Zprovoznění HTTPS pro přístup k serveru Praetor
Provozujete-li Praetor na vlastním serveru, mohou nastat situace, kdy bude potřeba zprovoznění HTTPS pro přístup k serveru Praetor.
Možné účely
- Mobilní aplikace
- Klientský portál (WebClient)
- GraphQL API
Možná řešení
- Nastavení certifikátu provede Wolters Kluwer (= vývojáři Praetora) v součinnosti s IT správou AK
- obnovování certifikátu je zcela automatické, nastavení provede Wolters Kluwer
- je potřeba mít otevřený port 80 na serveru s Praetorem (musí být dostupný z internetu) – pro ověřování domény při obnově certifikátu
- Nastavení certifikátu v Praetoru provede IT správce AK
- nutná práce IT správce AK: ruční obnovování certifikátu (obvykle 1× ročně) nebo nastavení automatizace získávání certifikátu
- nemusí být nutné otevírat port 80
- Migrace Praetoru na Praetor cloud
- po provedení migrace není ke zprovoznění zmíněných služeb od AK vyžadována žádná akce
A. Nastavení certifikátu provede Wolters Kluwer v součinnosti s IT správou AK
Toto je doporučený postup, pokud je možné splnit podmínky v bodech 1–2.
- AK zajistí doménovou adresu (např. praetor.vase-ak.cz) – předpokládáme, že doména bude používána jen Praetorem.
- AK zajistí směrování této domény na server s Praetorem (DNS „A“ záznam, přesměrování portů routeru). Porty:
- Ověřování domény při obnově certifikátu (nutné vždy): 80
- Mobilní aplikace: 14025
- Klientský portál: 433
- GraphQL API: 433
- AK umožní přístup Praetor systems na server s Praetorem pro instalaci a konfiguraci nástroje pro získávání a automatickou obnovu certifikátu (jedná se o nástroj win-acme: https://www.win-acme.com/).
(Tato varianta je možná pouze při splnění podmínek dle bodů 1–2.)
B. Nastavení certifikátu provede IT správce AK
Toto je doporučený postup nastavení pro ručně obnovované certifikáty nebo pokročilejší nastavení automatické obnovy certifikátů. V případě zájmu poskytneme konzultace v standardní hodinové sazbě.
- AK zajistí doménovou adresu (např. praetor.vase-ak.cz) – předpokládáme, že doména bude používána jen Praetorem.
- AK zajistí směrování této domény na server s Praetorem (DNS „A“ záznam, přesměrování portů routeru). Porty:
- Mobilní aplikace: 14025
- Klientský portál: 433
- GraphQL API: 433
- AK si zajistí vydání SSL certifikátu pro danou doménu. Tento certifikát musí být vydaný autoritou (CA), která je v seznamu důvěryhodných CA na zařízeních, ze kterých se uživatelé budou připojovat.
- Tento certifikát AK nainstaluje na server s Praetorem
(konzole certlm.msc – místní počítač / osobní / certifikáty), včetně privátního klíče.
- AK zaregistruje certifikát pomocí nástroje netsh
- Parametry
%1 = doménové jméno (např. praetor.vase-ak.cz)
%2 = otisk certifikátu
- Mobilní aplikace
netsh http delete sslcert hostnameport=%1:14025
netsh http add sslcert hostnameport=%1:14025 certhash=%2 certstorename=MY appid={005528a7-198a-4c14-802c-023649ac2574}
- Klientský portál / GraphQL API
netsh http delete sslcert hostnameport=%1:443
netsh http add sslcert hostnameport=%1:443 certhash=%2 certstorename=MY appid={005528a7-198a-4c14-802c-023649ac2574}
- AK umožní přístup společnosti Praetor systems na server s Praetorem pro zapnutí objednaných služeb.
(Body 3–5 je potřeba provádět opakovaně dle platnosti certifikátu.)
C. Migrace Praetora na Praetor cloud
Po provedení migrace veškerá nastavení zmíněných služeb provede Wolters Kluwer.