SIGNIUS SEAL

Wprowadzenie

Celem tego przewodnika jest dostarczenie kompleksowego zrozumienia funkcjonalności oraz procesów zarządzania SIGNIUS Seal Client, co umożliwi efektywne i bezpieczne wykorzystanie produktu w codziennej pracy. Poprzez szczegółowy opis interfejsu użytkownika, konfiguracji oraz najlepszych praktyk, ten przewodnik stanowi niezbędne źródło wiedzy dla każdego, kto chce w pełni wykorzystać potencjał SIGNIUS Seal Client w swojej organizacji.

Zakres

Dokumentacja 'Administrator Guide' stanowi wszechstronne źródło wiedzy na temat procedur związanych z działaniami Administratora (SIGNIUS Seal Client Configuration) produktu SIGNIUS Seal Client. Niniejszy przewodnik szczegółowo opisuje procesy instalacji, konfiguracji oraz kompleksowego zarządzania systemem. Szczególną uwagę poświęcono tutaj kwestii dostosowania ustawień do indywidualnych potrzeb użytkownika, co umożliwia optymalizację pracy z SIGNIUS Seal.

Ponadto, dokumentacja zawiera praktyczne przykłady konfiguracji procesów, które zostały specjalnie opracowane z myślą o różnorodnych scenariuszach wykorzystania pieczęci elektronicznej.

Architektura Systemu

Opis

System, przedstawiony na diagramie, składa się z dwóch głównych domen: Domeny Klienta oraz Domeny SIGNIUS. Diagram ilustruje proces, w którym klient wykorzystuje aplikację biznesową do generowania pieczęci cyfrowej przy użyciu usług dostarczanych przez SIGNIUS.

Domena Klienta

Komponenty:

• Driving/Business Application - aplikacja biznesowa wykorzystywana przez klienta do inicjowania procesu pieczętowania dokumentów.

• SIGNIUS Seal Client - klient systemu SIGNIUS odpowiedzialny za komunikację z serwerem SIGNIUS i przetwarzanie danych niezbędnych do pieczętowania dokumentów.

• Network folder - folder sieciowy, w którym przechowywane są dokumenty do pieczętowania.

Proces:

• Aplikacja biznesowa klienta przekazuje dane do SIGNIUS Seal Client. SIGNIUS Seal Client generuje hash dokumentu (DocHash), który jest wysyłany do serwera SIGNIUS przez REST API zabezpieczone protokołem HTTPS.

Domena SIGNIUS

Komponenty:

• GlobalSign API Server - serwer API firmy GlobalSign, który odbiera hash dokumentu i inicjuje proces pieczętowania.

• Remote QTSP (Qualified Trust Service Provider) - usługa zdalnego dostawcy usług zaufania, która zapewnia kwalifikowany znacznik czasowy oraz walidację.

• QSCD (Qualified Signature Creation Device) - kwalifikowane urządzenie do tworzenia sygnatur, które zapewnia bezpieczeństwo procesu.

Proces:

• GlobalSign API Server odbiera hash dokumentu przez REST API i przekazuje go do zdalnego QTSP. QTSP generuje kwalifikowany znacznik czasowy, który jest następnie używany do walidacji pieczęci na dokumencie. QSCD zapewnia pieczęć kwalifikowaną, zamykając proces.

Bezpieczeństwo i komunikacja

Komunikacja między klientem, a serwerem SIGNIUS oraz między serwerem SIGNIUS, a zdalnym QTSP jest zabezpieczona przy użyciu HTTPS, co zapewnia poufność i integralność przesyłanych danych. Wykorzystanie protokołu HTTPS oraz zaufanych komponentów takich jak QTSP i QSCD gwarantuje wysoki poziom bezpieczeństwa w procesie weryfikacji i pieczętowania dokumentów.

System jest kompleksowym rozwiązaniem do generowania i weryfikacji pieczęci cyfrowych, integrującym aplikacje biznesowe klienta z zaawansowanymi usługami kryptograficznymi dostarczanymi przez SIGNIUS oraz partnerów zewnętrznych, takich jak GlobalSign.

Wymagania Systemowe

System Operacyjny

• Windows Server 2012 lub nowszy

• CentOS 7 lub nowszy

• Debian 9 lub nowszy

• Fedora 32 lub nowszy

• Red Hat Enterprise Linux 7

• SUSE Enterprise Linux (SLES) 12 SP2 lub nowszy

Baza Danych

• serverowa:

  • MS-SQL,

  • Oracle,

  • PostgreSQL,

  • DB2

• plikowa, na bazie bibliotek:

  • SQLite

Host

• RAM - 4 GB

• CPU 3 GHz, 4 rdzenie

• Miejsce wolne na dysku twardym: 5 GB

Wydajność

Chociaż wydajność serwera SIGNIUS SEAL jest superszybka, ogólne wyniki mogą zależeć od innych czynników:

• Opóźnienie sieciowe

• Rozmiar plików

• Wydajność QSCD

• Długość klucza RSA/ECC

Wymagania Oprogramowania

• .NET runtime w wersji 8.0.0 lub innej z serii 8.x

• ASP.NET 8.0.0 Core - Shared Framework lub inne z serii 8.x

• Microsoft Windows Desktop Runtime – 8.0.0 lub inne z serii 8.x

Instalacja SIGNIUS Seal Client

Przygotowanie Środowiska

Upewnienie się, że na komputerze zainstalowane są wymagane wersje .NET:

• .NET runtime w wersji 8.0.0 lub innej z serii 8.x.

• ASP.NET Core 8.0.0 Shared Framework lub inne z serii 8.x.

• Microsoft Windows Desktop Runtime – 8.0.0 lub inne z serii 8.x

Instalacja SIGNIUS Seal Client

• Pobranie instalatora SIGNIUS Seal Client z oficjalnej strony lub za pomocą linku dostarczonego przez producenta.

• Uruchomienie pobranego instalatora i postępowanie zgodnie z wyświetlanymi krokami. Upewnienie się, że wszystkie wymagane składniki są zainstalowane i skonfigurowane zgodnie z instrukcjami.

Aktywacja Aplikacji

• Po zakończeniu instalacji, należy otworzyć aplikację SIGNIUS Seal Configuration.

• Następnie przejść do zakładki „License“

• W zakładce „License“ należy znaleźć i skopiować Hardware ID, korzystając z opcji dostępnej po kliknięciu lewym przyciskiem myszy.

Generowanie Licencji

• Należy przejść do zakładki "License" w SIGNIUS Seal Configuration aplikacji i skopiowane Hardware ID wysłać do dostawcy oprogramowania (Vendora) w celu wygenerowania licencji

• Po otrzymaniu licencji, należy postępować zgodnie z instrukcjami dostawcy, aby aktywować SIGNIUS Seal Client.

Instalacja Licencji

• Po otrzymaniu pliku licencyjnego, należy wrócić do aplikacji SIGNIUS Seal Configuration.

• W zakładce „License“ należy wkleić otrzymaną licencję i zapisać zmiany.

Konfiguracja appsettings.json

Po pomyślnej instalacji aplikacji SIGNIUS Seal Client istotnym krokiem jest właściwe ustawienie parametrów działania aplikacji w pliku konfiguracyjnym appsettings.json. Plik ten zawiera wszystkie niezbędne informacje dotyczące połączeń, protokołów komunikacyjnych oraz szczegółów dotyczących certyfikatów i kluczy API. Poniżej przedstawiono szczegółowe informacje o konfiguracji tego pliku oraz wskazówki, które pozwolą na płynne przejście od procesu instalacji do uruchomienia i użytkowania aplikacji.

Plik appsettings.json zawiera kluczowe konfiguracje aplikacji SIGNIUS Seal Client, w tym ustawienia dotyczące portów i protokołów wykorzystywanych do komunikacji z usługami zewnętrznymi.

Struktura pliku appsettings.json

Plik konfiguracyjny składa się z różnych sekcji, które opisują zarówno lokalne, jak i zdalne procesy, a także szczegóły dotyczące logowania i debugowania.

• localRest: Włącza obsługę REST API na lokalnym serwerze.

• localHost: Adres hosta lokalnego, zwykle 127.0.0.1.

• localPort: Port, na którym nasłuchuje lokalny serwer REST API, domyślnie 8089. Jest to port, który należy użyć podczas wykonywania zapytań z narzędzi zewnętrznych i serwerów aplikacyjnych

• localUseHttps: Określa, czy połączenie z lokalnym serwerem powinno wykorzystywać protokół HTTPS.

• localCertificate i localCertificatePassword: Ścieżka i hasło do certyfikatu (P12/PFX) używanego przy połączeniu HTTPS.

Ustawienia Logowania i Debugowania

• FullDebug: Włącza pełne logowanie dla celów debugowania.

• Serilog: Konfiguracja logowania Serilog, w tym poziomy logowania i cele, do których logi są zapisywane.

UWAGI

Konfiguracja Połączenia SIGNIUS Seal Client

Dokumentacja ta opisuje proces konfiguracji połączenia z usługą podpisywania cyfrowego SIGNIUS Seal Client. W zależności od wersji oprogramowania użytkownik ma możliwość wyboru między wieloma dostawcami usług. Poniżej przedstawiono szczegółowe kroki konfiguracji dla dostawcy GlobalSign.

Przejście do zakładki "Connection settings"

Po wklejeniu licencji, użytkownik przechodzi do zakładki Connection settings w celu wprowadzenia niezbędnych informacji umożliwiających połączenie z wybranym dostawcą usług podpisu cyfrowego.

Wybór dostawcy usług

Z rozwijanej listy Provider Type, użytkownik wybiera providera.

Wprowadzenie adresu URL dostawcy

W polu Provider URL, użytkownik wpisuje adres URL, który posłuży do komunikacji i wysyłania zapytań do dostawcy.

Wprowadzenie klucza API i sekretu API

W kolejnych polach, użytkownik wprowadza klucz API (API-Key) oraz sekret API (API Secret), które są wymagane do autentykacji i komunikacji z usługą.

Załadowanie certyfikatu klienta

Użytkownik musi również wskazać ścieżkę do pliku certyfikatu klienta o rozszerzeniu .pfx w polu Client certificate filename i wprowadzić hasło do certyfikatu w polu Client certificate password, jeśli jest ono wymagane.

Nawiązanie połączenia

Po wprowadzeniu wszystkich wymaganych informacji, użytkownik finalizuje proces klikając przycisk "Connect".

Przykładowa konfiguracja:

Po zakończeniu powyższych kroków, użytkownik będzie miał skonfigurowane połączenie z wybranym dostawcą usług podpisu cyfrowego. Jest to niezbędne do korzystania z funkcji podpisywania oferowanych przez SIGNIUS Seal Client w ramach aplikacji.

Konfiguracja procesu XAdES opartego o REST

Dokumentacja ta ma na celu opisanie konfiguracji procesu podpisu cyfrowego przy użyciu aplikacji SIGNIUS Seal Client. Poniżej przedstawiono przykład konfiguracji procesu dla podpisu XAdES w oparciu o REST.

Utworzenie Nowego Procesu

Po nawiązaniu połączenia z usługą, użytkownik jest automatycznie przenoszony do zakładki Processes. Aby utworzyć nowy proces, należy kliknąć zielony przycisk z plusem.

Nadanie Nazwy Procesu

W polu nazwy procesu wpisujemy XAdES, co będzie oznaczać proces służący do podpisywania plików .XML.

Wybór Metody Komunikacji

Z rozwijanej listy w polu API form wybieramy REST, co oznacza, że komunikacja z usługą podpisu będzie odbywać się przez REST API.

Wybór Formatu Podpisu

W sekcji Signature format wybieramy XAdES_BES z rozwijanego menu, co jest formatem podpisu przeznaczonym dla plików .XML.

Zaznaczenie Signature Detached

Podpis nie jest wbudowany bezpośrednio w dokument, ale jest przechowywany osobno.

Zapisanie Procesu

Po wprowadzeniu wszystkich danych, proces jest zapisywany przy użyciu przycisku w kształcie dyskietki.

Uruchomienie Procesu

Przechodzimy do zakładki "Service Status" i uruchamiamy service, co pozwoli na podpisywanie dokumentów.

Poniżej przedstawiono przykładową konfigurację dla procesu XAdES z powyższymi danymi:

Konfiguracja procesu PAdES opartego o FILESYSTEM

Dokumentacja ta ma na celu opisanie konfiguracji procesu podpisu cyfrowego przy użyciu aplikacji SIGNIUS Seal Client. Poniżej przykład dla konfiguracji procesu dla podpisu PAdES w oparciu o FILESYSTEM (system plików).

Utworzenie Nowego Procesu

Podobnie jak przy konfiguracji XAdES, rozpoczynamy od zakładki Processes i tworzymy nowy proces klikając zielony przycisk z plusem.

Nadanie Nazwy Procesu

W polu nazwy procesu wpisujemy XAdES, co będzie oznaczać proces służący do podpisywania plików .PDF.

Wybór Metody Komunikacji

Z rozwijanej listy w polu API form wybieramy FILESYSTEM, co oznacza, że komunikacja z usługą podpisu będzie odbywać się przez lokalny system plików (katalog wymiany)

Wybór Formatu Podpisu

W sekcji Signature format wybieramy PAdES_BES z rozwijanego menu, co jest formatem podpisu przeznaczonym dla plików .PDF.

Określenie Lokalizacji dla Share Folder

Tworzymy katalog C:/tmp/PAdES na dysku systemowym, który posłuży jako folder współdzielony dla procesu podpisu. (lokalizacja dowolna, dla przykładu stworzony został taki folder)

Zapisanie Procesu

Proces jest zapisywany przy użyciu przycisku w kształcie dyskietki.

Uruchomienie Procesu

Przechodzimy do zakładki "Service Status" i uruchamiamy proces.

Poniżej przedstawiono przykładową konfigurację dla procesu PADES z powyższymi danymi:

Testowanie Procesu PAdES

Uruchomienie Serwisu

Po uruchomieniu serwisu przechodzimy do wcześniej określonej lokalizacji np. C:\tmp\PAdES

Przygotowanie Dokumentu

Wybieramy dokument z rozszerzeniem .pdf do podpisania.

Użycie Folderów do Podpisu

Dokument .pdf umieszczamy w folderze in. Po krótkim czasie dokument znika z folderu in i pojawia się jako podpisany w folderze out. W przypadku błędów w procesie podpisywania dokument pojawi się w folderze "err"