Spletni servis eseips-get, verzija 2023-07-27-01

Spletni servis eseips-get nudi dostop do enotne številke elektronske identifikacije (EŠEI) poslovnega subjekta, ki je pridobil digitalno potrdilo pri enem od izdajateljev v Državnem centru za storitve zaupanja (SI-TRUST). Poslovnim subjektom izdajata digitalna potrdila naslednja izdajatelja:

  • SIGEN-CA in
  • SIGOV-CA.

eseips-get: naslov in dostop do servisa ter specifikacija klica

Primer klica servisa v testnem okolju:

https://ws.si-trust.gov.si/eseips-get-test?sn=2302201000001&ca=sitest-ca

V produkcijskem okolju je podobno, le brez pripon -test.

Servis deluje po protokolu HTTPS RESTful. Odgovori imajo format "JSON Web Signature (JWS)" s kompaktno serializacijo.

V novejših potrdilih je točen URL za poizvedbo vpisan v javnem delu potrdila v razširitvi OID=1.3.6.1.4.1.58536.1.1.1.2.2. Za starejša potrdila lahko odjemalska aplikacija sestavi poizvedbo s podobnim URL tako, da serijsko številko (parameter sn) izlušči iz polja serialNumber v razločevalnem imenu imetnika potrdila.

Digitalno potrdilo, ki nastopa v poizvedbi, mora biti izdano pri enem od izdajateljev v SI-TRUST za poslovne subjekte.

Potrdilo je enolično določeno z oznako izdajatelja in 13-mestno serijsko števiko.

Ob klicu servisa in vzpostavitvi seje TLS se mora odjemalska aplikacija predstaviti z veljavnim digitalnim potrdilom. Tega potrdila ni potrebano predhodno javljati SI-TRUSTu.

Pomen vhodnih parametrov:

  • sn: 13-mestna decimalna serijska številka digitalnega potrdila.
  • ca: naziv enega od izdajateljev digitalnih potrdil: sigen-ca ali sigov-ca, v testnem okolju tudi sitest-ca.

Vrstni red vhodnih parametrov je poljuben. Naziv izdajatelja je lahko podan z malimi, velikimi ali mešanimi črkami, nazivi parametrov morajo biti podani z malimi črkami.

Strežnik vpogled zabeleži samo zaradi morebitne pomoči pri razhroščevanju aplikacij, preprečevanju masovnih poizvedb, napadov DOS itd. Trajna povezava z osebo ali potrdilom se ne zabeleži.

eseips-get: specifikacija odgovora

Če potrdilo s podanim izdajateljem in podano serijsko številko obstaja in ne pride do nepredvidene napake, servis vrne status HTTP 200 in EŠEI poslovnega subjekta, kateremu je bilo izdano potrdilo danega izdajatelja z dano 13-mestno serijsko številko.

Format odgovora je žeton JWT (JSON Web Token) in je podpisan z JWS (JSON Web Signature). Rezultat se nahaja v srednjem delu (payload) odgovora, med prvo in drugo piko. Odgovor je zakodiran z "Base64", tako kot predpisuje standard za JWT/JWS.

Primer telesa HTTP v odgovoru na gornji primer klica v testnem okolju (z dodanimi prelomi vrstic):

eyJ4NXUiOiJodHRwczpcL1wvd3Muc2ktdHJ1c3QuZ292LnNpXC9lc2VpLWp3cy1j
ZXJ0aWZpY2F0ZS10ZXN0IiwiYWxnIjoiUlMyNTYifQ.
eyJzbiI6IjIzMDIyMDEwMDAwMDEiLCJlc2VpIjoiMjExMDI1MDEwNyIsImlhdCI6
MTY5MDg5MzEzMSwiY2EiOiJTSVRFU1QtQ0EiLCJqdGkiOiIxY2QzMThiYS02OGM1
LTRhNDctYmUxMS0yMTRhMTk5Yjc1ZTUifQ.
DXqx9HtJgqZmzpUJGs7HKIwv6QIaSx--_fNAzG0o_msgukE7nigvrKEMbY7N-4GE
UMRv0T2cVnjCdAWMmIWnw3FdHV5efAKdGvIJQQnHhO1XKg1PnK7YM2Qa2H9v5bqK
WGVW4iMCPMWiHsuU2k-n5w8XNcuhVTqDF4J9VK1DTTEd3IAI29nYqM3Yo7o7Y5FD
BeRZLWUvKmavkd0BiWiZRZehWvDEd7CuBgsZzsz6BDjiLZYdeykStaqc90P4OI-3
rycw8K_OzDDsqsdjG2qOBZygwS3l76HhjPVW37czCIBLFw37KH2Gq6sTJeHTodam
CO3i-InLxSJmxq7mb0VrTA

Glava in vsebina (payload) po dekodiranju base64:

{"x5u":"https:\/\/ws.si-trust.gov.si\/esei-jws-certificate-test",
 "alg":"RS256"}

{"sn":"2302201000001",
 "esei":"2110250107",
 "iat":1690893131,
 "ca":"SITEST-CA",
 "jti":"1cd318ba-68c5-4a47-be11-214a199b75e5"}

Opis polj:

  • x5u: URL verige potrdil (več spodaj), s katerim je narejen podpis
  • alg: algoritem podpisa
  • sn: 13-mestna decimalna števika potrdila
  • esei: enotna številka elektronske identifikacije poslovnega subjekta
  • iat: čas izdelave žetona
  • ca: oznaka izdajatelja
  • jti: unikatna številka žetona

Veriga potrdil v datoteki na naslovu x5u se začne s potrdilom, s katerim je žeton podpisan, in nadaljuje s potrdili izdajateljev. Veriga ne vsebuje korenskega potrdila, ki je na produkciji standardni SI-TRUST Root, na testu pa je potrdilo SI-CA Root Test objavljeno na strani https://www.si-trust.gov.si/sl/podpora-uporabnikom/testna-digitalna-potrdila/

Če potrdilo s podano serijsko številko in izdajateljem ne obstaja ali če pride do druge napake na aplikacijskem nivoju (nepravilna poizvedba, izpad zalednega strežnika itd.), servis vrne status HTTP različen od 200 in v telesu HTTP dodatne informacije o napaki v formatu JSON. Tukaj niso opisane napake pred ali med vzpostavitvijo seje HTTPS.

Možni sta dve obliki opisa napake:

{"errorCode":"ST-114-936",
 "errorDetails":"Podani ca (EID-CA-LOWS) ni veljaven ali se ne ujema s tipom..."}

{"errors":
 {"ca":"(not (storitve-ca.web-ui/existing-ca \"SITEST_CA\"))",
  "sn":"(not (\"13 mest\" \"27092016120011\"))"}}

Prvo obliko generira servis za semantične napake in drugo knjižnica Swagger za sintaktične napake, npr. za napačna ali manjkajoča imena parametrov.