Een gestructureerd bericht overmaken via SFTP
Veel gestelde vragen
Algemeen
-
Wat is SFTP?
SFTP staat voor SSH File Transfer Protocol of Secure File Transfer Protocol en maakt deel uit van SSH of Secure Shell. SFTP is de component van dit SSH-protocol die instaat voor bestandstransfer.
-
Waar vindt u SFTP?
Anders dan bij FTP beschikken Windows-computers niet over een standaardclient. U dient hiervoor dus extra software te installeren.
Via een zoekrobot (bijvoorbeeld zoeken op ‘SFTP Client’) vindt u op het internet zowel gratis als betalende SFTP-softwareclients. Linux-systemen bieden standaardpakketten aan van een open source implementatie van SSH (OpenSSH).
-
Is SFTP veilig?
SFTP wordt beschermd door middel van cryptografische technieken. Dit betekent dat alle verkeer tussen een client en een server volledig versleuteld verloopt, van het aanmeldingsproces tot en met de verzending van bestanden. Gezien deze bescherming is SFTP dan ook heel geschikt voor de beveiligde uitwisseling van bestanden over het internet.
-
Welke specifieke stappen moet u doorlopen om SFTP te gebruiken?
- U dient te beschikken over toegang tot de beveiligde toepassingen op de portaalsite van de sociale zekerheid.
- U dient over een SFTP-client naar keuze te beschikken.
- U maakt in uw SFTP-client een sleutelpaar aan (private en publieke sleutel)
- Uw (co-)Toegangsbeheerder (lokale beheerder) meldt zich aan op de portaalsite en kiest bij Toegangsbeheer voor beheer van gestructureerde berichten waar hij/zij het kanaal SFTP kan aanduiden.
- Hij/zij laadt de in uw SFTP client aangemaakte publieke sleutel en de publieke sleutel van uw gekwalificeerd certificaat op.
-
Hoe kan u zich registreren als SFTP-verzender?
Om gestructureerde berichten te kunnen versturen, moet u eerst een verzendernummer aanmaken voor elke hoedanigheid waarvoor u wenst te verzenden.
Enkel de (co-)Toegangsbeheerder (lokale beheerder) van elke hoedanigheid kan een verzendernummer registreren.
Dit zijn de stappen die ze moeten doorlopen:
- Klik op Gestructureerde berichten (*)
- Klik op De configuratiegegevens opslaan
- Klik op Volgende
- Vul de identificatiegegevens van de technische gebruiker in
- Klik op Volgende
- Kies het kanaaltype SFTP en laad de in uw SFTP-client aangemaakte publieke sleutel op
- Klik op Volgende
- Laad de publieke sleutel van uw gekwalificeerd certificaat (extensie .cer) op
- Duid in de lijst de toepassingen aan waarvoor u via SFTP wenst te verzenden
- Klik op Volgende
- Kies een gebruikersnaam voor de technische gebruiker.
- Klik op Volgende
- Klik op Bevestigen.
(*) Indien u reeds een Isabelkanaal heeft slaat u stappen 2 t.em. 5 over en klikt u bij punt 6 aan de rechterkant van uw scherm op het plusteken naast SFTP.
-
Welke gebruikersnaam en wachtwoord moet u gebruiken om via SFTP te verzenden?
Bij het activeren van het SFTP-kanaal voor uw verzendernummer zal uw (co-)Toegangsbeheerder (lokale beheerder) op de portaalsite een gebruikersnaam moeten kiezen. Voor de verzending via SFTP moet u geen wachtwoord aanmaken.
Certificaten
-
Hoe een sleutelpaar (private & publieke sleutel) aanmaken?
SFTP heeft zijn eigen formaat van sleutels. Deze sleutels kan u niet aankopen zoals een certificaat maar dient u zelf te aan te maken. Vrijwel elke SFTP-clientsoftware laat toe om een SSH-sleutelpaar aan te maken. Indien de SFTP-client die u gekozen heeft geen module bevat om sleutels aan te maken kan u van het internet een programma om sleutels aan te maken downloaden. Via een zoekrobot (bijvoorbeeld zoeken op ‘ssh key generator’) vindt u op het Internet programma’s waarmee u de SSH-sleutels kan aanmaken.
Het publieke deel van uw sleutel dient u op te laden bij uw verzendernummer op de portaalsite van de sociale zekerheid.
Het private deel van deze sleutel dient u op te laden in uw SFTP-client. De locatie van de private sleutel hangt af van de SFTP-client die u gebruikt. Gelieve hiervoor de documentatie van uw SFTP-client te raadplegen.
-
Welke versie sleutelpaar aanmaken?
Er wordt een onderscheid gemaakt tussen sleutels die compatibel zijn met versie 1 van SSH en deze die compatibel zijn met versie 2. Versie 1 wordt als onveilig beschouwd en zal niet aanvaard worden. Enkel versie 2 wordt aanvaard.
Voor de publieke sleutels zullen enkel de formaten van OpenSSH en SSH ondersteund worden.
Bij de aanmaak van de sleutels dient u op te letten dat u het juiste type sleutel en de juiste sleutellengte kiest.
Er zijn twee mogelijke types (RSA en DSA) waarvan enkel RSA zal aanvaard worden.
Als sleutellengte kiest u 2048 of hoger (3072, 4096). Kortere sleutels zullen niet aanvaard
Bij de opslag van deze sleutels raden we u aan de private sleutel te beschermen met een wachtwoord.
Kort samengevat:
- Sleutels compatibel met SSH v2
- Formaten OpenSSH en SSH
- Sleuteltype: RSA,
- Sleutellengte: 2048 < lengte < 4096
-
Wat betekent de fout ‘De ssh-sleutel heeft niet de correcte lengte’ bij het aanmaken van een verzendernummer voor SFTP?
De sleutellengte moet minimaal 2048 bits lang zijn en mag niet langer zijn dan 4096 bits. Kortere of langere sleutels worden niet aanvaard. De oplossing is een nieuw sleutelpaar aan te maken met een lengte van 2048 t.e.m. 4096 bits
-
Wat betekent de fout ‘De ssh-sleutel is ongeldig’ bij het aanmaken van een verzendernummer voor SFTP?
Deze fout kan verschillende oorzaken hebben:
- U probeerde uw private sleutel i.p.v. uw publieke sleutel op te laden. Oplossing: laad uw publieke sleutel op.
- U maakte uw publieke sleutel aan in een verkeerd formaat (bv. SSH1-RSA of SSH2-DSA). Oplossing: maak uw sleutels aan in SSH2-RSA-formaat.
-
Hoe moeten we onze publieke SSH-sleutel overmaken?
Uw (co-)Toegangsbeheerder (lokale beheerder) moet de uw publieke SSH-sleutel opladen bij uw verzendernummer op de portaalsite.
Bericht verzenden
-
Hoe een gestructureerd bericht verzenden?
- Maak met uw SFTP-client een verbinding met sftp.socialsecurity.be (en aanvaard, eenmalig, de host-key van de server)
- Identificeer u met uw technische gebruikersnaam (UMxxxxxx of EXPxxxxxx) en uw private SSH-sleutel door ingave van het wachtwoord dat uw private sleutel beschermt.
- Plaats uw bestanden (FI, FS en Go) in de IN-directory (voor circuittestbestanden INTEST-directory, voor aangiftetestbestanden INTEST-S)
Na verwerking en controle van uw bestanden zullen acceptatie-(ACRF) en notificatiebestanden voor u klaargezet worden in de OUT-directory (voor circuittestbestanden OUTTEST-directory, voor aangiftetestbestanden OUTTEST-S-directory)
-
Zijn er beperkingen in bestandsgrootte?
Omwille van de controle op de handtekening ligt de beperking op 200MB per bestand.
-
Welke bestanden toevoegen aan de gestructureerde berichten?
Er moeten steeds twee bestanden worden toegevoegd aan de gestructureerde berichten die u via FTP wil overmaken:
- Het handtekeningbestand
- Het GO-bestand of het TD-bestand.
Het handtekeningbestand
Een handtekeningbestand wordt toegevoegd aan een bestand met originele aangiften, wijzigende aangiften of consultatieaanvragen.
Een handtekeningbestand (FS) is verplicht bij een aangifte in de productieomgeving. In de test- en simulatieomgeving bent u niet verplicht om een handtekeningbestand mee te sturen. Indien u in de test- en simulatieomgeving wel een handtekeningbestand meestuurt zal dit in de test- en simulatieomgeving ook gecontroleerd worden.
Een handtekeningbestand begint steeds met de code "FS", bijvoorbeeld FS.WECH.123456.20120420.00001.T
Let op: wanneer een aangifte in verschillende delen wordt overgemaakt, dan zal er een handtekeningbestand aan elk deel van het bestand worden toegevoegd.
Het GO-bestand
- Is het signaal dat de verzender klaar is met plaatsen van zijn bestanden en dat de verwerking ervan mag beginnen.
- Moet steeds na het FI- en FS-bestand als laatste bestand in de IN-, INTEST- of INTEST-S-map geplaatst worden.
- Bij een aangifte in meerdere delen (FI) wordt slechts één GO-bestand toegevoegd.
Een GO-bestand begint steeds met de code "GO", bijvoorbeeld GO.WECH.123456.20120420.00001.T
Let op: wanneer een aangifte in verschillende delen wordt overgemaakt, wordt er slechts één GO-bestand toegevoegd.
Het TD-bestand
- Dient om aan te duiden dat de geplaatste FI- en/of FS-bestanden niet verwerkt mogen worden. (TD = To Delete) Een TD-bestand kan dus gebruikt worden indien de geplaatste bestanden een fout bevatten.
- Moet steeds na het FI- en FS-bestand als laatste bestand in de IN-, INTEST- of INTEST-S-map geplaatst worden.
- Indien u reeds een GO-bestand heeft geplaatst kan u voor de daaraan verbonden FI- en FS-bestanden geen TD-bestand meer plaatsen.
- Bij een aangifte in meerdere delen (FI) wordt slechts één TD-bestand toegevoegd.
- Na het verzenden van het TD-bestand ontvangt u als bevestiging van de schrapping een ACRF-bestand met ResultCode 0, ErrorID ACRF-430 en aan uw bestandsnaam wordt de datum en het uur van de schrapping toegevoegd.
Bv. TD.DMFA.123456.20120213.00001.T.1_20120213_102735
Een TD-bestand begint steeds met de code "TD", bijvoorbeeld TD.WECH.123456.20120420.00001.T
Let op: wanneer een aangifte in verschillende delen werd overgemaakt, wordt er slechts één TD-bestand toegevoegd.
-
Zijn de gestructureerde berichten die via het kanaal SFTP verstuurd worden dezelfde als de berichten die momenteel via het kanaal Isabel verstuurd worden. Zo niet, hoe zien ze er dan wel uit?
De aangiftebestanden (FI-bestanden) zijn identiek voor elk gebruikt verzendkanaal. Zowel de structuur als de benaming van de bestanden blijven gelijk.
Verbindingen
-
Is het mogelijk zijn om SFTP te gebruiken via een leased line?
Dit is momenteel niet voorzien.
-
Host
De naam van de host is sftp.socialsecurity.be
De poort is 8022
-
Hoe uw SFTP-client instellen?
- Vul de naam van de host in sftp.socialsecurity.be
- Vul de poort 8022 in
- Vul de gebruikersnaam van de technische gebruiker in
- Laad uw private SSH-sleutel op
-
Stabiele internetverbinding
Voor een snelle en goede overdracht van bestanden via SFTP is de kwaliteit van uw internetverbinding van groot belang. Het loont de moeite om uit te testen vanaf welke PC of server de overdracht het beste werkt. Vermijd het opladen via een draadloze internetverbinding. Kleine storingen in het draadloos netwerk kunnen er immers voor zorgen dat de overdracht van bestanden wordt afgebroken.
Kijk ook de instellingen van uw firewall na. Deze moet SFTP-verkeer naar de poort 8022 toestaan.
Zorg ook dat er tijdens de verzending voldoende bandbreedte ter beschikking is. Andere gelijktijdige processen kunnen de bandbreedte, die nodig is om vlot via SFTP te verzenden, kannibaliseren.