Vzdálené pečetění

Služba Vzdáleného pečetění (SecuSeal) vyžaduje pro svou funkčnost určitá nastavení – ta jsou závislá na zabezpečení služby pro volající aplikace či uživatele (dle požadavků zákazníka).

Identifikace HSM certifikátu (prefix)

Ve výchozím nastavení SecuSign SDK je zapotřebí pro identifikaci HSM certifikátu nastavit ve volání metody Seal prefix HStore:

Příklad:

  • <CertificateID>HStore:dfa3013e-51c2-6f78-0d1b-e66c22ff815b</CertificateID>
    pro konkrétní certifikát

  • <CertificateID>HStore:0-0-0-0-0</CertificateID>
    pro výchozí certifikát (pokud je nastavený v HSM přístupu zákazníka)

Aby volající nemusel prefix HStore ve volání metody Seal specifikovat, je možné tento nastavit pomocí konfiguračního klíče:

<add key="Seal_DefaultToQStore" value="true"/>

Důvěryhodné prostředí

V důvěryhodném prostředí, kdy služby SecuSign SDK bude využívat důvěryhodná aplikace (třeba spisová služba s vlastní databází uživatelů), je možné v konfiguračním souboru webové služby WebService\Web.config do elementu <appSettings> nastavit:

<add key="TrustUserID" value="true"/>

V takovém případě se předpokládá, že uživatele již autentizovala (ověřila) volající důvěryhodná aplikace, a webová služba SecuSign tak volající aplikaci důvěřuje předané „ID“ uživatele.

Nutnou podmínkou při opečetění dokumentu pro uživatele s vlastním ID je, aby jeho ID bylo nastaveno již při generování certifikátu Vzdálené pečeti v HSM.

Toto nastavení má vyšší nároky na zabezpečení komunikace mezi volající aplikací a webovou službou SecuSign SDK. Komunikaci je zapotřebí zabezpečit buď klientským certifikátem (viz AuthCertHash a AuthCertHash_SealOnly) nebo základním ověřením (viz VerifyUsersOfSeal).

Zabezpečení přístupu

Kromě standardního zabezpečení pro ověření přístupu k certifikátu Vzdálené pečeti mezi SecuSign SDK a HSM (viz kapitolu Autentizační certifikát), lze na webové službě SecuSign nastavit další úroveň ověření volající aplikace, a to dvěma způsoby: buď certifikátem nebo jménem a heslem.

Ověření certifikátem

Pro tyto účely je zapotřebí do konfiguračního souboru webové služby nastavit klíče (od verze 2.1.7647.1208):

<add key="AuthCertHash_SealOnly" value="true"/>

<add key="AuthCertHash" value="8b1cab77e5………5d4c93c580"/>

Do hodnoty AuthCertHash je třeba nastavit kryptografický otisk klientského certifikátu, na jehož základě se bude volající aplikace k webové službě autentizovat. Standardně je to komerční serverový certifikát PostSignum vydaný zákazníkovi pro konzumaci služby Vzdáleného pečetění (viz kapitolu Autentizační certifikát).

Zároveň je zapotřebí ve Správci IIS (inetmgr.exe) u aplikace SecuSign změnit Nastavení SSL, kde se zaškrtne volba Vyžadovat SSL a pro klientský certifikát nastaví volba Akceptovat.

Pokud klíče AuthCertHash nebo AuthCertHash_SealOnly nejsou vůbec nastaveny, nebo pokud je klíč VerifyUsers nastaven na hodnotu True, je k WS umožněn přístup bez autentizace.

konfigurace11

Ověření jménem a heslem

Pro tyto účely je zapotřebí do konfiguračního souboru webové služby nastavit klíč:

<add key="VerifyUsersOfSeal" value="true"/>

Volající bude ověřen vůči svému 602 ID.

Ověření funkčnosti

Funkčnost webových služeb SecuSign SDK pro službu SecuSeal (Vzdálené pečetění) lze ověřit několika způsoby.

Pokud není k dispozici vlastní .NET/Java aplikace, lze využít open source projektu (aplikaci) SoapUI.

Po stažení, instalaci a spuštění aplikace SoapUI je třeba přes menu File > New Soap Project vlastní projekt pojmenovat a importovat do něj webové definice služeb (WSDL). Ty lze získat z adresy webové služby SecuSign SDK, např. http://localhost/secusign/default.asmx?wsdl, respektive https://domena/secusign/default.asmx?wsdl.

Po importu rozklikněte pojmenovaný projekt > TSPWebServiceSoap > metodu Seal.

Do již vytvořeného, nebo nového požadavku (pravé tlačítko na Seal > New request), vložte následující XML:

<?xml version="1.0" encoding="UTF-8"?>
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:sec="http://software602.com/secusign/">
   <soapenv:Header/>
   <soapenv:Body>
      <sec:Seal>
         <sec:FileName>TestDocument.pdf</sec:FileName>
         <sec:Input>Base64Binary</sec:Input>
         <sec:FileType>PDF</sec:FileType>
         <!--Optional:-->
         <sec:CertificateID/>
         <!--Optional:-->
         <sec:PrivateKeyPIN/>
         <!--Optional:-->
         <sec:SignatureType>DEFAULT</sec:SignatureType>
         <!--Optional:-->
         <sec:Params/>
      </sec:Seal>
   </soapenv:Body>
</soapenv:Envelope>

A namísto Base64Binary v <sec:Input>…</sec:Input> přes pravé tlačítko > Insert file as Base64 vložte libovolný PDF soubor z disku.

Případně si stáhněte a do SoapUI projektu metody Seal nakopírujte připravené XML s již vloženým PDF souborem.

Pokud ověření funkčnosti služby SecuSeal (Vzdáleného pečetění) pomocí výše uvedeného postupu nebylo úspěšné, zkontrolujte tato konfigurační nastavení SecuSign SDK.

Webová služba

Je povolen (odkomentován) klíč:

<add key="Seal_DefaultToQStore" value="true"/>

Odchozí komunikace

Je povolena odchozí komunikace odpovídající backendové prostředí podle kapitoly Prostupy a prostředí, a v případě nutnosti komunikace SecuSign SDK serveru do internetu přes proxy server je provedena konfigurace viz kapitola Proxy server.

Licenční certifikát

Je nastaven licenční certifikát (viz kapitola Licenční certifikát).

Autentizační certifikát

Je nastaven autentizační certifikát (viz kapitola Autentizační certifikát).

V případě potřeby kontaktujte technickou podporu Software602 a.s. – projektového či obchodního manažera.