Page tree
Skip to end of metadata
Go to start of metadata

Usługi sieciowe SOAP

Usługa jest dostępna, jako serwis SOAP (z użyciem HTTP lub HTTPS).

Uwierzytelnienie

Mechanizmem uwierzytelnienia do usługi jest protokół SSL/TLS obustronnie uwierzytelniany. Autoryzacja klienta następuje w oparciu o silne uwierzytelnienie certyfikatem wystawionym przez uprawniony do korzystania z usługi urząd certyfikacji (CA).

Uprawnienie do korzystania z usługi może być potwierdzane odpowiednią cechą certyfikatu klienta określaną w konfiguracji usługi:

  • pochodzeniem certyfikatu z odpowiedniego urzędu CA,
  • przynależnością certyfikatu do odpowiedniej polityki wydawania certyfikatów,
  • faktem występowania odpowiedniej wartości określonego atrybutu w polu Subject lub subjectAlternativeName certyfikatu.

Opis funkcji

Diagram poniżej pokazuje listę dostępnych funkcji w ramach API Webservices:

getVersion

Zapytanie o bieżącą wersję API.

Parametry wejściowe :

  • unikalny identyfikator transakcji

Parametry wyjściowe:

  • kod wyniku wykonania funkcji (sukces/błąd),
  • numer wersji n.n.n.

issueCertificate

Wydanie certyfikatu X.509 (RFC5280) lub CVC (TR-03110). Metoda synchroniczna.

Parametry wejściowe:

  • unikalny identyfikator transakcji,
  • wniosek o wydanie certyfikatu w formacie PKCS#10 (RFC2986), CVC lub XML zawierający dane podmiotu i opcjonalny klucz publiczny,
  • identyfikator polityki wydawania certyfikatów (opcja),
  • wnioskowany termin ważności certyfikatu (opcja),
  • wnioskowany termin ważności klucza prywatnego (opcja),
  • hasło umożliwiające unieważnienie certyfikatu (opcja),
  • flaga żądania dołączenia do odpowiedzi certyfikatów CA,
  • flaga żądania wygenerowania klucza prywatnego w module HSM,
  • klucz transportowy do przesłania wygenerowanego klucza prywatnego (opcja).

Parametry wyjściowe:

  • unikalny identyfikator transakcji,
  • kod wyniku wykonania funkcji (sukces/błąd),
  • wygenerowany certyfikat X.509 lub CVC,
  • wygenerowany klucz prywatny (opcja),
  • certyfikaty CA do utworzenia ścieżki walidacji (opcja),
  • hasło umożliwiające unieważnienie certyfikatu (opcja).
  • identyfikator urzędu CA.

renewCertificate

Odnowienie certyfikatu X.509 lub CVC.

Parametry wejściowe:

  • unikalny identyfikator transakcji,
  • identyfikator urzędu CA i numer seryjny certyfikatu (dla X.509),
  • identyfikator urzędu CA i posiadacza certyfikatu (dla CVC),
  • hasło umożliwiające unieważnienie certyfikatu (opcja).

Parametry wyjściowe:

  • unikalny identyfikator transakcji,
  • kod wyniku wykonania funkcji (sukces/błąd),
  • odnowiony certyfikat X.509 lub CVC,
  • hasło umożliwiające unieważnienie certyfikatu (opcja).

revokeCertificate

Unieważnienie lub zawieszenie certyfikatu X.509.

Parametry wejściowe:

  • unikalny identyfikator transakcji,
  • identyfikator urzędu CA,
  • numer seryjny certyfikatu,
  • kod przyczyny unieważnienia certyfikatu,
  • data unieważnienia certyfikatu (opcja),
  • opis przyczyny unieważnienia (opcja).

Parametry wyjściowe:

  • unikalny identyfikator transakcji,
  • kod wyniku wykonania funkcji (sukces/błąd).

cancelCertificateRevocation

Cofnięcie zawieszenia certyfikatu X.509.

Parametry wejściowe:

  • unikalny identyfikator transakcji,
  • identyfikator urzędu CA,
  • numer seryjny certyfikatu,
  • opis przyczyny cofnięcia zawieszenia (opcja).

Parametry wyjściowe:

  • unikalny identyfikator transakcji,
  • kod wyniku wykonania funkcji (sukces/błąd).

getCertificate

Pobranie certyfikatu X.509 lub CVC.

Parametry wejściowe:

  • unikalny identyfikator transakcji,
  • identyfikator urzędu CA i numer seryjny certyfikatu (dla X.509),
  • identyfikator urzędu CA i posiadacza certyfikatu (dla CVC).

Parametry wyjściowe:

  • unikalny identyfikator transakcji,
  • kod wyniku wykonania funkcji (sukces/błąd),
  • certyfikat X.509 lub CVC.

setCertificateRevocationPassword

Ustawienie lub zmiana hasła umożliwiającego unieważnienie certyfikatu.

Parametry wejściowe:

  • unikalny identyfikator transakcji,
  • identyfikator urzędu CA i numer seryjny certyfikatu (dla X.509),
  • identyfikator urzędu CA i posiadacza certyfikatu (dla CVC),
  • hasło do unieważnienia certyfikatu.

Parametry wyjściowe:

  • unikalny identyfikator transakcji,
  • kod wyniku wykonania funkcji (sukces/błąd).

registerCertificationRequest

Przyjęcie wniosku o wydanie certyfikatu X.509 lub CVC. Metoda asynchroniczna.

Parametry wejściowe:

  • unikalny identyfikator transakcji,
  • wniosek o wydanie certyfikatu w formacie PKCS#10, CVC lub XML zawierający dane podmiotu i opcjonalny klucz publiczny,
  • identyfikator polityki wydawania certyfikatów (opcja),
  • wnioskowany termin ważności certyfikatu (opcja),
  • wnioskowany termin ważności klucza prywatnego (opcja),
  • hasło umożliwiające unieważnienie certyfikatu (opcja),
  • flaga żądania dołączenia do odpowiedzi certyfikatów CA,
  • flaga żądania wygenerowania klucza prywatnego w module HSM,
  • klucz transportowy do przesłania wygenerowanego klucza prywatnego (opcja).

Parametry wyjściowe:

  • unikalny identyfikator transakcji,
  • kod wyniku wykonania funkcji (sukces/błąd),
  • unikalny identyfikator złożonego wniosku.

getCertificationRequestResult

Pobranie certyfikatu X.509 lub CVC wydanego na podstawie złożonego wcześniej wniosku. Metoda asynchroniczna.

Parametry wejściowe:

  • unikalny identyfikator transakcji,
  • unikalny identyfikator złożonego wniosku.

Parametry wyjściowe:

  • unikalny identyfikator transakcji,
  • kod wyniku wykonania funkcji (sukces/w trakcie realizacji/błąd),
  • wygenerowany certyfikat X.509 lub CVC,
  • wygenerowany klucz prywatny (opcja),
  • certyfikaty CA do utworzenia ścieżki walidacji (opcja),
  • hasło umożliwiające unieważnienie certyfikatu (opcja).

 

 

Certificate Management Protocol (CMP)

Usługa CMP (Certificate Management Protocol) jest zgodna z normą RFC4210. Format wniosku o certyfikat jest zgodny z normą RFC4211 (Internet X.509 Public Key Infrastructure Certificate Request Message format). Do przesyłania wiadomości CMP użyty jest protokół HTTP, który definiuje norma RFC6712 (Internet X.509 Public Key Infrastructure – HTTP Transfer for the Certificate Management Protocol).

Usługa jest dostępna poprzez protokół HTTP lub HTTPS. Mechanizmem uwierzytelnienia do usługi jest protokół SSL/TLS obustronnie uwierzytelniany. Autoryzacja klienta następuje w oparciu o silne uwierzytelnienie certyfikatem wystawionym przez odpowiedni urząd certyfikacji (CA) i uprawnionym do korzystania z usługi

Uprawnienie do korzystania z usługi może być potwierdzane odpowiednią cechą certyfikatu klienta określaną w konfiguracji usługi:

  • pochodzeniem certyfikatu z odpowiedniego urzędu CA,
  • przynależnością certyfikatu do odpowiedniej polityki wydawania certyfikatów,
  • faktem występowania odpowiedniej wartości określonego atrybutu w polu Subject lub subjectAlternativeName certyfikatu.

Opis komunikatów

Wymagane funkcjonalności są realizowane poprzez implementacje wiadomości:

  • Przyjęcie wniosku o wydanie certyfikatu – typu Certification Req (cr w PKIBody) oraz PKCS #10 Cert. Req (p10cr w PKIBody),
  • Odnowienie certyfikatu – typu Key Update Request (kur w PKIBody),
  • Unieważnienie lub zawieszenie certyfikatu – typu Revocation Request (rr w PKIBody).

Dodatkowo dla zapewnienia zgodności z normą RFC4210 pod kątem poprawności sekwencji wymiany informacji między klientem a serwerem są zaimplementowane następujące typy wiadomości:

  • Certification Response (cp w PKIBody) - wiadomość zawierająca jako PKIBody strukturę danych CertRepMessage, która ma wartość statusu dla każdego zapytania certyfikacji, i opcjonalnie klucz publiczny CA, informację o usterce, certyfikat tematu, i zaszyfrowany klucz prywatny.
  • Revocation Response (rp w PKIBody) - odpowiedź na zapytanie unieważnienia zawartości. Jest przesyłana do wystawcy unieważnienia o ile została wytworzona. (Oddzielna wiadomość o powiadomieniu unieważnienia może być wysłana do właściciela certyfikatu dla którego unieważnienie zostało zgłoszone.
  • Certificate Confirm (certConf w PKIBody) - żądanie potwierdzenia lub odrzucenia certyfikatu przez CA
  • Confirmation (pkiconf w PKIBody) - potwierdzenie transakcji wydania certyfikatu wysyłane przez CA zamykające transakcję,
  • Error Message (error w PKIBody) - wiadomość może być generowana w każdym czasie podczas realizowania transakcji w przypadku zauważenia błędu. Dla obu stron jest to koniec transakcji.
Na tej stronie

Szukaj w dokumentacji