SV-Zertifikate für das SAP HCM beantragen
Seit Juli 2023 gibt es einen neuen Prozess für die Beantragung von SV-Zertifikaten sowohl bei der ITSG als auch im SAP HCM. Wie dieser aussieht und was es zu beachten gibt, wollen wir Ihnen in diesem Blogartikel näher bringen.
Allgemeines
Bereits seit Anfang 2023 können Antragstellende das neue Antragsverfahren für SV-Zertifikate nutzen. Seit dem 01.07.2023 ist das neue Antragsverfahren verpflichtend und alle schriftlichen Zertifizierungsanträge bzw. per Mail oder Fax werden vom ITSG-Trust Center somit abgewiesen.
Gemäß der Gemeinsamen Grundsätze Technik nach §95 SGB IV für Zertifizierungsanträge gelten neue Anforderungen zur Identifizierung und Authentifizierung der Antragstellenden. Dazu hat die ITSG ein neues Online-Registrierungsportal zur Verfügung gestellt.
Mit dem SAP-Hinweis 3157833 – SV: Neues Zertifikatsantragsverfahren beim ITSG Trust Center wurde hierzu der Report Zertifikatsbeantragung und -verwaltung für Kommunikation Krankenkassen (RP_PAYDE_B2A_SV_CERT_REQUEST, Transaktion HRPAYDE_B2A_SV_CERT) zur Unterstützung des neuen Zertifikatsantragsverfahrens zur Verfügung gestellt.
Im Folgenden werden wir zuerst auf den neuen Registrierungs- und Identifikationsprozess der ITSG eingehen sowie die Schritte des neuen SAP-Reports beschreiben.
Beantragung des SV-Zertifikats
Identifizierung der Kontaktperson und des Unternehmens
Bevor im System der neue Report zum Einsatz kommt, müssen Antragstellende den neuen Registrierungsprozess durchführen.
Schritt 1: Anmeldung am Registrierungsportal und Erfassung der Kontaktdaten
Der Antragstellende hat sich über das neu geschaffene ITSG Registrierungsportal zu registrieren.
Erster Schritt ist die Identifizierung der Betriebsnummer, für die das neue SV-Zertifikat beantragt werden soll. Geben Sie hierzu Ihre Betriebsnummer, mit der Sie derzeit Ihre SV-Meldungen versenden, ein.
Folgen Sie den Schritten der Registrierung. Vergeben Sie einen Anmeldenamen und ein sicheres Passwort, welches Sie für den erneuten Login nutzen werden. Zusätzlich wählen Sie hier eine Sicherheitsfrage und Antwort, die Sie für den Support mit der ITSG benötigen.
Schritte 2 bis 5: Identifizierung der Kontaktperson
Schritt 2
Für die antragsstellende Person ist die Identifizierung über ein Postident-Verfahren vorgesehen. Dabei kann die Identifizierung bei einer Postfiliale oder durch die Nutzung der Online-Ausweisfunktion (eID) erfolgen. Erst nach erfolgreicher Identifikation können die Folgeschritte im Portal durchgeführt werden.
Wichtig an dieser Stelle ist, dass Sie Ihren Namen so eintragen, wie er auch auf Ihrem Ausweisdokument steht:
Schritt 3
Nach Eingabe dieser Daten erhalten eine Mail, in der Sie den erhaltenen Link bestätigen müssen, um in den Schritt 4 zu gelangen:
Schritt 4
Zu Bestätigung Ihrer Identität reicht es nun nicht mehr einen Ausweis, so wie im früheren Verfahren, per Scan hochzuladen. Sie werden in Schritt 4 an die Deutsche POST AG weitergeleitet. Hier haben Sie die Wahl zwischen dem Postident-Verfahren per App mit der Online-Ausweisfunktion (eID) und per Postfiliale vor Ort:
Je nachdem welches Verfahren Sie wählen, erhalten Sie einen Coupon mit QR-Code zum Herunterladen per E-Mail oder QR-Code zum Scannen für die POSTIDENT App mit Vorgangsnummer:
Sie können sich nun entweder Ihre Identität mit der elektronischen Ausweisfunktion oder bei der nächstgelegenen Postfiliale bestätigen, in dem Sie den QR-Code zum Scannen mitbringen.
Schritt 5
Nachdem das Postidentverfahren abgeschlossen ist, gelangen Sie in den Folgeschritt zur Bestätigung Ihrer Firmenadresse.
Schritte 6 bis 7: Überprüfung der Firmendaten und Kostenpflichtige Beauftragung der Zertifizierung
Schritt 6
Als Maßnahme zur Überprüfung, dass die Betriebsnummer dem Antragssteller zuzuordnen ist, wird ein Freischaltcode an die Firmenadresse per Brief versendet. Als Adresse für den Versand wird die bei der Beantragung der Betriebsnummer angegebene bzw. später über das Betriebsdatenmeldeverfahren aktualisierte Adresse verwendet. Die Firmenadresse wird bei diesem Schritt im Portal angezeigt. Ist die Adresse nicht aktuell, muss diese über das Betriebsdatenmeldeverfahren (DSBD) in SAP HCM geändert werden. Eine Änderung über das Portal ist nicht möglich.
Bitte prüfen Sie daher vorab, ob die Betriebsadresse korrekt ist und informieren Sie ggf. Ihre interne Postannahmestelle. Sie haben an dieser Stelle auch die Möglichkeit einen internen Kontakt anzugeben, sodass der Brief an die richtige Person zugestellt wird. Das Zusenden des Briefes kann einige Werktage in Anspruch nehmen, daher würden wir empfehlen mit dem Prozess frühzeitig zu starten.
Schritt 7
Sie können an dieser Stelle auch entscheiden, ob ggf. eine abweichende Rechnungsadresse von der hinterlegten Adresse verwendet werden soll oder aber auch eine elektronische Zustellung per Mail gewünscht ist.
Schritt 8: Erhalt der GUID
Zum Schluss erhalten Sie Ihre GUID, die Sie dann im SAP für die eindeutige Zuordnung zum neuen SV-Zertifikat benötigen.
In dem Brief mit dem Freischaltcode teilt die ITSG auch den zuvor übertragenen Hashcode mit. Nach Erhalt des Freischaltbriefs kann der Hashcode mit dem im SAP-System hinterlegten Hashcode verglichen werden. Stimmen diese überein, kann im Registrierungsportal kundenseitig über die Eingabe des Freischaltcodes die abschließende Beauftragung erfolgen. Wie Sie diesen Hashcode im SAP erstellen und welche Schritte noch notwendig sind, erklären wir im folgenden Abschnitt des Artikels:
Zertifikatsanforderung im SAP HCM und ITSG
Mit dem o.g. SAP-Hinweis wurde der Report RP_PAYDE_B2A_SV_CERT_REQUEST ausgeliefert, über welchen man im SAP HCM durch das Verfahren geführt wird. Hier werden auch noch einmal die Schritte zur Identifizierung genannt:
Enormer Vorteil zum vorherigen Verfahren bzw. von dem neuem Report ist, dass dieser auf einer temporären PSE („Schatten-PSE“) arbeitet , sodass die Durchführung des Zertifikatsantrages während des Betriebes im Produktivsystem mit einem bereits bestehenden, aktiven Zertifikat möglich ist.
Schritt 1: Schlüsseldaten eingeben
Die Schlüsseldaten sollten identisch zu dem Registrierungsprozess eingegeben werden:
- Name
- Unternehmen
- GUID aus dem Identifizierungsverfahren (Schritt 8)
Schritt 2: (Schatten) PSE anlegen
Im zweiten Schritt wird die neue PSE angelegt (dies passiert im Hintergrund). Der Vorteil, wie bereits erwähnt ist, dass hier zuerst eine Kopie der PSE angelegt wird und das alte Zertifikat solange bestehen bleibt, bis ein neues durch die ITSG ausgestellt wird.
Schritt 3: Zertifikatsanforderung im SAP HCM und Upload
Im dritten Schritt wird (wie im alten Report auch) sowohl eine .p10-Datei als auch ein HashCode als Textdatei generiert. Beide Dateien müssen lokal heruntergeladen und die Textdatei (.txt) muss in ein PDF umgewandelt werden, bevor sie im nächsten Schritt auf der Seite der ITSG hochgeladen werden kann.
Unterschreiben Sie PDF nach dem Herunterladen. Anschließen laden Sie die p10-Datei, das unterschriebene PDF sowie Ihre Eigenerklärung unter Angabe der GUID hier online hoch.
Nach dem erfolgreichen Upload erhalten Sie eine Auftragsnummer. Verwenden Sie diese zusammen mit Ihrer Betriebsnummer um den Status Ihres Antrags über die Online-Antragsverfolgung abzufragen und nachzuverfolgen. Sollten noch Schritte nicht durchgeführt sein, wird Ihnen dies auf dieser Seite kenntlich gemacht. Anderenfalls erhalten Sie innerhalb 48h (und meist per Mail) Ihre Zertifikatsantwort auf dieser Seite zum Herunterladen.
Bis hierhin kann im System für das Abholen/Versenden von Meldungen noch das „alte“ Zertifikat benutzt werden. Ab Bereitstellung des neuen Zertifikats durch die ITSG funktioniert das alte nicht mehr.
Schritt 4: Antwort importieren
Nach 2 vollen Werktagten sollten die Zertifikatsantwort (.p7c-Datei) sowie die Zertifikatsliste (.agv-Datei) zum Download bereit stehen. Die Zertifikatsliste der Annahmestellen (annahme-rsa4096_agv) finden Sie auch auf der Website der ITSG zum Download. Beide Dateien werden nun in den nächsten Schritten im SAP HCM benötigt.
In Schritt 4 müssen Sie über den Button „Hochladen“ die Zertifikatsantwort über ihren PC lokal hochladen und dann auf dem Button „Zertifikatsantwort importieren“ klicken.
Schritt 5: Zertifikat aktivieren
Sie gelangen dann in den letzten Schritt und müssen nur noch das Zertifikat im System aktivieren. In diesem Schritt wird die alte PSE mit der Schatten-PSE überschrieben und es bleibt somit nur noch das neue Zertifikat im System verfügbar.
Schritt 6: AGV importieren
Anschließend wird wieder die Startseite des Reports mit der Information, dass der Prozess abgeschlossen ist, angezeigt.
In diesem Schritt kommt auch die heruntergeladene .agv-Datei ins Spiel. Zuerst muss jedoch die alte Zertifikatsliste ggf. noch gelöscht werden, bevor die neue eingespielt werden kann.
Zum Schluss würden wir empfehlen nochmal den SSL-Client zu aktualisieren. Früher brauchte man dazu STRUST-Berechtigungen, nun sollte dies über den Button (3) funktionieren.
Schritt 7: Verbindungstest
Mit dem Report RPUSVHD1 können Sie die Zertifikate im SSL-Client (Übersicht SSL-Client Zertifikate) überprüfen und testen, ob die Verbindungen zur DSRV und GKV alle korrekt funktionieren. Diese sollten alle grün sein, sofern eingerichtet.
Tipp: Sollte nach Austausch des Zertifikats direkt ein Versand von Dateien stattfinden und es zu dem Fehler E305 „Das gesendete Zertifikat ist NICHT das neueste Zertifikat dieses AG auf dem LDAP-Server!“ kommen, kann es sein, dass das alte Zertifikat noch im Cache steckt. Hierzu sollte der ICM einmal neu durchgestartet werden. Weitere Unterstützung liefert hierzu der SAP Hinweis 3361863 – B2A-SV: Fehler E305 nach Verlängerung des ITSG-Zertifikats. Anderenfalls ist das Zertifikat direkt nutzbar.
Haben Sie weitere Fragen oder benötigen Sie Unterstützung bei der Umsetzung neuer gesetzlicher Regelungen?
Sprechen Sie uns auch gerne an! Einen direkten Link zum Kontaktformular finden Sie hier. Oder schauen Sie sich unseren SAP HCM Support Package Service L365 an.
Gibt es evtl. ein Thema, was Sie „brennend“ interessiert und worüber wir unbedingt schreiben sollten?
Dann schicken Sie uns Ihre Idee gerne per Mail über das folgende Kontaktformular! Vielen Dank im Voraus!