Tuto stránku pro Vás budeme postupně doplňovat.
¶ Systémové požadavky
Systém 1CLICK se instaluje na centrální počítač server. Jednotliví uživatelé klienti k systému 1CLICK přistupují pomocí běžného webového prohlížeče prostřednictvím URL adresy serveru, kam byl systém 1CLICK nainstalován.
Uživatelé dále mohou se systémem 1CLICK pracovat pomocí svého chytrého telefonu prostřednictvím 1CLICK APP.
¶ Server
Pokud využíváte hostingové služby společnosti One Click Business Solutions s. r. o. (1c2c.cz), instalaci, správu, aktualizace, zálohy a provoz centrální části systému 1CLICK zajišťuje provozovatel hostingové služby.
¶ Minimální HW požadavky
- CPU: 4 jádra
- RAM: 4 GB vyhrazených
- HDD/SSD: 2 GB HDD/SSD + místo pro ukládaní souborů (Přílohy, Dokumenty)
Pro instalace s větším množstvím uživatelů doporučujeme použít výkonnějších CPU i více RAM. Orientačně platí: extra 1 jádro CPU a extra 1 GB RAM pro každých 30 aktivně pracujících uživatelů. Pro individuální posouzení nároků nás prosím kontaktujte.
¶ Operační systém
- Operační systém Microsoft Windows Server 2003/2008/2012 (32 nebo 64 bit)
- Operační systém Linux (Debian, CentOS, Fedora, Ubuntu, SuSE, Gentoo)
¶ Software třetích stran
- Linux verze: Nainstalovaná Java 8 JRE (Oracle nebo OpenJDK)
- Windows verze: Žádné požadavky na software třetích stran
¶ Klient (desktop)
¶ Minimální HW požadavky
- Síťová konektivita k centrálnímu serveru
¶ Operační systém
Operační systém, na kterém je instalovaný jeden z níže uvedených podporovaných webových prohlížečů.
¶ Podporované webové prohlížeče
- Google Chrome (doporučený prohlížeč)
- Microsoft Edge
- Mozilla Firefox
¶ Instalace systému
Windows
Linux¶ Výběr počítače k instalaci
Systém 1CLICK se instaluje na "server". Uživatelé pracují se systémem 1CLICK prostřednictvím webového prohlížeče na svém PC.
¶ Adresa systému 1CLICK
Adresa systému 1CLICK, kterou uživatelé musí zadat do svých webových prohlížečů, je http://<server>:5169, kde server odpovídá síťovému jménu počítače, na který 1CLICK server nainstalujete. Například pokud se váš server jmenuje "clarius", adresa bude http://clarius:5169
Název počítače můžete ve Windows zjistit pomocí Tento počítač (pravé tlačítko myši) -> Vlastnosti -> Název počítače.
Pokud s využitím jména počítače sestavíte adresu systému 1CLICK tvaru http://<server>:5169, ale vašim uživatelům se po zadání této adresy do webových prohlížečů systém 1CLICK nezobrazí, je pravděpodobné, že vaše počítačová síť není pro provoz systému 1CLICK připravena. V takovém případě je potřeba součinnosti s osobou zodpovědnou za nastavení vaší místní počítačové sítě.
¶ Stažení instalačního balíčku
Připravte si dodaný instalační balíček.
¶ Instalace systému 1CLICK na server
Spusťte instalační balíček a pokračujte tlačítkem Další.
¶ Java
Nejdříve je nutno zkontrolovat, zda-li máte ve svém operačním systému nainstalovanou Java JRE ve verzi 8. Ověření nejsnáze provedete příkazem java -version, který by měl vypsat podobný výstup:
java version "1.8.0_75" OpenJDK Runtime Environment (IcedTea 2.5.4) (7u75-2.5.4-2) OpenJDK 64-Bit Server VM (build 24.75-b04, mixed mode)
nebo pro JRE od Oracle:
java version "1.8.0_67" Java(TM) SE Runtime Environment (build 1.8.0_67-b01) Java HotSpot(TM) 64-Bit Server VM (build 24.65-b04, mixed mode)
Nemáte-li na svém OS Linux Javu, doinstalujte ji například pomocí balíčkovacího systému vaší distribuce. Více informací naleznete také na této stránce.
¶ Systém 1CLICK
Připravte si dodaný instalační balíček a rozbalte jej do adresáře, kam chcete systém 1CLICK nainstalovat, například do /srv/1click.
Rozbalením získáte dva adresáře - bin a lib. Adresář bin obsahuje skripty, pomocí nichž můžete aplikaci konfigurovat, spustit a nebo nainstalovat inicializační skripty.
install.sh
Skript spustí instalaci, interaktivně se zeptá na cílovou složku, příkaz pro spuštění Javy a uživatele, pod kterým má systém 1CLICK běžet. Skript pak do zadané složky nainstaluje systém 1CLICK a nainstaluje inicializační skripty a nastartuje systém 1CLICK.
install.shby měl být spuštěn pod uživatelem root
Přihlašte se do systému 1CLICK z webového prohlížeče
Pro odinstalaci stačí spustit příkaz bin/install.sh uninstall. Skript zastaví systém 1CLICK, smaže inicializační skripty a instalované soubory systému. Datové soubory smazány nebudou.
¶ Dokončení instalace systému
Windows LinuxPo dokončení instalace systému 1CLICK přejděte do prohlížeče a zadejte adresu (http://localhost:5169).
Po dokončení instalace systému 1CLICK přejděte do prohlížeče a zadejte adresu (http://localhost:7169).
Nejprve je nutné se seznámit a odsouhlasit licenční podmínky.
Tento krok slouží pro vložení vašeho aktivačního klíče, který obdržíte e-mailem zaplacením systému 1CLICK.
Nyní již zbývá jen vytvořit prvního uživatele disponujícím všemi právy.
Kliknutím na tlačítko Založit uživatele se vám zobrazí dialog pro vytvoření prvního uživatele. Potvrzením dialogu je vaše instalace dokončena a dojde k automatickému přihlášení do systému 1CLICK.
Nyní jste prvním uživatelem vašeho systému 1CLICK a tak je nutné založit další uživatele, nastavit jejich práva, vytvořit organizační strukturu, přidat kontakty atd. a především začít naplno využívat výhod systému 1CLICK.
¶ Aktualizace systému
Pro aktualizaci systému 1CLICK si připravte dodaný aktualizační balíček.
Využíváte-li nějaké z rozšíření systému 1CLICK formou pluginů, kontaktujte prosím před provedením aktualizace zákaznickou podporu, pro ověření kompatibility pluginů s novou verzí.
Windows Linux-
Zastavte službu systému 1CLICK ve správci služeb.
-
Proveďte zálohu dat systému 1CLICK (Ve výchozím nastavení zálohujte složku
C:\1CLICKData, která obsahuje složky:data,plugins,fonts,logsa jiné) -
Spusťte update nové verze (update vás provede jednotlivými kroky k aktualizování systému 1CLICK)
Pokud systém 1CLICK nenastartuje v řádu několika minut proveďte kontrolu možných příčin v logu systému. Logy naleznete v
C:\1CLICKData\logs. V případě problému se obraťte na podporu systému 1CLICK.
-
Zastavte službu systému 1CLICK (nejčastěji pomocí
/etc/init.d/1click stop) -
Proveďte zálohu dat systému 1CLICK (ve výchozím nastavení se jedná o adresář, kam jste systém 1CLICK nainstalovali
srv/1click, případně jde o adresář, který jste nastavili jakoONECLICK_BASEDIRve skriptu1click-setup.sh) -
Odstraňte stávající adresář
lib -
Nahrajte nový adresář
libz nového instalačního balíčku -
Spusťte službu systému 1CLICK (nejčastěji pomocí
/etc/init.d/1click start)
Pokud systém 1CLICK nenastartuje v řádu několika minut proveďte kontrolu možných příčin v logu systému. Logy naleznete v
srv/1click/logs. V případě problému se obraťte na podporu systému 1CLICK.
¶ Nastavení rezervované paměti
Windows Linux-
Zastavte službu systému 1CLICK ve správci služeb.
-
Proveďte zálohu dat systému 1CLICK (Ve výchozím nastavení zálohujte složku
C:\1CLICKData, která obsahuje složky:data,plugins,fonts,logsa jiné). -
V instalačním adresáři systému 1CLICK (ve výchozím nastavení složka
C:\1CLICK) v adresářibinpřejmenujte soubor1click-service.exe(např.1click-service-4GB.exe). -
Ve stejném instalačním adresáři zvolte soubor s požadovanou velikostí rezerované paměti (např.
1click-service-8GB.exe) a přejmenujte ho na původní název1click-service.exe.
Pokud potřebujete nastavit jinou hodnotu rezervované paměti než nabízí dostupné soubory, obraťte se na podporu systému 1CLICK.
- Spustťe službu systému 1CLICK ve správci služeb.
Pokud systém 1CLICK nenastartuje v řádu několika minut proveďte kontrolu možných příčin v logu systému. Logy naleznete v
srv/1click/logs. V případě problému se obraťte na podporu systému 1CLICK.
-
Zastavte službu systému 1CLICK (nejčastěji pomocí
/etc/init.d/1click stop) -
Proveďte zálohu dat systému 1CLICK (ve výchozím nastavení se jedná o adresář, kam jste systém 1CLICK nainstalovali
srv/1click, případně jde o adresář, který jste nastavili jakoONECLICK_BASEDIRve skriptu1click-setup.sh) -
Otevřete v adresáři soubor
config/config.sh -
V parametru
JAVA_VM_ARGSzměňte hodnotu-Xmx4096mna Vámi požadovanou velikost
Příklady velikostí:
-Xmx4096m: 4GB maximální rezervované paměti (defaultní hodnota)
-Xmx8192m: 8GB maximální rezervované paměti
-Xmx12288m: 12GB maximální rezervované paměti
-Xmx16384m: 16GB maximální rezervované paměti
- Spusťte službu systému 1CLICK (nejčastěji pomocí
/etc/init.d/1click start)
Pokud systém 1CLICK nenastartuje v řádu několika minut proveďte kontrolu možných příčin v logu systému. Logy naleznete v
srv/1click/logs. V případě problému se obraťte na podporu systému 1CLICK.
¶ Migrace systému
Windows Windows Windows Linux Linux Windows Linux Linux-
Zastavte službu systému 1CLICK na obou serverech.
-
Proveďte zálohu dat systému 1CLICK na původním serveru (Ve výchozím nastavení jde o složku
C:\1CLICKData). -
Přeneste obsah složky
\1CLICKDatapůvodního serveru do složky\1CLICKDatanového serveru. -
Pokud máte upravenou základní konfiguraci (např. číslo portu), je nutná manuální úprava konfigurace systému 1CLICK v
C:\1CLICKData\config\server.xml. -
Spustťe službu systému 1CLICK na novém serveru.
-
Zastavte službu systému 1CLICK na obou serverech.
-
Proveďte zálohu dat systému 1CLICK na původním serveru (Ve výchozím nastavení jde o složku
C:\1CLICKData). -
Přeneste obsah složky
\1CLICKDatapůvodního serveru do složky/srv/1clicknového serveru. -
Pokud máte upravenou základní konfiguraci (např. číslo portu), je nutná manuální úprava konfigurace systému 1CLICK v
/srv/1click/config/server.xml. -
Spustťe službu systému 1CLICK na novém serveru (nejčastěji pomocí
/etc/init.d/1click start).
-
Zastavte službu systému 1CLICK na obou serverech.
-
Proveďte zálohu dat systému 1CLICK (ve výchozím nastavení jde o adresář, kam jste systém 1CLICK nainstalovali
/srv/1click, případně jde o adresář, který jste nastavili jakoONECLICK_BASEDIRve skriptu1click-setup.sh) -
Přeneste obsah složky
/srv/1clickpůvodního serveru do složky\1CLICKDatanového serveru. -
Pokud máte upravenou základní konfiguraci (např. číslo portu), je nutná manuální úprava konfigurace systému 1CLICK v
C:\1CLICKData\config\server.xml. -
Spusťte službu systému 1CLICK.
-
Zastavte službu systému 1CLICK (nejčastěji pomocí
/etc/init.d/1click stop). -
Proveďte zálohu dat systému 1CLICK (ve výchozím nastavení jde o adresář, kam jste systém 1CLICK nainstalovali
/srv/1click, případně jde o adresář, který jste nastavili jakoONECLICK_BASEDIRve skriptu1click-setup.sh) -
Přeneste obsah složky
/srv/1clickpůvodního serveru do složky/srv/1clicknového serveru. -
Pokud máte upravenou základní konfiguraci (např. číslo portu), je nutná manuální úprava konfigurace systému 1CLICK v
/srv/1click/config/server.xml. -
Spustťe službu systému 1CLICK na novém serveru (nejčastěji pomocí
/etc/init.d/1click start).
¶ Instalace doplňků a rozšíření
Windows LinuxTento postup je určen správcům systému 1CLICK při instalacích na vlastních serverech.
!!! V případě využívání hostingových služeb tyto operace zajišťuje správce hostingových služeb. !!!
- Zastavte službu systému 1CLICK.
- V datovém adresáři systému 1CLICK
C:\1CLICKDatavyhledejte složkuplugins. Pokud neexistuje vytvořte ji. - Do složky
pluginsvložte soubor doplňku a rozšíření (*.1CLICK). - Spusťe službu systému 1CLICK.
- Zkontrolujte zda systém 1CLICK řádně nastaroval.
- Zkontrolujte zda je doplněk či rozšíření řádně zavedeno v systému 1CLICK. Doplněk či rozšíření je zobrazeno a je aktivní. Kontrolu proveďte v Nastavení | Doplňky a rozšíření.
V případě problému se obraťte na podporu systému 1CLICK.
Tento postup je určen správcům systému 1CLICK při instalacích na vlastních serverech.
!!! V případě využívání hostingových služeb tyto operace zajišťuje správce hostingových služeb. !!!
- Zastavte službu systému 1CLICK (nejčastěji pomocí
/etc/init.d/1click stop). - V datovém adresáři systému 1CLICK
/srv/1clickvyhledejte složkuplugins. Pokud neexistuje vytvořte ji. - Do složky
pluginsvložte soubor doplňku a rozšíření (*.1CLICK). - Spusťe službu systému 1CLICK (nejčastěji pomocí
/etc/init.d/1click start). - Zkontrolujte zda systém 1CLICK řádně nastaroval.
- Zkontrolujte zda je doplněk či rozšíření řádně zavedeno v systému 1CLICK. Doplněk či rozšíření je zobrazeno a je aktivní. Kontrolu proveďte v Nastavení | Doplňky a rozšíření.
V případě problému se obraťte na podporu systému 1CLICK.
¶ Aktualizace doplňků a rozšíření
Windows LinuxTento postup je určen správcům systému 1CLICK při instalacích na vlastních serverech.
!!! V případě využívání hostingových služeb tyto operace zajišťuje správce hostingových služeb. !!!
- Zastavte službu systému 1CLICK.
- V datovém adresáři systému 1CLICK
C:\1CLICKDatavyhledejte složkuplugins. - Ve složce
pluginsnahraďte soubor aktualizovaného doplňku a rozšíření (*.1CLICK). - Spusťe službu systému 1CLICK.
- Zkontrolujte zda systém 1CLICK řádně nastaroval.
- Zkontrolujte zda je aktualizace doplňku či rozšíření řádně zavedena v systému 1CLICK. Byla změněna verze a doplněk či rozšíření je aktivní. Kontrolu proveďte v Nastavení | Doplňky a rozšíření.
V případě problému se obraťte na podporu systému 1CLICK.
Tento postup je určen správcům systému 1CLICK při instalacích na vlastních serverech.
!!! V případě využívání hostingových služeb tyto operace zajišťuje správce hostingových služeb. !!!
- Zastavte službu systému 1CLICK (nejčastěji pomocí
/etc/init.d/1click stop). - V datovém adresáři systému 1CLICK
/srv/1clickvyhledejte složkuplugins. - Ve složce
pluginsnahraďte soubor aktualizovaného doplňku a rozšíření (*.1CLICK). - Spusťe službu systému 1CLICK (nejčastěji pomocí
/etc/init.d/1click start). - Zkontrolujte zda systém 1CLICK řádně nastaroval.
- Zkontrolujte zda je aktualizace doplňku či rozšíření řádně zavedena v systému 1CLICK. Byla změněna verze a doplněk či rozšíření je aktivní. Kontrolu proveďte v Nastavení | Doplňky a rozšíření.
V případě problému se obraťte na podporu systému 1CLICK.
¶ Odebrání doplňků a rozšíření
Windows LinuxTento postup je určen správcům systému 1CLICK při instalacích na vlastních serverech.
!!! V případě využívání hostingových služeb tyto operace zajišťuje správce hostingových služeb. !!!
- Zastavte službu systému 1CLICK.
- V datovém adresáři systému 1CLICK vyhledejte složku
plugins. - Ve složce
pluginsodeberte soubor doplňku a rozšíření (*.1CLICK). - Spusťe službu systému 1CLICK.
- Zkontrolujte zda systém 1CLICK řádně nastaroval.
- Zkontrolujte zda je doplněk či rozšíření řádně odebráno v systému 1CLICK. Kontrolu proveďte v Nastavení | Doplňky a rozšíření.
V případě problému se obraťte na podporu systému 1CLICK.
Tento postup je určen správcům systému 1CLICK při instalacích na vlastních serverech.
!!! V případě využívání hostingových služeb tyto operace zajišťuje správce hostingových služeb. !!!
- Zastavte službu systému 1CLICK (nejčastěji pomocí
/etc/init.d/1click stop). - V datovém adresáři systému 1CLICK
/srv/1clickvyhledejte složkuplugins. - Ve složce
pluginsodeberte soubor doplňku a rozšíření (*.1CLICK). - Spusťe službu systému 1CLICK (nejčastěji pomocí
/etc/init.d/1click start). - Zkontrolujte zda systém 1CLICK řádně nastaroval.
- Zkontrolujte zda je doplněk či rozšíření řádně odebráno v systému 1CLICK. Kontrolu proveďte v Nastavení | Doplňky a rozšíření.
V případě problému se obraťte na podporu systému 1CLICK.
¶ Změna HTTP/HTTPS portu
Pokud nastavujete vlastní HTTP port systému 1CLICK, dejte si pozor, zda-li port není již obsazený. Nastavíte-li již obsazený port, 1CLICK Server nenastartuje.
- Upravte soubor
config/server.xmlv adresáři s daty systému 1CLICK (tento soubor se vytvoří při prvním startu):- Pokud systém 1CLICK poskytuje HTTP rozhraní, upravte číslo portu v elementu <http_port>
- Pokud systém 1CLICK poskytuje HTTPS rozhraní, upravte číslo portu v elementu <https_port>
- Restartujte službu systému 1CLICK
- v Linuxu příkazem /etc/ini.td/1click restart
- ve Windows ve Správci služeb
¶ Využití proxy Apache
Tento návod je určený pro experty, zejména správce webových serverů Apache
Systém 1CLICK je možné "schovat" pod webový server Apache. Klienti v takovém scénáří komunikují s webovým serverem Apache, který (vybrané) požadavky dále předává systému 1CLICK.
¶ Výhody tohoto zapojení:
- můžete využít obrovského rozsahu funkcí serveru Apache, např. v oblastech pokročilého zabezpečení
- můžete systém 1CLICK integrovat přímo do struktury webových stránek, např. vašeho intranetu
Zapojení systému 1CLICK pod Apachem používáme například i v aplikačním hostingu 1c2c.cz.
¶ Nastavení
Na straně systému 1CLICK není pro tento scénář potřeba žádné speciální nastavení.
Na straně Apache se řešení opírá o modul mod_proxy. Klíčovými nastaveními jsou direktivy Proxy, ProxyPass a ProxyPassReverse, které definují, že požadavky na určité URI adresy budou předávané systému 1CLICK. Dále je potřeba použít direktivu AllowEncodedSlashes, bez které by předávání požadavků v některých případech nefungovalo správně.
Níže uvedené příklady předpokládají, že jsou v serveru Apache nainstalované a aktivované moduly mod_proxy a mod_proxy_http.
POZOR: Nastavení funguje v Apache verzi 2.2.8 a vyšší. Starší verze Apache nepodporují přepínač "nocanon", který je pro správné předávání požadavků do systému 1CLICK nezbytný.
Příklad jednoduchého nastavení, které předává požadavky na všechny URI adresy systému 1CLICK:
<VirtualHost *:80> <Proxy *> Order Deny,Allow Allow from All </Proxy>
AllowEncodedSlashes On ProxyPass / http://localhost:7169/ nocanon
ProxyPassReverse / http://localhost:7169/
</VirtualHost>
Příklad, kdy Apache standardně poskytuje běžný obsah a systému 1CLICK předává jen požadavky na URI začínající /1click:
<VirtualHost *:80> # V tomto adresari jsou vase webove stranky ...
DocumentRoot /var/www # A nasledujici nastaveni "namapuje" 1CLICK do cesty /1click
<Proxy *> Order Deny,Allow Allow from All </Proxy>
AllowEncodedSlashes On Redirect /1click /1click/
ProxyPass /1click/ http://localhost:7169/ nocanon ProxyPassReverse /1click/ http://localhost:7169/
</VirtualHost>
V nastavení nepoužívejte direktivu ProxyPreserveHost.
¶ Certifikáty a certifikační autority
¶ Jak fungují certifikáty
Klíčovou součástí protokolů SSL/TLS pro zabezpečenou komunikaci je mechanizmus, v rámci kterého se server prezentuje certifikátem, který prokazuje jeho identitu. Tento certifikát zaručuje, že komunikujete s pravým serverem na určité adrese, a nikoliv s někým, kdo se za něj jen vydává.
V případě systému 1CLICK se zabezpečená SSL/TLS komunikace používá zejména při komunikaci s poštovními servery IMAP a SMTP.
Aby to celé fungovalo, musí být certifikát opatřen podpisem "certifikační autority", které důvěřujete.
Bez podpisu takové autority je certifikát tzv. "nedůvěryhodný", protože si ho mohl vystavit kdokoliv, klidně i útočník.
¶ Proč jsou nedůvěryhodné certifikáty nebezpečné
S nedůvěryhodným certifikátem bohužel prakticky zaniká i zabezpečení spojení.
Útočník totiž může snadno vydávat svůj podvržený falešný server za server reálný. Pokud to udělá, budete sice komunikovat šifrovaně, ale přímo s útočníkem!! A útočník veškerou vaší komunikaci obratem předá reálnému serveru, takže z vašeho pohledu bude vypadat vše normálně. Jen komunikace bude procházet skrz server útočníka, který jí může číst či dokonce pozměňovat.
¶ Jakým certifikačním autoritám systém 1CLICK standardně důvěřuje
Systém 1CLICK při SSL/TTS komunikaci automaticky důvěřuje certifikátům vydaným a podepsaným obecně známými certifikačními autoritami jako Verisign, Thawte, Symantec, Comodo, GlobalSign, GeoTrust atd.
Dá se říct, že pokud jste si od někoho pořídili komerční SSL certifikát, systém 1CLICK ho bude akceptovat a bude ho považovat za důvěryhodný.
¶ Jak zařídit, aby systém 1CLICK důvěřoval i jiné certifikační autoritě?
Nezřídka se používají i vlastní certifikační autority. Místo toho, aby jste certifikáty kupovali od obecně uznávaných komerčních autorit, uděláte si autoritu vlastní a začnete si vydávat vlastní certifikáty. Pokud to uděláte správně (zejména uchráníte-li privátní klíče této své autority), tento postup je zcela v pořádku. Jen je potřeba všechny komunikující strany (v našem případě systém 1CLICK) o této certifikační autoritě informovat, aby jí důvěřovaly a byly schopné ověřovat její podpisy.
Technicky se to provádí nahráním certifikátu této certifikační autority na nějaké speciální místo.
V případě systému 1CLICK jde o adresář data/ssl_certs v adresáři s daty systému 1CLICK (systém 1CLICK tento adresář sám založí při prvním startu). Máte-li vlastní certifikační autoritu, jednoduše vezměte její certifikát, nahrajte ho do tohoto adresáře a restartujte systém 1CLICK. Certifikát musí být uložen v souboru s příponou .pem, .crtnebo.cera musí být ve formátu X.509 s kódováním DER nebo Base64.
¶ HTTPS přístup
Pokud používáte aplikační hosting 1c2c.cz, nemusíte se o nastavení HTTPS přístupu starat. Náš hosting HTTPS používá.
Tento návod je určený pro experty, zejména IT správce.
Pro zajištění HTTPS přístupu k systému 1CLICK existují dvě alternativní metody:
- Předsazení serveru Apache a využití jeho podpory SSL
- Využití vestavěné podpory SSL systému 1CLICK.
Pokud máte možnost, doporučujeme použití metody s Apachem, která je flexibilnější.
¶ Certifikační autorita
Pro správné fungování HTTPS budete potřebovat, aby váš certifikát s veřejným šifrovacím klíčem podepsala obecně uznávaná certifikační autorita.
Bez podepsaného certifikátu prohlížeče místo obsahu systému 1CLICK zobrazí uživatelům varování a pustí je dál jen po opakovaném potvrzení, že uživatelé souhlasí s bezpečnostním rizikem. Poslední generace prohlížečů jsou v této otázce velmi důsledné. V žádném případě ale nejde jen o zbytečnou zlovůli jejich výrobců. HTTPS bez certifikátu podepsaného uznávanou certifikační autoritou je totiž bezpečnostně silně zranitelné a defacto nepřináší očekávaný efekt zabezpečení.
Způsob vytvoření šifrovacích klíčů a podpis certifikační autoritou je v principu stejný při použití Apache nebo vestavěné podpory systému 1CLICK. Nicméně v obou případech se pro jednotlivé kroky používají odlišné nástroje, které zaručí, že výsledné klíče a certifikáty budou připravené ve správné podobě a formátu, které Apache a systém 1CLICK očekávají.
Oblíbenými certifikačními autoritami jsou např. Thawte, VeriSign, nebo RapidSSL. Služby těchto společností lze také využít zprostředkovaně skrze většinu větších poskytovatelů webhostingu.
¶ Nastavení HTTPS
¶ HTTPS pomocí Apache - podrobné instrukce
Prvním krokem je nastavení a zprovoznění proxy, která zajistí předávání požadavků ze serveru Apache na systém 1CLICK. Příslušný postup je poměrně jednoduchý a je popsaný v samostatném návodu Systém 1CLICK pod proxy Apache
Jakmile je proxy zprovozněná, stačí vám standardním postupem zprovoznit HTTPS na serveru Apache. Postup je popsán v mnoha knihách a online dokumentacích, například zde: http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html.
Pro provoz HTTPS je nutné mít nainstalovaný a aktivovaný modul mod_ssl
Jakmile podle návodu vygenerujete šifrovací klíče a zajistíte podpis certifikační autoritou, jádrem konfigurace SSL budou následující direktivy Apache:
SSLEngine on SSLCertificateFile /etc/ssl/certs/myserver.pem SSLCertificateKeyFile /etc/ssl/private/myserver.key
¶ Vestavěné HTTPS
¶ 1. Vytvoření šifrovacích klíčů
Použijeme nástroj keytool, který je součástí Java8 JDK (ke stažení z webu společnosti Oracle nebo pomocí balíčkovacího systému vašeho Linuxu).
Syntax nástroje je totožný na Windows i Linuxu. Na Windows jen budete muset zapsat místo pouhého keytool celou absolutní cestu k programu,
např. "C:\Program files\Java\jdk1.8.0\bin\keytool"
Následujícím zápisem vytvoříte soubor "keystore" obsahující privátní šifrovací klíč a (zatím nepodepsaný) certifikát veřejného klíče:
keytool -keystore keystore -alias jetty -genkey -keyalg RSA -keysize 2048
Nástroj keystore se vás zeptá na několik otázek.
- Při otázce "What is your first and last name?" zadejte plně kvalifikované doménové jméno vašeho serveru, např.
1click.nasefirma.cz. Je naprosto nezbytné zde neudělat chybu. Pokud má být váš systém 1CLICK viditelný uživatelům např. na adresehttps://1click.nasefirma.cz/..., certifikát musí být vystaven na doménové jméno1click.nasefirma.cz. - Při otázce "Enter keystore password" zadejte libovolné heslo, které si zde zvolíte.
- Při otázce "Enter password for <jetty>" zadejte stejné heslo jako v předchozím bodě
Upozornění: Je nutné si vykopírovat privátní klíč a vést ho v textové podobě.
¶ 2. Podpis certifikátu od důvěryhodné autority
Postup funguje i když tento bod přeskočíte. Nicméně dokud tento krok neprovedete, všechny prohlížeče budou upozorňovat uživatele na bezpečnostní riziko a budou se jim snažit vstup na stránky velmi otravným způsobem rozmluvit.
Konkrétní postup předepíše konkrétní certifikační autorita (Thawte, Verisign, zprostředkovatel, ...), nicméně pravděpodobně se technicky bude opírat o standardizovaný soubor "požadavek na podpis certifikátu" ("CSR", "Certificate Signing Request").
Tento soubor vytvoříte následujícím příkazem:
keytool -certreq -alias jetty -keystore keystore -file mycert.csr
Vytvořený soubor mycert.csr se předloží autoritě k podpisu. Autorita vrátí zpět podepsaný soubor mycert.crt a případně jeden nebo více tzv. "intermedite" certifikátů. Záleží na konkrétní autoritě a konkrétní úrovni certifikátu.
Pokud jste obdrželi i intermediate certifikáty (řekněme soubory interm1.pem a interm2.pem), naimportujte je do keystore pomocí následujících příkazů. Je třeba je importovat ve správném pořadí od nejvyššího (často nazývaný "primary") po nejnižší ("secondary", ...). Jako alias použijte cokoliv kromě "jetty". Pokud importujete víc intermediate certifikátů, každému dejte různý alias.
keytool -keystore keystore -import -alias ca1 -file interm1.pem keytool -keystore keystore -import -alias ca2 -file interm2.pem
Nakonec do keystoru importujte samotný certifikát mycert.crt tímto příkazem:
keytool -keystore keystore -import -alias jetty -trustcacerts -file mycert.crt
¶ 3. Úprava startovacích parametrů systému 1CLICK
- Upravte soubor
config/server.xmlv adresáři s daty systému 1CLICKu (tento soubor vytvoří při prvním startu):
- Nastavt číslo portu pro HTTPS rozhraní v elementu <https_port>
<https_port>8000</https_port> - Smažte číslo portu v elementu <http_port>:
<http_port></http_port> - Přejmenujte certifikát na
https_certifikate.pem - Nastavte cestu k certifikátu v elementu
<https_certificate_path>(případně ponechte výchozíconfig/https_certificate.pem) - Přejmenujte privátní klíč v textové podobě certifikátu na
https.key - Nastavte cestu k privátní klíč v textové podobě certifikátu v elementu
<https_key_path>(případně ponechte výchozíconfig/https.key) - Přejmenujte certifikační autoritu na
https_ca_bundle.pem - Volitelně nastavte cestu k certifikátu certifikační autority v elementu
<https_ca_bundle_path>(případně ponechte výchozíconfig/https_ca_bundle.pem)
- Nahrajte certifikát na cestu uvedenou v
<https_certificate_path> - Nahrajte podepisovací klíč certifikátu na cestu uvedenou v
<https_key_path> - Pokud CA dodala s certifikátem svůj certifikát, nahrajte ho na cestu nastavenou v elementu
<https_ca_bundle_path> - Restartujte systém 1CLICK, aby načetl nastavení a začal poskytovat služby přes HTTPS na nastaveném portu.
¶ Aplikace servisního balíčku
Aplikace servisního balíčku je přístupná pouze uživatelům v roli Správci.
Při provádění této procedury vždy dbejte pokynů zákaznické podpory systému 1CLICK.
Servisní balíček slouží pro diagnostiku a odstranění problémů, které se v systému 1CLICK mohou výjimečně objevit. Servisní balíček vám v případě potřeby poskytne zákaznická podpora systému 1CLICK.
Nápověda /
Aplikovat servisní balíček
Před aplikací Servisního balíčku doporučujeme vždy systém 1CLICK zálohovat.
¶ Využití protokolu LDAP
1CLICK MAXI
Tento návod je určený pro IT správce systému.
¶ Princip napojení
Napojení protokolu LDAP způsobí, že systém 1CLICK převezme vybrané uživatelské účty z externího adresářového systému typu LDAP (například Microsoft Active Directory) včetně jejich základní konfigurace (uživatelké jméno, heslo a jiné). Převzatí uživatelé se budou do systému 1CLICK přihlašovat pomocí svých účtů centrálního adresáře.
LDAP uživatelé jsou v sekci Nastavení | Uživatelé označeni jako LDAP uživatelé a zobrazují se v systému 1CLICK společně s uživateli lokálními (založenými přímo v systému 1CLICK).
U LDAP uživatelů lze v systému 1CLICK nastavovat pouze jejich přiřazení/odebrání do/z rolí nebo skupin. Ostatní akce jsou zakázány.
¶ Nastavení
nastaveni_ldap.png
Adresa serveru: IP adresa nebo hostname LDAP serveru.
Kořenové DN: Adresář LDAP serveru, pod kterým bude 1CLICK vyhledávat uživatele k převzetí.
Důrazně se doporučuje zadat konkrétní adresář s uživateli a nikoliv kořen celého LDAPu, jehož skenování je typicky časově náročné.
Login (pro načtení): Přihlašovací jméno uživatele, pod kterým bude 1CLICK skenovat LDAP a vyhledávat uživatele k převzetí. Tento uživatelský účet potřebuje mít práva pro běžné čtení LDAP adresáře.
Heslo (pro načtení): Přihlašovací jméno k účtu z předchozího bodu.
Atribut s ID uživatele: LDAP atribut, který obsahuje jednoznačnou a dlouhodobě neměnnou identifikaci uživatele.
Atribut s login jménem uživatele: LDAP atribut, který obsahuje přihlašovací jméno uživatele
Atribut s plným jménem uživatele: LDAP atribut, který obsahuje plné jméno uživatele
Prefix a suffix pro přihlašování: Pokud jsou uvedené, budou se pro účely autentizace vůči LDAP přilepovat před a za všechny přihlašovací jména (viz Login pro načtení a Atribut s login jménem uživatele).
LDAP filtr: Filtrovací podmínka. Objekty v LDAP adresáři, které nevyhovují této podmínce, nebudou přebrané do systému 1CLICK. Podrobnější návod k zápisu LDAP filtrů naleznete např. zde.
Jakmile začnete v systému 1CLICK používat LDAP účty, vyvarujte se jakékoliv změny nastavení "Atribut s ID uživatele".
Taktéž věnujte mimořádnou pozornost změnám LDAP filtru tak, aby upravený filtr nepřestal přenášet do systému 1CLICK uživatele, se kterými jsou v systému 1CLICK spojené agendy (úkoly, projekty, ...).
¶ Uživatelské licence
Každý uživatel, který je přenesen z LDAP do systému 1CLICK (tj. odpovídá nastavenému filtru) a není v LDAP označený jako neaktivní, využívá jednu uživatelskou licenci systému 1CLICK.
¶ Podrobnosti přenosu uživatelských atributů
| Atribut uživatele v systému 1CLICK | Jak je naplněn |
|---|---|
| Jednoznačné interní ID | Dle nastavení Atribut s ID uživatele |
| Přihlašovací jméno | Dle nastavení Atribut s login jménem uživatele |
| Plné jméno | Dle nastavení Atribut s plným jménem uživatele |
| Položka mail z LDAP | |
| Aktivní | Nastaveno dle LDAP položek Is-Deleted a Account-Expires |
¶ Doporučené nastavení pro Active Directory
Předpokládejme Active Directory pro doménu firma.cz.
Kořenové DN typicky bude CN=users,DC=firma,DC=cz.
Atribut s ID uživatele je vhodné nastavit na objectGUID, případně na objectSid nebo sAMAccountName. Konzultujte prosím se správcem vaší Active Directory, který identifikátor je ve vašem případě nejvhodnější (tzn. unikátně a dlouhodobě neměnně identifikuje uživatele v AD).
Atribut s login jménem uživatele bude sAMAccountName.
Atribut s plným jménem uživatele bude displayName.
Prefix pro přihlašování bude prázdný.
Sufix pro přihlašování bude @firma.cz.
LDAP filtr bude obsahovat alespoň objectClass=user, přičemž pravděpodobně doplníte další kritéria vybírající jen konkrétní uživatelské účty. Filtr dle členství ve skupině lze realizovat podmínkou na atribut memberOf, například (&(objectClass=user)(memberOf=CN=1CLICK,OU=groups,DC=firma,DC=cz))