SIGNIUS SEAL

SIGNIUS SEAL CLIENT

Wprowadzenie

Celem tego przewodnika jest dostarczenie kompleksowego zrozumienia funkcjonalno┼Ťci oraz proces├│w zarz─ůdzania SIGNIUS Seal Client, co umo┼╝liwi efektywne i bezpieczne wykorzystanie produktu w codziennej pracy. Poprzez szczeg├│┼éowy opis interfejsu u┼╝ytkownika, konfiguracji oraz najlepszych praktyk, ten przewodnik stanowi niezb─Ödne ┼║r├│d┼éo wiedzy dla ka┼╝dego, kto chce w pe┼éni wykorzysta─ç potencja┼é SIGNIUS Seal Client w swojej organizacji.

Zakres

Dokumentacja 'Administrator Guide' stanowi wszechstronne ┼║r├│d┼éo wiedzy na temat procedur zwi─ůzanych z dzia┼éaniami Administratora (SIGNIUS Seal Client Configuration) produktu SIGNIUS Seal Client. Niniejszy przewodnik szczeg├│┼éowo opisuje procesy instalacji, konfiguracji oraz kompleksowego zarz─ůdzania systemem. Szczeg├│ln─ů uwag─Ö po┼Ťwi─Öcono tutaj kwestii dostosowania ustawie┼ä do indywidualnych potrzeb u┼╝ytkownika, co umo┼╝liwia optymalizacj─Ö pracy z SIGNIUS Seal.

Ponadto, dokumentacja zawiera praktyczne przyk┼éady konfiguracji proces├│w, kt├│re zosta┼éy specjalnie opracowane z my┼Ťl─ů o r├│┼╝norodnych scenariuszach wykorzystania piecz─Öci elektronicznej.

Architektura Systemu

Opis

System, przedstawiony na diagramie, sk┼éada si─Ö z dw├│ch g┼é├│wnych domen: Domeny Klienta oraz Domeny SIGNIUS. Diagram ilustruje proces, w kt├│rym klient wykorzystuje aplikacj─Ö biznesow─ů do generowania piecz─Öci cyfrowej przy u┼╝yciu us┼éug dostarczanych przez SIGNIUS.

Domena Klienta

Komponenty:

  • Driving/Business Application - aplikacja biznesowa wykorzystywana przez klienta do inicjowania procesu piecz─Ötowania dokument├│w.

  • SIGNIUS Seal Client - klient systemu SIGNIUS odpowiedzialny za komunikacj─Ö z serwerem SIGNIUS i przetwarzanie danych niezb─Ödnych do piecz─Ötowania dokument├│w.

  • Network folder - folder sieciowy, w kt├│rym przechowywane s─ů dokumenty do piecz─Ötowania.

Proces:

  • Aplikacja biznesowa klienta przekazuje dane do SIGNIUS Seal Client. SIGNIUS Seal Client generuje hash dokumentu (DocHash), kt├│ry jest wysy┼éany do serwera SIGNIUS przez REST API zabezpieczone protoko┼éem HTTPS.

Domena SIGNIUS

Komponenty:

  • GlobalSign API Server - serwer API firmy GlobalSign, kt├│ry odbiera hash dokumentu i inicjuje proces piecz─Ötowania.

  • Remote QTSP (Qualified Trust Service Provider) - us┼éuga zdalnego dostawcy us┼éug zaufania, kt├│ra zapewnia kwalifikowany znacznik czasowy oraz walidacj─Ö.

  • QSCD (Qualified Signature Creation Device) - kwalifikowane urz─ůdzenie do tworzenia sygnatur, kt├│re zapewnia bezpiecze┼ästwo procesu.

Proces:

  • GlobalSign API Server odbiera hash dokumentu przez REST API i przekazuje go do zdalnego QTSP. QTSP generuje kwalifikowany znacznik czasowy, kt├│ry jest nast─Öpnie u┼╝ywany do walidacji piecz─Öci na dokumencie. QSCD zapewnia piecz─Ö─ç kwalifikowan─ů, zamykaj─ůc proces.

Bezpieczeństwo i komunikacja

Komunikacja mi─Ödzy klientem, a serwerem SIGNIUS oraz mi─Ödzy serwerem SIGNIUS, a zdalnym QTSP jest zabezpieczona przy u┼╝yciu HTTPS, co zapewnia poufno┼Ť─ç i integralno┼Ť─ç przesy┼éanych danych. Wykorzystanie protoko┼éu HTTPS oraz zaufanych komponent├│w takich jak QTSP i QSCD gwarantuje wysoki poziom bezpiecze┼ästwa w procesie weryfikacji i piecz─Ötowania dokument├│w.

System jest kompleksowym rozwi─ůzaniem do generowania i weryfikacji piecz─Öci cyfrowych, integruj─ůcym aplikacje biznesowe klienta z zaawansowanymi us┼éugami kryptograficznymi dostarczanymi przez SIGNIUS oraz partner├│w zewn─Ötrznych, takich jak GlobalSign.

Wymagania Systemowe

System Operacyjny

  • Windows Server 2012 lub nowszy

  • CentOS 7 lub nowszy

  • Debian 9 lub nowszy

  • Fedora 32 lub nowszy

  • Red Hat Enterprise Linux 7

  • SUSE Enterprise Linux (SLES) 12 SP2 lub nowszy

Baza Danych

  • MS-SQL, Oracle, PostgreSQL, DB2

Host

  • RAM - 4 GB

  • CPU 3 GHz, 4 rdzenie

  • Miejsce wolne na dysku twardym: 5 GB

Wydajno┼Ť─ç

Chocia┼╝ wydajno┼Ť─ç serwera SIGNIUS SEAL jest superszybka, og├│lne wyniki mog─ů zale┼╝e─ç od innych czynnik├│w:

  • Op├│┼║nienie sieciowe

  • Rozmiar plik├│w

  • Wydajno┼Ť─ç QSCD

  • D┼éugo┼Ť─ç klucza RSA/ECC

Wymagania Oprogramowania

  • .NET runtime w wersji 6.0.26 lub innej z serii 6.x

  • ASP.NET 6.0.0 Core - Shared Framework lub inne z serii 6.x

  • Microsoft Windows Desktop Runtime ÔÇô 6.0.26 lub inne z serii 6.x

Instalacja SIGNIUS Seal Client

Przygotowanie Środowiska

Upewnienie si─Ö, ┼╝e na komputerze zainstalowane s─ů wymagane wersje .NET:

  • .NET runtime w wersji 6.0.25 lub innej z serii 6.x.

  • ASP.NET Core 6.0.25 Shared Framework lub inne z serii 6.x.

  • Microsoft Windows Desktop Runtime ÔÇô 6.0.26 lub inne z serii 6.x

Instalacja SIGNIUS Seal Client

  • Pobranie instalatora SIGNIUS Seal Client z oficjalnej strony lub za pomoc─ů linku dostarczonego przez producenta.

  • Uruchomienie pobranego instalatora i post─Öpowanie zgodnie z wy┼Ťwietlanymi krokami. Upewnienie si─Ö, ┼╝e wszystkie wymagane sk┼éadniki s─ů zainstalowane i skonfigurowane zgodnie z instrukcjami.

Aktywacja Aplikacji

  • Po zako┼äczeniu instalacji, nale┼╝y otworzy─ç aplikacj─Ö SIGNIUS Seal Configuration.

  • Nast─Öpnie przej┼Ť─ç do zak┼éadki ÔÇ×LicenseÔÇť

  • W zak┼éadce ÔÇ×LicenseÔÇť nale┼╝y znale┼║─ç i skopiowa─ç Hardware ID, korzystaj─ůc z opcji dost─Öpnej po klikni─Öciu lewym przyciskiem myszy.

Generowanie Licencji

  • Nale┼╝y przej┼Ť─ç do zak┼éadki "License" w SIGNIUS Seal Configuration aplikacji i skopiowane Hardware ID wys┼éa─ç do dostawcy oprogramowania (Vendora) w celu wygenerowania licencji

  • Po otrzymaniu licencji, nale┼╝y post─Öpowa─ç zgodnie z instrukcjami dostawcy, aby aktywowa─ç SIGNIUS Seal Client.

Instalacja Licencji

  • Po otrzymaniu pliku licencyjnego, nale┼╝y wr├│ci─ç do aplikacji SIGNIUS Seal Configuration.

  • W zak┼éadce ÔÇ×LicenseÔÇť nale┼╝y wklei─ç otrzyman─ů licencj─Ö i zapisa─ç zmiany.

Konfiguracja appsettings.json

Po pomy┼Ťlnej instalacji aplikacji SIGNIUS Seal Client istotnym krokiem jest w┼éa┼Ťciwe ustawienie parametr├│w dzia┼éania aplikacji w pliku konfiguracyjnym appsettings.json. Plik ten zawiera wszystkie niezb─Ödne informacje dotycz─ůce po┼é─ůcze┼ä, protoko┼é├│w komunikacyjnych oraz szczeg├│┼é├│w dotycz─ůcych certyfikat├│w i kluczy API. Poni┼╝ej przedstawiono szczeg├│┼éowe informacje o konfiguracji tego pliku oraz wskaz├│wki, kt├│re pozwol─ů na p┼éynne przej┼Ťcie od procesu instalacji do uruchomienia i u┼╝ytkowania aplikacji.

Plik appsettings.json zawiera kluczowe konfiguracje aplikacji SIGNIUS Seal Client, w tym ustawienia dotycz─ůce port├│w i protoko┼é├│w wykorzystywanych do komunikacji z us┼éugami zewn─Ötrznymi.

Struktura pliku appsettings.json

Plik konfiguracyjny sk┼éada si─Ö z r├│┼╝nych sekcji, kt├│re opisuj─ů zar├│wno lokalne, jak i zdalne procesy, a tak┼╝e szczeg├│┼éy dotycz─ůce logowania i debugowania.

  • localRest: W┼é─ůcza obs┼éug─Ö REST API na lokalnym serwerze.

  • localHost: Adres hosta lokalnego, zwykle 127.0.0.1.

  • localPort: Port, na kt├│rym nas┼éuchuje lokalny serwer REST API, domy┼Ťlnie 8089. Jest to port, kt├│ry nale┼╝y u┼╝y─ç podczas wykonywania zapyta┼ä z narz─Ödzi zewn─Ötrznych i serwer├│w aplikacyjnych

  • localUseHttps: Okre┼Ťla, czy po┼é─ůczenie z lokalnym serwerem powinno wykorzystywa─ç protok├│┼é HTTPS.

  • localCertificate i localCertificatePassword: ┼Ücie┼╝ka i has┼éo do certyfikatu (P12/PFX) u┼╝ywanego przy po┼é─ůczeniu HTTPS.

Ustawienia Logowania i Debugowania

  • FullDebug: W┼é─ůcza pe┼éne logowanie dla cel├│w debugowania.

  • Serilog: Konfiguracja logowania Serilog, w tym poziomy logowania i cele, do kt├│rych logi s─ů zapisywane.

UWAGI

  1. Ustawienia localPort powinny by─ç zgodne z konfiguracj─ů firewalla i przekierowaniami port├│w, aby umo┼╝liwi─ç poprawn─ů komunikacj─Ö.

  2. Zmiany w pliku appsettings.json wymagaj─ů restartu aplikacji, aby nowa konfiguracja zosta┼éa zaaplikowana.

  3. W przypadku problem├│w z instalacj─ů, skontaktuj si─Ö z pomoc─ů techniczn─ů.

  4. Dok┼éadnie przestrzegaj instrukcji Vendora dotycz─ůcych aktywacji i konfiguracji licencji.


Konfiguracja Po┼é─ůczenia SIGNIUS Seal Client

Dokumentacja ta opisuje proces konfiguracji po┼é─ůczenia z us┼éug─ů podpisywania cyfrowego SIGNIUS Seal Client. W zale┼╝no┼Ťci od wersji oprogramowania u┼╝ytkownik ma mo┼╝liwo┼Ť─ç wyboru mi─Ödzy wieloma dostawcami us┼éug. Poni┼╝ej przedstawiono szczeg├│┼éowe kroki konfiguracji dla dostawcy GlobalSign.

Przej┼Ťcie do zak┼éadki "Connection settings"

Po wklejeniu licencji, u┼╝ytkownik przechodzi do zak┼éadki Connection settings w celu wprowadzenia niezb─Ödnych informacji umo┼╝liwiaj─ůcych po┼é─ůczenie z wybranym dostawc─ů us┼éug podpisu cyfrowego.

Wybór dostawcy usług

Z rozwijanej listy Provider Type, u┼╝ytkownik wybiera providera.

Wprowadzenie adresu URL dostawcy

W polu Provider URL, użytkownik wpisuje adres URL, który posłuży do komunikacji i wysyłania zapytań do dostawcy.

Wprowadzenie klucza API i sekretu API

W kolejnych polach, u┼╝ytkownik wprowadza klucz API (API-Key) oraz sekret API (API Secret), kt├│re s─ů wymagane do autentykacji i komunikacji z us┼éug─ů.

Załadowanie certyfikatu klienta

U┼╝ytkownik musi r├│wnie┼╝ wskaza─ç ┼Ťcie┼╝k─Ö do pliku certyfikatu klienta o rozszerzeniu .pfx w polu Client certificate filename i wprowadzi─ç has┼éo do certyfikatu w polu Client certificate password, je┼Ťli jest ono wymagane.

Nawi─ůzanie po┼é─ůczenia

Po wprowadzeniu wszystkich wymaganych informacji, u┼╝ytkownik finalizuje proces klikaj─ůc przycisk "Connect".

Przykładowa konfiguracja:

Po zako┼äczeniu powy┼╝szych krok├│w, u┼╝ytkownik b─Ödzie mia┼é skonfigurowane po┼é─ůczenie z wybranym dostawc─ů us┼éug podpisu cyfrowego. Jest to niezb─Ödne do korzystania z funkcji podpisywania oferowanych przez SIGNIUS Seal Client w ramach aplikacji.

Konfiguracja procesu XAdES opartego o REST

Dokumentacja ta ma na celu opisanie konfiguracji procesu podpisu cyfrowego przy użyciu aplikacji SIGNIUS Seal Client. Poniżej przedstawiono przykład konfiguracji procesu dla podpisu XAdES w oparciu o REST.

Utworzenie Nowego Procesu

Po nawi─ůzaniu po┼é─ůczenia z us┼éug─ů, u┼╝ytkownik jest automatycznie przenoszony do zak┼éadki Processes. Aby utworzy─ç nowy proces, nale┼╝y klikn─ů─ç zielony przycisk z plusem.

Nadanie Nazwy Procesu

W polu nazwy procesu wpisujemy XAdES, co b─Ödzie oznacza─ç proces s┼éu┼╝─ůcy do podpisywania plik├│w .XML.

Wyb├│r Metody Komunikacji

Z rozwijanej listy w polu API form wybieramy REST, co oznacza, ┼╝e komunikacja z us┼éug─ů podpisu b─Ödzie odbywa─ç si─Ö przez REST API.

Wyb├│r Formatu Podpisu

W sekcji Signature format wybieramy XAdES_BES z rozwijanego menu, co jest formatem podpisu przeznaczonym dla plik├│w .XML.

Zaznaczenie Signature Detached

Podpis nie jest wbudowany bezpo┼Ťrednio w dokument, ale jest przechowywany osobno.

Zapisanie Procesu

Po wprowadzeniu wszystkich danych, proces jest zapisywany przy użyciu przycisku w kształcie dyskietki.

Uruchomienie Procesu

Przechodzimy do zakładki "Service Status" i uruchamiamy service, co pozwoli na podpisywanie dokumentów.

Poni┼╝ej przedstawiono przyk┼éadow─ů konfiguracj─Ö dla procesu XAdES z powy┼╝szymi danymi:

Konfiguracja procesu PAdES opartego o FILESYSTEM

Dokumentacja ta ma na celu opisanie konfiguracji procesu podpisu cyfrowego przy użyciu aplikacji SIGNIUS Seal Client. Poniżej przykład dla konfiguracji procesu dla podpisu PAdES w oparciu o FILESYSTEM (system plików).

Utworzenie Nowego Procesu

Podobnie jak przy konfiguracji XAdES, rozpoczynamy od zak┼éadki Processes i tworzymy nowy proces klikaj─ůc zielony przycisk z plusem.

Nadanie Nazwy Procesu

W polu nazwy procesu wpisujemy XAdES, co b─Ödzie oznacza─ç proces s┼éu┼╝─ůcy do podpisywania plik├│w .PDF.

Wyb├│r Metody Komunikacji

Z rozwijanej listy w polu API form wybieramy FILESYSTEM, co oznacza, ┼╝e komunikacja z us┼éug─ů podpisu b─Ödzie odbywa─ç si─Ö przez lokalny system plik├│w (katalog wymiany)

Wyb├│r Formatu Podpisu

W sekcji Signature format wybieramy PAdES_BES z rozwijanego menu, co jest formatem podpisu przeznaczonym dla plik├│w .PDF.

Okre┼Ťlenie Lokalizacji dla Share Folder

Tworzymy katalog C:/tmp/PAdES na dysku systemowym, który posłuży jako folder współdzielony dla procesu podpisu. (lokalizacja dowolna, dla przykładu stworzony został taki folder)

Zapisanie Procesu

Proces jest zapisywany przy użyciu przycisku w kształcie dyskietki.

Uruchomienie Procesu

Przechodzimy do zakładki "Service Status" i uruchamiamy proces.

Poni┼╝ej przedstawiono przyk┼éadow─ů konfiguracj─Ö dla procesu PADES z powy┼╝szymi danymi:

Testowanie Procesu PAdES

Uruchomienie Serwisu

Po uruchomieniu serwisu przechodzimy do wcze┼Ťniej okre┼Ťlonej lokalizacji np. C:\tmp\PAdES

Przygotowanie Dokumentu

Wybieramy dokument z rozszerzeniem .pdf do podpisania.

U┼╝ycie Folder├│w do Podpisu

Dokument .pdf umieszczamy w folderze in. Po krótkim czasie dokument znika z folderu in i pojawia się jako podpisany w folderze out. W przypadku błędów w procesie podpisywania dokument pojawi się w folderze "err"

Last updated