Secure Transfer Installatie

Secure Transfer Installatie

PFM Holland B.V. 28 februari 2013 Versie V2R3M2

Niets uit dit document mag op enigerlei wijze worden vermenigvuldigd en/of openbaar gemaakt zonder voorafgaande schriftelijke toestemming van PFM Holland BV.

Inhoud 1.

Secure Transfer ...................................................................................................... 3 1.1.

Uitlevering Secure Transfer ............................................................................... 3

1.2.

Minimum systeemeisen ..................................................................................... 3

1.2.1.

PC ............................................................................................................... 3

1.2.2.

System i ...................................................................................................... 3

1.2.3.

Poorten t.b.v. communicatie met belastingdienst: ...................................... 4

1.2.4.

Poorten t.b.v. communicatie met Equens: .................................................. 5

1.2.5.

Poorten t.b.v. communicatie met Digipoort: .............................................. 5

2.

Nieuwe installatie Secure Transfer ........................................................................ 7 2.1.

Installatie op PC ................................................................................................. 7

2.2.

Installatie op System i ........................................................................................ 7

2.3.

Licentiesleutel .................................................................................................... 7

3.

Bijwerken bestaande installatie Secure Transfer ................................................... 9 3.1.

Installatie op PC ................................................................................................. 9

3.2.

Bijwerken installatie op System i ...................................................................... 9

3.2.1.

Verbindingshouders belastingdienst ......................................................... 10

3.2.2.

Controle record vullen .............................................................................. 10

4.

Functionele wijzigingen V2R3M0 t.o.v. V2R2M0 ............................................. 11 4.1.

5.

6.

Algemeen ......................................................................................................... 13 Bestandswijzigingen V2R3M0 t.o.v. V2R2M0................................................... 13

5.1.

Nieuw: Berichtsoorten Digipoort (STMF) ...................................................... 13

5.2.

Nieuw: Verbindingshouders Digipoort (SROF) .............................................. 13

5.3.

Nieuw: Postbushouders Digipoort (SPOF) ...................................................... 13

5.4.

Uitgebreid: Controlegegevens (CTGF) ........................................................... 13

5.5.

Uitgebreid: Verbindingshouders Belastingdienst (SRBF) ............................... 13

5.6.

Uitgebreid: Berichttypes (STTF) ..................................................................... 14

5.7.

Te verzenden berichten (TTVF) ...................................................................... 14 Aanvraagformulier licentiesleutel Secure Transfer ............................................. 15

Installatiehandleiding Secure Transfer – Versie V2R3M2

Pagina 2 van 15

1. Secure Transfer In dit document wordt beschreven welke stappen moeten worden uitgevoerd om het pakket Secure Transfer op een System i (en voorgangers System i5, iSeries en AS/400) te installeren of een bestaande installatie bij te werken tot versie V2R3M2. Met behulp van Secure Transfer kunnen met Belastingdienst, Equens, Digipoort en overige externe partijen elektronisch gegevens worden uitgewisseld.

1.1. Uitlevering Secure Transfer

Secure Transfer wordt uitgeleverd via een downloadoptie op een internetsite. Op deze internetsite staat het bestand PFMSetupV2R3M2.exe. Updates en patches komen hier ook terecht evenals beschikbare documentatie. N.B.: Aangezien het installatieprogramma gebruik maakt van FTP om de programmatuur op de server te installeren moet FTP op de server actief en bereikbaar vanaf de PC zijn. 1.2. Minimum systeemeisen 1.2.1. PC

  

PC met 50 Mb vrije schijfruimte Windows 2000/XP/Vista/7/8 Mogelijkheid om via FTP met de System i te communiceren. 1.2.2. System i

Op de System i moet minimaal V5R4 van het operating system werken. In geval van V5R4 dienen PTFs geïnstalleerd te zijn die het mogelijk maken programmatuur te installeren die op V6R1 of hoger gemaakt is. U kunt de versies en niveaus controleren met GO LICPGM optie 10 en met GO PTF optie 12: Noodzakelijke onderdelen voor i5/OS V7R1M0 5770SS1 IBM i V7R1 5761JV1 optie 8/9/11/12 J2SE 5.0/6.0 32 bit of 64 bit Noodzakelijke onderdelen voor i5/OS V6R1M0 5761SS1 i5/OS V6R1 5761JV1 optie 8/9 J2SE 5.0 32 bit of 64 bit Noodzakelijke onderdelen voor i5/OS V5R4M0 5722SS1 i5/OS V5R4 5722JV1 optie 8 J2SE 5.0 32 bit PTF-groep SF99540

Niveau 6192

Omschrijving Cum PTF package C6192540


Pagina 3 van 15

1.2.3. Poorten t.b.v. communicatie met belastingdienst:

Om te verzorgen dat de berichten elektronisch naar de Belastingdienst kunnen worden verstuurd is een TCP/IP-verbinding van de server waarop Secure Transfer is geïnstalleerd en het Internet noodzakelijk. Om dit te faciliteren moeten een aantal poorten op de server en/of de firewall worden opengezet. LET OP!! Omdat de client altijd de verbinding initieert hoeven de poorten alleen naar buiten opengezet te worden. Niet beveiligde verbindingen: SMTP 587 IMAP 143 LDAP 389 FTPS 6374 en range 32000 t/m 32199 SSL beveiligde verbindingen: SMTPS 465 IMAPS 993 LDAP 389 FTPS 6374 en range 32000 t/m 32199 TLS beveiligde verbindingen: SMTP 587 SMTPS 465 IMAP 143 IMAPS 993 LDAP 389 FTPS 6374 en range 32000 t/m 32199 Samenvattend: Service

Poorten

SMTP

587

SMTPS IMAP IMAPS LDAP FTPS

DNS-naam

smtp.bapi.belastingdienst.nl smtp.bapicft.belastingdienst.nl 465 smtp.bapi.belastingdienst.nl smtp.bapicft.belastingdienst.nl 143 mail.bapi.belastingdienst.nl mail.bapicft.belastingdienst.nl 993 mail.bapi.belastingdienst.nl mail.bapicft.belastingdienst.nl 389 ldap.kpnbapi.managedpki.com ldap.testkpnbapi.managedpki.com 6374 ; 32000 - 32199 ftps.belastingdienst.nl ftpscft.belastingdienst.nl

IP 145.7.71.52 145.7.71.49 145.7.71.52 145.7.71.49 145.7.71.51 145.7.71.50 145.7.71.51 145.7.71.50 80.79.99.155* 80.79.99.156* 85.159.96.161 85.159.100.161

* KPN geeft aan dat er gebruik moet worden gemaakt van DNS. De IP-adressen gelden Installatiehandleiding Secure Transfer – Versie V2R3M2

Pagina 4 van 15

op moment van schrijven, maar kunnen elk moment worden gewijzigd. Standaard is Secure Transfer ingesteld om met de door SSL beveiligde poorten te werken. Wanneer u vindt dat u hiervan af moet wijken dient u contact op te nemen met uw leverancier. Voor het openzetten van deze poorten dient u contact op te nemen met uw netwerkbeheerder. 1.2.4. Poorten t.b.v. communicatie met Equens:

Om te verzorgen dat de berichten elektronisch met Equens kunnen worden uitgewisseld is een TCP/IP-verbinding van de server waarop Secure Transfer is geïnstalleerd en het Internet noodzakelijk. Om dit te faciliteren moet een aantal poorten op de server en/of de firewall worden opengezet. LET OP!! Omdat de client altijd de verbinding initieert hoeven de poorten alleen naar buiten opengezet te worden. Service FTP

Poorten 21; 52000 - 52025

IP adres 82.195.45.60

Om gebruik te maken van de Equens testomgeving dient hetzelfde te gebeuren voor ipadres 82.195.45.59. 1.2.5. Poorten t.b.v. communicatie met Digipoort:

Om te verzorgen dat de berichten elektronisch met Digipoort kunnen worden uitgewisseld is een TCP/IP-verbinding van de server waarop Secure Transfer is geïnstalleerd en het Internet noodzakelijk. Om dit te faciliteren moet een aantal poorten op de server en/of de firewall worden opengezet. LET OP!! Omdat de client altijd de verbinding initieert hoeven de poorten alleen naar buiten opengezet te worden. Service Poorten SOAP(HTTP) 80/443

IP adres 87.249.116.70

Om gebruik te maken van de Digipoort testomgeving dient hetzelfde te gebeuren voor ip-adres 87.249.116.22. Firewall beheerders let op! Ook wanneer poort 21 open staat voor uitgaande verbindingen, kan het voorkomen dat de SSL-verbinding niet opkomt omdat een firewall SSL-verbindingen blokkeert. De verbinding met SFT (Equens Secure File Transfer) gaat op basis van FTP met explicit SSL. Dit houdt in dat de sessie unencrypted begint en dan de SSL-handshake opzet. Sommige firewalls controleren de inhoud van FTP-sessies zodat alleen bekende commando's doorgegeven kunnen worden. Een voorbeeld hiervan is SmartDefense van Checkpoint firewalls, maar ook andere firewalls en sommige ADSL-modems hebben Installatiehandleiding Secure Transfer – Versie V2R3M2

Pagina 5 van 15

deze functionaliteit. Het probleem hiermee is dat de sessie nadat deze versleuteld wordt niet meer leesbaar is voor de firewall. De firewall zal dan het eerste encrypted pakket van de client, de zogenaamde client-hello, blokkeren. Sommige firewalls droppen dit pakket, zodat de sessie een timeout krijgt. Andere verbreken actief de connectie door naar beide kanten een reset-pakket te sturen. In het log van Secure Transfer is dan te zien dat er iets mis gaat met de ssl-handshake. De oplossing is om de controle op inhoud voor dit verkeer uit te schakelen. Met Checkpoint gaat dit d.m.v. het maken van een nieuwe netwerk-service. Deze service heeft wel poort 21 als destination, maar is niet gekoppeld aan protocol type FTP zodat SmartDefense niet de FTP-regels zal toepassen.


Pagina 6 van 15

2. Nieuwe installatie Secure Transfer Benodigd:  Naam of ip-adres van de System i  Gebruikers-id en wachtwoord met machtigingsniveau *SECOFR  Uw licentiegegevens voor Secure Transfer. 2.1. Installatie op PC

Voer uit: PFMSetupV2R3M2.exe vanaf CD of vanuit de directory waarin het bestand is neergezet na downloaden. Dit programma vraagt om systeemnaam, gebruiker en wachtwoord voor de System i. LET OP: u dient een gebruikersprofiel te kiezen dat machtigingsniveau *SECOFR heeft! Vervolgens worden in een tijdelijke directory op uw PC een savefile voor de System i en een batchfile uitgepakt. De batchfile maakt via FTP op de System i een installatiebibliotheek (STXINSTALL) met benodigde installatieprogrammatuur. Als uw System i al een bibliotheek STXINSTALL bevatte, wordt die eerst verwijderd. U bent nu klaar met de installatie op de PC. Let op, het kan zijn dat wanneer u op uw PC een locale firewall heeft draaien dat deze FTP verkeer tegenhoudt. U heeft dan de keuze tussen handmatig uw firewall aanpassen of deze gedurende korte tijd uit te schakelen. 2.2. Installatie op System i

U dient hier weer een gebruikersprofiel met machtigingsniveau *SECOFR te kiezen. Voer de volgende commando’s uit: ADDLIBLE STXINSTALL CALL STXINSR01 U krijgt een scherm waarin u kunt aangeven hoe de namen moeten zijn van de programmabibliotheek, de centrale gegevens bibliotheek en de eerste data bibliotheek. Nu wordt op de System i een gebruikersprofiel (STXLIBADM) en een autorisatielijst gemaakt. Daarna worden de benodigde bibliotheken op het systeem gemaakt. Na enige tijd krijgt u een tweede scherm waarin u uw licentiegegevens dient in te voeren. Hierna is de installatie voltooid. 2.3. Licentiesleutel

Voordat met Secure Transfer gewerkt kan worden moet een licentiesleutel worden aangevraagd en vastgelegd. Voor de aanvraag van de licentiesleutel is een aanvraagformulier beschikbaar als bijlage. Het ingevulde formulier moet worden opgestuurd naar:


Pagina 7 van 15

PFM Holland Postbus 843 2300 AV Leiden De aanvraag kan ook via email worden gedaan. Email-adres: [email protected] Aan de hand van de opgegeven gegevens wordt vervolgens een licentiesleutel samengesteld. Deze licentiesleutel wordt samen met enige andere gegevens, waaronder het nummer van de licentie, aan de aanvrager verstrekt.


Pagina 8 van 15

3. Bijwerken bestaande installatie Secure Transfer Benodigd:  Naam of ip-adres van de System i  Gebruikers-id en wachtwoord met machtigingsniveau *SECOFR

3.1. Installatie op PC

Voer uit: PFMSetupV2R3M2.exe vanaf CD of vanuit de directory waarin het bestand is neergezet na downloaden. Dit programma vraagt om systeemnaam, gebruiker en wachtwoord voor de System i. LET OP: u dient een gebruikersprofiel te kiezen dat machtigingsniveau *SECOFR heeft! Vervolgens worden in een tijdelijke directory op uw PC een savefile voor de System i en een batchfile uitgepakt. De batchfile maakt via FTP op de System i een installatiebibliotheek (STXINSTALL) met benodigde installatieprogrammatuur. Als uw System i al een bibliotheek STXINSTALL bevatte, wordt die eerst verwijderd. U bent nu klaar met de installatie op de PC. Let op, het kan zijn dat wanneer u op uw PC een locale firewall heeft draaien dat deze FTP verkeer tegenhoudt. U heeft dan de keuze tussen handmatig uw firewall aanpassen of deze gedurende korte tijd uit te schakelen. 3.2. Bijwerken installatie op System i

U dient hier weer een gebruikersprofiel met machtigingsniveau *SECOFR te kiezen. Voer de volgende commando’s uit: ADDLIBLE STXINSTALL CALL STXUPDR01 U krijgt een scherm waarin u de naam van de database kunt ingeven. Als het goed is toont het programma de naam van de controlebibliotheek, de programmabibliotheek, de hoofddirectory en het versienummer van de bestaande installatie. Dat versienummer dient V2R3M1, V2R3M0, V2R2M0, V2R1M3 of V2R0M4 te zijn; eventueel aangevuld met patchnummer (Pn). Als het versienummer klopt drukt u op <Enter>. Nu wordt de nieuwe programmatuur geïnstalleerd, bestanden worden geconverteerd en aangevuld en het versienummer wordt bijgewerkt. N.B.: Doordat er een module aan Secure Transfer is toegevoegd zijn de gegevens waarmee de licentiesleutel wordt berekend gewijzigd. Het conversieprogramma berekent automatisch een nieuwe licentiesleutel o.b.v. de nieuwe situatie. Het is verstandig een schermafdruk van de nieuwe sleutel te maken (Basisgegevens -> Beheer -> Toevoegen/wijzigen licentie) en die afdruk goed te bewaren.


Pagina 9 van 15

3.2.1. Verbindingshouders belastingdienst

Als u Secure Transfer gebruikt om belastingaangifte te doen en u maakt gebruik van certificaten (bij verbindingshouder PKI = ‘J’), dient u na de conversie bij de verbindingshouders de juiste waarden bij ‘Key set’ en ‘Algoritme handtekening’ in te vullen (zie 6.3.5 - Uitgebreid: Verbindingshouders Belastingdienst (SRBF)). Als u gebruik maakt van (de oude) DigiNotar certificaten moet dit voor ‘Key set’ ‘2’ zijn en voor ‘Algoritme handtekening’ ‘1’ zijn. Bij gebruik van (de nieuwe) KPN certificaten moet dit voor ‘Key set’ ‘1’ zijn en voor ‘Algoritme handtekening’ ‘2’ zijn. Bij vervanging van DigiNotar BAPI certificaten moet er pas 30 dagen na ontvangst van de certificaten gekozen worden voor KPN certificaten. Na invulling van de waarden wordt automatisch een .properties bestand gegenereerd voor de aansturing van jBapi.

3.2.2. Controle record vullen

Om de gegevens in het controle record te vullen na een upgrade moeten de gegevens in (Basisgegevens -> Beheer -> Wijzigen controlegegevens) worden opgeslagen. Dit gebeurd door in dit scherm twee keer op enter te drukken.


Pagina 10 van 15

4. Wijzigingen V2R3M2 t.o.v. V2R2M1 De reden van versie V2R3M2 is dat de Belastingdienst bij voor het FOS-kanaal gebruik van een certificaat gaat eisen. Daarvoor is de onderliggende programmatuur (jBapi) aangepast en kunnen gegevens over zo’n certificaat worden vastgelegd. 4.1. Technisch

jBapi:

Versie 3.10.11

4.2. Functioneel 4.2.1. Verbindingshouders BLD

Voor het FOS-kanaal gaat de Belastingdienst gebruik van een certificaat eisen. Vandaar dat bij de verbindingshouders gegevens over dat certificaat kunnen worden gespecificeerd. Bij een relevante wijziging van de gegevens van de verbindingshouders worden properties van verbindingshouders en bijbehorende postbushouders automatisch opnieuw gegenereerd. 4.2.2. Postbushouders BLD

Gebruik van een certificaat voor het FOS-kanaal gaat in twee stappen: eerst moet het certificaat bij de Belastingdienst bekend gemaakt worden; nadat het door de Belastingdienst geaccepteerd is, kan het pas geactiveerd worden. Vandaar dat er voor de postbushouders een optie ‘Certificaat versturen naar Belastingdienst’ is bijgekomen. Tevens wordt vastgelegd wanneer het certificaat is verstuurd en is het genereren van de properties voor postbushouders aangepast. 4.3. Bestandswijzigingen 4.3.1. Uitgebreid: Verbindingshouders BLD

Aan dit bestand zijn gegevens over het FOS-kanaal toegevoegd. 4.3.2. Uitgebreid: Postbushouders BLD

Aan dit bestand zijn gegevens over het FOS-kanaal toegevoegd.


Pagina 11 van 15

5. Wijzigingen V2R3M1 t.o.v. V2R3M0 De reden van versie V2R3M1 is het overschakelen van certificaten van DigiNotar naar KPN. Daarvoor is de onderliggende programmatuur (jBapi, jEquens, jOtp) aangepast. Tevens is de manier van aanroepen van jBapi veranderd; output van het jBapi-proces worden gelogd in nieuw bestand LJBF (Log jBapi). 5.1. Technisch

jBapi: jEquens: jOtp:

Versie 3.10.10 Versie 2.0.7 Versie 3.0.5

5.2. Functioneel 5.2.1. Uitgebreid: Verbindingshouders BLD

Ten behoeve van de communicatie met behulp van certificaten moeten extra gegevens over die certificaten worden vastgelegd. 5.3. Bestandswijzigingen 5.3.1. Uitgebreid: Log ontvangst FTP (LFOF)

Aangezien is gebleken dat het log per sessie soms meer dan 1000 regels bevatte is het regelnummer uitgebreid van 3 naar 4 posities. 5.3.2. Uitgebreid: Log verzending FTP (LFVF)

Aangezien is gebleken dat het log per sessie soms meer dan 1000 regels bevatte is het regelnummer uitgebreid van 3 naar 4 posities. 5.3.3. Nieuw: Log jBapi (LJBF)

Waar in de vorige versie jBapi rechtstreeks werd aangeroepen, gebeurt dat nu in een apart proces. De output van dat proces wordt vastgelegd in bestand LJBF.


Pagina 12 van 15

6. Wijzigingen V2R3M0 t.o.v. V2R2M0 6.1. Technisch

jBapi: jEquens: jOtp:

Versie 3.10.6 Versie 2.0.5 Versie 3.0.4

6.2. Functioneel 6.2.1. Algemeen

Er is een module bijgekomen: Digipoort. 6.3. Bestandswijzigingen

Vergeleken met V2R2M0 is een voor de nieuwe module Digipoort een aantal databasebestanden toegevoegd; daarnaast zijn enkele bestanden gewijzigd. 6.3.1. Nieuw: Berichtsoorten Digipoort (STMF)

In dit bestand wordt vastgelegd welke berichtsoorten bij Digipoort kunnen worden gebruikt. 6.3.2. Nieuw: Verbindingshouders Digipoort (SROF)

In dit bestand worden de gegevens van verbindingshouders Digipoort vastgelegd. 6.3.3. Nieuw: Postbushouders Digipoort (SPOF)

In dit bestand worden de gegevens van postbushouders Digipoort vastgelegd. 6.3.4. Uitgebreid: Controlegegevens (CTGF)

Aan dit bestand zijn instellingen toegevoegd die voorheen in de programmatuur vastgelegd waren en/of via .properties moesten worden geregeld: - Naam hoofddirectory Secure Transfer (default ‘stxdir’); - Locaties Java-programmatuur voor Belastingdienst, Equens en Digipoort; - Instellingen logging Java-programmatuur. 6.3.5. Uitgebreid: Verbindingshouders Belastingdienst (SRBF)

Doordat de uitgifte van certificaten voor PKI is overgegaan van DigiNotar naar KPN zijn twee nieuwe velden toegevoegd aan het bestand SRBF – Verbindingshouders Belastingdienst: - Key set: Omdat tussen het moment van aanvragen van een nieuw certificaat en het ontvangen daarvan nog met het oude certificaat gewerkt moet kunnen worden, maakt jBapi gebruik van 2 ‘key sets’; via dit veld wordt aangegeven welke van de twee gebruikt moet worden. Standaardwaarde is ‘1’. Installatiehandleiding Secure Transfer – Versie V2R3M2

Pagina 13 van 15

-

Algoritme handtekening: Tegenwoordig wordt standaard gebruikt gemaakt van SHA-256 versleuteling (hier waarde ‘2’), maar oudere certificaten gebruiken soms nog SHA-1 (waarde ‘1’); via dit veld wordt aangegeven welke van de twee gebruikt moet worden. Standaardwaarde is ‘2’. 6.3.6. Uitgebreid: Berichttypes (STTF)

Aan dit bestand is voor Digipoort het veld BerichtSoort toegevoegd. 6.3.7. Te verzenden berichten (TTVF)

Toegevoegd: - Berichtsoort Digipoort; - Ontvangstkenmerk Digipoort.


Pagina 14 van 15

7. Aanvraagformulier licentiesleutel Secure Transfer Bedrijfsgegevens 1 Naam bedrijf

_________________________________

2

Adres

_________________________________

3

Postcode, plaats

_________________________________

Contactpersoon 4 Naam contactpersoon

_________________________________

5

Telefoonnummer

_________________________________

6

Faxnummer

_________________________________

7

E-mailadres

_________________________________

Gegevens Secure Transfer 8 Serienummer System i

_________________________________

9

Processorfeature System i

_________________________________

10

Secure Transfer – Basis

O Ja *)

11

Secure Transfer – Belastingdienst

O Ja *)

12

Secure Transfer – Equens

O Ja *)

13

Secure Transfer – Digipoort

O Ja *)

14

Secure Transfer – FTP

O Ja *)

·

Het serienummer van de System i kan worden opgevraagd met het i5/OScommando DSPSYSVAL SYSVAL(QSRLNBR). Het processorkenmerk van de System i kan worden opgevraagd met het i5/OScommando DSPSYSVAL SYSVAL (QPRCFEAT).

·

*)

Aangeven voor welke modules een licentie wordt aangevraagd

Handtekening:

Plaats: _____________________________ Datum: _____________________ Installatiehandleiding Secure Transfer – Versie V2R3M2

Pagina 15 van 15

Secure Transfer Installatie

Recommend Documents