van Microsoft Internet Explorer.



OPEN

Stap 10 Klik op 'Yes' Het ophalen van het certificaat is nu voltooid. U krijgt onderstaand scherm in beeld, waarin u er op wordt gewezen dat het certificaat succesvol is geïnstalleerd op deze PC.

Afbeelding 17: De bevestiging dat het certificaat is geïnstalleerd.

7.4 Het exporten van het certificaat Het certificaat is nu opgenomen in uw browser. U dient het van hieruit te exporteren, zodat u het kunt importeren in uw Secure FTP cliënt. Stap 11 Roep het dialoogvensters voor certificaten op –

Kies in het menu van de browser bij 'Extra' voor 'Options' U krijgt dan het volgende scherm te zien (de schermen kunnen afwijken ten opzichte van de schermen die u te zien krijgt, dit is afhankelijk van de versie Microsoft Internet Explorer die u gebruikt):



OPEN

Afbeelding 18: Via het Opties-scherm gaat u naar het scherm voor certificaten. –

Klik op de knop 'Certificates' U krijgt dan het volgende scherm te zien:

Afbeelding 19: Het scherm waarmee u uw certificaten kan beheren in uw browser.



OPEN

Stap 12 Kies het juiste certificaat Klik op het certificaat dat u zojuist heeft geïnstalleerd. U krijgt dan het onderstaande scherm te zien. Klik op 'Next' om verder te gaan.

Afbeelding 20: Certificaat export scherm.

Stap 13 Bevestig dat u het certificaat wilt exporteren In het volgende venster wordt gevraagd of u het certificaat wilt exporten met de private key (de private key is beveiligd met een wachtwoord). Het exporteren van de private key met het certificaat is verplicht, kies de optie 'Yes' en klik op 'Next'.

Afbeelding 21: De private key van het certificaat exporteren.



OPEN

Stap 14 Geef de exportopties aan U moet nu enkele voorkeuren aangeven. Vink onder 'Personal Information Exchange' de volgende opties aan: – Enable strong protection Hiermee kiest u voor een sterke beveiliging tijdens transport – Delete the private key if the export is successful Het aanvinken van deze optie zal de private key verwijderen na het exporteren van het certificaat. Deze optie moet u alleen gebruiken als u zeker weet dat het certificate niet meer geëxporteerd hoeft te worden (zonder private key kan het certificaat niet verlengd ('renewal') worden). Let op: zolang de private key niet verwijderd is, is het voor iemand met toegang tot uw systeem mogelijk het certificaat te exporteren en te gebruiken! Klik vervolgens op 'Next'.

Afbeelding 22: Belangrijke opties m.b.t. beveiliging.

Stap 15 Voer een wachtwoord in In het volgende scherm dient u een wachtwoord in te voeren. U heeft dit wachtwoord weer nodig om het certificaat te kunnen importeren in uw Secure FTP cliënt.



OPEN

Afbeelding 23: Beveiliging met een wachtwoord.

Stap 16 Sla het certificaat bestand op Geef vervolgens aan waar op de harddisk u uw certificaat wilt opslaan en onder welke naam het certificaat als .PFX bestand (met PKCS #12 formaat) opgeslagen moet worden.

Afbeelding 24: Het opslaan van het certificaat op de harddisk.

Stap 17 Rond het exporteren af Vervolgens krijgt u een overzicht van de door u ingevoerde specificaties met de mogelijkheid hier nog aanpassingen door te voeren door de 'Back' knop aan te klikken. Indien u tevreden bent, klikt u op 'Finish'.



OPEN

Afbeelding 25: Overzicht van de door u ingevoerde specificaties. U krijgt een bevestiging dat het exporteren succesvol is verlopen. Klik op 'OK' om verder te gaan.

Afbeelding 26: De bevestiging dat het exporteren succesvol is verlopen. Vervolgens kunt u in de Microsoft Explorer het opgeslagen bestand terugvinden.

Afbeelding 27: Het bestand in de Microsoft Explorer. Zorg ervoor dat als u het certificaat op een mobiel opslagmedium als een USB stick opslaat (indien mogelijk encrypted) u deze op een veilige locatie bewaard. Zorg er ook voor dat u kopieën van het certificaat die niet meer nodig zijn verwijderd of op een veilige locatie bewaard.

7.5 Het importeren van het certificaat in uw Secure FTP cliënt Voor het importeren van het certificaat in uw Secure FTP cliënt verwijzen wij u naar de handleiding van die specifieke cliënt. Als u een certificaat dient te converteren in een ander formaat, raadpleeg de 'Frequently asked questions' op de website van Equens (www.equens.com).



OPEN

7.6 Het ophalen van het Equens server certificaat (CA root certificaat) Door het importeren van het CA root certificaat in uw Secure FTP cliënt weten de computers van Equens dat uw computer te vertrouwen is. Nu moet u nog uw computer zo instellen dat het de Certifate Authority (CA) van Equens vertrouwt. Stap 18 Ga terug naar de openingspagina van het Digital ID Center Plak opnieuw de URL die u per post heeft ontvangen in de adresbalk van uw browser. U krijgt dan opnieuw het volgende scherm in beeld:

Afbeelding 28: De openingspagina met opties m.b.t. certificaten.

Stap 19 Kies de optie 'Install CA' Er wordt direct een download gestart en het onderstaande scherm wordt getoond. Het systeem vraagt of u het bestand wilt openen of wil bewaren op de harddisk. Kies de optie 'Save'. Het CA root certificaat wordt op uw computer opgeslagen.



OPEN

Afbeelding 29: Bewaar het certificaat op uw harddisk

7.7 Het importeren van het Equens certificaat in uw Secure FTP cliënt Voor het importeren van het certificaat in uw Secure FTP cliënt verwijzen wij u naar de handleiding van de specifieke cliënt.

7.8 Intrekken van het cliëntcertificaat ('revoken') Het cliëntcertificaat (of Digital ID) kan ingetrokken ('revoked') worden op verzoek van de eigenaar van het certificaat of de geregistreerde contactpersoon. Het cliëntcertificaat kan ingetrokken worden in een van onderstaande omstandigheden: – Het cliëntcertificaat is niet langer in bezit van de eigenaar – Het file transfer contract is beëindigd – Het file transfer contract is tijdelijk stop gezet – De CA van Kpn is gecompromitteerd – De private key van het cliëntcertificaat is gecompromitteerd De contactpersoon of de eigenaar van het certificaat moet het cliëntcertificaat onmiddellijk laten intrekken als het aannemelijk is dat het cliëntcertificaat is ontvreemd of gecompromitteerd. Bedrijven moeten hun cliëntcertificaat intrekken als de eigenaar van het certificaat van baan/bedrijf veranderd of als er geen langer gebruik gemaakt wordt van het cliëntcertificaat. Er mag maar 1 geldig cliëntcertificaat per Certificate Enrollment PIN zijn, maar Equens laat een bepaalde tijd (maximaal 14 dagen) toe om het certificaat te vervangen in het geval van een nieuwe certificaat aanvraag bij de 'renewal' procedure. Als u wilt dat Equens het cliëntcertificaat intrekt, bijvoorbeeld omdat u geen toegang meer heeft tot de CA of de 'Challenge Phrase' bent vergeten, neem dan contact op met de afdeling Technical Support van Equens. Zorg dat u de volgende gegevens bijdehand heeft als u contact opneemt met de afdeling Technical Support: – Voornaam en achternaam van de certificaat eigenaar (zoals deze zijn ingevoerd tijdens de certificaat aanvraag procedure) – E-mailadres van de certificaat eigenaar (het e-mailadres dat is ingevoerd tijdens de certificaat aanvraag procedure)



OPEN

Het cliëntcertificaat kan ook door uzelf ingetrokken in het Digital ID Center van KPN. Neem de URL uit de ontvangen brief over in de adresbalk van uw browser. Het volgende scherm zal getoond worden:

Afbeelding 30: De openingspagina met opties m.b.t. certificaten. Klik op 'Revoke', het volgende scherm zal getoond worden:



OPEN

Afbeelding 31: Het formulier om een cliëntcertificaat (Digital ID) in te trekken Vul of het e-mailadres of de volledige naam (voornaam en achternaam) zoals is gebruikt bij de certificaat aanvraag. Klik op 'Search'. Hierna wordt een scherm getoond met de cliëntcertificaten die gevonden zijn aan de hand van de ingevulde gegevens. Selecteer het correcte cliëntcertificaat en klik op 'Revoke'. Het volgende scherm wordt getoond waarin gevraagd wordt om de 'Challenge Phrase' en de reden van intrekking op te geven.



OPEN

Afbeelding 32: Voer de 'Challenge Phrase' in om het cliëntcertificaat in te trekken Na het invullen van de 'Challenge Phrase' en de reden van intrekking, klik op 'Submit'. Als de juiste 'Challenge Phrase' is ingevuld, zal het cliëntcertificaat ingetrokken worden en is het volgende scherm zichtbaar.

Afbeelding 33: Melding die aangeeft dat het cliëntcertificaat succesvol is ingetrokken Mocht u tegen problemen aanlopen tijdens het intrekkingproces, dan kunt u Equens het cliëntcertificaat laten intrekken. Neem daarvoor contact op met de afdeling Technical Support.

7.9 Het ophalen van 'Certification Revocation List' Sommige cliënts kunnen een 'Certification Revocation List' (CRL) importeren, om daarmee te controleren of een certificaat nog wel geldig (en niet ingetrokken) is. Dit bestand bevat een lijst met geblokkeerde certificaten en wordt regelmatig vernieuwd. De lijst kunt u downloaden op:https://cert.managedpki.com/services/InterpayNederlandBV001/client/revoke.htm



OPEN

7.10 Vernieuwen cliëntcertificaat Productie certificaten zijn twee jaar geldig en test/acceptatie certificaten zijn één jaar geldig. Ongeveer dertig dagen voor het verlopen van het certificaat zal de aanvrager van het cliëntcertificaat een e-mail ontvangen. In deze e-mail staat dat het cliëntcertificaat gaat verlopen en als aan de in de e-mail opgegeven criteria wordt voldaan, dat het cliëntcertificaat met de opgegeven PIN code via de opgegeven URL verlengd kan worden. Hieronder een voorbeeld van deze e-mail. Dear ……, Our record indicates that your Digital ID will expire on xx-xx-xxxx. If you have already renewed your Digital ID, please ignore this notice. Otherwise please call Customer Services Equens Nederland __________________ Exception: You can also apply for automatic renewal of your Digital ID, but only under the following conditions: 1. You must have the original Digital ID on the computer connecting the MPKI site. 2. The location of the ID must be in the right place on the computer connecting the MPKI site. If you meet this criteria, please visit: to renew your Digital ID. Note to Netscape users: To complete the renewal process, you may need the Challenge Phrase you used to enroll for your original Digital ID, and the following Renewal ID Number: Your Renewal ID number is : xxxxxx If you have any questions or problems, please contact Equens SE by replying to this e-mail message.

Afbeelding 34: De e-mail voor het verlengen van het cliëntcertificaat Als aan de opgegeven criteria wordt voldaan (het verlengen van het cliëntcertificaat kan alleen uitgevoerd worden vanaf de computer waarmee het originele cliëntcertificaat is aangevraagd) kan de verlenging van het cliëntcertificaat uitgevoerd worden. Na het vernieuwen zal het vernieuwde cliëntcertificaat geëxporteerd moeten worden naar de Secure FTP cliënt. Als niet aan de opgegeven criteria voldaan kan worden of er is een probleem ontstaan tijdens het verlengingsproces (en het cliëntcertificaat is niet verlengd), dan dient u contact op te nemen met de afdeling Technical Support van Equens voor verdere ondersteuning (waarschijnlijk zal een nieuw certificaat aangevraagd moeten worden in plaats van het verlengen van het certificaat). NB: De verlengingsprocedure kan alleen gestart worden nadat u de verlengingse-mail met verlengingspincode heeft ontvangen.



8

OPEN

Testen van uw aansluiting

8.1 Inleiding Het is aan te raden eerst te testen of de connectie goed werkt en of bestanden goed worden doorgestuurd. Dit laatste is te testen door een bestand naar uzelf te sturen. Deze connectietest en filetransfertest kunt u gewoon tegen de productieomgeving van Equens uitvoeren. Indien u ook processing testen uit wilt voeren, dient u dit tegen de test/acceptatie omgeving (!) uit te voeren. Deze testen moeten minimaal 1 week van te voren, in overleg met de afdeling Technical Support en het desbetreffende bedrijfsonderdeel van Equens, besproken worden.

8.2 Onderscheid in drie type testen Er kan op 3 niveaus testen worden uitgevoerd: – Niveau A: de connectietest – Niveau B: de filetransfer testen – Niveau C: de processing testen (applicatieniveau) De testen op niveau A en B betreffen specifiek de aansluiting Secure FTP. De testen op niveau C staan los van de aansluitvorm. In onderstaand schema is te zien op welke niveaus de testen worden uitgevoerd.

Afbeelding 35: Het testen voor Secure FTP speelt zich af op drie niveaus Er kan pas met testen worden begonnen wanneer aan de volgende voorwaarden wordt voldaan: – Alle relevante gegevens zijn in de verschillende Equens databases opgevoerd – U heeft een Secure FTP cliënt geïnstalleerd – U heeft zowel het cliëntcertificaat als het CA root certificaat geïnstalleerd



OPEN

8.3 Connectietest 8.3.1 Kenmerken en randvoorwaarden van de connectietest Kenmerk

Beschrijving

Onderwerp

De connectie met Secure FTP Het gaat hierbij om aspecten als: – Het kunnen aanloggen met FTP + TLS – Het wijzigen van het wachtwoord

Doel

Het controleren of de specificaties van Secure FTP goed bij de klant geïmplementeerd zijn

Randvoorwaarden

Voor het uitvoeren van deze test hoeft u geen contact met Equens op te nemen

Belang

Aanbevolen

Omgeving

Productie of test/acceptatie omgeving

Tabel 2: Eigenschappen van de Secure FTP connectietest

8.3.2 Uitvoeren van de connectietest U kunt uw FTP cliënt op de productie of test/acceptatie omgeving gebruiken om te testen of u een connectie tot stand kan brengen. Voor meer informatie over het opzetten van een connectie kunt u de documentatie van uw FTP cliënt raadplegen. Een goede manier om de connectie te testen is het wijzigen van het wachtwoord. De procedure voor het wijzigen van het wachtwoord staat beschreven in paragraaf 9.4 “Wijzigen van het wachtwoord”. Let op: Tijdens een connectietest mogen geen bestanden naar Equens gestuurd worden.

8.4 Filetransfer test 8.4.1 Kenmerken en randvoorwaarden van de filetransfer testen Kenmerk

Beschrijving

Onderwerp

Routering van en naar zichzelf

Doel

Het controleren of de filetransfer tussen Equens en de klant via Secure FTP goed verloopt

Randvoorwaarden

Voor het uitvoeren van deze test hoeft u geen contact met Equens op te nemen

Belang

Aanbevolen

Omgeving

Productie of test/acceptatie omgeving. Op de test/acceptatie omgeving mogen GEEN productie gegevens gebruikt worden. U moet testen met test/dummy gegevens.

Tabel 3: Eigenschappen van de Secure FTP filetransfer test

8.4.2 Uitvoering van de filetransfer test Filetransfer testen bestaan uit het sturen van bestanden naar uzelf. U kunt dit als volgt uitvoeren: Maak een test bestand aan en verander de bestandsnaam conform de bestandsnaam conventie. – Vul bij hetzelfde in als bij <SENDER>



–

OPEN

Vul bij de waarde SELFTEST in

Voor meer informatie over de bestandsnaam conventie kunt u paragraaf 4.2 “Secure FTP bestandsnaam conventie” raadplegen. –

–

–

Log in: – Start uw Secure FTP cliënt – Maak verbinding met sft.equens.com (of sftacc.equens.com voor test/acceptatie) – Geef het commando AUTH TLS – Log in met uw gebruikersnaam en wachtwoord Stuur een bestand naar uzelf Voor meer informatie over de versturen van bestanden kunt u hoofdstuk 10 “Versturen van bestanden” raadplegen. Het bestand wordt volledig afgehandeld bij Equens. Dat wil zeggen dat het bestand gerouteerd wordt naar de , in dit geval uzelf. Het bestand komt als outputbestand klaar te staan om door u opgehaald te worden. Heeft u outputmeldingen geactiveerd, dan ontvangt u een e-mail met de melding dat een bestand voor u klaar staat. Wacht minimaal 2 minuten en haal het bestand op (deze tijd is nodig voor het routeren van het bestand) Voor meer informatie over het ophalen van bestanden kunt u hoofdstuk 11 “Ophalen van bestanden” raadplegen.

Zodra u het bestand heeft opgehaald is de test geslaagd.



OPEN

8.5 Processing testen 8.5.1 Kenmerken en randvoorwaarden van de processing testen Kenmerk

Beschrijving

Onderwerp

De inhoud en de layout van de bestanden

Doel

Het controleren of de filetransfer en de verwerking van de data (voor Equens specifieke business) tussen Equens en de klant via Secure FTP goed verloopt

Randvoorwaarden

Indien u gebruik maakt van aparte testmachines dient u het volgende aan te vragen: - Een test aansluiting op Secure FTP - Test certificaten (cliënt en CA) Deze testen moeten minimaal één week van te voren besproken worden in overleg met: - Afdeling Technical Support van Equens - De Equens business unit die de verwerking van de bestanden uit gaat voeren

Belang

Niet verplicht.

Omgeving

Test/acceptatie omgeving (sftacc.equens.com) Op de test/acceptatie omgeving mogen GEEN productie gegevens gebruikt worden. U moet testen met test/dummy gegevens. Processing testen zijn niet toegestaan op de productie omgeving.

Tabel 4: Eigenschappen van de Secure FTP processing test

8.5.2 Aanvragen van de processing testen Processing testen worden uitgevoerd op de Equens test/acceptatie omgeving. Indien u processing testen (op applicatieniveau) uit wilt voeren, dient u de testen minimaal één week van te voren in overleg met de afdeling Technical Support in te plannen. Voor een niet-standaard aansluiting of een aansluiting op andere systemen dan het girale Clearing en Settlement Systeem, wordt door een aansluitcoördinator in overleg met u en de eigenaar van het verwerkende systeem een test procedure opgesteld. Deze test trajecten worden altijd projectmatig uitgevoerd.

8.6 FTP commando’s Bij Secure FTP sessies worden de hieronder beschreven FTP commando’s gebruikt. Grafische FTP programma’s genereren deze commando’s automatisch. Indien een commandline FTP programma gebruikt wordt, moeten deze commando's handmatig gegeven worden. De FTP server is geconfigureerd voor FTP Passive Mode en voor explicit SSL/TLS. Zie de documentatie van uw FTP cliënt voor meer details. De FTP commando’s en de responses van de server zijn in de logs van de FTP cliënts te zien. Voor het analyseren van mogelijke problemen is het van belang de betekenis van de commando’s te kennen. Voorbeelden van logs (goed en fout situaties) worden gegeven in de configuratie beschrijving van de WS_FTP cliënt in de bijlage van dit document. Dit is geen compleet overzicht van alle commando’s die op een FTP-sessie kunnen voorkomen, alleen de belangrijkste commando’s zijn beschreven.



OPEN

8.6.1 Het opzetten van een sessie – AUTH TLS: Zet de sessie op in Explicit TLS mode. Dit moet het eerste commando zijn dat gegeven wordt – USER, PASS: Met deze commando's worden de gebruikersnaam en het wachtwoord doorgegeven, meestal direct na het AUTH TLS commando 8.6.2 Het wachtwoord aanpassen – SITE CPWD : Hiermee wordt het wachtwoord aangepast 8.6.3 – – – – –

–

De data uitwisseling PASV: Met dit commando wordt de dataverbinding in passive FTP-mode gezet DIR or LS: Een overzicht van beschikbare bestanden opvragen GET or RETR: Een bestand ontvangen (ophalen) PUT or STOR: Een bestand verzenden NOOP: Als de data uitwisseling langer duurt dan 15 minuten kan een time out optreden, ook als de data uitwisseling nog niet compleet is. Door de time out kan de FTP sessie beëindigd worden met een incomplete data uitwisseling als resultaat. Om een time out te voorkomen kunt u het commando NOOP gebruiken om de FTP sessie in stand te houden. BYE: Einde van een sessie



9

OPEN

Wijzigen van het wachtwoord

9.1 Inleiding Het initiële wachtwoord dient op basis van onze specificaties gewijzigd te worden met het FTP commando SITE CPWD De gebruikersnaam en initiële wachtwoord zijn per post verstuurd naar de contactpersoon van uw organisatie, zoals is opgegeven met het Secure FTP Service Request Formulier.

9.2 Specificaties van het wachtwoord Een wachtwoord moet voldoen aan de volgende specificaties: – Een wachtwoord moet uit letters en cijfers bestaan (hoofdletter gevoelig) – Een wachtwoord bestaat uit minimaal zeven en maximaal twintig tekens – Een eerder gebruikt wachtwoord kan twintig keer niet worden hergebruikt – Het gebruikers account wordt geblokkeerd na drie verkeerde inlog pogingen (log in met verkeerd wachtwoord). In het geval het correcte wachtwoord is vergeten dient een nieuw wachtwoord aangevraagd te worden. De contactpersoon dient contact op te nemen met de afdeling Technical Support om een nieuw wachtwoord aanvraagformulier op te vragen.

9.3 Geldigheidsduur van het wachtwoord De eerste keer dat u inlogt, dient het wachtwoord meteen gewijzigd te worden. Vervolgens dient u het wachtwoord minimaal elke 35 dagen te wijzigen. U kunt dit natuurlijk ook tijdens iedere sessie met Secure FTP doen. Indien het wachtwoord niet binnen 35 dagen is gewijzigd, zal uw gebruikersnaam (account) geblokkeerd worden. U kunt dan niet meer inloggen. Om het account vrij te geven zal de contactpersoon contact moeten op nemen met de afdeling Technical Support om een nieuw wachtwoord aanvraagformulier op te vragen. Het aanvraagformulier dient ingevuld (en ondertekend) terug gestuurd te worden aan Equens (zie de instructies op het formulier). Alleen de contactpersoon kan een nieuw wachtwoord aanvragen. Om een nieuw contactpersoon aan te melden dient een Service Request Formulier Secure FTP ingevuld en opgestuurd te worden naar Equens. Als u een nieuw wachtwoord heeft ontvangen dan moet meteen na het inloggen met dit wachtwoord het wachtwoord gewijzigd worden. Het initiële wachtwoord is voor een beperkte periode geldig. NB: U ontvangt geen waarschuwing wanneer uw wachtwoord dreigt te verlopen.

9.4 Werkwijze wijzigen van het wachtwoord De mogelijkheid tot het wijzigen van een wachtwoord van een FTP gebruikersnaam wordt niet binnen een algemeen geldende RFC beschreven. Equens heeft daarom gekozen voor de meest gangbare implementatie, nl. met behulp van het SITE CPWD commando. Wijzig – – – –

uw wachtwoord als volgt: Start uw Secure FTP cliënt software Maak een verbinding met de Secure FTP server Log in met uw gebruikersnaam en wachtwoord Maak gebruik van de mogelijkheid van uw cliënt om speciale commando's te geven



–

OPEN

Geef het commando: SITE CPWD , waar uw nieuwe wachtwoord is In de configuratie beschrijving van de WS_FTP cliënt staat beschreven hoe het SITE CPWD commando gegeven kan worden

Indien u een returncode 200 krijgt is uw wachtwoord succesvol gewijzigd. Een andere code wijst op een foutmelding. De volgende returncodes kunnen door de Secure FTP server gegeven worden: Return code

Bericht

Verklaring

200

CPWD successful

Wachtwoord succesvol gewijzigd

500

CPWD no authorization

Het wachtwoord kan niet gewijzigd worden. Neem contact op met de afdeling Technical Support.

501

SITE unknown option

Na het commando SITE CPWD is geen wachtwoord opgegeven. Corrigeer dit.

503

Invalid sequence of commands

Configuratiefout van de FTP-cliënt. U gebruikt een 'clear command channel', dit is niet toegestaan.

530

Not logged in

U moet ingelogd zijn om het wachtwoord te kunnen wijzigen

550

Requested action not taken

Het wachtwoord voldoet niet aan de specificaties, zie paragraaf 9.2

Tabel 5: Returncodes bij wachtwoord wisseling



10

OPEN

Versturen van bestanden

10.1 Inleiding Door middel van commando's in uw Secure FTP cliënt kunt u bestanden naar Equens insturen. Voor het insturen van bestanden naar Equens neemt u zelf het initiatief. U kunt gegevensbestanden ook gecomprimeerd (gezipped) versturen. Zie hiervoor hoofdstuk 12 “Werken met gecomprimeerde bestanden”. NB: De maximum bestandsgrootte voor Secure FTP is 2 GB (niet gezipped).

10.2 Handmatig versturen van bestanden Om bestanden te versturen gaat u als volgt te werk: – Geef de bestanden de juiste naamgeving conform de volgende conventie: <SENDER>....<EXTENSION> Voor de exacte specificaties zie paragraaf 4.2 “Secure FTP bestandsnaam conventie”. Indien een bestand naar Equens wordt gestuurd: – Vul 'SFT' in de bestandsnaam bij het veld (dus niet 'INTERPAY' of 'EQUENS') Binnen Equens wordt het bestand naar de verwerkende eenheid gerouteerd. De interne bestemming wordt afgeleid uit wat bij staat ingevuld. – Geef de juiste waarde in de bestandsnaam bij het veld – Vul de overige velden ook in. Het is niet toegestaan deze leeg te laten – Start uw FTP Cliënt – Zet een verbinding op met Equens – Indien dit niet automatisch gaat, geef het commando AUTH SSL – Log in met uw gebruikersnaam – Voer uw wachtwoord in – Controleer of de verbinding correct is opgezet Dat is het geval indien aan de volgende criteria wordt voldaan: – U ziet de inhoud van uw Equens directory – Er verschijnen geen foutmeldingen in het log window – Verzend de bestanden – Controleer dat de bestanden correct verzonden zijn Dat is het geval indien aan de volgende criteria wordt voldaan: – Direct na het verzenden staan de bestanden in uw Equens directory – In het log window staat 'Transfer completed succesfully' of iets vergelijkbaars – Na één minuut, controleer of het bestand uit de directory is verdwenen Equens verwerkt het bestand na 1 minuut – Indien de verzonden bestanden in de directory blijven staan: – Als een verkeerde bestandsnaam is gebruikt, verwijder het bestand – Er wordt een foutmelding naar het opgegeven e-mailadres gestuurd – Verbeter de bestandsnaam, gebruik een andere en zend het bestand opnieuw in – Beëindig de verbinding – Sluit de FTP-cliënt

10.3 Geautomatiseerd versturen van bestanden De meeste Secure FTP cliënts hebben de mogelijkheid om het versturen van bestanden te automatiseren. Zo kan de cliënt ingericht worden dat elk uur in een directory op het locale systeem wordt gekeken of er bestanden klaar staan. Als dit het geval is worden de bestanden



OPEN

naar Equens gestuurd, zonder dat daarbij gebruikers handelingen nodig zijn. Als de verzending succesvol is verlopen kan de cliënt de bestanden verwijderen. U bent zelf verantwoordelijk voor de automatisering, Equens levert hier geen ondersteuning voor.

10.4 Binair versturen van bestanden Enkele bestandstypen vereisen het gebruik van binaire verzending, zoals bestanden met de extensie .ZIP, .DAT, .PDF of .BIN. Hiervoor geeft u in een tekst-gebaseerde FTP cliënt het commando BIN voordat u de bestanden verstuurt. NB: Sommige FTP cliënts interpreteren de extensie van de bestandsnaam. Zij zullen bijvoorbeeld bestanden met de extensie .DAT altijd binair versturen. Indien u een binair te versturen bestand niet-binair instuurt, kan het corrupt aankomen bij de bestemming.



11

OPEN

Ophalen van bestanden

11.1 Inleiding Door middel van commando's in uw Secure FTP cliënt kunt u bestanden bij Equens ophalen. Voor het ophalen van bestanden bij Equens neemt u zelf het initiatief, eventueel na ontvangst van een outputmelding per e-mail (de mogelijkheid tot outputmelding kan aangevraagd worden via het Service Request Formulier). Op te halen bestanden blijven 35 dagen lang beschikbaar op het systeem. Na deze periode worden de bestanden verwijderd. U komt bij Equens binnen in uw eigen directory of map (ook mailbox genoemd). Het commando CWD (Change Directory) is niet nodig. Na het ophalen van de bestanden zullen deze automatisch naar de subdirectory 'ARCHIVE' verplaatst worden. Eenmaal opgehaalde bestanden kunnen gedurende 35 dagen uit de 'ARCHIVE' directory gedownload worden. Na 35 dagen worden de bestanden verwijderd. Bestanden afkomstig uit het Equens Clearing and Settlement systeem (domestic verkeer) zijn gedurende 30 dagen beschikbaar in het Equens verwerkingssysteem voor een eventuele herverstrekking (mocht u niet bij de ARCHIVE map kunnen komen). Na deze periode worden de bestanden automatisch verwijderd en zijn dan niet meer electronisch beschikbaar. NB: Data met de hoogste beveiligings classificatie en risico wordt voor een technisch zo kort mogelijk periode gearchiveerd en bewaard, dus korter dan 35 dagen en het is mogelijk dat deze data niet back-upped wordt tijdens de aanwezigheid in Secure File Transfer. Dit is ook van toepassing op bestanden die gevoelige authenticatie gegevens bevat, zoals data die gebruikt wordt voor het maken van nieuwe creditcards en betaalkaarten. Hoewel Secure FTP gebruikt kan worden voor het transporteren van gevoelige authenticatie data, is het niet toegestaan om dit soort data op te slaan in de 'ARCHIVE' directory.

11.2 Handmatig ophalen van bestanden Om bestanden op te halen gaat u als volgt te werk: – Start uw Secure FTP cliënt – Zet de verbinding op met Equens: – Indien dit niet automatisch gaat, geef het commando AUTH SSL – Log in met uw gebruikersnaam – Voer uw wachtwoord in – Controleer of de verbinding correct is opgezet. Dat is het geval indien aan de volgende criteria wordt voldaan: – U ziet de inhoud van uw Equens directory – Er verschijnen geen foutmeldingen in het log window – Download de bestanden op de voor uw cliënt gebruikelijke wijze – Controleer dat de bestanden correct ontvangen zijn Dat is het geval indien aan de volgende criteria wordt voldaan: – Direct na het verzenden staan de bestanden in uw lokale directory – In de log window staat 'Transfer completed succesfully' of vergelijkbaar

– –

Opgehaalde bestanden worden automatisch uit de Equens directory verwijderd. Equens verplaatst de bestanden naar de subdirectory 'ARCHIVE'. Als u een bestand opnieuw wilt ophalen, dan kunt u het bestand uit de 'ARCHIVE' directory halen. In principe hoeft u de bestanden niet te verwijderen, ze worden na 35 dagen automatisch door Equens verwijderd. Beëindig de verbinding Sluit de FTP-cliënt



OPEN

11.3 Geautomatiseerd ophalen van bestanden De meeste Secure FTP cliënts kunnen geautomatiseerd worden om de bestanden op te halen. De cliënt kan bijvoorbeeld elk uur een verbinding maken met Equens en de beschikbare bestanden ophalen. U bent zelf verantwoordelijk voor de automatisering, Equens levert hier geen ondersteuning voor.

11.4 Binair ophalen van bestanden Enkele bestandstypen vereisen het gebruik van binaire verzending, zoals bestanden met de extensie .ZIP, .DAT, .PDF of .BIN. Hiervoor geeft u in een tekst-gebaseerde FTP cliënt het commando BIN voordat u de bestanden ophaalt. NB: Sommige FTP cliënts interpreteren de extensie van de bestandsnaam. Zij zullen bijvoorbeeld bestanden met de extensie .DAT altijd binair ophalen. Indien u een binair op te halen bestand niet-binair ophaalt, kan het corrupt aankomen.

11.5 Outputmelding per e-mail Voor de aansluitvorm Secure Filetransfer is de mogelijkheid aanwezig om een e-mail te ontvangen zodra een bestand in uw mailbox wordt geplaatst. Deze e-mail bevat een outputmelding met de naam van het bestand dat u kunt ophalen. Wilt u gebruik maken van de outputmelding per e-mail dan kunt u dit aangeven op het Service Request Formulier Secure FTP.



12

OPEN

Werken met gecomprimeerde bestanden

12.1 Inleiding Het is mogelijk om bestanden te comprimeren (zippen). Hierdoor wordt de bestandsgrootte kleiner en de tijd om het bestand te versturen korter. Als de bandbreedte voldoende is, is het niet nodig om compressie toe te passen en wordt compressie afgeraden. 12.1.1 Randvoorwaarden m.b.t. het gehanteerde compressieprogramma – Uw compressieprogramma moet compatibel zijn met PKZIP versie 2.04g – Aanschaf en gebruik van compressie-software is uw eigen verantwoordelijkheid – Voor het comprimeren en decomprimeren van bestanden, raadpleeg de gebruiksaanwijzing van uw compressie-programma NB: De maximum bestandsgrootte van een ZIP bestand is 4 GB, echter de maximum bestandsgrootte voor bestandsuitwisseling met Secure FTP is 2 GB. 12.1.2 Binair versturen van bestanden Voor zowel versturen als ophalen van gecomprimeerde bestanden moet u binaire tranmissie gebruiken. Hiervoor geeft u in een tekst-gebaseerde Secure FTP cliënt het commando BIN voordat u de bestanden verstuurt of ophaalt.

12.2 Versturen en ophalen van gecomprimeerde bestanden 12.2.1 Randvoorwaarden – U kunt bestanden zowel gecomprimeerd als niet gecomprimeerd versturen. U hoeft hierover niets aan te geven op het Service Request Formulier. – Gecomprimeerde bestanden moeten de <EXTENSION> 'ZIP' hebben – In het geval dat u gecomprimeerde bestanden wilt ontvangen, dient u dit aan te geven op het Service Request Formulier. – Het gecomprimeerde bestand dat u wilt insturen mag maar één gegevensbestand bevatten. Het gecomprimeerde bestand zal door Equens uitgepakt worden voordat het gerouteerd wordt naar de en afhankelijk van de configuratie van de opnieuw gecomprimeerd. – Hoewel de naam van het bestand in het archief (gecomprimeerde bestand) niet aan de naamgevingsconventie hoeft te voldoen, wordt dit wel aangeraden. Dit is ook eenvoudig, aangezien de meeste compressieprogramma's de naam van het te comprimeren bestand overnemen voor de naam van het archief. Bijvoorbeeld: u comprimeert het bestand R0001234.SFT.CLIEOP.A1234567.TXT, het gecomprimeerde bestand krijgt dan de naam R0001234.SFT.CLIEOP.A1234567.ZIP

12.3 Ophalen van gecomprimeerde bestanden 12.3.1 Randvoorwaarden Als u uitvoerbestanden van Equens gecomprimeerd wilt ontvangen, dan kunt u dat aangeven op het Service Request formulier. 12.3.2 Kenmerken Indien u heeft aangegeven bestanden gecomprimeerd te willen ontvangen, dan is het volgende van toepassing: – Alle bestanden worden gecomprimeerd aan u aangeboden, het is niet mogelijk om bestanden van een bepaald type te laten comprimeren



–

OPEN

Zowel de naam van het ZIP-archief als de naam van het ingepakte bestand voldoen aan de naamgevingsconventie

Een voorbeeld: het archief MFC.R0001234.VERWINFA.A1234567.ZIP bevat het bestand MFC.R0001234.VERWINFA.A1234567.TXT



13

OPEN

Ondersteunende processen: vragen en wijzigingen

13.1 Beschikbaarheid Secure FTP Secure FTP is beschikbaar van zondag 16:00 uur t/m zaterdag 7:00 uur en kent tijdens deze uren een gegarandeerde beschikbaarheid van 98%.

13.2 Contactinformatie afdeling Technical Support De ondersteuning van de File Transfer producten vindt plaats door de afdeling Technical Support van Equens. Onder de ondersteuning valt: – Het telefonisch beantwoorden van vragen – Het aannemen en afhandelen van incidenten – Het verwerken van aanvragen voor een nieuw wachtwoord (formulier) – Het monitoren van de bestandsuitwisseling en eventueel onderliggende netwerkverbindingen NB: De ondersteuning door Technical Support heeft betrekking op de situatie waarin op een standaard wijze wordt aangesloten op Secure FTP. Indien hiervan wordt afgeweken, kan Technical Support geen ondersteuning bieden voor zaken die betrekking hebben op het domein van de klant. Technical Support is te feestdagen. – Openingstijden: – Telefoon: – Telefoon: – E-mail:

bereiken van maandag tot en met vrijdag, met uitzondering van 8:00 – 18:00 uur 0900-0660 (voor klanten in Nederland, lokaal tarief) +31 (0)88 38 56860 (voor klanten buiten Nederland) [email protected]

NB: Vragen dienen per telefoon te worden ingediend, niet per e-mail (tenzij anders is aangegeven).

13.3 Informatie op de website van Equens Op www.equens.com kunt u de volgende informatie vinden over Secure File Transfer en de verschillende aansluitvormen: – Brochures – Handleidingen – Formulieren – FAQ

13.4 Het doorgeven en wijzigen van specificaties Met het Service Request Formulier Secure FTP kunt u het volgende: – Een verzoek indienen voor het volgende: – Een gebruikersnaam en wachtwoord op de productie omgeving – Een extra gebruikersnaam en wachtwoord voor de productie omgeving – Een gebruikersnaam en wachtwoord voor de test/acceptatie omgeving – Aanmelden van een contactpersoon. Bij een al bestaande Secure FTP aansluiting zal de contactpersoon vervangen worden door de nieuwe contactpersoon – Contactgegevens wijzigen: – Bedrijfsgegevens



–

OPEN

– Telefoonnummer en/of e-mailadres van de contactpersoon Specificaties van de dienstverlening wijzigen: – Of u bestanden gecomprimeerd wilt ontvangen – Of u outputmeldingen wilt ontvangen (e-mailberichten die aangeven dat er een outputbestand gereed staat) – Op welk e-mailadres u foutmeldingen wilt ontvangen (o.a. berichten die u er op attenderen dat u een bestand heeft ingestuurd dat niet routeerbaar is, bijvoorbeeld door een verkeerde naamgeving)

Voor elke aanvraag en/of wijziging dient u een afzonderlijk formulier in te vullen en op te sturen! Dit formulier is op te vragen bij Technical Support of kan gedownload worden van onze website: www.equens.com (Support - Connectivity). Het Service Request Formulier betreft uitsluitend het transport van bestanden. Voor de verwerking van de ingestuurde/ontvangen bestanden, dienen afspraken gemaakt te worden met desbetreffende (verwerkings) afdeling van Equens.

13.5 Wijzigen van aansluitvorm Indien u bestanden wilt aanleveren met een andere aansluitvorm dan Secure FTP, neem dan contact op met de afdeling Technical Support.

13.6 Beëindigen van de aansluiting Het beëindigen van de Secure FTP overeenkomst dient schriftelijk te gebeuren, u kunt het Service Request Formulier gebruiken voor het beëindigen van de Secure FTP overeenkomst. Bij beëindiging van de aansluiting dient u er zelf voor te zorgen dat alle bestandsstromen, waarvoor u gebruik maakt van Secure FTP, tijdig worden gemigreerd. Dit houdt in dat de desbetreffende verwerkingsafspraken aangepast dienen te worden.

13.7 Wijzigen van verwerkingsafspraken Het wijzigen van uw verwerkingsafspraken dient u te regelen met uw bank en het verwerkende bedrijfsonderdeel van Equens, conform de daarvoor opgestelde procedures.

13.8 Beëindigen van verwerkingsafspraken Het beëindigen van uw verwerkingsafspraken dient u te regelen met uw bank en het verwerkende bedrijfsonderdeel van Equens, conform de daarvoor opgestelde procedures.



OPEN

Annex 1 Relatie tussen naamgevingsconventie Secure FTP en interface beschrijving 'oude' I-Connect 1.1 Relatie met 'oude' I-Connect Volgens de 'oude' interface-beschrijving wordt naast een databestand een tokenfile verzonden. In dit tokenfile worden gegevens ten behoeve van de routering van het databestand meegegeven. Binnen de nieuwe standaard voor Secure FTP vervalt de tokenfile. De onderstaande rubrieken kennen de volgende relatie met de interface-beschrijving van het 'oude' I-Connect: Rubriek

Relatie met 'oude' I-Connect

<SENDER>

Komt min of meer overeen met het veld 'Naam inzender' uit de tokenfile (versie 04 en 05). De rubriek <SENDER> is echter korter (8 posities) dan 'Naam inzender' (20 posities), zodat er in veel gevallen toch een verschil is. In tokenfile versie 01 en 02 komt een veld 'Relatienummer inzender' voor. De inhoud daarvan is echter niet vergelijkbaar.

Komt min of meer overeen met het veld 'Naam bestemming' uit de tokenfile (versie 04 en 05). De rubriek is echter korter (8 posities) dan 'Naam bestemming' (20 posities), zodat er in veel gevallen toch een verschil is. Let er bovendien op dat men voor verkeer richting Equens in de tokenfile als bestemming spaties moest invullen. In de nieuwe interface moet men in dit geval echter 'SFT' als bestemming invullen (geen 'INTERPAY' of 'EQUENS'). In tokenfile versie 01 en 02 komt een veld 'Relatienummer bestemming' voor. De inhoud daarvan is echter niet vergelijkbaar.

Deze rubriek komt in plaats van de drie velden Informatiegroep, Informatiesoort en Bestandsindeling uit de tokenfile.

Deze rubriek komt overeen met de rubriek 'File-ID' uit de bestandsnaam.

<EXTENSION>

Binnen het 'oude' I-Connect zijn slechts twee extensies toegestaan: FTP en ZIP. Deze beperking is niet van toepassing voor Secure File Transfer.

Tabel 6: Relatie met 'oude' I-Connect



OPEN

Annex 2 Instructies voor de cliënt WS_FTP 2.1 Inleiding De informatie in deze bijlage is gebaseerd op WS_FTP Pro versie 9. De screenshots kunnen afwijken van meer recentere versies en zijn alleen bedoeld als referentie. Equens geeft geen support op en geeft geen voorkeur voor bepaalde FTP-cliënt software. Het installeren van WS_FTP PRO, inclusief update Voer achtereenvolgens uit: – WSFTP_ProEC_Install9.exe – wsftp_pro901.exe Het configureren van WS_FTP PRO Het configureren van WS_FTP PRO bestaat uit 2 stappen: – Het invoeren van de certificaten – Het aanmaken van de verbinding

2.2 Het importeren van de certificaten – Start WS_FTP PRO via: 'Start, Programs, Ipswitch WS_FTP Pro, WS_FTP Pro', of via het icoon op de desktop – Ga naar 'Tools, Options' of klik op het 'Options' icoon Onderstaand venster wordt getoond.

– –

Klik in het linker menu op 'Trusted Authorities' Klik op 'Import'

–

Onderstaand venster wordt getoond.



– – –

– – –

OPEN

Navigeer naar de directory waar het CA root Certificaat staat (in dit voorbeeld 'TEST-CA-Cert.cer' genoemd) Klik het certificaat aan Klik op 'Open' Onderstaand venster wordt getoond.

Controleer of dit het juiste certificaat is (Interpay test of productie) Klik op 'OK' Onderstaand venster wordt getoond. Het certificaat is nu geïmporteerd.



OPEN

Opmerking Het importeren van het Interpay CA-productiecertificaat werkt niet goed in WS_FTP (gecontroleerd in versie 9.01). Het certificaat verschijnt niet in het overzicht en bij het opzetten van de verbinding blijkt WS_FTP het certificaat niet te kennen (met het test certificaat gaat het wel goed). Dit probleem is gemeld bij de leverancier van WS_FTP. Wanneer u voor de eerste keer een verbinding opzet met de Equens productieomgeving, zal de volgende pop-up verschijnen:

Deze melding verschijnt omdat het CA root certificaat niet goed is ingevoerd. Indien u 'Trust this certificate' aanklikt en vervolgens 'OK', wordt de sessie opgezet en zal een volgende keer zonder pop-up worden opgezet. Althans tot een nieuw servercertificaat in gebruik wordt genomen, waarna het certificaat opnieuw moet worden geaccepteerd (of het probleem in WS_FTP is opgelost).



–

Klik in het linker menu op 'Client Certificates' Onderstaand venster wordt getoond.

–

Klik op 'Import' Onderstaand venster wordt getoond.

OPEN



OPEN

– –

Klik op het Folder Icoon Ga naar de directory met het Client Certificaat Onderstaand venster wordt getoond.

– –

Klik het Client Certificaat aan (in dit voorbeeld Test-Cert.pfx) Klik op 'Open' Onderstaand venster wordt getoond.



OPEN

–

Klik op 'Next' Onderstaand venster wordt getoond.

–

Geef het wachtwoord op dat je bij het exporteren van het certificaat uit de browser hebt opgegeven Klik op 'Next' Onderstaand venster wordt getoond.

–



OPEN

–

Geef het certificaat een herkenbare naam (deze is weer nodig bij het aanmaken van de verbinding) Onderstaand venster wordt getoond.

– –

Controleer de gegevens Indien akkoord, klik op 'Finish' Onderstaand venster wordt getoond, waarin te zien is dat het cliënt certificaat nu beschikbaar is



OPEN

–

Er kan nu optioneel een aantal opties voor de logging ingesteld worden Klik daarvoor in het linker menu op 'Logging' Onderstaand venster wordt getoond.

–

Vink eventueel 'Display timestamps in the log' (ten zeerste aanbevolen) en/of 'Enable debug logging' aan. Ga na waar de logs weg geschreven worden en wijzig dit eventueel. De opties zijn nu ingesteld. Klik op 'OK'

–

2.3 Het aanmaken van de verbinding Ga nu naar de 'Connection Wizard' via één van de volgende manieren: – 'File', 'Connect', 'Connection Wizard' – De Connection Wizard button



OPEN

Onderstaand venster wordt getoond.

– –

Kies een naam voor de verbinding, bijvoorbeeld 'SFT Productie' of 'SFT Test' Klik op 'Next' Onderstaand venster wordt getoond.

–

Vul het juiste server adres in: Voor de productie server: sft.equens.com Voor de test/acceptatie server: sftacc.equens.com

–

Klik op 'Next' Onderstaand venster wordt getoond.



– –

– –

OPEN

Vul de gebruikersnaam en wachtwoord in die voor deze verbinding gebruikt gaan worden Klik op 'Next' Onderstaand venster wordt getoond.

Kies de optie (FTP/TLS (AUTH TLS)) Klik op 'Next' Onderstaand venster wordt getoond.



OPEN

– –

Verwijder eventueel het vinkje bij 'Connect to this site' Klik op 'Advanced' Onderstaand venster wordt getoond.

– –

Klik in het linker menu op 'Host info' Verwijder desgewenst het vinkje bij 'Save password', zodat het wachtwoord bij het opzetten van de verbinding altijd handmatig ingevoerd moet worden Klik op 'OK' Onderstaand venster wordt getoond.

–



– – – –

Klik in het linker menu op 'Startup' Geef de map op waar de lokale bestanden staan Vink het 'Disable FEAT command' aan Klik op 'OK' Onderstaand venster wordt getoond.

–

Klik in het linker menu op 'Advanced', optie 'SSL'

OPEN



– –

OPEN

Kies bij 'Client certificate' het certificaat dat van toepassing is op deze verbinding. (Mogelijk heeft u zowel een productie- als een testacceptatie certificaat geimporteerd) Klik op 'OK' De verbinding is nu opgezet.

2.4 Het wijzigen van het wachtwoord NB: Vóór het wijzigen van het wachtwoord moet eerst een succesvolle verbinding opgezet zijn. –

Kies in het menu de optie 'File', 'Operations', 'FTP Commands', 'SITE', zoals is weergegeven in onderstaande afbeelding

Het venster 'Site command' verschijnt. –

Type de letters 'CPWD' in, een spatie en het nieuwe wachtwoord, zoals is weergegeven in onderstaande afbeelding

–

Klik op 'OK' In de logging verschijnt nu 'SITE CPWD '



OPEN

De melding: '200 CPWD succeful' verschijnt in het logvenster wanneer het wachtwoord met succes is gewijzigd. Pas het wachtwoord aan in de connection configuratie indien u het wachtwoord door WS_FTP laat bewaren.

2.5 Bestanden verzenden en ontvangen Hieronder ziet u het hoofdscherm van WS_FTP met: – Linksboven de lokale bestanden – Rechtsboven uw postbus met bestanden bij Equens – Onderaan het informatiewindow met de tabbladen: – Transfer Manager – Transfer History – Connection Log

Voor de verschillende manieren waarop de bestanden verzonden en ontvangen kunnen worden, raadpleeg de WS_FTP documentatie. Eén manier is het bestand aan te klikken en vervolgens de groene 'upload' of 'download' pijltjes aan te klikken.



OPEN

2.6 Overzicht foutsituaties Ga na of de (fout)melding voorkomt in het overzicht bekende foutsituaties hieronder weergegeven. Foutcategorieën Het merendeel van de fouten valt in de volgende categorieën: Verbindingsprobleem of DNS Probleem – Indien de verbinding via internet loopt, kan de toegang tot internet eenvoudig gecontroleerd worden met een internet browser of met commandline tools TCP/IP poorten niet open voor uitgaande verbindingen – Controleer de instellingen van de firewall Configuratiefouten FTP-cliënt – Controleer de instellingen van de FTP-liënt

Bekende foutsituaties Een aantal bekende foutsituaties is herkenbaar aan de meldingen in de logs van WS_FTP: Verbindingsprobleem of DNS Probleem Finding Host sftacc.equens.com… Géén melding: 220 GIS FTP Server (java -1.1.00) ready

TCP/IP poorten niet bereikbaar Connecting to 82.195.45.59:21… Géén melding: 220 GIS FTP Server (java -1.1.00) ready

–

Poort 21 niet bereikbaar

Port failed 451 Requested action aborted: session in inconsistent state

–

Poort 52000-52025 niet bereikbaar Deze melding onstaat omdat de cliënt probeert over te schakelen naar Active FTP mode, maar onze server accepteert dat niet

Serverproblemen SSL Connect error 2 (na 66 seconden)

–

Server Timeout – Geen server (CA) certificaat ontvangen Mogelijk blokkeert uw firewall de TLS verbinding

Configuratie fouten cliënt 503 Bad sequence of commands

–

–

Geen TLS opgegeven bij servertype De server verwacht het AUTH TLS commando voor het USER commando om de vereiste TLS verbinding op te starten. Wel TLS opgegeven, maar geen cliëntcertificaat opgegeven.

SSL Connect error 2 (na 1 seconde)

–

Een verkeerd cliëntcertificaat is opgegeven (bijvoorbeeld test/acceptatie certificaat in de productie omgeving) of de firewall blokkeert de TLS verbinding.

SSL Connect error 1 425 Can't open data connection



–

OPEN

Geen Passive opgegeven in de configuratie. De cliënt start in Active mode en stuurt het PORT commando. De server meldt dat de data connection vanaf de server niet kan worden opgezet. De cliënt probeert nu automatisch de Passive mode en de data connection komt alsnog op.

530 Login incorrect

–

TLS sessie OK, maar verkeerde gebruikersnaam of wachtwoord opgegeven

Eigenschappen van WS_FTP 200 PORT command successful 425 Can't open data connection

–

WS_FTP schakelt over van Passive naar Active mode Dit is ongewenst gedrag dat niet voorkomen kan worden met de configuratie instellingen. De cliënt schakelt echter ook weer terug naar Passive mode


Secure FTP Handleiding

Recommend Documents