Spletni servis eseips-get, verzija 2023-07-27-01
Spletni servis eseips-get nudi dostop do enotne številke elektronske identifikacije (EŠEI) poslovnega subjekta, ki je pridobil digitalno potrdilo pri enem od izdajateljev v Državnem centru za storitve zaupanja (SI-TRUST). Poslovnim subjektom izdajata digitalna potrdila naslednja izdajatelja:
- SIGEN-CA in
- SIGOV-CA.
eseips-get: naslov in dostop do servisa ter specifikacija klica
Primer klica servisa v testnem okolju:
https://ws.si-trust.gov.si/eseips-get-test?sn=2302201000001&ca=sitest-ca
V produkcijskem okolju je podobno, le brez pripon -test.
Servis deluje po protokolu HTTPS RESTful. Odgovori imajo format "JSON Web Signature (JWS)" s kompaktno serializacijo.
V novejših potrdilih je točen URL za poizvedbo vpisan v javnem delu potrdila v razširitvi OID=1.3.6.1.4.1.58536.1.1.1.2.2. Za starejša potrdila lahko odjemalska aplikacija sestavi poizvedbo s podobnim URL tako, da serijsko številko (parameter sn) izlušči iz polja serialNumber v razločevalnem imenu imetnika potrdila.
Digitalno potrdilo, ki nastopa v poizvedbi, mora biti izdano pri enem od izdajateljev v SI-TRUST za poslovne subjekte.
Potrdilo je enolično določeno z oznako izdajatelja in 13-mestno serijsko števiko.
Ob klicu servisa in vzpostavitvi seje TLS se mora odjemalska aplikacija predstaviti z veljavnim digitalnim potrdilom. Tega potrdila ni potrebano predhodno javljati SI-TRUSTu.
Pomen vhodnih parametrov:
- sn: 13-mestna decimalna serijska številka digitalnega potrdila.
- ca: naziv enega od izdajateljev digitalnih potrdil: sigen-ca ali sigov-ca, v testnem okolju tudi sitest-ca.
Vrstni red vhodnih parametrov je poljuben. Naziv izdajatelja je lahko podan z malimi, velikimi ali mešanimi črkami, nazivi parametrov morajo biti podani z malimi črkami.
Strežnik vpogled zabeleži samo zaradi morebitne pomoči pri razhroščevanju aplikacij, preprečevanju masovnih poizvedb, napadov DOS itd. Trajna povezava z osebo ali potrdilom se ne zabeleži.
eseips-get: specifikacija odgovora
Če potrdilo s podanim izdajateljem in podano serijsko številko obstaja in ne pride do nepredvidene napake, servis vrne status HTTP 200 in EŠEI poslovnega subjekta, kateremu je bilo izdano potrdilo danega izdajatelja z dano 13-mestno serijsko številko.
Format odgovora je žeton JWT (JSON Web Token) in je podpisan z JWS (JSON Web Signature). Rezultat se nahaja v srednjem delu (payload) odgovora, med prvo in drugo piko. Odgovor je zakodiran z "Base64", tako kot predpisuje standard za JWT/JWS.
Primer telesa HTTP v odgovoru na gornji primer klica v testnem okolju (z dodanimi prelomi vrstic):
eyJ4NXUiOiJodHRwczpcL1wvd3Muc2ktdHJ1c3QuZ292LnNpXC9lc2VpLWp3cy1j ZXJ0aWZpY2F0ZS10ZXN0IiwiYWxnIjoiUlMyNTYifQ. eyJzbiI6IjIzMDIyMDEwMDAwMDEiLCJlc2VpIjoiMjExMDI1MDEwNyIsImlhdCI6 MTY5MDg5MzEzMSwiY2EiOiJTSVRFU1QtQ0EiLCJqdGkiOiIxY2QzMThiYS02OGM1 LTRhNDctYmUxMS0yMTRhMTk5Yjc1ZTUifQ. DXqx9HtJgqZmzpUJGs7HKIwv6QIaSx--_fNAzG0o_msgukE7nigvrKEMbY7N-4GE UMRv0T2cVnjCdAWMmIWnw3FdHV5efAKdGvIJQQnHhO1XKg1PnK7YM2Qa2H9v5bqK WGVW4iMCPMWiHsuU2k-n5w8XNcuhVTqDF4J9VK1DTTEd3IAI29nYqM3Yo7o7Y5FD BeRZLWUvKmavkd0BiWiZRZehWvDEd7CuBgsZzsz6BDjiLZYdeykStaqc90P4OI-3 rycw8K_OzDDsqsdjG2qOBZygwS3l76HhjPVW37czCIBLFw37KH2Gq6sTJeHTodam CO3i-InLxSJmxq7mb0VrTA
Glava in vsebina (payload) po dekodiranju base64:
{"x5u":"https:\/\/ws.si-trust.gov.si\/esei-jws-certificate-test", "alg":"RS256"} {"sn":"2302201000001", "esei":"2110250107", "iat":1690893131, "ca":"SITEST-CA", "jti":"1cd318ba-68c5-4a47-be11-214a199b75e5"}
Opis polj:
- x5u: URL verige potrdil (več spodaj), s katerim je narejen podpis
- alg: algoritem podpisa
- sn: 13-mestna decimalna števika potrdila
- esei: enotna številka elektronske identifikacije poslovnega subjekta
- iat: čas izdelave žetona
- ca: oznaka izdajatelja
- jti: unikatna številka žetona
Veriga potrdil v datoteki na naslovu x5u se začne s potrdilom, s katerim je žeton podpisan, in nadaljuje s potrdili izdajateljev. Veriga ne vsebuje korenskega potrdila, ki je na produkciji standardni SI-TRUST Root, na testu pa je potrdilo SI-CA Root Test objavljeno na strani https://www.si-trust.gov.si/sl/podpora-uporabnikom/testna-digitalna-potrdila/
Če potrdilo s podano serijsko številko in izdajateljem ne obstaja ali če pride do druge napake na aplikacijskem nivoju (nepravilna poizvedba, izpad zalednega strežnika itd.), servis vrne status HTTP različen od 200 in v telesu HTTP dodatne informacije o napaki v formatu JSON. Tukaj niso opisane napake pred ali med vzpostavitvijo seje HTTPS.
Možni sta dve obliki opisa napake:
{"errorCode":"ST-114-936", "errorDetails":"Podani ca (EID-CA-LOWS) ni veljaven ali se ne ujema s tipom..."} {"errors": {"ca":"(not (storitve-ca.web-ui/existing-ca \"SITEST_CA\"))", "sn":"(not (\"13 mest\" \"27092016120011\"))"}}
Prvo obliko generira servis za semantične napake in drugo knjižnica Swagger za sintaktične napake, npr. za napačna ali manjkajoča imena parametrov.