Modul za generiranje e-potvrda je sistemski modul namijenjen sistemskim inženjerima ili djelatnicima informatičke službe visokog učilišta koji će ga instalirati i održavati na poslužitelju visokog učilišta. |
Modul omogućuje generiranje sljedećih vrsta e-potvrda, koje su navedene u katalogu "Potvrda":
E-potvrde se pečatiraju PAdES-B (engl. PDF advanced electronic signature) elektroničkim pečatom i izdaju se bez svrhe. Elektronički pečat se izrađuje certifikatom visokog učilišta za elektronički pečat.
Zahtjev za generiranje e-potvrda mogu postaviti studenti na Studomatu ili djelatnici studentske službe kroz desktop aplikacije ISVU Studiji i studeni te ISVU Poslijediplomski studiji. Generirane e-potvrde se šalju na službeni e-mail studenta na ustanovi (prozor "Student na visokom učilištu", polje "E-mail na visokom učilištu"). Generiranje i slanje generiranih potvrda nije istovremeno, nego se događa asinkrono. Ispravnost izdanog dokumenta se može provjeriti na: https://www.isvu.hr/provjeraepotvrda/. Provjera je moguća samo za ne-probne potvrde generirane i poslane studentu na e-mail. Generirane e-potvrde se čuvaju najmanje 12 mjeseci od trenutka generiranja.
Visoko učilište može nabaviti soft certifikat za elektronički pečat od Financijske agencije (Fina). Postupak nabavke je opisan na njihovim stranicama. Prilikom popunjavanja obrasca "Zahtjev za izdavanje certifikata za e-pečat za pravnu osobu" potrebno je odabrati kategoriju "Kvalificirani soft certifikat za e-pečat" i preuzimanje certifikata "U obliku p12 datoteke".
Za ispravno funkcioniranje generiranje e-potvrda potrebna je samo jedna instanca modula. |
Provjeriti koja verzija jave je instalirana na operacijskom sustavu. Jedan od načina:
java -version |
Ako naredba nije prepoznata vjerojatno nije instalirana java. Instalacija pretpostavljene verzije jave za operacijski sustav:
sudo apt install default-jre |
Raspakirati .zip arhive na željeno mjesto instalacije. Zip arhivu možete raspakirati na sljedeći način:
unzip generiranje-epotvrda.zip |
Preporučena mjesta instalacije: /opt direktorij (npr. /opt/Srce) ili home direktorij korisnika pod kojim će se pokretati modul (npr. /home/korisnik/)
Postavljanje dozvola u direktoriju generiranje-epotvrda. Korisnik pod kojim će se pokretati modul trebao bi biti vlasnik i imati dozvole za pisanje i čitanje svih datoteka.
cd generiranje-epotvrda chmod 644 * |
Dodatne dozvole za pokretanje bi trebao imati korisnik nad svim .sh skriptama u instalacijskom direktoriju:
chmod 744 *.sh |
Editirati konfiguracijsku datoteku modula generiranjeEPotvrda.config. Potrebno je popuniti id (dobiven iz zapisa u prozoru "Modul za generiranje potvrda s elektroničkim pečatom") te apsolutnu putanju do .p12/.pfx datoteke. Primjer popunjene konfiguracijske datoteke:
# konfiguracijska datoteka modula za generiranje potvrda s elektronickim pecatom # ID modula (dobiven iz aplikacije ISVU Admin Koordinator) id=qpfxob7696 # .p12/.pfx keystore lokacija (absolute path) pkcs12=/home/korisnik/VU.p12 # sat, minuta i sekunda kad se pokrece redovito (svakonocno) azuriranje na novu verziju # pretpostavljena vrijednost je 02:00:00 wakeup.hour=2 wakeup.minute=0 wakeup.second=0 |
Preporučena lokacija p12 datoteke je home direktorij korisnika.
S obzirom da su .p12/.pfx datoteke zaštićene lozinkom potrebno je modulu dati lozinku. Prije prvog pokretanja modula lozinka se zapisuje u p12.txt datoteku. Nakon uspješnog pokretanja modul će zapamtiti lozinku u kriptiranom obliku i obrisati p12.txt datoteku. Za daljnja naknadna pokretanja modula nije potrebno kreirati p12.txt datoteku. Datoteku je potrebno kreirati jedino ako se promijeni .p12/.pfx datoteka (npr. zbog isteka certifikata ili njegovog opoziva).
Pokretanje, gašenje i provjera statusa modula se vrši preko skripte generiranjeepotvrda.sh:
bash generiranjeepotvrda.sh start Starting service: [ OK ] |
bash generiranjeepotvrda.sh status Service (pid 31871) is running... |
bash generiranjeepotvrda.sh stop Killing service: [ OK ] |
Systemd konfiguracija je opcionalna, ali ju je preporučeno odraditi, jer omogućuje da se modul automatski pokreće prilikom svakog paljenja stroja.
Daljni postupak pretpostavlja da je:
|
Potrebno je kreirati datoteku generiranjeepotvrda.service
cd /etc/systemd/system sudo touch generiranjeepotvrda.service |
Datoteku popuniti s konfiguracijom:
[Unit] Description=Generiranje ePotvrda After=syslog.target network.target local-fs.target remote-fs.target [Service] ExecStart=/bin/bash -c '${DIR}/generiranjeepotvrda.sh start > /dev/null' ExecStop=/bin/bash -c '${DIR}/generiranjeepotvrda.sh stop > /dev/null' WorkingDirectory=/opt/Srce/generiranje-epotvrda StandardOutput=syslog StandardError=syslog SyslogIdentifier=generiranjeepotvrda User=epotvrda Group=epotvrda Type=forking Environment=DIR=/opt/Srce/generiranje-epotvrda PermissionsStartOnly=false [Install] WantedBy=multi-user.target |
Napraviti ponovno učitavanje servisnih datoteka
sudo systemctl daemon-reload |
Pokretanje modula
sudo systemctl start generiranjeepotvrda.service |
Provjera statusa modula
sudo systemctl status generiranjeepotvrda.service |
Omogućiti modul da se automatski pokreće prilikom svakog paljenja stroja
sudo systemctl enable generiranjeepotvrda.service |
start
), gašenja (stop
) i provjera statusa (status
) servisa se radi preko systemctl
naredbe.Prilikom pokretanja modula dobivam sljedeću grešku u error.log:
FATAL - ID modula nije pronađen u datoteci generiranjeEPotvrda.config. Molimo evidentirajte vrijednost u property: id |
Prije pokretanja modula je potrebno evidentirati u datoteku generiranjeEPotvrda.config ID dobiven iz modula ISVU Admin Koordinator, prozor "Modul za generiranje potvrda s elektroničkim pečatom".
Prilikom pokretanja modula dobivam sljedeću grešku u error.log:
FATAL - Putanja do pkcs12 keystore nije pronađena u datoteci generiranjeEPotvrda.config. Molimo evidentirajte vrijednost u property: pkcs12 |
Prije pokretanja modula je potrebno evidentirati u datoteku generiranjeEPotvrda.config cijelu putanju do .p12/.pfx datoteke.
Prilikom pokretanja modula dobivam sljedeću grešku u error.log:
FATAL - Ne postoji lozinka za pkcs12 keystore. Molimo popunite p12.txt datoteku prije pokretanja servisa. |
S obzirom da su .p12/.pfx datoteke zaštićene lozinkom potrebno je modulu dati lozinku. Prije prvog pokretanja modula lozinka se zapisuje u p12.txt datoteku. Nakon uspješnog pokretanja modul će zapamtiti lozinku u kriptiranom obliku i obrisati p12.txt datoteku. Za daljnja naknadna pokretanja modula nije potrebno kreirati p12.txt datoteku.
Ugasite modul. Najčešće se greška događa zbog neispravnih dozvola nad direktorije fopFont koji se nalazi u direktoriju modula. Provjeriti da li je vlasnik direktorija korisnik i jesu li mu dodijeljene odgovarajuće dozvole. Ako nisu dozvole se mogu dodijeliti na sljedeći način:
chmod 770 fopFont |
Studenti postavljaju zahtjeve, ali ti zahtjevi se ne obrađuju.
Provjerite radi li modul za generiranje e-potvrda.
# ako ne postoji systemd konfiguracija za servis: bash generiranjeepotvrda.sh status # ako postoji systemd konfiguracija za servis: sudo systemctl status <ime_servisa> |
Ako dobivate poruku da ne radi, pokrenite ga:
# ako ne postoji systemd konfiguracija za servis: bash generiranjeepotvrda.sh start # ako postoji systemd konfiguracija za servis: sudo systemctl start <ime_servisa> |
Također je dobro pratiti logove u direktoriju log.
U programu za pregled PDF dokumenata (npr. Adobe Reader) dobivam poruku da valjanost potpisa nije poznata:
Poruka ne znači nužno da potpis nije valjan, nego da aplikacija koja radi provjeru nema izdavatelja certifikata na popisu pouzdanih certifikata. Prvi korak je da pokušate ažurirati listu pouzdanih certifikata.
Za npr. Adobe Reader ažuriranje se pokreće preko sljedećih opcija:
Edit -> Preferences (Ctrl + K) -> Trust manager kategorija -> AATL updates -> Update Now Edit -> Preferences (Ctrl + K) -> Trust manager kategorija -> EUTL updates -> Update Now |
Popis pouzdanih certifikata se može vidjeti na:
Edit -> Preferences (Ctrl + K) -> Signatures kategorija -> Identities & Trusted Certificates -> gumb More -> Trusted certificates |
Također preporuka je da aplikacija vjeruje i certifikatima kojima vjeruje Windows operacijski sustav:
Edit -> Preferences (Ctrl + K) -> Signatures kategorija ->Verification -> Windows integration-> označiti sve u Trust ALL root certificates in the Windows Certificate Store for |
Ako ništa od navedenog ne uspije moguće je da aplikacija/operacijski sustav nije još ažurirala svoj popis pouzdanih certifikata.
Za Hrvatsku postoji popis pouzdanih izdavatelja:
https://eidas.ec.europa.eu/efda/tl-browser/#/screen/tl/HR
Na proizvođaču softvera ostaje da ažurira svoju aplikaciju i/ili definira politiku provjere unutar iste.