Postup instalace

Tento dokument popisuje běžný postup pro instalaci řešení SecuSign SDK a potřebných komponent pro zprovoznění jím poskytovaných funkcí a služeb. Popis je určen především technickým osobám, které spravují servery a služby, nebo provádí implementaci řešení v dané organizaci. Popis některých částí, zejména Správce Windows serveru (Server Manager), se může lišit v závislosti na použité verzi operačního systému.

Potřebný software a prerekvizity

  • 64-bitový operační systém Microsoft Windows Server 2016 nebo novější.

  • Webový Server (IIS 8.0 nebo vyšší).

  • ASP.NET 4.8 nebo vyšší.

  • .NET Framework 4.8 nebo vyšší.

Vzhledem k zajištění vysoké prostupnosti je vhodné zajistit adekvátní velikost operační paměti a rychlost komunikačních rozhraní. Detailněji je to specifikováno v rámci analýzy a přílohy ke smlouvě.

Pro správnou funkčnost SecuSign SDK je zapotřebí mít na serveru (popřípadě firewallu, proxy, apod.) povolenou komunikaci s následujícími adresami a porty:

Prostředí Doménové jméno IP adresa Port Protokol

PROD (QS)

awsc.secusign.cz

13.73.167.130

443

https

PROD (HSM)

rsmint.secusign.cz

194.228.175.135

443

https

TEST (QS)

awsctest.secusign.cz

52.178.28.175

443

https

TEST (HSM)

rsminttest.secusign.cz

194.228.175.137

443

https

V případě povolené kontroly revokace certifikátu vzdáleného serveru je třeba mít povolenou adresu distribučního místa vystavitele zprostředkujícího certifikátu (Thawte RSA CA 2018) a vystavitele kořenového certifikátu (DigiCert Global Root CA):

Doménové jméno IP adresa Port Protokol

cdp.thawte.com

93.184.220.29

80

http

crl3.digicert.com

93.184.220.29

80

http

Dostatečný diskový prostor.Samotná instalace SDK zabere asi 300 MB.V případě zapnutého logování je však třeba počítat (v závislosti na počtu požadavků) s dalšími jednotkami až desítkami GB místa na disku.

Související požadavky

Licenční certifikát pro autentizaci, vydaný Software602 a.s. ke konzumaci zakoupených služeb.

Vytvořený a aktivní uživatelský účet na portálu 602 ID, ke kterému je aktivován licenční certifikát pro konzumaci zakoupených služeb.

Instalace SDK

Instalace SecuSign SDK se provede spuštěním dodaného MSI installeru.V průběhu instalace si zvolíte adresář, do kterého budou nakopírovány zdrojové soubory.

MSI installer je k dispozici na vyžádání u obchodního/projektového manažera.

Webové služby

Pro využití integrace prostřednictvím webových služeb je nutné zajistit Webový server IIS s funkcemi ASP.NET a .NET Framework, a odpovídajícím způsobem nastavit aplikační pool a webové aplikace; viz kapitoly Instalace webového serveru IIS a Instalace webové aplikace SecuSign.

.NET rozhraní

SecuSign SDK umožňuje integraci funkcí a operací nad dokumenty také pomocí .NET rozhraní.

.NET knihovny (SecuSign_NET.dll a další) jsou obsaženy po instalaci SDK v instalačním adresáři.Rozhraní .NET metod je opatřeno komentáři ve formě XML dokumentace (SecuSign_NET.xml).Většina metod .NET assembly má stejné rozhraní jako metody webových služeb, které jsou popsány v technické dokumentaci k SecuSign SDK.Díky tomu je snadná integrace SecuSign do jiných informačních systémů či webových aplikací.

Instalace webového serveru IIS

  • Spusťte Správce serveru (Server Manager) přes nabídku Start.

  • Klikněte na Správa (Manage).

  • Klikněte na Přidat role a funkce (Add Roles and Features).

  • Stiskněte tlačítko Další (Next).

  • Nechte vybraný typ Instalace na základě rolí nebo na základě funkcí (Role-based or feature-based installation) a stiskněte Další (Next).

  • Zvolte Vyberte server z fondu serverů (Select a server from a server pool) a stiskněte Další (Next).

  • Zaškrtněte možnost Webový server (IIS) [Web Server (IIS)] a potvrďte funkce kliknutím na tlačítko Přidat funkce (Add Features).

  • Stiskněte tlačítko Další (Next).

  • Rozbalte volbu Funkce rozhraní .NET Framework 4.8 (.NET Framework 4.8 Features) a zaškrtněte pole .NET Framework 4.8 – případně vyšší (podle verze a aktuálnosti operačního systému).

  • Stiskněte tlačítko Další (Next).

  • Znovu stiskněte tlačítko Další (Next).

  • Rozbalte možnost Vývoj aplikací (Application Development), zaškrtněte volbu Technologie ASP.NET 4.8 (ASP.NET 4.8) – případně vyšší (podle verze a aktuálnosti operačního systému) – a tlačítkem Přidat funkce (Add Features) potvrďte přidání navazujících funkcí.

  • Dále u možnosti Nástroje pro správu (Management Tools) zaškrtněte možnost Konzola pro správu služby IIS (IIS Management Console).

  • Pokračujte tlačítkem Další (Next).

  • A instalaci vybraných funkcí spusťte tlačítkem Nainstalovat (Install).

  • Po dokončení instalace stiskněte tlačítko Zavřít (Close).

    Může být vyžadován restart serveru.

Instalace webové aplikace SecuSign

  1. Nainstalujte balíček SecuSign SDK – standardně se instaluje do
    C:\Program Files\Software602\SecuSign SDK

  2. (Tento krok není povinný) Nakopírujte adresář WebService z instalačního adresáře
    C:\Program Files\Software602\SecuSign SDK
    do zvoleného umístění na serveru – běžně se používá cesta
    c:\inetpub\wwwroot\.

    Zkopírovaný adresář WebService přejmenujte na SecuSign.

  3. V IIS administraci vytvořte nový aplikační pool SecuSign nebo upravte nastavení již existujícího poolu.

    Pokud budete upravovat již existující pool, nové nastavení může ovlivnit běh stávajících aplikací v tomto poolu, proto doporučujeme vytvořit nový.

    • Klikněte na položku StartOvládací panely (Control panels) – Nástroje pro správu (Windows Administrative Tools) – Správce internetové informační služby (Internet Information Services (IIS) Manager).

    • Kliknutím na „+“ rozbalte uzel aktuálního počítače.

    • Klikněte na položku Fondy aplikací (Application Pools).

    • Ve sloupci Akce (Actions) klikněte na volbu Přidat fond aplikací (Add application pool).

    • Zadejte název poolu SecuSign a v poli Verze rozhraní .NET Framework vyberte volbu .NET CLR verze v4.x. Zkontrolujte, že v poli Spravovaný režim kanálů je vybrána volba Integrovaný. Ponechte zaškrtnutou možnost Spustit fond aplikací ihned. Stiskněte tlačítko OK

    • Po vytvoření fondu aplikací na něj klikněte pravým tlačítkem, zvolte Upřesnit nastavení (Advanced settings) a změňte položky:

      • Identita – nastavte vlastního uživatele (musí mít přístup do složky, kde běží webová služba a leží licenční/autentizační certifikáty).

      • Načíst profil uživatele – nastavte True.

Existují dva způsoby, jak přidat webovou službu jako aplikaci do IIS. Vyberte si jeden z nabízených způsobů.

Uživatel, pod kterým běží služba, musí mít právo čtení v daném umístění.

  • Přidání nové aplikace SecuSign v IIS

    • Ve sloupci Připojení kliknutím na „+“ rozbalte položku Weby.

    • Klikněte pravým tlačítkem myši na položku Default Web Site a z lokální nabídky vyberte položku Přidat aplikaci.

    • V položce Alias pojmenujte aplikaci hodnotou SecuSign.

    • Vedle položky Fond aplikací stiskněte tlačítko Vybrat, vyberte hodnotu SecuSign (jiný vámi připravený pool) a stiskněte tlačítko OK.

    • Do pole Fyzická cesta vyplňte nebo nasměrujte cestu k instalačnímu adresáři SecuSign SDK\WebService.

    • Stiskněte tlačítko OK.

  • Nechte automaticky vytvořit aplikaci (předpokládá nastavení z nepovinného bodu 2).

    • Ve sloupci Připojení kliknutím na „+“ rozbalte položku Weby\Default Web Site.

    • Klikněte pravým tlačítkem myši na složku WebService (nebo přejmenovanou SecuSign).

    • Vyberte možnost Převést na aplikaci.

Po přidání/vytvoření klikněte levým tlačítkem na novou aplikaci SecuSign, poté uprostřed okna /SecuSign – domovská stránka dvakrát klikněte na Výchozí dokument a zkontrolujte, že je výchozí dokument nastaven na Default.asmx. Pokud dokument v seznamu chybí, můžete jej přidat pomocí pravého menu AkcePřidat.

Instalace licenčního certifikátu

Pro správné fungování webové služby SecuSign je zapotřebí nastavit přístup k licenčnímu certifikátu.

  • Stáhněte a otevřete dodaný PDF soubor s licenčním certifikátem.V souboru klikněte na odkaz „STÁHNOUT ELEKTRONICKÝ LICENČNÍ CERTIFIKÁT“, pomocí kterého se nabídne ke stažení soubor ve formátu P12 (licenční certifikát).Tento soubor uložte do umístění, kam bude mít webová služba SecuSign přístup pro čtení.

  • Nastavte cestu k souboru licenčního certifikátu a heslo do konfiguračního souboru Web.config, který naleznete v adresáři webové služby (WebService), jako hodnoty klíčů LicCertPath a LicCertPass.

V případě využití .NET knihoven SecuSign SDK se cesta k souboru licenčního certifikátu a heslo nastavují jako hodnoty klíčů LicCertPath a LicCertPass v konfiguračním souboru Assembly.config. Klíče je nutné vytvořit v části <appSettings>.

Test funkčnosti licenčního certifikátu

  1. Otevřete webový prohlížeč a zadejte adresu „[vašeho serveru]/[název webové služby]“.

  2. Vyberte metodu GetVersionInfo.

  3. Klikněte na tlačítko Vyvolat (Invoke).

  4. Podle výstupu zjistíte, zda je certifikát nainstalovaný správně.Správným výstupem je informace s názvem produktu, jeho verzí a maximální velikostí požadavku.

Nastavení certifikátu elektronické pečeti

Konfiguraci certifikátu (kvalifikované) elektronické pečeti pro podepsání souboru metodou Seal nebo SealEx je potřebné provést v adresáři webové služby a souboru Web.config.

Do elementu <appSettings> vyplňte hodnoty klíčů SigningCertPath (cesta k .p12/.pfx souboru) a SigningCertPass (heslo k privátnímu klíči certifikátu):

<add key="SigningCertPath" value="soubor.pfx" />

<add key="SigningCertPass" value="heslo" />

Pro kvalifikovanou pečeť lze také použít certifikát z hardwarového prostředku (HSM), který je umístěn lokálně (přístup přes PKCS11 rozhraní) nebo vzdáleně (přístup přes webové služby). Více informací naleznete v technické příručce SecuSign SDK.

Konfigurace logování a dalších parametrů

Detailní logování všech požadavků a nastavení dalších parametrů SecuSign SDK je možné provést v konfiguračním souboru webové služby Web.config.Dostupné parametry jsou zapsány a okomentovány v elementu <appSettings>.

Všechna konfigurační nastavení jsou popsána kapitole Konfigurace.