Dato for udgivelse
10 Apr 2019 13:06
Til
Virksomheder der bruger systemerne ICS og Manifest
Sagsnummer
19-20042019
Ansvarlig styrelse
Toldstyrelsen
Ved spørgsmål, kontakt
Toldstyrelsen – 72 22 12 12
Resumé

Krævede ændringer til jeres systemer : Den opgraderede FTPS Gateway er baseret på et nyt hyldevareprodukt, som pga. skærpede krav til sikkerhed kræver en ændring i proceduren for autentificering, men også fjerner muligheden for at selskaber (identificerer med et CVR-nummer) kan anvende flere certifikater til at hente filer i en delt udbakke.


Skatteforvaltningen opgraderer systemet til indberetning af filer (”FTPS Gateway”) i ICS & MANIFEST.

Revision 3. (den 28. februar 2019)

 Omfatter udelukkende systemerne ICS og Manifest.


TFE omlægges i august måned 2019

Produktion omlægges i oktober måned 2019.

 

Krævede ændringer til jeres systemer

 Den opgraderede FTPS Gateway er baseret på et nyt hyldevareprodukt, som pga. skærpede krav til sikkerhed kræver en ændring i proceduren for autentificering, men også fjerner muligheden for at selskaber (identificerer med et CVR-nummer) kan anvende flere certifikater til at hente filer i en delt udbakke.

 Da jeres system i dag integrerer med Skatteforvaltningen ’s FTPS Gateway, skal det derfor fremadrettet tilpasses som følger:

 

  1. Der skal i tillæg til OCESII-certifikatet fremover medsendes gyldigt brugernavn (”username”) og brugerkode (”password”). Brugernavnet (”username”) er fremover en sammensætning af CVR-nummer og enten RID- eller UID-værdien i OCESII-certifikatet på formen:Virksomhedscertifikater (VOCES): CVR_xxxxxxxx_UID_yyyy…y 
  2. Eksempel:
  3. Medarbejdercertifikater (MOCES): CVR_xxxxxxxx_RID_yyyy…y
  4.  
  5.  

 

CVR_12345678_UID_9876543210

 

Brugerkoden til produktionsmiljøet tildeles af Skatteforvaltningen og fremsendes via Bluewhale.dk eller evt. Digital Post stillet til selskabets CVR-nummer. Brugerkoden vil IKKE blive tilsendt via alm. e-mail.

 

  1. De selskaber der anvender et certifikat (C1) til indberetning og et andet certifikat (C2) til at hente svarfiler i udbakken skal være opmærksom på, at den nye FTPS Gateway ikke understøtter denne opdeling. Det er derfor nødvendigt at anvende certifikat C1 til både indberetning og hente svarfiler.

 

 

  1. Den nye FTPS Gateway vil fremover være tilgængelig på port 6381 og High Ports 36000 – 36100. Dette skyldes at Skatteforvaltningen idriftsætter den nye FTPS Gateway parallelt med den nuværende og flytter selskaber over i bundter.

 

Nuværende FTPS Gateway

Den nye FTPS Gateway

Adresse: secureftpgatewaytest.skat.dk

Port: 6371

High Ports: 35000-35100

Adresse: secureftpgatewaytest.skat.dk

Port: 6381

High Ports: 36000-36100

 

  1. Den nye FTPS Gateway vil fremover IKKE returnere flg. fejlkoder

 

BACKEND_SYSTEM_NOT_AVAILABLE

SERVICE_DOES_NOT_EXIST

CLIENT_NO_PERMISSION

GUID_NOT_FOUND

ROLE_COULD_NOT_BE_FOUND

AUTHORIZATION_TIMED_OUT

 

Forhåndsregistrering af certifikat sikrer, at alle autentificering og autorisation til services kan godkendes af systemet.

 

  1. Den nye FTPS Gateway tillader ikke længere, at en fil indsendes med allerede indsendt filnavn. Dette sikrer, at indberettede filer afvikles i identificerbare transaktioner.Indsendelse af filer med genbrug af filnavn vil medføre fejlkoden:
  2.  

 

FILENAME_CANNOT_BE_REUSED_FOR_TRANSACTION

 

  1. Den nye FTPS Gateway anvender kun Transport Layer Security (TLS):
    • TLSv1.2

VIGTIGT!: TLSv1, som anvendes i den nuværende FTPS Gateway, er deaktiveret og understøttes IKKE i den nye FTPS Gateway. Dette gælder også TLSv1.1.

  1. Den nye FTPS Gateway tilpasser service strukturen i henhold til de roller som et certifikat er tildelt i det Centrale Sikkerhedssystem. Upload af filer kan kun ske under en specifik service folder og download af filer kan kun ske fra ’out’ folder.
  2.  
  3. Den nye FTPS Gateway implementeres gradvis per system i løbet af 2019 – startende med DMR, efterfulgt af PSRM/DMI osv. Hvis jeres system eksempelvis forbinder til ICS/Manifest gennem FTPS-GW, så vil der i en periode være behov parallel opkobling. Helt konkret skal jeres system kunne koble op til to forskellige portnumre.



Foruden ovenstående tilpasninger i jeres systemer, skal I indgå i følgende forløb:

 

  1. Selskaber skal indsende det/de OCESII-certifikat(er), der i dag benyttes i TFE- og i Produktionsmiljøet. Certifikatet skal indsendes til e-mail: jp-driftscenter@ufst.dk VIGTIGT: For at gøre dette punkt mest smidigt for selskaberne vil den nuværende FTPS Gateway fra 1. september 2018 løbende migrere selskabernes OCESII-certifikater til den nye FTPS Gateway helt automatisk. Selskaber, der indberetter efter denne dato, skal dermed IKKE indsende certifikat per e-mail. Den tildelte brugerkode lægges på den eksisterende FTPS Gateway under en ”dummy” service benævnt NyFTPSLoginInfo i en fil benævnt Ny_FTPS_Login_Info.txt. Eks. login med certifikat tilhørende CVR = 12345678 og UID = 9876543210 og hent filen UID_9876543210/NyFTPSLoginInfo/Ny_FTPS_Login_Info.txt.
  2.  

 

  1. Det er muligt at teste adgang og login til den nye FTPS-Gateway i både TFE- og Produktionsmiljø fra d. 1 august 2019 og fremefter.
  2.  
  3. Produktionssætning d. .. oktober 2019 kl. 09:00-11:00. Det er vigtigt at I fra dette tidspunkt kommunikerer på den nye port i jeres integrationer med ICS og Manifest og at jeres system på dette tidspunkt understøtter den ændrede virkemåde som beskrevet ovenfor.

 

Opgradering af Skatteforvaltningen‘s FTPS Gateway medfører IKKE ændringer til flg. områder af løsningen:

 

  • OCESII-certifikatet, der af selskabet anvendes til autentificering, herunder de rettigheder, der er tildelt certifikatet i TastSelv Erhverv under ”Rettigheder til Selvbetjening”.
  •  
  • Server-certifikatet, der identificerer Skatteforvaltningen ‘s FTPS Gateway (”Server Certificate”)

 

  • OCESII-rodcertifikatet (CA), der definerer hvilke klientcertifikater, der kan anvendes til autentificering.
  •  
  • IP- og DNS-adressen for Skatteforvaltningen ‘s FTPS Gateway (dog ændres port-nummer til forbindelsen jf. ovenstående punkt 4)

 

Certifikatfremsendelse

 

Den nye FTPS Gateway tillader kun adgang med certifikater som ”trustes” på forhånd, og fremadrettet er det således nødvendigt at fremsende nye certifikater. Der er tale om en ”public” version af certifikatet, som kan dannes på basis af P12 certifikat. Husk at angive mobilnummer i email idet dette anvendes i forbindelse med fremsendelse af login kodeord via krypteret email.

Følgende illustrerer hvorledes certifikat fil kan dannes i Windows og Linux miljø.

 

Windows

 

Importer p12 certifikat.

 

 

Exporter certfikat fra mmc (Certificate plugin).

 

 

Linux

 

Udfør denne kommando:

openssl pkcs12 –in VOCES_gyldig.p12 –out CVR_ 30808460_UID_ 25351738.pem

 

cer/pem filen er ” Base64 encoded ASCII file” og kan fremsendes via normal email.

 

Liste over berørte services

 

ICS

 

SummariskIndgangsangivelseOpdaterService

SummariskIndgangsangivelseOpretService

SummariskIndgangsangivelseSamlingOmdirigerService

 

Manifest Manifest.AfgangsdeklarationOpdaterManifest.AfgangsdeklarationOpretManifest.AfgangsdeklarationSletManifest.AnkomstdeklarationOpdaterManifest.AnkomstdeklarationOpretManifest.AnkomstdeklarationSletManifest.EksternAnkomstOgAfgangsIndberetningOpretManifest.MidlertidigOpbevaringOpdaterManifest.MidlertidigOpbevaringOpretManifest.MidlertidigOpbevaringOpsplitOpretManifest.MidlertidigOpbevaringSletManifest.TolddokumentSamlingHent

 

Ændringslog

 

  1. Revision: DMR udgave
  2. Revision: PSRM, MiniMF og DMI udgave
  3. Revision: ICS og Manifest udgave

 

skat.dk er Skatteforvaltningens digitale indgang til selvbetjening og vejledning om skatter og afgifter