Grouper

Certificaat

De aansluiting op de landelijke Grouper in het kader van de overgang naar DOT in 2012 vereist een aantal instellingen. Deze pagina beschrijft hoe een UZI servercertificaat in OpenAC opgenomen kan worden en welke andere instellingen nodig zijn.

Onderstaande stappen moeten per AGB code die het AC gebruikt, uitgevoerd worden. Wij raden aan om aparte UZI servercertificaten voor elke AGB code aan te vragen. De locatie instellingen moeten sowieso voor elke AGB code die in gebruik is, ingevuld worden.

De aansluitcriteria voor DBC-Onderhoud zijn tamelijk streng. Ze laten alleen het IP adres toe dat je op het aanmeldingsformulier hebt opgegeven. Als je hosting of extern IP verandert, zal je ook DBC-O ervan op de hoogte moeten brengen. De aansluitgegevens kan je ​op de site van DBC-O aanpassen.

Certificaat Aanvragen

Vraag het certificaat aan. Hiervoor moet je een server key genereren en dan via de ​site van het UZI Register een formulier invullen.

Het maken van de server key kan op veel verschillende manieren. De pagina's van het UZI Register over ​aanmaken van een key en ​installeren van het certificaat kunnen behulpzaam zijn; in het bijzonder ook de documentatie voor het aanmaken van een ​server key voor Apache. Omdat dezelfde OpenSSL gereedschappen meegeleverd worden met OpenAC is het ook mogelijk om de server key aan te maken met een OpenAC installatie:

• Op een vertrouwd werkstation, start een command-prompt (opdrachtregel) en ga naar de installatiemap van OpenAC.
• Ga dan naar de subdirectory bin.
• Controleer of er een subdirectory openssl bestaat met daarin een openssl.exe. (Zo niet, start OpenAC een keer op en log in; daarmee wordt de meegeleverde openssl-0.9.8b.zip uitgepakt om de gevraagde bestanden aan te maken.)
• Ga naar de subdirectory openssl (dan zit je nu meestal in de map C:\Program Files\OpenAC\bin\openssl).
• Download dit openssl.cnf bestand en sla het op in diezelfde map.
• Genereer een server key en een PKCS#10 certificaat aanvraag door het volgende commando uit te voeren:

  openssl.exe req -nodes -newkey rsa:2048 -keyout server.key -out server.csr -config openssl.cnf
  

  Dit staat omschreven in stap 1.2.3 van de Apache handleiding van het UZI Register. Er wordt naar een aantal gegevens gevraagd. Het is sterk aanbevolen om toch het land (NL) en de Organization Name (organisatie, bijvoorbeeld "FENAC") in te vullen. Als je niks invult, werkt het niet.
• Als je deze stappen volgt, krijg je een server key zonder wachtwoord.

Maak een backup van het bestand server.key en onthoud het wachtwoord goed!

Certificaat Ontvangen

Bij het aanvragen van een certificaat maak je een server key aan; meestal staat die key in een (met wachtwoord beveiligd) bestand server.key. Van het UZI Register krijg je een certificaat terug, meestal in een tekst bestandje zoals services-cert-900009320.txt (de cijfers in de bestandsnaam stellen je UZI Registernummer voor).

Die twee bestanden moeten samengevoegd worden tot een zogenaamd PKCS#12 bestand dat zowel de server key als het certificaat bevat. Dit kan met gereegschap dat is meegeleverd bij OpenAC:

• Open een command-prompt (opdrachtregel) en ga naar de installatiemap van OpenAC.
• Ga naar de subdirectory bin. Controleer dat de subdirectory openssl bestaat (zo niet, start OpenAC een keer op). Ga naar de subdirectory openssl.
• Zet beide bestanden in diezelfde subdirectory (vaak C:\Program Files\OpenAC\bin\openssl) van OpenAC.
• Combineer nu de twee bestanden (de server key en het certificaat) naar een PKCS#12 bestand dat geschikt is om in Internet Explorer te importeren:

  openssl pkcs12 -export -out grouper.pfx -in services-cert-900009320.txt -inkey server.key -name "Grouper Certificaat"
  

  Indien de server key een wachtwoord heeft, zal het nodig zijn om hier een wachtwoord in te voeren. Er wordt gevraagd om een export wachtwoord. Die mag leeg zijn.
• Controleer dat je een bestand grouper.pfx in deze map hebt gekregen.

Nu er een gecombineerd bestand is, kan het in Internet Explorer worden geimporteerd.

• Start Internet Explorer.
• Ga naar het menu Extra, en dan Internetopties.
• Op het tabblad Inhoud , klik op de knop Certificaten .
  
• Er verschijnt een dialoog met reeds geinstalleerde certificaten (misschien is die leeg). Zorg ervoor dat het tabblad Persoonlijk open staat. Klik op de knop Importeren.
• De Wizard voor het importeren van certificaten verschijnt. Klik op Volgende. Klik op Bladeren... en ga naar de OpenAC installatiemap, dan naar bin en naar openssl, alwaar het bestand grouper.pfx staat. Selecteer dat bestand (misschien moet je bij het bladeren, rechtsonder het bestandstype veranderen van "X.509-certificaat *.cer" naar "Personal Information Exchange *.pfx"). Klik op Openen in dat dialoog, dan Volgende.
• Er wordt om een wachtwoord gevraagd . Dit is het wachtwoord van het gecombineerde bestand, dat niet noodzakelijk hetzelfde is als het wachtwoord van de server key (dat hangt af van wat je hebt ingevoerd bij het maken van het gecombineerde bestand). Vul het wachtwoord in, of laat het leeg als er geen wachtwoord is gebruikt.
  
• Vink het vakje Deze sleutel als exporteerbaar aanmerken aan. Anders kan OpenAC de sleutel niet ophalen. Klik dan op Volgende.
• Op de pagina Certificaatarchief hoef je niks te veranderen. Klik Volgende. Klik tot slot Voltooien.
• Controleer nu dat het certificaat voor de Grouper is verschenen in het lijstje van certificaten.

Het bestand grouper.pfx kan worden verplaatst naar andere machines die ook met de Grouper moeten communiceren en op elke machine op soortgelijke wijze in Internet Explorer geimporteerd worden.

Certificaat Installatie

Nu het certificaat in Internet Explorer is geimporteerd, kan OpenAC het overnemen. Hiervoor is het wel essentieel dat het certificaat daarbij is gemarkeerd als exporteerdbaar.

• Start OpenAC op en ga naar het instellingenscherm. Ga naar de instellingen van de Grouper.
• Laat het vinkje OpenAC groepeert zelf uit staan. Klik op de link grouper certificaat installeren .
• Selecteer het certificaat dat zojuist is geimporteerd (met deze instructies heeft het de naam Grouper) .
• Klik OK. Er verschijnt een groene (success) melding in het meldingen tabblad.

Het certificaat is nu voor OpenAC bruikbaar. Desnoods kunnen de twee resulterende bestanden (grouper-19003223.cert en grouper-19003223.key, genoemd naar de AGB code die in gebruik is) samen gekopieerd worden naar andere machines waar OpenAC met de Grouper moet communiceren. Zet de bestanden in de certificaten map van OpenAC.

Locatie Instellingen

Tot slot moet OpenAC weten welk UZI certificaatnummer en welk UZI Registernummer horen bij de AGB code die het AC gebruikt.

• Start OpenAC op en ga naar het codetabellen scherm.
• Kies bij module kern.d010_systeem de tabel AGB-Locatie.
• Waarschijnlijk zijn de AGB codes van het AC al ingevoerd als codetabel-entries. Klik op de regel van de AGB code waarvoor het Grouper certificaat is geinstalleerd. De entry wordt geopend. Controleer of de AGB code van het record de juiste is.
• Vul het UZI certificaatnummer (dat wordt vermeld door het UZI als ze het certificaat opsturen) in bij UZI-Nummer . Vul het UZI Register Abonneenummer van het AC in bij URA-Nummer . Sla deze wijzigingen op.
• (optioneel) Lever de wijziging op de codetabel in, zodat centraal bij de FENAC ook bekend is welke UZI- en URA-nummers in gebruik zijn.

Alternatieve Installatie

Het is mogelijk om de server.key en het server certificaat rechtstreeks in OpenAC neer te zetten, zonder tussenkomst van Internet Explorer of OpenAC zelf.

• Kopieer het bestand dat van de UZI komt, services-cert-900009320.txt, naar de OpenAC certificaten directory (dit staat onder de OpenAC bestanden directory; die instelling is in OpenAC zelf te vinden). Hernoem het bestand naar grouper-AGBCODE.cert waarbij voor AGBCODE de acht-cijferige AGB code van het AC wordt ingevuld.
• Converteer de server key met OpenSSL als volgt:

  openssl.exe rsa -in server.key -out grouper-AGBCODE.key
  

  Voer het wachtwoord (als er een is) voor de server key in als dit commando er om vraagt. Verplaats dit bestand naar de OpenAC certificaten directory.

Grouper Testen

Dit kun je tegenwoordig gelijk uitvoeren in OpenAC2 indien je de switches "gebruik-acc-grouper" en "gebruik-acc-vecozo" aan zet en vervolgens kiest voor factureren > "D gegroepeerde trajecten" of "OHW trajecten bundelen". Als het proces goed gaat en zonder fouten verloopt, dan is er succesvol verbinding gemaakt met de grouper-service van Vecozo en is de grouperwaarde goed terug gekomen van de service. Notabene: OpenAC gebruikt url ​https://accgroupervecozowebservice.vecozo.nl/router.v1.svc/GrouperAfleidenV1Soap11 in grouperv7b.py unit en niet SOAP 1.2: ​https://accgroupervecozowebservice.vecozo.nl/router.v1.svc/GrouperAfleidenV1

In geval dat je kiest voor een test met "OHW trajecten bundelen" dan krijg je teksten in tabblad "Meldingen" zoals hieronder weergegeven.

INFO:openac:Grouper omgeving A bijgewerkt 20171006, certificaatversie 01
[2018-06-04 13:55:09]:INFO:openac:Grouper response van 2.16.840.1.113883.2.4.3.27.15.99.1.4, versie 2.3.18115-04

De grouper test die wij hebben gedaan, daar hadden wij in een OpenAC2 geïmporteerde Fenac Vecozo certifcaat (d.m.v. de link aanklikken zoals hierboven beschreven) EN een kopie van vecozo-AGBCode naar de 2 bestanden grouper-AGBCode.* zodat er dus in totaal 4 certificaten in de directory staan.

• vecozo-AGBcode.cert
• vecozo-AGBcode.key
• grouper-AGBcode.cert
• grouper-AGBcode.key

Notabene: in verleden bestond ping-grouper.py. Dit script was beschikbaar in oudere versie van OpenAC en is per 15 december 2017 uitgefaseerd.

De nieuwe manier om een grouper afgifte te testen is als volgt.

Normaliter zou dit via de z.g.n. acceptatie webservice moeten, echter doordat de naw niet door de acceptatie COV komt lukt het fiateren niet.

Je dient daarom de switch "gebruik-acc-vecozo" en "gebruik-acc-grouper" uit te zetten. Notabene: Je kunt helaas niet alleen "gebruik-acc-vecozo" uit zetten en "gebruik-acc-grouper" aanzetten.

Zorg er voor dat je dus 1 subtraject hebt geselecteerd, of een aantal fin. trajecten geselecteerd hebt door een bepaalde periode of uzovi te selecteren. Kies daarna Fiateren.

En vervolgens de knop "grouperen" te gebruiken. Voor de zorgtrajecten wordt op basis van de productzwaarde een z.g.n. hash berekend welke de groupercode is. Deze dient voor het monitoren van de ontwikkeling van de behandeling.

Door bewust niet de knop "Indienen" te drukken gebeurt er ook niets met het versturen van declaraties. Voor de zekerheid kun je vooraf de instellingen "Declaraties en retourinformatie uitwisselen via Vecozo webservice" uit zetten waardoor er zeker niets wordt ingediend.