Sertifikati

Vodič za nabavku, dostavu i upravljanje sertifikatima za fiskalizaciju. Sistem podržava dva formata u zavisnosti od okruženja.

Sandbox vs Produkcija

Karakteristika	Sandbox (test)	Produkcija
Format	PEM (CERKEY.pem)	PEM (CERKEY.pem)
Sadržaj	Sertifikat + enkriptovani privatni ključ	Sertifikat + enkriptovani privatni ključ
Zaštita	Lozinka privatnog ključa	Lozinka privatnog ključa
Izvor	Sandbox portal PURS-a	Poreska uprava RS
VSDC endpoint	vsdc.sandbox.suf.purs.gov.rs	vsdc.suf.purs.gov.rs
Upload u panelu	Podešavanja > Sertifikat	Podešavanja > Sertifikat

Napomena: Od verzije 1.2.0, sistem koristi unifikovani PEM upload za oba okruženja. Ako imate PFX sertifikat, konvertujte ga u PEM format pre uploada.

PEM sertifikat

Za produkcijsko okruženje koristi se PEM format - kombinovani fajl (CERKEY.pem) koji sadrži javni sertifikat i enkriptovani privatni ključ.

Struktura CERKEY.pem fajla

Fajl sadrži dva bloka u sledećem formatu:

-----BEGIN CERTIFICATE-----
MIIFxjCCA66gAwIBAgIUQ...
(javni sertifikat - base64 enkodiran)
...
-----END CERTIFICATE-----
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIFHDBOBgkqhkiG9w0B...
(enkriptovani privatni ključ - PKCS8 format)
...
-----END ENCRYPTED PRIVATE KEY-----

Napomena: Podržani su i stariji formati privatnog ključa: BEGIN RSA PRIVATE KEY i BEGIN PRIVATE KEY.

Upload PEM sertifikata

Prijavite se na admin panel
Idite na Podešavanja → Sertifikat (iz sidebar menija)
Kliknite Izaberi fajl i odaberite vaš CERKEY.pem fajl
Unesite lozinku privatnog ključa
Opciono: uploadujte chain.pem (CA lanac poverenja)
Kliknite Sačuvaj sertifikat
Sistem verifikuje lozinku, dekriptuje ključ i čuva bezbedno

CA lanac poverenja (chain.pem)

Za produkciju je preporučljivo dostaviti i CA lanac poverenja koji omogućava verifikaciju VSDC servera:

Fajl sadrži jedan ili više BEGIN CERTIFICATE blokova
Obično uključuje Root CA i Issuing CA sertifikate
Ako nije dostavljen, sistem koristi sistemski CA trust store

Kako dobiti produkcijski sertifikat

Registracija na portalu Poreske uprave - prijavite se na epfi.purs.gov.rs
Zahtev za sertifikat - podnesite zahtev za produkcijski fiskalni sertifikat
Verifikacija identiteta - Poreska uprava verifikuje vaše podatke
Preuzimanje - dobijate CERKEY.pem fajl (sertifikat + enkriptovani ključ)
Lozinka - lozinka za privatni ključ vam je neophodna za aktivaciju

Napomena: Sertifikat se izdaje na PIB obveznika. Jedan sertifikat može pokrivati sve poslovne prostore istog obveznika.

Alternativno: dostava putem emaila

Ukoliko nemate pristup admin panelu, možete poslati sertifikat na info@efiskalizacija.cloud.

Zaštitite fajl lozinkom (ZIP sa šifrom)
Lozinku za privatni ključ pošaljite zasebnim kanalom (npr. SMS ili drugi email)

Bezbednost: Nikada ne šaljite sertifikat i lozinku u istom emailu. Koristite dva zasebna kanala komunikacije.

Čuvanje i bezbednost

eFiskalizacija.cloud čuva vaše sertifikate sa najvišim nivoom zaštite:

Enkripcija lozinke - lozinka sertifikata se čuva Sodium (XSalsa20 + Poly1305) enkripcijom
Fajl permisije - PEM fajlovi imaju chmod 0600 (samo vlasnik može čitati)
Izolacija po tenantu - svaki korisnik ima pristup samo svojim sertifikatima (RLS)
Dekriptovani ključ - privatni ključ se čuva dekriptovan za brzu upotrebu, zaštićen permisijama
Audit log - sve operacije sa sertifikatima se beleže

Šta ako sertifikat istekne?

Kada sertifikat istekne, fiskalizacija računa neće biti moguća. Preduzmite sledeće korake:

Prijavite se na portal Poreske uprave
Podnesite zahtev za obnovu sertifikata
Preuzmite novi sertifikat (PFX za sandbox ili PEM za produkciju)
Uploadujte novi sertifikat putem admin panela

Preporuka: Obnovite sertifikat najmanje 30 dana pre isteka kako biste izbegli prekid u fiskalizaciji. Sistem prikazuje upozorenje u admin panelu kada sertifikat ističe.

Česta pitanja

Koja je razlika između PFX i PEM formata?

Karakteristika	PFX	PEM
Format	Binarni (PKCS#12)	Tekstualni (Base64)
Ekstenzija	`.pfx`, `.p12`	`.pem`
Sadržaj	Sve u jednom fajlu	Sertifikat + ključ (mogu biti i razdvojeni)
Zaštita	Jedinstvena lozinka za ceo fajl	Lozinka za privatni ključ

Imam PFX fajl. Kako da ga uploadujem?

Od verzije 1.2.0, sistem koristi isključivo PEM format. Ako imate PFX sertifikat, konvertujte ga u PEM format koristeći OpenSSL:

# Ekstraktovanje sertifikata i ključa iz PFX
openssl pkcs12 -in sertifikat.pfx -out CERKEY.pem -nodes

# Ili sa enkriptovanim ključem (preporučeno)
openssl pkcs12 -in sertifikat.pfx -out CERKEY.pem

Zatim uploadujte dobijeni CERKEY.pem fajl kroz admin panel.

Šta ako izgubim lozinku?

Lozinku sertifikata nije moguće povratiti. Potrebno je zatražiti izdavanje novog sertifikata od Poreske uprave.

Da li mogu imati više sertifikata?

Jedan tenant (nalog) koristi jedan aktivan sertifikat. Ukoliko imate više poslovnih subjekata, svaki zahteva zasebnu registraciju i sertifikat.

Šta je mTLS?

Mutual TLS (mTLS) je bezbednosni protokol gde se obe strane međusobno autentifikuju sertifikatima:

Vaš sertifikat → VSDC: Dokazuje identitet vašeg sistema
VSDC sertifikat → Vaš sistem: Potvrđuje da komunicirate sa pravim serverom

Ovo obezbeđuje da niko ne može presresti ili falsifikovati komunikaciju između vašeg sistema i Poreske uprave.

Za više informacija pogledajte vodič za integraciju ili brzi start.