Seznam témat:
příklad instalace a použití šifrovacího certifikátu
V případě, že je v systému přítomen modul elektronická podání (EP) pak se může nacházet na dvou místech buď v hlavním menu
Umístění funkce
nebo v hlavním menu Intrastat | Nastavení parametrů:
Umístění funkce
Funkce umožňuje správu certifikátů, identifikačních údajů pro VREP a EPO a nastavení barev používaných modulem Elektronická podání (dále jen EP).
Formulář Nastavení parametrů se skládá z více záložek:
Pro správnou funkci elektronické komunikace je třeba mít nastaveno několik parametrů:
1. Certifikáty - nastavení je individuální pro jednotlivé uživatele. Tzn., že daný uživatel si zaregistruje svůj osobní kvalifikovaný certifikát a šifrovací certifikáty všech DIS a zdravotních pojišťoven, s nimiž bude v rámci své pracovní náplně komunikovat
2.1. Typ podání - nastavte ostré podání (individuální). Následující popis je poplatný tomuto nastavení.
2.2. E-mail pro odpovědi - nastavte e-mailovou adresu, na níž mají chodit reakce z DIS nebo zdravotních pojišťoven (individuální)
2.3. Nastavení identifikace - viz zde (individuální)
2.4. Známé údaje - ČSSZ | Variabilní symbol (společné). Dodá ČSSZ, bere se variabilní symbol ze sdílených parametrů programu (nastavuje se v Konfigurace | Konfigurace mezd | Plátcova pokladna)
2.5. Známé údaje - daňová správa | DIČ (společné). Není povolena editace, bere se DIČ dle nastavení Konfigurace | Možnosti programu sdílené | Možnosti programu sdílené | Domácí firma)
2.6. Známé údaje - celní správa | SPD - DIČ (společné). Jako 2.5.
2.7. Známé údaje - celní správa | Intrastat - ID subjektu ((individuální). V případě potřeby se nastaví dle údajů zaslaných ve smlouvě s celní správou.
2.8. Známé údaje - celní správa | Intrastat - TIN ((individuální). V případě potřeby se nastaví dle údajů zaslaných ve smlouvě s celní správou.
Záložka obsahuje seznam zadaných certifikátů a je určena pro správu certifikátů ( úprava, přidání.... )
Z hlediska funkčnosti Vision ERP rozlišuje dva hlavní typy certifikátů - osobní kvalifikovaný certifikát uživatele a šifrovací certifikáty DIS jednotlivých institucí. Pomocí soukromého klíče osobního kvalifikovaného certifikátu se podepisují odesílané zprávy na VREP a EPO. Šifrovací certifikáty jsou využívány pro šifrování zpráv elektronických podání.
Uživatel má 2 možnosti odkazování se na certifikát:
| • | certifikát je nainstalován do systémového úložiště PC, na němž je program Vision ERP spouštěn - volíme Typ úložiště = Systémové úložiště aktuálního uživatele pro osobní kvalifikovaný certifikát nebo Systémové úložiště - ostatní uživatelé pro šifrovací certifikáty institucí |
| • | certifikát leží jakou soubor (*.pfx nebo *.p12 pro osobní kvalifikovaný certifikát, *.cer obvykle pro pro šifrovací certifikáty institucí) ve zvoleném adresáři ne některém z přístupných diskových úložišť - volíme Typ úložiště = Souborové úložiště |
Parametry pro podání jsou vázány na uživatele.
Červeně označená pole indikují problém (certifikát se nenachází v umístění, odkud byl registrován do IS Vision ERP; vypršela platnost;...)
Po aktivaci funkce "přidat" ( funkční klávesa Insert ) se spustí průvodce výběru certifikátu, nejprve je nabídnut formulář pro výběr nového certifikátu, která je určena k výběru certifikátu z úložiště.
Výběr certifikátu z úložiště
Popis položek:
| • | typ úložiště - modul EP pracuje se dvěma základními typy úložišť - souborovými a systémovými. Druhý typ ukládá data certifikátů do systémových registrů Windows a dále se dělí na několik podtypů, z nichž se využívá zejména Systémové úložiště aktuálního uživatele pro osobní kvalifikované certifikáty a systémové úložiště Ostatní uživatelé, kam se obvykle nainstalují šifrovací certifikáty serverů jednotlivých koncových úřadů ( DIS ). Souborové certifikáty není třeba instalovat, je nutné znát pouze případné heslo k otevření souborového úložiště. Samotný certifikát se do databáze v současné verzi neukládá, uloží se pouze odkaz na něj. To znamená, že v okamžiku použití musí certifikát v daném úložišti (souborovém, systémovém) skutečně existovat. |
| • | cesta k souboru - zadává se pouze v případě nastavení souborového certifikátu. |
| • | heslo pro otevření úložiště - veškerá hesla v nastavení modulu EP se z důvodu zabezpečení ukládají v šifrované podobě |
Po zadání položek "typ úložiště", případně "Cestu k souboru" a "Heslo pro otevření úložiště" můžete pomocí funkce "vybrat certifikát z úložiště" zadat nový certifikát. Otevře se systémový formulář se seznamem certifikátů v daném úložišti.
Formulář pro výběr certifikátu z úložiště
Pokud si při výběru certifikátu nejste jisti, zda se jedná o správný certifikát, můžete bližší informace získat klepnutím na tlačítko Zobrazit certifikát.
Po výběru certifikátu průvodce umožní pokračovat na další stránku, kde se dokončí nastavení vybraného certifikátu pro modul EP.
Dokončení nastavení certifikátu
Popis položek:
| • | typ certifikátu - zadání oblasti |
| • | aktivovat - pro aktuálně nastaveného uživatele může být v každé oblasti aktivní pouze jeden certifikát |
Pro dokončení nastavení certifikátu je potřeba správně vybrat typ certifikátu. V aktuální verzi jsou definovány tyto typy certifikátů:
| • | šifrovací certifikát ČSSZ |
| • | šifrovací certifikát Vojenské ZP |
| • | šifrovací certifikát České průmyslové ZP |
| • | šifrovací certifikát Oborové ZP |
| • | šifrovací certifikát ZP škoda |
| • | šifrovací certifikát Revírní bratrské pokladny |
| • | certifikát daňové správy SK |
| • | EET - certifikát poplatníka |
| • | Komerční certifikát pro eNeschopenky |
| • | Certifikát pro podpis platebního příkazu ČSOB |
Upozornění:
| 1. | Od 1.1.2012 lze posílat daňová tvrzení elektronicky pouze pomocí rozhraní EPO. K tomuto již není třeba v systému šifrovací certifikát pro daňovou správu. |
| 2. | Od 1.1.2012 nelze posílat elektronicky přes výkazy Intrastatu a není ani alternativa typu VREP a EPO (pouze IstatOnline nebo IstatDesk). Ve IS Vision ERP tedy již není nutná přítomnost šifrovacího certifikátu Celní správy. |
Ostatní funkce
Funkce je určena k aktivaci aktuálně vybraného certifikátu neaktivního (jinak je tlačítko zašedlé). Certifikát bude použit pro šifrování nebo podepisování pouze pokud je aktivní. Aktivní může být pouze 1 certifikát daného typu, čili aktivací vybraného certifikátu deaktivujete zbylé certifikáty evidované ve stejné kategorii.
Funkce pro zobrazení vlastností certifikátu.
Funkce pro vyzkoušení elektronického podpisu. Ttlačítko se aktivuje v okamžiku, kdy na záložce Certifikáty vybereme v seznamu osobní kvalifikovaný certifikát. Program zkusí na testovací text aplikovat stejnou funkci, jakou jsou podepisovány zprávy pro portál. Po stisknutí tlačítka je obsluha event. vyzvána k zadání hesla k privátní části certifikátu a poté je zpravena o výsledku akce.
Od verze 167 je doplněna funkce pro vzdálenou registraci nového osobního kvalifikovaného certifikátu na portál VREP. Nyní je možno přímo s aplikace Vision ERP zaregistrovat nový osobní certifikát be nutnosti písemné a nebo ústní komunikace s příslušným oddělením OSSZ.
Postup:
| 1. | Do Vision ERP se zaregistruje nově vydaný osobní kvalifikovaný certifikát a nastaví se jako Neaktivní (aktivním zůstane v té době používaný a na OSSZ již zaregistrovaný certifikát). |
| 2. | Podmínkou je, aby registrace nového certifikátu proběhla před vypršením platnosti aktuálně používaného certifikátu. Pokud by k této situaci došlo, je třeba použít klasický postup s mailovou komunikací s příslušným oddělením OSSZ. Registrovat nový certifikát může pouze ten uživatel, který již na VREP má nějaký certifikát zaregistrovaný. Kontrola na VREP probíhá přes Variabilní symbol organizace a rodné číslo uživatele, které jsou se jménem uživatele v dávce obsaženy. |
| 3. | Po vybrání řádku s novým certifikátem se dole na dialogu aktivuje tlačítko Registrace na VREP. Po jeho stisknutí pak vznikne standardní dávka typu USRCERT, kterou je možno bezprostředně nebo po čase odeslat na portál VREP. Tím bude uživatel zaregistrován ke všem podáním, která mohou být na VREP odesílána. |
Tlačítko slouží pro usnadnění instalace EET. Umožní od uživatele s restrikcí "uEETadmin" kopírovat Vision ERP registraci EET certifikátu a nastavit jako aktivní akce Elektronického podání. Kopírovat registraci má smysl jen za určitých podmínek:
| • | certifikát zdroje je registrován do Vision ERP jako "souborový" |
| • | cesta k tomuto certifikátu musí existovat a být viditelná pro všechny uživatele, kterým je registrace kopírována |
Po stisknutí se objeví seznam uživatelů, kteří ještě certifikát EET nemají zaregistrovaný. Je možné potom vybrat ty, jimž se má registrace nakopírovala a stisknout OK. Storno akci odvolá.
Aby bylo možné odeslat elektronické podání, musí být nastaven platný kvalifikovaný certifikát aktuálně přihlášeného uživatele, šifrovací certifikát příslušného koncového úřadu a vyplněné známé údaje pro daný typ podání ( viz dále v textu ).
Popis položek:
| • | typ podání - ostré, testovací |
| • | E-mail pro odpovědi - na tuto adresu jsou zasílány z portálu dílčí výsledky podání (přijato, zamítnuto, atd.) |
| • | VREP - alternativa (a od 1.1.2012 jediná možnost) pro odesílání podání na ČSSZ. Funguje téměř stejně jako s tím rozdílem, že: |
| a. | data se pošlou přímo do transakční větve portálu ČSSZ (VREP) |
| b. | zpět přijde pouze jeden email s popisem vyhodnocení podání z ČSSZ |
| c. | pro účely odesílání na VREP je nastaveno Přihlášení certifikátem |
| • | EPO - alternativa (od 1.1.2012 jediná možnost) pro odesílání daňových podání (DPH, SHV, DPHEVD apod.). |
Vzhledem k tomu, že metody odesílání a ověřování přijetí dávky jsou odlišné od komunikace s PVS, mění se drobně i logika komunikace.
| a. | Před odesláním dávky se vyšle testovací příkaz, který vůči EPO vyhodnotí chyby obsažené v podání. |
| b. | Pokud jsou v seznamu chyb Nepropustné nebo Kritické chyby nebo Výjimky, pak není podání do EPO odesláno a uživateli se seznam chyb jednak zobrazí, jednak uloží do historie dávky |
| c. | Pokud jsou v seznamu chyb pouze Propustné chyby, uživateli se zobrazí jejich seznam a dotaz, zda přesto podání do EPO odeslat. Pokud nechceme podání odeslat, dostane se dávka do stavu Chyba při přenosu, pokud ano do stavu Čeká na vyhodnocení. |
| d. | Po odeslání podání se vrací zprava o jeho eventuálním přijetí ke zpracování a v rámci ní Číslo a Heslo, pod kterými je možno kdykoliv se dotázat na stav zpracování. Pokud se vrátí zprava s p_chybapod = 'N' (data podání jsou bez chyb), přejde dávka do stavu Podání přijato. Podání bylo přijato do databáze MF. |
| e. | Nově je nyní na těchto podáních možno sledovat jejich stav. Kdykoliv se obsluha pomocí Zjistit stav nad přijatou dávkou poslanou do EPO může dotázat na aktuální stav věcného zpracování dávky. |
EPO vrací mimo jiné následující informace, které ukazují fázi zpracování a stačí k běžné orientaci ve fázi zpracování dávky:
Kompletní dokument s podrobným popisem všech položek a ostatních struktur je k nahlédnutí zde.
| • | Přihlášení certifikátem - nyní jediná možnost |
| • | známé údaje - subjektu přiděluje příslušný úřad |
Pro komunikaci s VREP nebo EPO je potřeba mít nastavenu identifikaci, která je vždy osobním kvalifikovaným certifikátem.
VREP nebo EPO mají 2 uživatelská rozhraní - "ostrou" a "testovací" větev. Pro každou větev se musí registrace provést zvlášť. Aktuální rozhraní, se kterým bude program komunikovat, lze vybrat pomocí volby Typ podání. Do dialogu se načtou odpovídající údaje pro vybrané rozhraní a změní se URL pro registraci.
Před odesíláním podání je třeba provést Registraci na VREP, pro práci s EPO se není třeba registrovat, program posílá podání podepsaná osobním kvalifikovaným certifikátem. Funkce a způsob práce přes webové rozhraní portálu EPO je popsán zde.
Výhledově pro zpracování Intrastatu
Formulář pro nastavení Intrastatu
Ostatní funkce
Funkce je určena pro aktivaci číselníku zpravodajských jednotek. Pro posílání výkazů Intrastatu na Celní správu ČR vyplnění vlastní zpravodajská jednotka. Vyvolání funkce se provede stiskem levého tlačítka myši
obnoví implicitní nastavení parametru
Implicitní hodnoty (od verze 161) - v rámečku výše uvedených 6 hodnot parametrů je použito ve zpracování Intrastatu. Vzhledem k tomu, že pro český a slovenský Intrastat se parametry liší, je třeba nastavit implicitní hodnoty (jsou použity, pokud v dokladech není nastaveno) zde. Typické nastavení pro české prostředí je na obrázku, kraj odeslání je třeba nastavit dle skutečnosti. Pro slovenské prostředí je Zvláštní pohyb 1 nebo 2, jinak podobné.
Speciální nastavení chování některých částí programu.
Formulář pro ostatní nastavení
Popis položek:
| • | zobrazovat odesílané a příjímané XML zprávy pro VREP - pomůcka pro ladění při problémech s komunikací s VREP. Zobrazí XML zprávu přesně tak, jak bude odeslána na VREP nebo jak byla z VREP přijata. Dialog se zprávou je třeba zavřít, pak program pokračuje dál. |
| • | Zablokovat odeslání mzdových dávek na EPO - standardně blokováno. Odblokování, tedy umožnění přímého podání na portál EPO, pouze po konzultaci s podporou Personalistiky a mezd. |
| • | Ruční uzavření dávek EPO - pokud firma neodesílá dávky EPO přímo z programu Vision ERP, ale např. přes datovou schránku nebo web rozhraní portálu, zůstávají dávky ve stavu Pořízeno. To snižuje přehlednost správy dávek. Není zřejmé, zda dávka byla pouze připravena k odeslání nebo zda už byla odeslána a tedy její stav by měl být Podání přijato s patřičným datem přijetí. Nahození parametru způsobí, že dávky EPO nelze přímo odesílat, ale pokud byla dávka exportována (má nastaveno datum Exportováno), lze ji tlačítkem  na prohlížeči dávek převést do stavu Podání přijato nebo Zamítnuto.. |
| • | Ruční uzavření dávek ČSSZ - princip je stejný jako u dávek EPO, jen se týká dávek odesílaných na portál VREP. |
| • | úroveň vypisovaných hlášek... - nastaveno jak podrobné budou do přenosového okna vypisované informace při podání na VREP |
možnosti nastavení
| • | při úpravách automaticky smazat související dávku - připraveno pro intra stat |
| • | timeout pro čekání na odpověď VREP - doba, po niž program čeká na odpověď z VREP, aniž by ohlásil chybu typu "Timeout". Obvykle nastavených 90 s stačí. Pokud je ale server VREP přetížen, může být doba odezvy delší - většinou server odpoví do 180 s i v zatížení. |
| • | Cesty pro export - v případě opakovaného častého exportování obsahu dávek v XML formátu, můžeme tímto způsobem určit stabilní adresáře, v nichž chceme dávky jednotlivých 4 typů shromažďovat. U zdravotních pojišťoven se automaticky založí podadresáře dle čísla ZP a do nich se teprve data vystoupí. |
Formulář pro nastavení barev
Popis položek:
| • | typ nastavovaných barev - výběr oblasti pro nastavení |
Možnosti zadání
Nastavení barev slouží ke zvýraznění vybraných polí v datových prohlížečích a formulářích.
Nastavení barev je určeno pro každého aktuálně nastaveného uživatele
Funkce umožní nastavení textu u vybrané oblasti.
Funkce umožní nastavení pozadí u vybrané oblasti.
Funkce umožní vrátit se výchozím hodnotám barev, tak jak jsou předdefinovány.
Funkce umožní vrátit se výchozím hodnotám barev pro všechny položky ( hodnoty ) v ovládacím prvku "barvy", tak jak jsou předdefinovány.
Popis položek:
| • | Typ podání: určuje, zda bude DZ odeslána do testovacího nebo produkčního prostředí |
| • | URL produkčního (testovacího) prostředí: webové adresy do jednotlivých typů prostředí |
| • | Interval pro opakované odeslání DZ [min]: počet minut, po nichž bude učiněn další pokus o odeslání DZ, které dříve vykázaly chybu |
| • | Zjednodušený režim : (viz MP 2.3) DZ se neodesílají bezprostředně po vytvoření tržby, ale do 5-ti dnů od jejího vzniku |
| • | Ověřovací mód odesílání tržeb: možnost pro běžného uživatele otestovat správnost odesílání DZ. Bude vrácena chybová zpráva s popisem problému - bezchybnou DZ kód = 0, „Datovou zpravu evidovane trzby v overovacim modu se podarilo zpracovat“ (FASEET str.8 Tabulka 1). Z "Ověřovacího" do "Ostrého" režimu zasílání DZ se lze přepnout pouze za předpokladu, že budou vymazány všechny DZ odeslané v ověřovacím režimu. Uživatel je k této akci vyzván při pokussu o nastavení přepínače. |
| • | Interval pro opakované upozornění administrátora EET [hod]: počet hodin, po nichž bude EET administrátor opětovně upozorněn mailem na dosud nevyřešený problém. Tedy nový problém je oznámen bezprostředně, pokud není dořešena, pak znovu vždy za např. 2 hodiny. |
| • | Doba čekání na odezvu portálu EET [s]: nastavuje dobu, po kterou aplikace IS Vision ERP čeká na odpověď portálu EET. Dle metodiky musí být doba čekání delší než 2 s, zde je možno ji nastavit v rozmezí 2 -300 s. |
V podadresáři ...Vision32 / Plugins musí být plugin ep.bpl. Modul obsahuje už pouze distribuované návody a certifikáty, funkčnost přesunuta do standardního modulu eGovernment.bpl. Od roku 2010 vydávané certifikáty používají jako algoritmus podpisu SHA2 s délkou klíče 2048 bitů. Pro správnou funkčnost tohoto algoritmu je třeba mít nainstalován operační systém Windows XP SP3 a vyšší.
Funkčnost modulu EP je podmíněna správným nastavením certifikátů. Pro podepisování zpráv je potřeba platný osobní kvalifikovaný certifikát. Certifikát instalujeme do profilu aktuálního přihlášeného uživatele, který bude EP používat, jinak nebude podepisování fungovat. Osobní certifikát lze použít i přímo ze souboru *.pfx nebo *.p12. Pro šifrování zpráv je nutné mít k dispozici platný šifrovací certifikát pro každý koncový úřad ( příjemce zpráv, DIS ). Certifikáty je potřeba pravidelně aktualizovat, jejich platnost bývá obvykle 1 - 2 roky.
Příklad instalace a použití šifrovacího certifikátu
Příklad:
Příklad instalace a použití šifrovacího certifikátu ČSSZ pro e-podání pro rok 2009.
(Tento příklad je obecně platný pro operační systém Windows XP)
Instalace a použití šifrovacího certifikátu ČSSZ pro e-podání pro rok 2010.
Základní kroky jsou:
| 1. | stažení certifikátů do PC z www.cssz.cz (v sekci e-podání) |
| 2. | instalace certifikátů |
| 3. | použití šifrovacího certifikátu v programu pro odeslání e-podání. |
Stažení certifikátů do PC z www.cssz.cz (v sekci e-podání)
Jde o tyto 3 soubory s certifikáty:
| • | Certifikát Kořenové certifikační autority - certifikát kořenové CA PostSignum Root |
| • | Certifikát Podřízené certifikační autority, která vydala šifrovací certifikát - certifikát podřízené CA PostSignum Public CA |
| • | Certifikát určený pro vlastní šifrování dokumentů pro ČSSZ (platnost do 6. 4. 2010) - šifrovací certifikát DIS.CSSZ.2010 |
Dotaz - buď přímo nainstalovat nebo uložit ( stahování z portálu www.cssz.cz)
Po stažení je nutné uložit ( např. na plochu či připraveného adresáře ) použitím tlačítka "uložit"
Instalace certifikátů
Nainstalujte certifikát postsignum_qca_root.cer (dvojklikem levého tlačítka myši na ikonu se otevře okno "Certifikát"), pokračovat tlačítkem "Nainstalovat certifikát". Po jeho aplikaci se spustí průvodce importem certifikátu. O výsledku importu jste informování zprávou systému.
Formulář pro instalaci certifikátu
Stejným způsobem pak nainstalujte i certifikáty postsignum_vca_sub.cer a DIS.CSSZ.2010.cer
Správnost umístění nového šifrovacího certifikátu lze ověřit pomocí Internet Exploreru ( či jiného internetového prohlížeče ) funkcí umístěnou v liště Nástroje, Možnosti Internetu.
Umístění funkce pro ověření umístění certifikátu
V záložce "obsah" použijete tlačítko "Certifikáty".
Použití šifrovacího certifikátu v programu pro odeslání e-podání
Úspěšná instalace šifrovacích certifikátů je podmínka nutná pro správnou funkčnost programového modulu EP vzhledem k jednotlivým DIS.
Související témata
Vytvoření dávky elektronického podání
Odeslání dávky elektronického podání na VREP