Modul za generiranje e-potvrda je sistemski modul namijenjen sistemskim inženjerima ili djelatnicima informatičke službe visokog učilišta koji će ga instalirati i održavati na poslužitelju visokog učilišta.

Karakteristike

Modul omogućuje generiranje sljedećih vrsta e-potvrda, koje su navedene u katalogu "Potvrda":

  • 9 - Potvrda o upisu za internacionalnu uporabu (elektronički pečat)
  • 10 - Potvrda o upisu s prijepisom ocjena za internac. uporabu (elektronički pečat)
  • 11 - Potvrda o upisu (elektronički pečat)
  • 12 - Potvrda o upisu s prijepisom ocjena (elektronički pečat)

E-potvrde se pečatiraju PAdES-B (engl. PDF advanced electronic signature) elektroničkim pečatom i izdaju se bez svrhe. Elektronički pečat se izrađuje certifikatom visokog učilišta za elektronički pečat.

Zahtjev za generiranje e-potvrda mogu postaviti studenti na Studomatu ili djelatnici studentske službe kroz desktop aplikacije ISVU Studiji i studeni te ISVU Poslijediplomski studiji. Generirane e-potvrde se šalju na službeni e-mail studenta na ustanovi (prozor "Student na visokom učilištu", polje "E-mail na visokom učilištu"). Generiranje i slanje generiranih potvrda nije istovremeno, nego se događa asinkrono. Ispravnost izdanog dokumenta se može provjeriti na: https://www.isvu.hr/provjeraepotvrda/. Provjera je moguća samo za ne-probne potvrde generirane i poslane studentu na e-mail. Generirane e-potvrde se čuvaju najmanje 12 mjeseci od trenutka generiranja.

Preduvjeti

  • Linux operacijski sustav (preporuka: operacijski sustav baziran na Debianu, testirano na Debian 10 i 11)
  • minimalno 1GB radne memorije
  • java 11 ili više
  • zadovoljeni mrežni preduvjeti sukladno Mrežnim zahtjevima
  • zatražena i propuštena IP adresa modula
  • propušten port 11811 na vatrozidu poslužitelja
  • soft certifikat za elektronički pečat za pravnu osobu (.p12/.pfx datoteka s certifikatom i privatnim kriptografskim ključem visokog učilišta namijenjenom za izradu elektroničkih pečata)

Visoko učilište može nabaviti soft certifikat za elektronički pečat od Financijske agencije (Fina). Postupak nabavke je opisan na njihovim stranicama. Prilikom popunjavanja obrasca "Zahtjev za izdavanje certifikata za e-pečat za pravnu osobu" potrebno je odabrati kategoriju "Kvalificirani soft certifikat za e-pečat" i preuzimanje certifikata "U obliku p12 datoteke".

Postupak instalacije

Za ispravno funkcioniranje generiranje e-potvrda potrebna je samo jedna instanca modula.


  1. ISVU koordinator evidentira željene vrste e-potvrda za visoko učilište u prozoru "Potvrda za VU", modul ISVU Studiji i studenti.

  2. ISVU koordinator opcionalno popunjava Parametre potvrde s elektroničkim pečatom u modulu ISVU studiji i studenti ili ISVU Poslijediplomski studiji.

  3. ISVU koordinator registrira modul u prozoru "Modul za generiranje potvrda s elektroničkim pečatom", a koji se nalazi u modulu ISVU Admin Koordinator. Preporuka je evidentirati zapis s popunjenim poljem "Samo probne potvrde" na "Da" dok god se obavlja postupak instalacije, konfiguracije i testiranja e-potvrda. Dok god je postavljenja vrijednost na "Da" studentima se na Studomatu ne nudi postavljanje zahtjeva za izdavanje e-potvrda.

  4. Provjeriti koja verzija jave je instalirana na operacijskom sustavu. Jedan od načina:

    java -version

    Ako naredba nije prepoznata vjerojatno nije instalirana java. Instalacija pretpostavljene verzije jave za operacijski sustav:

    sudo apt install default-jre
  5. Preuzeti .zip arhivu modul s Preuzimanje ISVU desktop aplikacija.

  6. Raspakirati .zip arhive na željeno mjesto instalacije. Zip arhivu možete raspakirati na sljedeći način:

    unzip generiranje-epotvrda.zip

    Preporučena mjesta instalacije: /opt direktorij (npr. /opt/Srce) ili home direktorij korisnika pod kojim će se pokretati modul (npr. /home/korisnik/)

  7. Postavljanje dozvola u direktoriju generiranje-epotvrda. Korisnik pod kojim će se pokretati modul trebao bi biti vlasnik i imati dozvole za pisanje i čitanje svih datoteka.

    cd generiranje-epotvrda
chmod 644 *


    Dodatne dozvole za pokretanje bi trebao imati korisnik nad svim .sh skriptama u instalacijskom direktoriju:

    chmod 744 *.sh

  8. Editirati konfiguracijsku datoteku modula generiranjeEPotvrda.config. Potrebno je popuniti id (dobiven iz zapisa u prozoru "Modul za generiranje potvrda s elektroničkim pečatom") te apsolutnu putanju do .p12/.pfx datoteke. Primjer popunjene konfiguracijske datoteke:

    # konfiguracijska datoteka modula za generiranje potvrda s elektronickim pecatom

# ID modula (dobiven iz aplikacije ISVU Admin Koordinator)
id=qpfxob7696

# .p12/.pfx keystore lokacija (absolute path)
pkcs12=/home/korisnik/VU.p12

# sat, minuta i sekunda kad se pokrece redovito (svakonocno) azuriranje na novu verziju
# pretpostavljena vrijednost je 02:00:00
wakeup.hour=2
wakeup.minute=0
wakeup.second=0

    Preporučena lokacija p12 datoteke je home direktorij korisnika.

  9. S obzirom da su .p12/.pfx datoteke zaštićene lozinkom potrebno je modulu dati lozinku.Prije prvog pokretanja modula potrebno je lozinku (lozinka generirana prilikom preuzimanja SOFT certifikata) ručno upisati u p12.txt datoteku. Nakon uspješnog pokretanja modul će zapamtiti lozinku u kriptiranom obliku i obrisati p12.txt datoteku. Za daljnja naknadna pokretanja modula nije potrebno kreirati p12.txt datoteku. Datoteku je potrebno kreirati jedino ako se promijeni .p12/.pfx datoteka (npr. zbog isteka certifikata ili njegovog opoziva).

  10. Pokretanje, gašenje i provjera statusa modula se vrši preko skripte generiranjeepotvrda.sh:

    Pokretanje modula
    bash generiranjeepotvrda.sh start
Starting service: [  OK  ]
    Provjera statusa modula
    bash generiranjeepotvrda.sh status
Service (pid 31871) is running...
    Gašenje modula
    bash generiranjeepotvrda.sh stop
Killing service:  [  OK  ]
  11. Nakon pokretanja modula provjeriti u logovima je li sve u redu. Logovi aplikacije se nalaze u direktoriju log koji sadrži dvije datoteke app.log i error.log.
  12. (Opcionalno) Kroz desktop modul ISVU Studiji i studenti, prozor "Zahtjev za izdavanje potvrde s elektroničkim pečatom" generirati zahtjev za izdavanje probne potvrde. Status zahtjeva se može pratiti kroz prozor "Pregled zatraženih potvrda s elektroničkim pečatom". Nakon generiranja probna potvrda bi trebala doći na e-mail evidentiran u polju "E-mail za probne potvrde" u prozoru "Modul za generiranje potvrda s elektroničkim pečatom", modul ISVU Admin Koordinator.
  13. U prozoru "Modul za generiranje potvrda s elektroničkim pečatom", modul ISVU Admin Koordinator postaviti polje "Samo probne potvrde" na "Ne" kako bi se studentima krenula nuditi opcija za postavljanje zahtjeva za izdavanje e-potvrda.


Systemd konfiguracija

Systemd konfiguracija je opcionalna, ali ju je preporučeno odraditi, jer omogućuje da se modul automatski pokreće prilikom svakog paljenja stroja.


Daljni postupak pretpostavlja da je:

  • instalacijski direktorij modula /opt/Srce/generiranje-epotvrda
  • da se pokreće pod korisnikom i grupom epotvrda
  • da je modul ugašen

  1. Potrebno je kreirati datoteku generiranjeepotvrda.service

    cd /etc/systemd/system
sudo touch generiranjeepotvrda.service

  2. Datoteku popuniti s konfiguracijom:

    [Unit]
Description=Generiranje ePotvrda
After=syslog.target network.target local-fs.target remote-fs.target

[Service]
ExecStart=/bin/bash -c '${DIR}/generiranjeepotvrda.sh start > /dev/null'
ExecStop=/bin/bash -c '${DIR}/generiranjeepotvrda.sh stop > /dev/null'
WorkingDirectory=/opt/Srce/generiranje-epotvrda
StandardOutput=syslog
StandardError=syslog
SyslogIdentifier=generiranjeepotvrda
User=epotvrda
Group=epotvrda
Type=forking
Environment=DIR=/opt/Srce/generiranje-epotvrda
PermissionsStartOnly=false

[Install]
WantedBy=multi-user.target

  3. Napraviti ponovno učitavanje servisnih datoteka

    sudo systemctl daemon-reload

  4. Pokretanje modula

    sudo systemctl start generiranjeepotvrda.service

    Provjera statusa modula

    sudo systemctl status generiranjeepotvrda.service

  5. Omogućiti modul da se automatski pokreće prilikom svakog paljenja stroja

    sudo systemctl enable generiranjeepotvrda.service
  6. Nakon konfiguracije sva daljnja paljenja (start), gašenja (stop) i provjera statusa (status) servisa se radi preko systemctl naredbe.

Najčešća pitanja

  1. Može li se izdati e-potvrdu sa svrhom?
    Ne, takva mogućnost ne postoji. E-potvrde se izdaju isključivo bez svrhe. Ako Vam treba potvrda sa svrhom, molimo koristite odgovarajuću običnu potvrdu.

  2. Može li se izmijeniti izgled e-potvrde kao što se može i na običnim potvrda?
    Ne, izgled i sadržaj e-potvrde definira ISVU CP za sva visoka učilišta. Ako Vam treba drugačiji izgled i sadržaj, molimo koristite odgovarajuću običnu potvrdu.

  3. Mogu li instalirati modul za generiranje e-potvrda na Windows operacijskom sustavu?
    ISVU CP preporuča instalaciju modula na Linux operacijskom sustavu. Teoretski je moguće pokrenuti modul i na Windows operacijskom sustavu, međutim svu konfiguraciju i održavanje servisa korisnici moraju odraditi u vlastitom angažmanu.

  4. Prilikom pokretanja modula dobivam sljedeću grešku u error.log:

    FATAL - ID modula nije pronađen u datoteci generiranjeEPotvrda.config. Molimo evidentirajte vrijednost u property: id

    Prije pokretanja modula je potrebno evidentirati u datoteku generiranjeEPotvrda.config ID dobiven iz modula ISVU Admin Koordinator, prozor "Modul za generiranje potvrda s elektroničkim pečatom".

  5. Prilikom pokretanja modula dobivam sljedeću grešku u error.log:

    FATAL - Putanja do pkcs12 keystore nije pronađena u datoteci generiranjeEPotvrda.config. Molimo evidentirajte vrijednost u property: pkcs12

    Prije pokretanja modula je potrebno evidentirati u datoteku generiranjeEPotvrda.config cijelu putanju do .p12/.pfx datoteke.

  6. Prilikom pokretanja modula dobivam sljedeću grešku u error.log:

    FATAL - Ne postoji lozinka za pkcs12 keystore. Molimo popunite p12.txt datoteku prije pokretanja servisa.

    S obzirom da su .p12/.pfx datoteke zaštićene lozinkom potrebno je modulu dati lozinku. Prije prvog pokretanja modula lozinka se zapisuje u p12.txt datoteku. Nakon uspješnog pokretanja modul će zapamtiti lozinku u kriptiranom obliku i obrisati p12.txt datoteku. Za daljnja naknadna pokretanja modula nije potrebno kreirati p12.txt datoteku.

  7. Prilikom pokretanja modula dobivam sljedeću grešku (ili varijaciju greške): Pogreška kod raspakiravanja datoteke /opt/generiranje-epotvrda/fopFont.zip u direktorij /opt/generiranje-epotvrda /opt/generiranje-epotvrda/fopFont/arial.ttf (Pristup je odbijen)

    Ugasite modul. Najčešće se greška događa zbog neispravnih dozvola nad direktorije fopFont koji se nalazi u direktoriju modula. Provjeriti da li je vlasnik direktorija korisnik i jesu li mu dodijeljene odgovarajuće dozvole. Ako nisu dozvole se mogu dodijeliti na sljedeći način:

    chmod 770 fopFont
  8.  Student je postavio zahtjev za generiranje e-potvrde, međutim nije dobio e-potvrdu na svoj službeni e-mail.
    Obrada zahtjeva (generiranje e-potvrda) i slanje generiranih e-potvrda se događa asinkrono, a ne istovremeno. Također u modulu ISVU Studiji i studenti/ISVU Poslijediplomski studiji, prozor "Pregled zatraženih potvrda s elektroničkim pečatom" pogledajte u kojem je statusu zahtjev. Ako se dogodila pogreška prilikom generiranja ili slanja ona će biti zapisana u polju "Tekst pogreške".

  9. Studenti postavljaju zahtjeve, ali ti zahtjevi se ne obrađuju.
    Provjerite radi li modul za generiranje e-potvrda.

    Provjera statusa modula
    # ako ne postoji systemd konfiguracija za servis:
bash generiranjeepotvrda.sh status

# ako postoji systemd konfiguracija za servis:
sudo systemctl status <ime_servisa>

    Ako dobivate poruku da ne radi, pokrenite ga:

    Pokretanje modula
    # ako ne postoji systemd konfiguracija za servis:
bash generiranjeepotvrda.sh start

 # ako postoji systemd konfiguracija za servis:
sudo systemctl start <ime_servisa>

    Također je dobro pratiti logove u direktoriju log.

  10. Želim privremeno onemogućiti svim studentima postavljanje zahtjeve na Studomatu.
    U modulu ISVU Admin Koordinator postavite u prozoru "Modul za generiranje potvrda s elektroničkim pečatom" polje "Samo probne potvrde" na "Da"

  11. U programu za pregled PDF dokumenata (npr. Adobe Reader) dobivam poruku da valjanost potpisa nije poznata:

    Poruka ne znači nužno da potpis nije valjan, nego da aplikacija koja radi provjeru nema izdavatelja certifikata na popisu pouzdanih certifikata. Prvi korak je da pokušate ažurirati listu pouzdanih certifikata.
    Za npr. Adobe Reader ažuriranje se pokreće preko sljedećih opcija:

    Edit -> Preferences (Ctrl + K) -> Trust manager kategorija -> AATL updates -> Update Now
Edit -> Preferences (Ctrl + K) -> Trust manager kategorija -> EUTL updates -> Update Now

    Popis pouzdanih certifikata se može vidjeti na:

    Edit -> Preferences (Ctrl + K) -> Signatures kategorija -> Identities & Trusted Certificates -> gumb More -> Trusted certificates

    Također preporuka je da aplikacija vjeruje i certifikatima kojima vjeruje Windows operacijski sustav:

    Edit -> Preferences (Ctrl + K) -> Signatures kategorija ->Verification -> Windows integration-> označiti sve u Trust ALL root certificates in the Windows Certificate Store for

    Ako ništa od navedenog ne uspije moguće je da aplikacija/operacijski sustav nije još ažurirala svoj popis pouzdanih certifikata.

    Za Hrvatsku postoji popis pouzdanih izdavatelja:

    https://eidas.ec.europa.eu/efda/tl-browser/#/screen/tl/HR

    Na proizvođaču softvera ostaje da ažurira svoju aplikaciju i/ili definira politiku provjere unutar iste.

  • No labels