Pro použití
HTTP služby (pro protokol
HTTP, ale zejména pro protokol
HTTPS) je nutno nakonfigurovat OS
Windows.
HTTP služba je součástí OS
Windows a OS
Windows obsahuje své vlastní nástroje a příkazy pro její konfiguraci. Nicméně konfigurace
HTTP služby pomocí nástrojů OS
Windows není snadná, protože je nutno využít několika nástrojů a příkazů z příkazového řádku.
S cílem usnadnit konfiguraci uživatelům PROMOTIC je dodáván se systémem PROMOTIC i konfigurační nástroj
HTTP služby
PmHttpConfig.exe (
\Promotic\Tools\PmHttpConfig\PmHttpConfig.exe).
Tento nástroj umožňuje kompletní konfiguraci této služby, od nastavení oprávnění systému PROMOTIC přistupovat k
HTTP službě až po import a správu certifikátů pro protokol
HTTPS.
1. Oprávnění spustit PROMOTIC webové servery (HTTP nebo HTTPS) (Permissions to run PROMOTIC Web servers)
Ke komunikaci s
HTTP službou musí mít Windows uživatel, v jehož kontextu aplikace PROMOTIC s webovým serverem běží, nastavené příslušné oprávnění.
Každá
Windows aplikace běží v kontextu některého Windows uživatele (nejčastěji uživatele, který je právě přihlášený a který aplikaci spustil).
Členové skupiny Administrators mají vždy právo spustit HTTP službu, není nutno explicitně povolovat. Pro ostatní uživatele je ale nutno explicitně povolit.
Pro každý webový server daného počítače (protokol, doména, port a relativní cesta) se vždy nastavuje seznam oprávněných
Windows uživatelů a skupin. Konfigurátor má tedy podobu seznamu všech povolených webových serverů na počítači, založených na
HTTP službě. Co řádek, to jeden nakonfigurovaný povolený webový server. Řádek neznamená, že webový server automaticky běží. Řádek pouze znamená, že webový server (na dané adrese, portu a protokolu) má právo běžet. Vlastní webový server je spuštěn teprve příslušnou aplikací, např. PROMOTIC aplikací.
Upozornění! V OS
Windows existuje celá řada systémových nakonfigurovaných webových serverů, které jsou v seznamu a které se bez znalosti jejich významu nedoporučuje mazat.
Pro přidání, smazání a editaci nakonfigurovaného webového serveru slouží příslušná tlačítka.
Karta "Webový server":
Karta slouží pro nastavení konfigurace daného webového serveru. Typická konfigurace webového serveru je
http://+:80/ a
https://+:443/.
| Webový server | Nakonfigurovaný webový server zapsaný v syntaxi, se kterou pracuje HTTP služba. Hodnota není přímo editovatelná, ale vzniká editací v následujících konfigurátorech. |
|---|
| Protokol (Protocol) | Určuje typ protokolu webového serveru (HTTP nebo HTTPS). |
|---|
| Doména (Domain) | Určuje doménu (jméno počítače, IP adresa nebo zástupnými znaky + a *) webového serveru.
(+) All domains (strong wildcard) (recommended value) - Všechny možné domény v kontextu tohoto protokolu, portu a relativní cesty. Spolu s prázdnou relativní cestou se jedná o doporučenou volbu, zajišťující, že na jednom TCP portu poběží pouze jeden webový server.
(*) Other domains (weak wildcard) - Domény v kontextu tohoto protokolu, portu a relativní cesty, které dosud nebyly asociovány.
Explicit domain name - Konkrétní název domény zadané v následujícím konfigurátoru. |
|---|
| TCP port | Určuje TCP port webového serveru. Například 443. |
|---|
| Relativní cesta (Relative path) | Určuje relativní cestu počátku webového serveru vůči doméně a portu. Zde lze určit, že webový server nezačíná kořenem domény a portem, ale v některé podsložce domény a portu. Takto lze zajistit, že jednu doménu a port sdílí více webových serverů (i různých aplikací) současně. Obvykle je zde prázdná hodnota (znamená, že webový server začíná kořenem domény a portu) a Web požadavek na doménu a port je zpracováván tímto Web serverem. Upozornění! Pro webový server PROMOTIC je nutno nechat zde prázdnou hodnotu, protože v současnosti PROMOTIC webový server musí začínat kořenem domény a portu. |
|---|
Karta "Permissions":
Karta slouží pro určení oprávnění spouštět daný webový server pro jednotlivé
Windows uživatele nebo skupiny. Jedná se o standardní kartu OS
Windows pro nastavování oprávnění uživatelům a skupinám (např. nastavení přístupových práv k souborům atd.). Typické oprávnění pro daný webový server je povoleno vše (
Execute a
Delegate) pro uživatele
Promotic. K vlastní editaci slouží tlačítko "
Upravit".
| Název skupiny nebo jméno uživatele | Seznam Windows uživatelů nebo skupin a jejich oprávnění spouštět webový server. Zde je nutno vložit konkrétního Windows uživatele, pod kterým aplikace PROMOTIC s webovým serverem poběží. Například Komponenta SafeOper doporučuje uživatele Promotic. |
|---|
| Oprávnění pro ... | Umožňuje nastavit oprávnění spouštět a delegovat (Execute a Delegate) daný webový server pro konkrétního Windows uživatele nebo skupinu, vybraného v předchozím konfigurátoru (např. uživatel Promotic). Při nastavování oprávnění se doporučuje nastavit obě oprávnění (Execute a Delegate) vždy shodně. |
|---|
2. Certifikáty webových serverů PROMOTIC (HTTPS) (Certificates of PROMOTIC Web servers)
Ke konfiguraci
HTTP služby tak, aby webový server komunikoval protokolem
HTTPS, je nutný digitální certifikát, podepisující doménu počítače s
HTTPS Web serverem. Viz
HTTPS - zabezpečený HTTP protokol.
Pro každý
HTTPS webový server daného počítače (IP adresa, port) se vždy nastavuje příslušný certifikát, podepisující doménu s
HTTPS Web serverem a umožňuje
SSL/TLS šifrování komunikace. Konfigurátor má tedy podobu seznamu všech povolených
HTTPS webových serverů na počítači, založených na
HTTP službě. Co řádek, to jeden nakonfigurovaný povolený webový server. Řádek neznamená, že webový server automaticky běží. Řádek pouze znamená, že webový server (na dané adrese, portu a protokolu) má právo běžet. Vlastní webový server je spuštěn teprve příslušnou aplikací, např. PROMOTIC aplikací.
Pro přidání, smazání a editaci nakonfigurovaného webového serveru slouží příslušná tlačítka.
Karta "Webový server":
Karta slouží pro nastavení konfigurace daného
HTTPS webového serveru včetně nastavení příslušného certifikátu.
| Jakákoliv IP adresa (Any IP address) | Pokud je zatrženo, pak webový server naslouchá na všech IP adresách počítače (IPv4 i IPv6) a následující konfigurátory pro zadání konkrétní IP adresy jsou zakázány.
Pokud není zatrženo, pak webový server bude naslouchat pouze na jedné konkétní adrese, kterou určují následující konfigurátory. |
|---|
| Typ IP adresy (IP address type) | Určuje typ IP adresy HTTPS webového serveru: IPv4 nebo IPv6. |
|---|
| IP adresa (IP address) | Vlastní IP adresa HTTPS webového serveru.
Formát adresy musí odpovídat zvolenému typu IP adresy (IPv4 nebo IPv6). Například "192.168.1.2", "fe80:0000:0000:0000:0202:b3ff:fe1e:8329", "fe80:0:0:0:202:b3ff:fe1e:8329", "fe80::202:b3ff:fe1e:8329", "::1" |
|---|
| TCP port | Určuje TCP port webového serveru. Například 443. |
|---|
| Dostupné certifikáty (Available certificates) | Seznam všech certifikátů v úložišti OS Windows.
Jeden z certifikátů je nutno vybrat (zatržítko - checkbox vlevo) a tím ho spojit s příslušnou IP adresou a TCP portem.
Konfigurátor navíc umožňuje správu certifikátů na počítači. Certifikáty lze importovat nebo smazat. Výhodou importu certifikátu v tomto konfigurátoru je, že certifikát se naimportuje do Windows Registry do větve celého počítače a proto je viditelný pro HTTP službu. Upozornění! Při klasickém importu certifikátu (dvojklikem levým tlačítkem myši na soubor s certifikátem v OS Windows) dojde k importu pouze do větve právě přihlášeného uživatele a certifikát nebude pro HTTP službu viditelný. |
|---|
