FAQ for udviklere

​I implementeringsguideen vil du skridt for skridt blive ført igennem hele forløbet.

Guide: Implementér NemID​​

​Se hvad I skal gøre i NemID implementeringsguiden.

Guide: Test og implementering af NemID

​Se hvad I skal gøre i NemID implementeringsguiden.

Guide: Implementér NemID

​Se hvad I skal gøre i NemID implementeringsguiden.

Guide: Implementér NemID

​Se hvad I skal gøre i NemID implementeringsguiden. 

Guide: Implementér NemID

​Se hvad I skal gøre i guiden for hvordan I kommer i drift med jeres løsning.

Guide: Drift og vedligehold

​Se hvad I skal gøre i NemID implementeringsguiden. 

Se NemID implementeringsguide​​

​Ja. Vær opmærksom på, at tilføjelser af eller ændringer i IP-adresser i testmiljøet af systemrevisionsmæssige årsager følger en særlig procedure internt hos Nets DanID. I bør forvente op til 10 dages ekspeditionstid for tilføjelse af IP-adresser. Vær desuden opmærksom på, at hvis I allerede er oprettet i testmiljøet, faktureres tilføjelser af yderligere tilføjede IP-adresser efter gældende timepris.​​

​

Du kan ofte anvende myip.dk til at få oplyst din offentlige IP-adresse. Vær dog opmærksom på at tjenesten myip.dk kan give et fejlagtigt billede heraf. Der kan nemlig være en proxy eller load-sharer mellem flere internet-forbindelser (hvis I har dette), hvilket betyder, at der er risiko for, at det er en anden IP-adresse, man kommer fra, end den myip.dk viser. Spørg derfor hellere jeres systemadministrator om jeres offentlige IP-adresse.

Åbn myip.dk i nyt vindue

​Der skal være åbnet for udgående trafik i jeres firewall på følgende porte: 80 (http), 443 (https), 389 (ldap). Hvis der udelukkende anvendes OCSP til revokerings-check, kan ldap-åbningen dog undværes.​
Nuværende IP-range for PP-miljøet er 87.51.33.64/27 og IP-range for produktion er 87.48.159.0/25. 
PP-miljøet flyttede til nyt datacenter i januar 2016. 
​Nyt IP-range 91.102.26.0/24 ​for test- og produktionsmiljø.    
 

​Rodcertifikaterne er indeholdt i klassen RootCertificates og kan snuppes direkte herfra i PEM-format. Alternativt kan rod- og udstedende certifikater hentes via ldap med kommandoen 

ldapsearch -h crldir.pp.certifikat.dk -b "c=DK" -s sub -t -T . -x caCertificate

Certifikatkæden for PP-miljøet kan også hentes via developer-sitet på https://appletk.danid.dk/developers -> Demo logins -> 2-factor login (OCES logins), efter succesfuldt login.​

Find NemID-nummeret:

• Log på selvbetjening

• Klik Administrér medarbejdere

• Klik på medarbejderens navn

• Klik på Vis detaljer

• NemID-nummeret står længere nede på siden

1. ​For at kunne godkende denne bestilling skal du have brugerens NemID-nummer. Dette finder du i selvbetjeningen under den pågældende bruger.´
   
2. Brug developer site​ til at få aktiveret brugerens nøglekort.
   
3. Du bør nu have fundet brugerens nøglekort. Dette mangler at blive aktiveret. Det gøres ved f.eks. Demo logins linket i højre side. Midlertidig adgangskode ses længere nede på siden. Herefter er nøglekortet aktiveret.​

Det sker ikke automatisk.

1. Du skal bestille en ny medarbejdersignatur (administrator)
   
2. Fremfind brugeren på https://appletk.danid.dk/developers via dennes NemID-nummer
   
3. Notér brugerens første-gangs-aktiveringkode, der er angivet under PIN Codes > Pin Data
   
4. Fremfind brugerens nøglekort ved at aktivere linket under OTP Cards > Card Serial
   
5. Aktivér brugerens nøglekort ved at foretage login på https://appletk.danid.dk/developers. Det gøres ved at gennemføre et login-flow via dropdown-menuen Demo logins. Bemærk, at aktiveringskoden og nøglekortet fremfundet i step 3 og 4 skal anvendes

​Developer sitet findes på https://appletk.danid.dk/developers/    

​Testbrugere kan oprettes i vores developer site på https://appletk.danid.dk/developers/​

​De mest gængse logins findes i dropdown-menuen på developer sitet. I samme dropdown findes endvidere menupunktet All Demo logins, der viser en oversigt over alle logins.​

​Developer sitet indeholder en udtømmende liste og beskrivelse af parametre, som NemID JS-klienten kan modtage. NemID tjenesteudbyderpakken indeholder også dokumentet NemID Integration – OCES.pdf som beskriver alle parametre, og hvordan disse sendes til NemID-klienten. ​

​Developersitet indeholder en udtømmende oversigt over fejlkoder og deres betydning. NemID tjenesteudbyderpakken indeholder også dokumentet NemID Integration - OCES (Implementation Guidlines for NemID), hvori fejlkoderne beskrives.​

​Ja, developer sitet indeholder en signtext viewer, der kan vise og validere signtext i plantext-, html-, xml- og pdf-format. Signtext vieweren findes her.​

​Fejlen kan skyldes, at der enten ikke er oprettet adgang til NemID med det certifikat, der anvendes til at signere JSON-parametrene, som sendes til NemID JS-klienten, at der peges på et forkert miljø, eller at der er et generelt problem med installation af certifikatet, som kræver, at certifikatet genudstedes. Undersøg hvilket certifikat, der anvendes, og om dette er registreret med adgang til NemID for det pågældende miljø.

​When displaying a certificate where the certificate chain cannot be verified, a warning is displayed. To avoid the warning the certificate chain must be available on the computer (or by ref. via AIA which is not supported in NemID certificates yet). The root and intermediate certificates can be located in ldap.
Example: 
ldapsearch -h crldir.certifikat.dk -b "c=DK" -s sub -t -T . -x caCertificate 
Root certificates are also available for download from https://www.certifikat.dk/da/download/rodcertifikat.html 
It is also possible to get the certificate chain, for a test user’s certificate, by using the demo login at https://appletk.danid.dk/developers/. Complete any OCES flow successfully, and the certificate chain is available in the section beginning with “Document contains the following certificate(s) :” 
If you need to do some programmatic verification you can use the root certificates included in the class org.openoces.ooapi.environment.RootCertificates.​

​Se .net guide her​.

​Når certifikatet valideres vha. metoden validateAndExtractCertificateAndStatus i ooapi, checkes hele certifikatkæden dvs. foruden selve OCSP-checket verificeres også Primary CA og Issuing CA. Dette check foretages ved at hente Full CRL (via http). Fejlen med forældet CRL er derfor (sandsynligvis) relateret til, at jobbet, der genererer CRL’en for Primary/Issuing CA, ikke er kørt. Få driften til at afvikle jobbet.

​Der foretages sandsynligvis et opslag og ikke et match. Der skal angives både cpr-nummer og PID for at foretage match. Hvis der kun angives PID, opfattes det som et opslag, og denne funktionalitet har du ikke adgang til. Der kan gives adgang til opslag, men du skal være opmærksom på, at det i produktion kun er muligt at anvende opslagsfunktionen, hvis man (dvs. dem du udvikler løsningen for) er en offentlig institution.

​O = OK (”OK", "OK") 
1 = NO_MATCH ("CPR svarer ikke til PID", "CPR does not match PID")
2 = NO_PID ("PID eksisterer ikke", "PID doesn't exist") 
4 = NO_PID_IN_CERTIFICATE ("PID kunne ikke findes i certifikatet", "No PID in certificate") 
8 = NOT_AUTHORIZED_FOR_CPR_LOOKUP ("Der er ikke rettighed til at foretage CPR opslag", "Caller not authorized for CPR lookup") 
16 = BRUTE_FORCE_ATTEMPT_DETECTED ("Forsøg på systematisk søgning på CPR", "Brute force attempt detected") 
17 = NOT_AUTHORIZED_FOR_SERVICE_LOOKUP ( "Der er ikke rettighed til at foretage opslag på service", "Caller not authorized for service lookup") 
4096 = NOT_PID_SERVICE_REQUEST ("Modtaget message ikke pidCprRequest eller pidCprServerStatus", "Non request XML received") 
8192 = XML_PARSE_ERROR ("XML pakke kan ikke parses", "Non parsable XML received") 
8193 = XML_VERSION_NOT_SUPPORTED ("Version er ikke understøttet", "Version not supported") 
8194 = PID_DOES_NOT_MATCH_BASE64_CERTIFICATE ("PID stemmer med ikke med certifikat", "PID does not match certifikat") 
8195 = MISSING_CLIENT_CERT ("Klient certifikat ikke præsenteret", "No client certificate presented") 
16384 = INTERNAL_ERROR ("Intern DanID fejl", "Internal DanID error")
 

• Du skal have et SPID-nummer og et virksomhedscertifikat, som må kalde PID-service
  
• Konfigurer soapUI til at bruge dit virksomhedscertifikat
• Indstillinger findes under (File | Preferences | SSL Settings)
• Udfyld password
• Client Authentication skal være markeret
  
• Opret nyt soapUI-projekt
• Vælg menu (File | New soapUI Project)
• Indsæt https://pidws.pp.certifikat.dk/pid_serviceprovider_server/pidws/?WSDL
  
• Lav et nyt Request - eksempel: 

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:loc="http://localhost/" xmlns:java="java:dk.certifikat.pid.webservices">

   <soapenv:Header/>

   <soapenv:Body>

      <loc:pid>

         <loc:pIDRequests>

            <!--Zero or more repetitions:-->

            <java:PIDRequest>

               <java:CPR></java:CPR>

               <java:PID>9208-2002-2-358703831506</java:PID>

               <java:b64Cert></java:b64Cert>

               <java:id></java:id>

               <java:serviceId>25845065</java:serviceId>

            </java:PIDRequest>

         </loc:pIDRequests>

      </loc:pid>

   </soapenv:Body>

</soapenv:Envelope>

Reply :
 

<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">

   <soap:Body>

      <ns2:pidResponse xmlns="java:dk.certifikat.pid.webservices" xmlns:ns2="http://localhost/">

         <ns2:result>

            <PIDReply>

               <CPR>0101802720</CPR>

               <PID>9208-2002-2-358703831506</PID>

               <id/>

               <redirURL xsi:nil="true" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"/>

               <statusCode>0</statusCode>

               <statusTextDK>OK</statusTextDK>

               <statusTextUK>OK</statusTextUK>

            </PIDReply>

         </ns2:result>

      </ns2:pidResponse>

   </soap:Body>

</soap:Envelope>

• ​Du skal have et virksomhedscertifikat som må kalde RID-service
  
• Konfigurer soapUI til at bruge dit virksomhedscertifikat
• Indstillinger findes under (File | Preferences | SSL Settings)
• Udfyld password
• Client Authentication skal være markeret
  
• Opret nyt soapUI-projekt
• Vælg menu (File | New soapUI Project)
• Indsæt https://ws-erhverv.pp.certifikat.dk/rid_serviceprovider_server/services/HandleSundhedsportalWSPort?WSDL
  
• Lav et nyt Request - eksempel:

<soapenv:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:loc="http://localhost/"> 

   <soapenv:Header/>

   <soapenv:Body>

      <loc:getCPR soapenv:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">

         <string xsi:type="xsd:string">CVR:31459532-RID:72820600</string>

      </loc:getCPR>

   </soapenv:Body>

</soapenv:Envelope>

Reply:
 

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">

   <soapenv:Body>

      <ns1:getCPRResponse soapenv:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/" xmlns:ns1="http://localhost/">

         <result xsi:type="xsd:string">180975XXXX</result>

      </ns1:getCPRResponse>

   </soapenv:Body>

</soapenv:Envelope>

​Der skal skiftes CSP i certifikatet. Det kan klares med toolet PfxCspFixer.exe som er bundlet med i Tjenesteudbyderpakken. Det er også muligt at ændre CSP i certifikatet runtime ved at anvende den udkommenterede kode i Signer.cs.

​java.net.SocketException: Connection reset er en hændelse på klient-siden. Hvis det er server, der lukker forbindelse, skulle fejlen være java.net.SocketException reset by peer. Grunden til, at man typisk får Connection reset, er, at serveren ikke længere reagerer på den forbindelse. Det er en del af http-protokollen, at forbindelsen ikke er gyldig mere. Du kan evt. bruge et program som wireshark til at se http-protokol-trafikken mellem klient og server. Løsningen er at fjerne forbindelsen og lave en ny.

​For at køre tests skal NUnit installeres.

​Man kan med fordel benytte keytool som findes i Java 6. Keytool findes også i tidligere versioner af Java, men der understøttes import og eksport af privatnøgler ikke.
Kør først følgende kommando: keytool -list -rfc -keystore keystore.jks
Dette vil, efter man har angivet password, liste certifikater og tilhørende privatnøgler. Efter at have fundet det certifikat, man gerne vil eksportere, skal man notere sig hvilket alias, det ligger under.


Keystore type: JKS 
Keystore provider: SUN 

Alias name: alias 
Creation date: Feb 2, 2010 
Entry type: PrivateKeyEntry 
Certificate chain length: 2 
Certificate[1]: 

-----BEGIN CERTIFICATE----- 
MIIE/jCCBGegAwIBAgIEQDdyTjA 
... 
-----END CERTIFICATE----- 
******************************************* 
*******************************************

Alias name: certsign 
Creation date: Feb 4, 2010 
Entry type: trustedCertEntry 

-----BEGIN CERTIFICATE----- 
MIIC/zCCAeegA... 

I ovenstående eksempel er det Alias name, man skal have fat i, da certsign blot er et trustet certifikat og ikke en privatnøgle.
Ved derefter at benytte sig af følgende kommando kan man få lavet en pfx-fil. 

keytool -importkeystore -srckeystore keystore.jks -srcalias alias -destkeystore cert.pfx -deststoretype pkcs12

Nu har man en pfx-fil ved navn cert.pfx. Denne pfx har dog stadig det forkerte CSP-navn. Så derfor skal man huske at ændre til det korrekte CSP-navn.

​Version: .net 
OS: Windows (Win2003) 
A common symptom when the SHA2 algorithm is missing on your Windows 2003 server is the excpetion System.Security.Cryptography.CryptographicException: Object identifier (OID) is unknown. 
To fix this: 

• Make sure that you are running at least .net 3.5 sp1.
  
• Run RegisterSha2.exe provided with the tu-example. If the Security.Crypthography.dll is missing then download it from http://clrsecurity.codeplex.com/releases/view/28365 and drop it next to the RegisterSha2.exe before running. After successfully registering the algorithm, the system should be restarted.
  
• Alternatively you can patch the Windows 2003 server by applying this patch

​

Version: .net 
OS: Windows 
Either use the new tool cspFixer.exe provided with the TU-package or change CSP manually following the steps below:

1. Change certificate type to JKS (KeyStore Explorer might be useful).
   
2. Open KeyToolIUI and goto [View] – [Select task] – [Export] – [Keystore’s entry] – [Private key].
   
3. Specify source - Locate your JKS file and specify password.
   
4. Specify target - Enter Private key file end Certificates chain file and select PEM format for both.
   
5. Click OK.
   
6. Select the checked candidate and type password (it might have been set to ‘password’ if you changed the certificate type as mentioned in 1).
   
7. Click OK.
   
8. Create a text file (merged.pem) containing the content of the Certificates chain file and Private key file like

-----BEGIN CERTIFICATE----- 
[DATA] 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
[DATA] 
-----END CERTIFICATE----- 
-----BEGIN RSA PRIVATE KEY----- 
[DATA] 
-----END RSA PRIVATE KEY----- 
 

    9. Execute openssl with the following command

openssl pkcs12 -export -out pfxname.pfx -in merged.pem -CSP Microsoft Enhanced RSA and AES Cryptographic Provider -LMK 
Now the CSP have been changed successfully and you should be able to install the certificate (.pfx).

​If you are registered as serviceprovider (TU) with Nets DanID, it is possible to write to support if you encounter any problems integrating NemID in your application or simply need some help getting the TU-example application up and running in your own environment.

​After receiving the client-response the requestIssuer is derived and compared to a predefined value in TU-example. If these values do not match, the exception is thrown. The requestIssuer value will be set by the client according to friendly name in the signing certificate. When receiving the response the service provider can check and ensure that only requests signed by him are received and processed. 
Possible solution: 
Change the default requestIssuer value to compare according to the actual friendly name in the certificate used for client parameter signing. The default value is www.nemid.nu which is intended for the initial test (with the DanID test certificates) only. 
Where to change?

• Change logonto parameter in call to LogonHandler.validateAndExtractCertificateAndStatus in AbstractLogonServlet.java / logon.aspx.cs.
  

• Change logonto parameter in call to SignHandler.validateSignatureAgainstAgreement in AbstractSignervlet.java / sign.aspx.cs.

•  

​The chosen CSP is probably the Microsoft Base Cryptographic Provider, which does not support strong encryption (SHA256). To support SHA256, Microsoft Enhanced RSA and AES Cryptographic Provider must be used. 
Possible solution: 
Change the CSP either runtime or permanently in the pkcs12 file (see How do I change CSP in the pkcs12?)

​The operation on the private key cannot be performed with the key loaded in the specified state. Might be caused when trying to export parameters without permission i.e. the key is not opened in exportable state. 
Possible solution: 
Make sure the certificate is installed with private key marked as exportable or open/load the certificate in exportable state.

​By default Windows 2003 does not support SHA2 algorithms, which is used by the TRUST2408 certificates. 
Possible solution: 
http://support.microsoft.com/kb/938397

1. Send a request to TU-support with the CVR+UID of the certificate(VOCES certificate) you want to change the logonto for. Also note the new logonto value that you want.
   
2. Then you have to switch the logonto name on your side as well. If you don't, you will experience the error "Invalid signature RequestIssuer parameter does not match expected value", which can be seen in the FAQ as well. How you switch is depending on the platform you are using:
   
1. .Net platform: Change the logonto property in the "Web.config" file of your project: <add key="logonto" value="new logonto value"/>
   
2. Java platform: Change the "nemid.serviceprovider.logonto" property in the "nemid.properties" file: nemid.serviceprovider.logonto=new logonto value​