Časová razítka

Časová razítka jsou poskytována samostatně nebo v rámci projektu vždy dle obchodní smlouvy. SecuSign SDK standardně poskytuje kvalifikovaná časová razítka od kvalifikovaného poskytovatele služeb vytvářejících důvěru PostSignum (Česká pošta s.p.).

V případě, že zákazník má uzavřenou vlastní smlouvu s tímto nebo jiným poskytovatelem služeb vytvářejících důvěru, je možné v konfiguraci SecuSign SDK povolit odběr těchto razítek, a vyplnit adresu serveru časových razítek s autentizačním údaji pro jejich získání.

Nastavení odběru časových razítek

Nastavení odběru časových razítek od jiného poskytovatele je možné provést dvěma způsoby – pomocí konfiguračního souboru nebo přes konfigurační stránku.

Nastavení pomocí konfiguračního souboru

V konfiguračním souboru webové služby InstallDir\WebService\Web.config se do elementu <appSettings> vyplní:

Unikátní klíč pro povolení odběru od jiného poskytovatele, poskytne obchodník na základě požadavku zákazníka/partnera:
- TSA_EnableURL
Adresa serveru časových razítek:
- TSA_URL
Autentizační údaje:
- Basic
- TSA_User – uživatelské jméno
- TSA_Pass – heslo
- Certifikátem
- TSA_CertHash – jehož hodnotou bude kryptografický otisk (thumbprint) nainstalovaného certifikátu od poskytovatele časových razítek (k tomuto certifikátu musí mít přístup aplikační pool webové služby SecuSign v IIS).

Příklad zápisu v konfiguračním souboru (elementy configuration a appSettings bývají již vytvořené):

<configuration>
    <appSettings>
        …
        <add key="TSA_EnableURL" value=" TSDS7-SRL7G…"/>
        <add key="TSA_URL" value=" https://demo.postsignum.cz:444/DEMO-TSS/HttpTspServer/"/>
        <add key="TSA_User" value="demoTSA" />
        <add key="TSA_Pass" value="demoTSA2010" />

        <!-- nebo -->
        <add key="TSA_EnableURL" value=" TSDS7-SRL7G…"/>
        <add key="TSA_URL" value="https://demo.postsignum.cz/DEMO-TSS/HttpTspServer/"/>
        <add key="TSA_CertHash" value="03 a4 cd…"/>
        …
    </appSettings>
</configuration>

Nastavení přes konfigurační stránku

Dostupné od verze 2.1.7233.1011.

Nastavuje se na konfigurační stránce webové služby, kterou otevřete ve webovém browseru na adrese SecuSign SDK serveru:

Výchozí adresa je http://localhost/secusign/config.aspx.
Vlastní adresa je například http://domena/secusign/config.aspx.

V okně Nastavení vlastního účtu časových razítek v poli Typ autentizace vyberte typ autentizace a podle nastavení pak zadejte:

Přihlašovací jméno a k němu odpovídající heslo.
Klientský certifikát (soubor autentizačního certifikátu PFX nebo P12) a k němu odpovídající heslo.

Zadané hodnoty se zapíšou do šifrovaného souboru (TSAKey.bin), který bude uložen na disku serveru ve složce, kde běží webová služba. Pro uložení .bin souboru je zapotřebí, aby do daného umístění měl aplikační pool služby, resp. uživatel pod kterým aplikační pool běží, právo zápisu.

Možné řešení:

Otevřít Správce IIS a nastavit identitu aplikačního poolu SecuSign na konkrétního uživatele (např. Administrator).

nebo

Nastavit oprávnění přístupu uživatelů "IIS_IUSRS a "IUSR" do daného umístění, např.
"C:\Program Files\Software602\SecuSign SDK\WebService".

Jinak se bude vracet chyba popsaná v kapitole Nastavení přes konfigurační stránku.

Konfigurační klíč TSA_URL (s adresou serveru časových razítek) je nutné zapsat do souboru Web.config.