PayControl Wiki - Вклад [ru]

Обновление PayControl с версии 5 на версию 6

2026-04-29T13:38:21Z

A.bursakov: /* Изменения в БД */

= Обновление Java =

Перед обновлением компонентов PC '''требуется''' остановить Wildfly и обновить Java до версии 17. Версия 11 больше не поддерживается.

При установке Java новой версии, старая версия не удаляется, и PC может продолжить работать на версии 11, что приведёт к ошибкам.

Для того чтобы компоненты работали под Java 17, необходимо либо удалить неактуальную версию Java, либо выбрать необходимую версию с помощью:

<syntaxhighlight lang="shell">
sudo update-alternatives --config java
</syntaxhighlight>

= Изменения в БД =

Перед обновлением настоятельно рекомендуем также выполнить резервное копирование баз данных PC.

== Запрос на регистрацию и лицензия ==

=== Получение нового запроса и лицензии ===

Для получения нового запроса на регистрацию и лицензии обратитесь в компанию Сэйфтек.

=== Замена запроса в БД ===

В приведённом ниже запросе необходимо:

* заменить <code>%SYSTEMID%</code> на реальное значение systemid зарегистрированное для Вашей прикладной системы. Обратите внимание, что знаки процента '''нужно удалить''';
* заменить <code>%REGISTERREQUEST%</code> на реальные данные запроса, созданного для Вашей прикладной системы. Обратите внимание, что знаки процента '''нужно удалить''';
** пример нужных данных запроса <code>eyJyZXF1ZXN0Ijp7InFyVVJMU2NoZW1lIjoiIiwiYmlsbGluZ1R5cGUiOjIsImludGVyYWN0aW9uRXh0ZXJuYWxVUkwiOiJodHRwczovL3BheWNvbnRyb2wuZXhhbXBsZS5jb20vcGMtY2xpZW50LWFwaS8iLCJpbnRlcmFjd----m1VRERpZndVU3VOS3BoYmV4emsifQ==</code>

<syntaxhighlight lang="sql">
update pc_system_params set register_request='%REGISTERREQUEST%' where systemid='%SYSTEMID%';
</syntaxhighlight>

=== Замена лицензии(при наличии) в БД ===

В приведённом ниже запросе необходимо:

* заменить <code>%SYSTEMID%</code> на реальное значение systemid зарегистрированное для Вашей прикладной системы. Обратите внимание, что знаки процента '''нужно удалить''';
* заменить <code>%LICENSE%</code> на реальные данные лицензии, созданной для Вашей прикладной системы. Обратите внимание, что знаки процента '''нужно удалить''';
** пример нужных данных запроса <code>{"request":{"systemId":"99000000-e00e-0ad0-00ab-f00f0000a0b0","dateTime":1700000000000,"usersCount":100,"licenseID":"0000e000-0000-0000-b0ec-c0f0000000f0","type":2,"features":{"gost_crypto":false,"pki":{"openssl":false},"binary_data":{"raw":true,"pdf":true},"server_signer":false,"rks":false}},"signature":"MEYCIQDy7OUT6iiligbiugYcpK9fjkU/GDRIUiJtB+UcHppVwIhAKzS+EcktxyRikvqEThPyo1jHlPuAfgxW+EEo5gioW7Y"}</code>

<syntaxhighlight lang="sql">
update pc_system_params set license='%LICENSE%' where systemid='%SYSTEMID%';
</syntaxhighlight>

= Обновление модулей PC =

Перед обновлением настоятельно рекомендуем также выполнить резервное копирование баз данных PC.

Для установки PC 6-й версии воспользуйтесь инструкцией по ссылке - https://repo.paycontrol.org/server/doc/latest/pc-install-guide/ru/#перед-установкой

После обновления '''необходимо''' отключить автозапуск Wildfly.

= Документация по работе с PC 6-й версии =

* Вся документация - https://repo.paycontrol.org/

* Руководство администратора - https://repo.paycontrol.org/server/doc/latest/pc-admin-guide/ru/

* Справочное руководство - https://repo.paycontrol.org/server/doc/latest/pc-reference-guide/ru/

Обновление PayControl с версии 5 на версию 6

2026-04-29T13:38:13Z

A.bursakov: /* Изменения в БД */

Параметры ключа

2026-04-14T15:47:52Z

A.bursakov: /* Флаги */

При создании запроса на генерацию [[Ключевая информация|ключевой информации]] пользователя, могут быть установлены параметры, перечисленные ниже.
=Описание=
==Отпечаток устройства==
'''withFingerPrint''' – указывает, осуществлять ли привязку устройства к Пользователю PayControl. В случае наличия в запросе на создание пользователя параметра «флаг привязки пользователя к устройству» со значением «true» при проверке кода подтверждения будет использован отпечаток устройства пользователя. Отпечаток устройства вносится в информацию о пользователе путем вызова метода «Сохранение отпечатка устройства»;

==Сбор событий==
'''collectEvent''' – флаг, указывающий необходимость передачи мобильным приложением информации о событиях и сохранения её сервером в базе данных PayControl;
===Информация об устройстве===
'''collectDeviceInfo''' – флаг, указывающий необходимость сбора информации об устройстве в составе информации о событии. Учитывается только в случае, если установлен флаг collectEvent;
====Информация о сим-карте====
'''collectDeviceSIMInfo''' – флаг, указывающий необходимость сбора информации о телефоне (SIM-карте). При включении – мобильное устройство передаёт информацию, относящуюся к телефону и SIM-карте в составе информации об устройстве. Учитывается только если установлен флаг collectDeviceInfo. На Android-устройстве необходимо дополнительное разрешение приложению на доступ к информации о телефоне;

====Информация о местоположении устройства====
'''collectDeviceLocation''' – флаг, указывающий необходимость сбора информации о местоположении устройства. При включении – мобильное устройство передаёт координаты местоположения устройства в составе информации об устройстве. Учитывается только если установлен флаг collectDeviceInfo. На мобильном устройстве необходимо дополнительное разрешение на доступ к геолокации;

==Запрет перерегистрации открытого ключа==
'''denyRenewPublicKey''' – флаг, запрещающий перерегистарцию открытого ключа сервере, если открытый ключ уже был зарегистрирован ранее;

==Параметры сохранения ключевой информации на устройстве==
===Запрет использования механизмов безопасности ОС===
'''denyStoreWithOSProtection''' – флаг, запрещающий сохранение ключа с использованием механизмов безопасности операционной системы мобильного устройства (TouchID/FaceID, Google Key Store);
===Требования к паролю===
Также может быть указан вариант требований к сложности пароля при сохранении ключевой информации на мобильном устройстве, путём задания значения passPolicy. Доступны следующие варианты:
* «0» – минимум 6 символов, пароль не обязателен;
* «1» – минимум 6 символов, пароль обязателен;
* «2» – минимум 8 символов (обязательно использование A-Z и a-z) пароль обязателен;
* «3» – минимум 8 символов (обязательно использование A-Z, a-z и 0-9) пароль обязателен.
Если опциональное значение passPolicy не установлено, принимается значение равное «0».
==Скоринг и автоподпись==
===Скоринг===
'''scoring_enabled''' - разрешение "скоринга" устройства и поведенческого анализа с помощью дополнительного антифрод-модуля Secure Bank от Group IB. Лицензируется отдельно.
===Автоподписание===
'''autosign_enabled''' - разрешение автоподписи транзакций на основе результата скоринга устройства и поведенческого анализа. Для автоподписи используется дополнительная асимметричная ключевая пара.
==Отложенный ввод в действие ключевой информации==
'''delayed''' – флаг отложенного ввода в действие ключа. При его установке ключ, используемый для подтверждения транзакций и проверки кодов аутентификации, не заменяется. Сгенерированный новый ключ помечается как отложенный. Его ввод в действие выполняется одним из следующих способов:
* путем вызова метода Ввод отложенного ключа в действие;
* путем вызова одного из методов: Сохранение отпечатка устройства, Регистрация открытого ключа, Регистрация устройства для отправки PUSH-уведомлений с кодом аутентификации, сформированным на отложенном ключе.
Выполнять обновление ключевой информации с флагом отложенного ввода можно неограниченное количество раз. При этом сформированная ранее отложенная ключевая информация будет заменена новой отложенной ключевой информацией.
При выполнении обновления без данного флага вся отложенная ключевая информация далее считается недействительной и не может быть введена в действие.
Если значение опционального флага не указано, принимается значение равное «false».
==Параметры NFC==
'''nfc_policy''' - флаг, который определяет использования NFC на мобильном устройстве. Доступны следующие варианты:
* «0» – использование NFC-карты, хранащей закрытый ключ, на мобильном устройстве запрещено. Для всех криптографических операций используется ключевая пара генерируемая на самом мобильном устройстве;
* «1» – использование NFC-карты, хранащей закрытый ключ, на мобильном устройстве опционально. В криптографических операциях может быть использована как ключевая пара, генерируемая на мобильном устройстве, так и ключевой контейнер, хранящийся на NFC-карте;
* «2» – использование NFC-карты, хранащей закрытый ключ, на мобильном устройстве обязательно. Для всех криптографических операций используется ключевая пара, хранящаяся в контейнере на NFC-карте;

Если опциональное значение nfc_policy не установлено, принимается значение равное «0».
=Флаги=
В составе QR-кода, значения передаются в 7-ой строке данных (для версии сервера 3.x) или в параметре "key_flags" (для версии сервера 5 и выше), целым числом. Значения флагов вычисляются с помощью битовой маски.
<syntaxhighlight lang="java">
KEYFLAG_WITH_FINGERPRINT = (1 << 0);
KEYFLAG_COLLECT_EVENTS = (1 << 1);
KEYFLAG_COLLECT_DEVICEINFO = (1 << 2);
KEYFLAG_COLLECT_SIMINFO = (1 << 3);
KEYFLAG_COLLECT_LOCATION = (1 << 4);
KEYFLAG_PASS_POLICY_POS = (1 << 5); // password policy encoded by 2 bits (4 values)
KEYFLAG_PASS_POLICY_POS = (1 << 6); // password policy encoded by 2 bits (4 values)
KEYFLAG_DENY_STORE_WITH_OS_PROTECTION = (1 << 7);
KEYFLAG_DENY_RENEW_PUBKEY = (1 << 8);
KEYFLAG_SCORING_ENABLED = (1 << 9);
KEYFLAG_AUTOSIGN_ENABLED = (1 << 10);
KEYFLAG_REMOTE_UPDATE_ENABLED = (1 << 11);
KEYFLAG_SERVERSIGNER = (1 << 12);
KEYFLAG_NFC_POLICY_POS = (1 << 13); // nfc policy encoded by 2 bits (3 values)
KEYFLAG_NFC_POLICY_POS = (1 << 14); // nfc policy encoded by 2 bits (3 values)
KEYFLAG_TELEGRAM_ENABLED = (1 << 15);
KEYFLAG_ONLINE_CREDENTIALS = (1 << 16);
KEYFLAG_IS_WEB = (1 << 17);
</syntaxhighlight>

PayControl PKI

2026-02-19T13:28:34Z

A.bursakov:

PC базово в своём составе имеет коннекторы к двум УЦ:

* КриптоПро УЦ
* УЦ на базе OpenSSL

= КриптоПро УЦ =

С версии 6.9.0, PC может быть подключён к КриптоПро УЦ 2.0 (исполнение 15 и 16) для выпуска сертификатов пользователям PC.

Коннектор к УЦ КриптоПро является модулем компонента PCS. Взаимодействие с УЦ КриптоПро ведётся через его компонент — центр регистрации.

Для работы с УЦ КриптоПро необходимо включить коннектор, настроить его, добавить ключ для аутентификации запросов в центр регистрации (или два раздельных ключа, один для mTLS, второй для подписания запросов к ЦР), добавить корневой сертификат УЦ для проверки аутентичности сервера при подключении.

== Конфигурирование PKI коннектора ==

=== Указание пути к файлу конфигурации PKI коннектора ===

Путь к файлу конфигурации устанавливается в настройках сервера PCS в параметре <code>PKI_SETTINGS_PATH</code>. Значением по умолчанию является <code>/opt/pc/pki/pki-settings.properties</code>. Способ установки описан в [https://repo.paycontrol.org/server/doc/latest/pc-reference-guide/ru/#установка-параметров|справочном руководстве].

=== Состав файла конфигурации ===

<syntaxhighlight lang="shell"># Connector type selection (MUST not be changed to use this connector)
# Указание типа коннектора (не подлежит изменению при использовании этого коннектора)
caType=CPCA20

# Alias of the Operator's private key and certificate stored in HDImage
# Алиас закрытого ключа и сертификата оператора в HDImage хранилище (используется для установки mTLS и подписи запросов к УЦ)
cpca20OperatorKeyAlias=Operator-1

# Password to the Operator's private key container
# Пароль закрытого ключа оператора
cpca20OperatorKeyPassword=

# Trusted certificates in PEM for establishing TLS connection with CA
# Путь к файлу с доверенными сертификатами
cpca20TrustedCertificatesPath=/opt/pc/cp_ca/etc/904C46A177CC4BAA6B683AD47E4BF625FADD166B.pem

# URL for the CA 2.0 instance
# Адрес центра регистрации УЦ КриптоПро для взаимодействия
cpca20InteractionUrl=https://cpca.loc

# URL for the CA 2.0 distribution point
# Адрес распространения списков отзывов сертификатов
cpca20CrlDp=http://cpca.loc/cdp/904C46A177CC4BAA6B683AD47E4BF625FADD166B.crl

# OID for the custom component in subject's DN (UnstructuredName)
# OID для поля UnstructuredName
cacp20UserNameOID=1.2.840.113549.1.9.2

# OID for the certificate template to be included in the extensions of certificate requests
# OID шаблона сертификата для включения в расширение в запросе сертификата
cacp20CertTemplateOID=1.2.643.2.999.1.1.1

# Folder to be used when creating users at RA
# Папка, в которой создаются сертификаты пользователей в ЦР УЦ КриптоПро
cacp20RegistrationFolder=Ra

# Whether to use specified CRL DP for certificate checking (useful when CRL DP is not included into certificate extensions)
# Флаг разрешающий использование установленного в cpca20CrlDp адреса для получения списка отзыва сертификатов (для случаев, если в сертификате не указана точка распространения списка отзывов)
cacp20UseCrlDpForCertificateValidation=true

# Timeout in milliseconds for establishing connection with CA
# Время ожидания установки TCP соединения с УЦ в мс
cacp20ConnectionTimeout=2000

# Timeout in milliseconds for requesting connection from the connection manager
# Время ожидания готовности сервера принять запрос в мс
cacp20ConnectionRequestTimeout=2000

# Timeout in milliseconds for getting response from CA
# Время ожидания ответа от УЦ в мс
cacp20ResponseTimeout=2000</syntaxhighlight>

=== Сертификат УЦ ===

Сертификат УЦ необходимо разместить в доступном для сервиса месте (например в <code>/opt/pc/cp_ca/etc/</code>), и указать путь к этому файлу в параметре <code>cpca20TrustedCertificatesPath</code> конфигурационного файла.

== Размещение ключей ==

Файлы ключа и сертификата оператора в формате КриптоПро CSP HDImage необходимо разместить по по пути <code>/var/opt/cprocsp/keys/ProcessUsername/OperatorKeyAlias</code>, где вместо значений:

* <code>ProcessUsername</code> должено быть указано имя пользователя, под которым запущен процесс PCS;
* <code>OperatorKeyAlias</code> должен быть указан алиас оператора (для приведённого примера файла конфигурации это будет <code>Operator-1</code> и путь будет следующий <code>/var/opt/cprocsp/keys/user/Operator-1</code>).

Владельцем директорий <code>ProcessUsername/OperatorKeyAlias</code> и файлов ключей должен быть пользователь, под которым запущен процесс PCS. Если эти директории принадлежат другому пользователю, необходимо скорректировать принадлежность, например, с помощью <code>chown</code>.

= OpenSSL =

== Конфигурирование PKI коннектора ==

=== Путь к конфигурационному файлу коннектора ===

Настройку необходимо внести в pc_sys_property БД PCS.

PKI_SETTINGS_PATH | /opt/pc/pki/pki-settings.properties

Пример для PostgreSQL:<syntaxhighlight lang="sql">insert into pc_sys_property values (nextval('pc_setting_seq'), 'PKI_SETTINGS_PATH', '/opt/pc/pki/pki-settings.properties');</syntaxhighlight>

=== Пример конфигурационного файла ===

<syntaxhighlight lang="shell">
# check certificate's expiration, cert path and other constrains during each cert use
checkCertificates=true

# check certificate revocation status, to use checkCertificates must be true
checkRevocation=true
useCRL=true
useOCSP=false

# -- OpenSSL Settings
caType=OpenSSL
issueCertificateCmd=/opt/pc/pki/issue_cert.sh
revokeCertificateCmd=/opt/pc/pki/revoke_cert.sh

# files prefixes must contain path where tmp files will be stored
csrTmpFilePrefix=pc-openssl-connector-csr-
certTmpFilePrefix=pc-openssl-connector-cert-

# certificate chain in PEM-format
# the first certificate must be CA (self-signed), second - 1st intermediate, third - 2nd intermediate and so on
# if checkRevocation is true, then each of intermediate certificates must contain OCSP url or CRL Distribution point
caChainFileName=/opt/pc/pki/Intermediate_CA/certs/intermediate.chain.pem
</syntaxhighlight>

== Пример файла выпуска сертификата ==

=== ECDSA ===

<syntaxhighlight lang="shell">
#!/bin/sh
CA_DIR=/opt/pc/pki/Intermediate_CA
KEY_PASS=secretpassword

DER_CSR_FILE_NAME=$1
DER_CSR_BASE_FILE_NAME="$(basename -- $DER_CSR_FILE_NAME)"
DER_CSR_BASE_FILE_NAME="${DER_CSR_BASE_FILE_NAME%.*}"
PEM_CSR_FILE_NAME=csr/$DER_CSR_BASE_FILE_NAME.pem
PEM_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.pem
DER_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.der

DEST_CERT_FILE_NAME=$2

cd $CA_DIR
openssl req -inform DER -in $DER_CSR_FILE_NAME -out $PEM_CSR_FILE_NAME
openssl ca -config openssl.cnf -extensions usr_cert -days 375 -notext -md sha256 -in $PEM_CSR_FILE_NAME -out $PEM_CERT_FILE_NAME -passin pass:$KEY_PASS -batch
openssl x509 -outform der -in $PEM_CERT_FILE_NAME -out $DER_CERT_FILE_NAME

cp $DER_CERT_FILE_NAME $DEST_CERT_FILE_NAME
</syntaxhighlight>

=== ГОСТ ===

<syntaxhighlight lang="shell">
#!/bin/sh
CA_DIR=/opt/pc/pki/Intermediate_CA
KEY_PASS=secretpassword

DER_CSR_FILE_NAME=$1
DER_CSR_BASE_FILE_NAME="$(basename -- $DER_CSR_FILE_NAME)"
DER_CSR_BASE_FILE_NAME="${DER_CSR_BASE_FILE_NAME%.*}"
PEM_CSR_FILE_NAME=csr/$DER_CSR_BASE_FILE_NAME.pem
PEM_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.pem
DER_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.der

DEST_CERT_FILE_NAME=$2

cd $CA_DIR
openssl req -inform DER -in $DER_CSR_FILE_NAME -out $PEM_CSR_FILE_NAME
openssl ca -config openssl.cnf -extensions usr_cert -days 375 -notext -md gost12_256 -in $PEM_CSR_FILE_NAME -out $PEM_CERT_FILE_NAME -passin pass:$KEY_PASS -batch
openssl x509 -outform der -in $PEM_CERT_FILE_NAME -out $DER_CERT_FILE_NAME

cp $DER_CERT_FILE_NAME $DEST_CERT_FILE_NAME
</syntaxhighlight>
== Пример файла отзыва сертификата ==

<syntaxhighlight lang="shell">
#!/bin/sh
CERT_FILE_NAME=$1
KEY_PASS=secretpassword
CA_DIR=/opt/pc/pki/Intermediate_CA
INTERMEDIATE_CRL_LOCATION=crl/intermediate.crl

cd $CA_DIR

#revoke
openssl ca -config openssl.cnf -revoke $CERT_FILE_NAME -passin pass:$KEY_PASS
#publish CRL
openssl ca -config openssl.cnf -gencrl -out $INTERMEDIATE_CRL_LOCATION -passin pass:$KEY_PASS
cp -v $INTERMEDIATE_CRL_LOCATION /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Пример файла скрипта публикации списка отзыва корневого УЦ ==

<syntaxhighlight lang="shell">
#!/bin/bash
openssl ca \
-config /opt/pc/pki/Root_CA/openssl_host.cnf \
-gencrl \
-out /opt/pc/pki/Root_CA/crl/root.crl \
-passin pass:secretpassword
cp /opt/pc/pki/Root_CA/crl/root.crl /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Пример файла скрипта публикации списка отзыва промежуточного УЦ ==

<syntaxhighlight lang="shell">
#!/bin/bash
openssl ca \
-config /opt/pc/pki/Intermediate_CA/openssl_host.cnf \
-gencrl \
-out /opt/pc/pki/Intermediate_CA/crl/intermediate.crl \
-passin pass:secretpassword
cp /opt/pc/pki/Intermediate_CA/crl/intermediate.crl /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Включение ГОСТ в OpenSSL ==

=== Установка модуля ГОСТ ===

Для работы OpenSSL с криптоалгоритмами ГОСТ необходимо установить криптографическую библиотеку и настроить работу с этой библиотекой в конфигурационном файле, для этого:

* Установите пакет <code>openssl-gost-engine</code>, либо, если его нет в репозитории Вашего дистрибутива, скачайте по ссылке https://repo.paycontrol.org/cdn/artefacts/gost-engine/engine/gost.so (sha256sum: <code>435a0dee3273d924458c14ad57ac44b0711aa37fb3df9f2ba987a118f2339b1f gost.so</code>) и разместите скаченный файл криптобиблиотеки в директории модулей OpenSSL (в зависимости от дистрибутива это может быть <code>/usr/lib/engines-3/</code>, или, например <code>/usr/lib64/engines-3/</code>).
* В кофигурационный файл OpenSSL добавьте:<syntaxhighlight lang="shell">openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gost = gost_section

[gost_section]
engine_id = gost
dynamic_path = /usr/lib/engines-3/gost.so
default_algorithms = ALL </syntaxhighlight>, где в качестве значения <code>dynamic_path</code> должен быть указан путь к библиотеке <code>gost.so</code>.
* В кофигурационном файле OpenSSL параметру <code>default_md</code> необходимо установить значение <code>md_gost12_256</code>.

== Пример команд для создания корневого и промежуточного ГОСТ-УЦ в OpenSSL ==

=== Создание корневого сертификата ===

<syntaxhighlight lang="shell">
openssl genpkey -config openssl_intermediate.cnf -pass pass:$KEY_PASS -algorithm gost2012_256 -pkeyopt paramset:A -out private/root.key.pem
openssl req -config openssl_intermediate.cnf -key private/root.key.pem -passin pass:${PKI_KEY_PASS} -new -x509 -days 7300 -md_gost12_256 -extensions v3_ca -subj "${PKI_ROOT_SUBJECT}" -out certs/root.cert.pem
</syntaxhighlight>

=== Создание ключа и запроса для промежуточного УЦ ===

<syntaxhighlight lang="shell">
openssl genpkey -config openssl_root.cnf -pass pass:$KEY_PASS -algorithm gost2012_256 -pkeyopt paramset:A -out private/intermediate.key.pem
openssl req -config openssl_root.cnf -key private/intermediate.key.pem -passin pass:${PKI_KEY_PASS} -new -md_gost12_256 -subj "${PKI_INTERMEDIATE_SUBJECT}" -out csr/intermediate.csr.pem
</syntaxhighlight>

=== Выпуск сертификата для промежуточного УЦ ===

<syntaxhighlight lang="shell">
openssl ca -config openssl_intermediate.cnf -extensions v3_intermediate_ca -passin pass:${PKI_KEY_PASS} -days 3650 -notext -md gost12_256 -in ../Intermediate_CA/csr/intermediate.csr.pem -out ../Intermediate_CA/certs/intermediate.cert.pem -out certs/intermediate.cert.pem -batch
</syntaxhighlight>

[[Категория:OpenSSL]]
[[Категория:PKI]]
[[Категория:Сертификаты]]
[[Категория:КриптоПро УЦ]]

PayControl PKI

2026-02-16T15:50:20Z

A.bursakov:

= КриптоПро УЦ =

С версии 6.9.0, PC может быть подключён к КриптоПро УЦ 2.0 (исполнение 15 и 16) для выпуска сертификатов пользователям PC.

Коннектор к УЦ КриптоПро является модулем компонента PCS. Взаимодействие с УЦ КриптоПро ведётся через его компонент — центр регистрации.

Для работы с УЦ КриптоПро необходимо включить коннектор, настроить его, добавить ключ для аутентификации запросов в центр регистрации (или два раздельных ключа, один для mTLS, второй для подписания запросов к ЦР), добавить корневой сертификат УЦ для проверки аутентичности сервера при подключении.

== Конфигурирование PKI коннектора ==

=== Указание пути к файлу конфигурации PKI коннектора ===

Путь к файлу конфигурации устанавливается в настройках сервера PCS в параметре <code>PKI_SETTINGS_PATH</code>. Значением по умолчанию является <code>/opt/pc/pki/pki-settings.properties</code>. Способ установки описан в [https://repo.paycontrol.org/server/doc/latest/pc-reference-guide/ru/#установка-параметров|справочном руководстве].

=== Состав файла конфигурации ===

<syntaxhighlight lang="shell"># Connector type selection (MUST not be changed to use this connector)
# Указание типа коннектора (не подлежит изменению при использовании этого коннектора)
caType=CPCA20

# Alias of the Operator's private key and certificate stored in HDImage
# Алиас закрытого ключа и сертификата оператора в HDImage хранилище (используется для установки mTLS и подписи запросов к УЦ)
cpca20OperatorKeyAlias=Operator-1

# Password to the Operator's private key container
# Пароль закрытого ключа оператора
cpca20OperatorKeyPassword=

# Trusted certificates in PEM for establishing TLS connection with CA
# Путь к файлу с доверенными сертификатами
cpca20TrustedCertificatesPath=/opt/pc/cp_ca/etc/904C46A177CC4BAA6B683AD47E4BF625FADD166B.pem

# URL for the CA 2.0 instance
# Адрес центра регистрации УЦ КриптоПро для взаимодействия
cpca20InteractionUrl=https://cpca.loc

# URL for the CA 2.0 distribution point
# Адрес распространения списков отзывов сертификатов
cpca20CrlDp=http://cpca.loc/cdp/904C46A177CC4BAA6B683AD47E4BF625FADD166B.crl

# OID for the custom component in subject's DN (UnstructuredName)
# OID для поля UnstructuredName
cacp20UserNameOID=1.2.840.113549.1.9.2

# OID for the certificate template to be included in the extensions of certificate requests
# OID шаблона сертификата для включения в расширение в запросе сертификата
cacp20CertTemplateOID=1.2.643.2.999.1.1.1

# Folder to be used when creating users at RA
# Папка, в которой создаются сертификаты пользователей в ЦР УЦ КриптоПро
cacp20RegistrationFolder=Ra

# Whether to use specified CRL DP for certificate checking (useful when CRL DP is not included into certificate extensions)
# Флаг разрешающий использование установленного в cpca20CrlDp адреса для получения списка отзыва сертификатов (для случаев, если в сертификате не указана точка распространения списка отзывов)
cacp20UseCrlDpForCertificateValidation=true

# Timeout in milliseconds for establishing connection with CA
# Время ожидания установки TCP соединения с УЦ в мс
cacp20ConnectionTimeout=2000

# Timeout in milliseconds for requesting connection from the connection manager
# Время ожидания готовности сервера принять запрос в мс
cacp20ConnectionRequestTimeout=2000

# Timeout in milliseconds for getting response from CA
# Время ожидания ответа от УЦ в мс
cacp20ResponseTimeout=2000</syntaxhighlight>

=== Сертификат УЦ ===

Сертификат УЦ необходимо разместить в доступном для сервиса месте (например в <code>/opt/pc/cp_ca/etc/</code>), и указать путь к этому файлу в параметре <code>cpca20TrustedCertificatesPath</code> конфигурационного файла.

== Размещение ключей ==

Файлы ключа и сертификата оператора в формате КриптоПро CSP HDImage необходимо разместить по по пути <code>/var/opt/cprocsp/keys/ProcessUsername/OperatorKeyAlias</code>, где вместо значений:

* <code>ProcessUsername</code> должено быть указано имя пользователя, под которым запущен процесс PCS;
* <code>OperatorKeyAlias</code> должен быть указан алиас оператора (для приведённого примера файла конфигурации это будет <code>Operator-1</code> и путь будет следующий <code>/var/opt/cprocsp/keys/user/Operator-1</code>).

Владельцем директорий <code>ProcessUsername/OperatorKeyAlias</code> и файлов ключей должен быть пользователь, под которым запущен процесс PCS. Если эти директории принадлежат другому пользователю, необходимо скорректировать принадлежность, например, с помощью <code>chown</code>.

= OpenSSL =

== Конфигурирование PKI коннектора ==

=== Путь к конфигурационному файлу коннектора ===

Настройку необходимо внести в pc_sys_property БД PCS.

PKI_SETTINGS_PATH | /opt/pc/pki/pki-settings.properties

Пример для PostgreSQL:<syntaxhighlight lang="sql">insert into pc_sys_property values (nextval('pc_setting_seq'), 'PKI_SETTINGS_PATH', '/opt/pc/pki/pki-settings.properties');</syntaxhighlight>

=== Пример конфигурационного файла ===

<syntaxhighlight lang="shell">
# check certificate's expiration, cert path and other constrains during each cert use
checkCertificates=true

# check certificate revocation status, to use checkCertificates must be true
checkRevocation=true
useCRL=true
useOCSP=false

# -- OpenSSL Settings
caType=OpenSSL
issueCertificateCmd=/opt/pc/pki/issue_cert.sh
revokeCertificateCmd=/opt/pc/pki/revoke_cert.sh

# files prefixes must contain path where tmp files will be stored
csrTmpFilePrefix=pc-openssl-connector-csr-
certTmpFilePrefix=pc-openssl-connector-cert-

# certificate chain in PEM-format
# the first certificate must be CA (self-signed), second - 1st intermediate, third - 2nd intermediate and so on
# if checkRevocation is true, then each of intermediate certificates must contain OCSP url or CRL Distribution point
caChainFileName=/opt/pc/pki/Intermediate_CA/certs/intermediate.chain.pem
</syntaxhighlight>

== Пример файла выпуска сертификата ==

=== ECDSA ===

<syntaxhighlight lang="shell">
#!/bin/sh
CA_DIR=/opt/pc/pki/Intermediate_CA
KEY_PASS=secretpassword

DER_CSR_FILE_NAME=$1
DER_CSR_BASE_FILE_NAME="$(basename -- $DER_CSR_FILE_NAME)"
DER_CSR_BASE_FILE_NAME="${DER_CSR_BASE_FILE_NAME%.*}"
PEM_CSR_FILE_NAME=csr/$DER_CSR_BASE_FILE_NAME.pem
PEM_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.pem
DER_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.der

DEST_CERT_FILE_NAME=$2

cd $CA_DIR
openssl req -inform DER -in $DER_CSR_FILE_NAME -out $PEM_CSR_FILE_NAME
openssl ca -config openssl.cnf -extensions usr_cert -days 375 -notext -md sha256 -in $PEM_CSR_FILE_NAME -out $PEM_CERT_FILE_NAME -passin pass:$KEY_PASS -batch
openssl x509 -outform der -in $PEM_CERT_FILE_NAME -out $DER_CERT_FILE_NAME

cp $DER_CERT_FILE_NAME $DEST_CERT_FILE_NAME
</syntaxhighlight>

=== ГОСТ ===

<syntaxhighlight lang="shell">
#!/bin/sh
CA_DIR=/opt/pc/pki/Intermediate_CA
KEY_PASS=secretpassword

DER_CSR_FILE_NAME=$1
DER_CSR_BASE_FILE_NAME="$(basename -- $DER_CSR_FILE_NAME)"
DER_CSR_BASE_FILE_NAME="${DER_CSR_BASE_FILE_NAME%.*}"
PEM_CSR_FILE_NAME=csr/$DER_CSR_BASE_FILE_NAME.pem
PEM_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.pem
DER_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.der

DEST_CERT_FILE_NAME=$2

cd $CA_DIR
openssl req -inform DER -in $DER_CSR_FILE_NAME -out $PEM_CSR_FILE_NAME
openssl ca -config openssl.cnf -extensions usr_cert -days 375 -notext -md gost12_256 -in $PEM_CSR_FILE_NAME -out $PEM_CERT_FILE_NAME -passin pass:$KEY_PASS -batch
openssl x509 -outform der -in $PEM_CERT_FILE_NAME -out $DER_CERT_FILE_NAME

cp $DER_CERT_FILE_NAME $DEST_CERT_FILE_NAME
</syntaxhighlight>
== Пример файла отзыва сертификата ==

<syntaxhighlight lang="shell">
#!/bin/sh
CERT_FILE_NAME=$1
KEY_PASS=secretpassword
CA_DIR=/opt/pc/pki/Intermediate_CA
INTERMEDIATE_CRL_LOCATION=crl/intermediate.crl

cd $CA_DIR

#revoke
openssl ca -config openssl.cnf -revoke $CERT_FILE_NAME -passin pass:$KEY_PASS
#publish CRL
openssl ca -config openssl.cnf -gencrl -out $INTERMEDIATE_CRL_LOCATION -passin pass:$KEY_PASS
cp -v $INTERMEDIATE_CRL_LOCATION /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Пример файла скрипта публикации списка отзыва корневого УЦ ==

<syntaxhighlight lang="shell">
#!/bin/bash
openssl ca \
-config /opt/pc/pki/Root_CA/openssl_host.cnf \
-gencrl \
-out /opt/pc/pki/Root_CA/crl/root.crl \
-passin pass:secretpassword
cp /opt/pc/pki/Root_CA/crl/root.crl /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Пример файла скрипта публикации списка отзыва промежуточного УЦ ==

<syntaxhighlight lang="shell">
#!/bin/bash
openssl ca \
-config /opt/pc/pki/Intermediate_CA/openssl_host.cnf \
-gencrl \
-out /opt/pc/pki/Intermediate_CA/crl/intermediate.crl \
-passin pass:secretpassword
cp /opt/pc/pki/Intermediate_CA/crl/intermediate.crl /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Включение ГОСТ в OpenSSL ==

=== Установка модуля ГОСТ ===

Для работы OpenSSL с криптоалгоритмами ГОСТ необходимо установить криптографическую библиотеку и настроить работу с этой библиотекой в конфигурационном файле, для этого:

* Установите пакет <code>openssl-gost-engine</code>, либо, если его нет в репозитории Вашего дистрибутива, скачайте по ссылке https://repo.paycontrol.org/cdn/artefacts/gost-engine/engine/gost.so (sha256sum: <code>435a0dee3273d924458c14ad57ac44b0711aa37fb3df9f2ba987a118f2339b1f gost.so</code>) и разместите скаченный файл криптобиблиотеки в директории модулей OpenSSL (в зависимости от дистрибутива это может быть <code>/usr/lib/engines-3/</code>, или, например <code>/usr/lib64/engines-3/</code>).
* В кофигурационный файл OpenSSL добавьте:<syntaxhighlight lang="shell">openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gost = gost_section

[gost_section]
engine_id = gost
dynamic_path = /usr/lib/engines-3/gost.so
default_algorithms = ALL </syntaxhighlight>, где в качестве значения <code>dynamic_path</code> должен быть указан путь к библиотеке <code>gost.so</code>.
* В кофигурационном файле OpenSSL параметру <code>default_md</code> необходимо установить значение <code>md_gost12_256</code>.

== Пример команд для создания корневого и промежуточного ГОСТ-УЦ в OpenSSL ==

=== Создание корневого сертификата ===

<syntaxhighlight lang="shell">
openssl genpkey -config openssl_intermediate.cnf -pass pass:$KEY_PASS -algorithm gost2012_256 -pkeyopt paramset:A -out private/root.key.pem
openssl req -config openssl_intermediate.cnf -key private/root.key.pem -passin pass:${PKI_KEY_PASS} -new -x509 -days 7300 -md_gost12_256 -extensions v3_ca -subj "${PKI_ROOT_SUBJECT}" -out certs/root.cert.pem
</syntaxhighlight>

=== Создание ключа и запроса для промежуточного УЦ ===

<syntaxhighlight lang="shell">
openssl genpkey -config openssl_root.cnf -pass pass:$KEY_PASS -algorithm gost2012_256 -pkeyopt paramset:A -out private/intermediate.key.pem
openssl req -config openssl_root.cnf -key private/intermediate.key.pem -passin pass:${PKI_KEY_PASS} -new -md_gost12_256 -subj "${PKI_INTERMEDIATE_SUBJECT}" -out csr/intermediate.csr.pem
</syntaxhighlight>

=== Выпуск сертификата для промежуточного УЦ ===

<syntaxhighlight lang="shell">
openssl ca -config openssl_intermediate.cnf -extensions v3_intermediate_ca -passin pass:${PKI_KEY_PASS} -days 3650 -notext -md gost12_256 -in ../Intermediate_CA/csr/intermediate.csr.pem -out ../Intermediate_CA/certs/intermediate.cert.pem -out certs/intermediate.cert.pem -batch
</syntaxhighlight>

[[Категория:OpenSSL]]
[[Категория:PKI]]
[[Категория:Сертификаты]]
[[Категория:КриптоПро УЦ]]

PayControl PKI

2026-02-16T15:49:31Z

A.bursakov: /* Размещение ключей */

= КриптоПро УЦ =

С версии 6.9.0, PC может быть подключён к КриптоПро УЦ 2.0 (исполнение 15 и 16) для выпуска сертификатов пользователям PC.

Коннектор к УЦ КриптоПро является модулем компонента PCS. Взаимодействие с УЦ КриптоПро ведётся через его компонент — центр регистрации.

Для работы с УЦ КриптоПро необходимо включить коннектор, настроить его, добавить ключ для аутентификации запросов в центр регистрации (или два раздельных ключа, один для mTLS, второй для подписания запросов к ЦР), добавить корневой сертификат УЦ для проверки аутентичности сервера при подключении.

== Конфигурирование PKI коннектора ==

=== Указание пути к файлу конфигурации PKI коннектора ===

Путь к файлу конфигурации устанавливается в настройках сервера PCS в параметре <code>PKI_SETTINGS_PATH</code>. Значением по умолчанию является <code>/opt/pc/pki/pki-settings.properties</code>. Способ установки описан в [https://repo.paycontrol.org/server/doc/latest/pc-reference-guide/ru/#установка-параметров|справочном руководстве].

=== Состав файла конфигурации ===

<syntaxhighlight lang="shell"># Connector type selection (MUST not be changed to use this connector)
# Указание типа коннектора (не подлежит изменению при использовании этого коннектора)
caType=CPCA20

# Alias of the Operator's private key and certificate stored in HDImage
# Алиас закрытого ключа и сертификата оператора в HDImage хранилище (используется для установки mTLS и подписи запросов к УЦ)
cpca20OperatorKeyAlias=Operator-1

# Password to the Operator's private key container
# Пароль закрытого ключа оператора
cpca20OperatorKeyPassword=

# Trusted certificates in PEM for establishing TLS connection with CA
# Путь к файлу с доверенными сертификатами
cpca20TrustedCertificatesPath=/opt/pc/cp_ca/etc/904C46A177CC4BAA6B683AD47E4BF625FADD166B.pem

# URL for the CA 2.0 instance
# Адрес центра регистрации УЦ КриптоПро для взаимодействия
cpca20InteractionUrl=https://cpca.loc

# URL for the CA 2.0 distribution point
# Адрес распространения списков отзывов сертификатов
cpca20CrlDp=http://cpca.loc/cdp/904C46A177CC4BAA6B683AD47E4BF625FADD166B.crl

# OID for the custom component in subject's DN (UnstructuredName)
# OID для поля UnstructuredName
cacp20UserNameOID=1.2.840.113549.1.9.2

# OID for the certificate template to be included in the extensions of certificate requests
# OID шаблона сертификата для включения в расширение в запросе сертификата
cacp20CertTemplateOID=1.2.643.2.999.1.1.1

# Folder to be used when creating users at RA
# Папка, в которой создаются сертификаты пользователей в ЦР УЦ КриптоПро
cacp20RegistrationFolder=Ra

# Whether to use specified CRL DP for certificate checking (useful when CRL DP is not included into certificate extensions)
# Флаг разрешающий использование установленного в cpca20CrlDp адреса для получения списка отзыва сертификатов (для случаев, если в сертификате не указана точка распространения списка отзывов)
cacp20UseCrlDpForCertificateValidation=true

# Timeout in milliseconds for establishing connection with CA
# Время ожидания установки TCP соединения с УЦ в мс
cacp20ConnectionTimeout=2000

# Timeout in milliseconds for requesting connection from the connection manager
# Время ожидания готовности сервера принять запрос в мс
cacp20ConnectionRequestTimeout=2000

# Timeout in milliseconds for getting response from CA
# Время ожидания ответа от УЦ в мс
cacp20ResponseTimeout=2000</syntaxhighlight>

=== Сертификат УЦ ===

Сертификат УЦ необходимо разместить в доступном для сервиса месте (например в <code>/opt/pc/cp_ca/etc/</code>), и указать путь к этому файлу в параметре <code>cpca20TrustedCertificatesPath</code> конфигурационного файла.

== Размещение ключей ==

Файлы ключа и сертификата оператора в формате КриптоПро CSP HDImage необходимо разместить по по пути <code>/var/opt/cprocsp/keys/ProcessUsername/OperatorKeyAlias</code>, где вместо значений:

* <code>ProcessUsername</code> должено быть указано имя пользователя, под которым запущен процесс PCS;
* <code>OperatorKeyAlias</code> должен быть указан алиас оператора (для приведённого примера файла конфигурации это будет <code>Operator-1</code> и путь будет следующий <code>/var/opt/cprocsp/keys/user/Operator-1</code>).

Владельцем директорий <code>ProcessUsername/OperatorKeyAlias</code> и файлов ключей должен быть пользователь, под которым запущен процесс PCS. Если эти директории принадлежат другому пользователю, необходимо скорректировать принадлежность, например, с помощью `chown`.

= OpenSSL =

== Конфигурирование PKI коннектора ==

=== Путь к конфигурационному файлу коннектора ===

Настройку необходимо внести в pc_sys_property БД PCS.

PKI_SETTINGS_PATH | /opt/pc/pki/pki-settings.properties

Пример для PostgreSQL:<syntaxhighlight lang="sql">insert into pc_sys_property values (nextval('pc_setting_seq'), 'PKI_SETTINGS_PATH', '/opt/pc/pki/pki-settings.properties');</syntaxhighlight>

=== Пример конфигурационного файла ===

<syntaxhighlight lang="shell">
# check certificate's expiration, cert path and other constrains during each cert use
checkCertificates=true

# check certificate revocation status, to use checkCertificates must be true
checkRevocation=true
useCRL=true
useOCSP=false

# -- OpenSSL Settings
caType=OpenSSL
issueCertificateCmd=/opt/pc/pki/issue_cert.sh
revokeCertificateCmd=/opt/pc/pki/revoke_cert.sh

# files prefixes must contain path where tmp files will be stored
csrTmpFilePrefix=pc-openssl-connector-csr-
certTmpFilePrefix=pc-openssl-connector-cert-

# certificate chain in PEM-format
# the first certificate must be CA (self-signed), second - 1st intermediate, third - 2nd intermediate and so on
# if checkRevocation is true, then each of intermediate certificates must contain OCSP url or CRL Distribution point
caChainFileName=/opt/pc/pki/Intermediate_CA/certs/intermediate.chain.pem
</syntaxhighlight>

== Пример файла выпуска сертификата ==

=== ECDSA ===

<syntaxhighlight lang="shell">
#!/bin/sh
CA_DIR=/opt/pc/pki/Intermediate_CA
KEY_PASS=secretpassword

DER_CSR_FILE_NAME=$1
DER_CSR_BASE_FILE_NAME="$(basename -- $DER_CSR_FILE_NAME)"
DER_CSR_BASE_FILE_NAME="${DER_CSR_BASE_FILE_NAME%.*}"
PEM_CSR_FILE_NAME=csr/$DER_CSR_BASE_FILE_NAME.pem
PEM_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.pem
DER_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.der

DEST_CERT_FILE_NAME=$2

cd $CA_DIR
openssl req -inform DER -in $DER_CSR_FILE_NAME -out $PEM_CSR_FILE_NAME
openssl ca -config openssl.cnf -extensions usr_cert -days 375 -notext -md sha256 -in $PEM_CSR_FILE_NAME -out $PEM_CERT_FILE_NAME -passin pass:$KEY_PASS -batch
openssl x509 -outform der -in $PEM_CERT_FILE_NAME -out $DER_CERT_FILE_NAME

cp $DER_CERT_FILE_NAME $DEST_CERT_FILE_NAME
</syntaxhighlight>

=== ГОСТ ===

<syntaxhighlight lang="shell">
#!/bin/sh
CA_DIR=/opt/pc/pki/Intermediate_CA
KEY_PASS=secretpassword

DER_CSR_FILE_NAME=$1
DER_CSR_BASE_FILE_NAME="$(basename -- $DER_CSR_FILE_NAME)"
DER_CSR_BASE_FILE_NAME="${DER_CSR_BASE_FILE_NAME%.*}"
PEM_CSR_FILE_NAME=csr/$DER_CSR_BASE_FILE_NAME.pem
PEM_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.pem
DER_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.der

DEST_CERT_FILE_NAME=$2

cd $CA_DIR
openssl req -inform DER -in $DER_CSR_FILE_NAME -out $PEM_CSR_FILE_NAME
openssl ca -config openssl.cnf -extensions usr_cert -days 375 -notext -md gost12_256 -in $PEM_CSR_FILE_NAME -out $PEM_CERT_FILE_NAME -passin pass:$KEY_PASS -batch
openssl x509 -outform der -in $PEM_CERT_FILE_NAME -out $DER_CERT_FILE_NAME

cp $DER_CERT_FILE_NAME $DEST_CERT_FILE_NAME
</syntaxhighlight>
== Пример файла отзыва сертификата ==

<syntaxhighlight lang="shell">
#!/bin/sh
CERT_FILE_NAME=$1
KEY_PASS=secretpassword
CA_DIR=/opt/pc/pki/Intermediate_CA
INTERMEDIATE_CRL_LOCATION=crl/intermediate.crl

cd $CA_DIR

#revoke
openssl ca -config openssl.cnf -revoke $CERT_FILE_NAME -passin pass:$KEY_PASS
#publish CRL
openssl ca -config openssl.cnf -gencrl -out $INTERMEDIATE_CRL_LOCATION -passin pass:$KEY_PASS
cp -v $INTERMEDIATE_CRL_LOCATION /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Пример файла скрипта публикации списка отзыва корневого УЦ ==

<syntaxhighlight lang="shell">
#!/bin/bash
openssl ca \
-config /opt/pc/pki/Root_CA/openssl_host.cnf \
-gencrl \
-out /opt/pc/pki/Root_CA/crl/root.crl \
-passin pass:secretpassword
cp /opt/pc/pki/Root_CA/crl/root.crl /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Пример файла скрипта публикации списка отзыва промежуточного УЦ ==

<syntaxhighlight lang="shell">
#!/bin/bash
openssl ca \
-config /opt/pc/pki/Intermediate_CA/openssl_host.cnf \
-gencrl \
-out /opt/pc/pki/Intermediate_CA/crl/intermediate.crl \
-passin pass:secretpassword
cp /opt/pc/pki/Intermediate_CA/crl/intermediate.crl /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Включение ГОСТ в OpenSSL ==

=== Установка модуля ГОСТ ===

Для работы OpenSSL с криптоалгоритмами ГОСТ необходимо установить криптографическую библиотеку и настроить работу с этой библиотекой в конфигурационном файле, для этого:

* Установите пакет <code>openssl-gost-engine</code>, либо, если его нет в репозитории Вашего дистрибутива, скачайте по ссылке https://repo.paycontrol.org/cdn/artefacts/gost-engine/engine/gost.so (sha256sum: <code>435a0dee3273d924458c14ad57ac44b0711aa37fb3df9f2ba987a118f2339b1f gost.so</code>) и разместите скаченный файл криптобиблиотеки в директории модулей OpenSSL (в зависимости от дистрибутива это может быть <code>/usr/lib/engines-3/</code>, или, например <code>/usr/lib64/engines-3/</code>).
* В кофигурационный файл OpenSSL добавьте:<syntaxhighlight lang="shell">openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gost = gost_section

[gost_section]
engine_id = gost
dynamic_path = /usr/lib/engines-3/gost.so
default_algorithms = ALL </syntaxhighlight>, где в качестве значения <code>dynamic_path</code> должен быть указан путь к библиотеке <code>gost.so</code>.
* В кофигурационном файле OpenSSL параметру <code>default_md</code> необходимо установить значение <code>md_gost12_256</code>.

== Пример команд для создания корневого и промежуточного ГОСТ-УЦ в OpenSSL ==

=== Создание корневого сертификата ===

<syntaxhighlight lang="shell">
openssl genpkey -config openssl_intermediate.cnf -pass pass:$KEY_PASS -algorithm gost2012_256 -pkeyopt paramset:A -out private/root.key.pem
openssl req -config openssl_intermediate.cnf -key private/root.key.pem -passin pass:${PKI_KEY_PASS} -new -x509 -days 7300 -md_gost12_256 -extensions v3_ca -subj "${PKI_ROOT_SUBJECT}" -out certs/root.cert.pem
</syntaxhighlight>

=== Создание ключа и запроса для промежуточного УЦ ===

<syntaxhighlight lang="shell">
openssl genpkey -config openssl_root.cnf -pass pass:$KEY_PASS -algorithm gost2012_256 -pkeyopt paramset:A -out private/intermediate.key.pem
openssl req -config openssl_root.cnf -key private/intermediate.key.pem -passin pass:${PKI_KEY_PASS} -new -md_gost12_256 -subj "${PKI_INTERMEDIATE_SUBJECT}" -out csr/intermediate.csr.pem
</syntaxhighlight>

=== Выпуск сертификата для промежуточного УЦ ===

<syntaxhighlight lang="shell">
openssl ca -config openssl_intermediate.cnf -extensions v3_intermediate_ca -passin pass:${PKI_KEY_PASS} -days 3650 -notext -md gost12_256 -in ../Intermediate_CA/csr/intermediate.csr.pem -out ../Intermediate_CA/certs/intermediate.cert.pem -out certs/intermediate.cert.pem -batch
</syntaxhighlight>

[[Категория:OpenSSL]]
[[Категория:PKI]]
[[Категория:Сертификаты]]
[[Категория:КриптоПро УЦ]]

PayControl PKI

2026-02-16T15:43:44Z

A.bursakov: /* Размещение ключей */

= КриптоПро УЦ =

С версии 6.9.0, PC может быть подключён к КриптоПро УЦ 2.0 (исполнение 15 и 16) для выпуска сертификатов пользователям PC.

Коннектор к УЦ КриптоПро является модулем компонента PCS. Взаимодействие с УЦ КриптоПро ведётся через его компонент — центр регистрации.

Для работы с УЦ КриптоПро необходимо включить коннектор, настроить его, добавить ключ для аутентификации запросов в центр регистрации (или два раздельных ключа, один для mTLS, второй для подписания запросов к ЦР), добавить корневой сертификат УЦ для проверки аутентичности сервера при подключении.

== Конфигурирование PKI коннектора ==

=== Указание пути к файлу конфигурации PKI коннектора ===

Путь к файлу конфигурации устанавливается в настройках сервера PCS в параметре <code>PKI_SETTINGS_PATH</code>. Значением по умолчанию является <code>/opt/pc/pki/pki-settings.properties</code>. Способ установки описан в [https://repo.paycontrol.org/server/doc/latest/pc-reference-guide/ru/#установка-параметров|справочном руководстве].

=== Состав файла конфигурации ===

<syntaxhighlight lang="shell"># Connector type selection (MUST not be changed to use this connector)
# Указание типа коннектора (не подлежит изменению при использовании этого коннектора)
caType=CPCA20

# Alias of the Operator's private key and certificate stored in HDImage
# Алиас закрытого ключа и сертификата оператора в HDImage хранилище (используется для установки mTLS и подписи запросов к УЦ)
cpca20OperatorKeyAlias=Operator-1

# Password to the Operator's private key container
# Пароль закрытого ключа оператора
cpca20OperatorKeyPassword=

# Trusted certificates in PEM for establishing TLS connection with CA
# Путь к файлу с доверенными сертификатами
cpca20TrustedCertificatesPath=/opt/pc/cp_ca/etc/904C46A177CC4BAA6B683AD47E4BF625FADD166B.pem

# URL for the CA 2.0 instance
# Адрес центра регистрации УЦ КриптоПро для взаимодействия
cpca20InteractionUrl=https://cpca.loc

# URL for the CA 2.0 distribution point
# Адрес распространения списков отзывов сертификатов
cpca20CrlDp=http://cpca.loc/cdp/904C46A177CC4BAA6B683AD47E4BF625FADD166B.crl

# OID for the custom component in subject's DN (UnstructuredName)
# OID для поля UnstructuredName
cacp20UserNameOID=1.2.840.113549.1.9.2

# OID for the certificate template to be included in the extensions of certificate requests
# OID шаблона сертификата для включения в расширение в запросе сертификата
cacp20CertTemplateOID=1.2.643.2.999.1.1.1

# Folder to be used when creating users at RA
# Папка, в которой создаются сертификаты пользователей в ЦР УЦ КриптоПро
cacp20RegistrationFolder=Ra

# Whether to use specified CRL DP for certificate checking (useful when CRL DP is not included into certificate extensions)
# Флаг разрешающий использование установленного в cpca20CrlDp адреса для получения списка отзыва сертификатов (для случаев, если в сертификате не указана точка распространения списка отзывов)
cacp20UseCrlDpForCertificateValidation=true

# Timeout in milliseconds for establishing connection with CA
# Время ожидания установки TCP соединения с УЦ в мс
cacp20ConnectionTimeout=2000

# Timeout in milliseconds for requesting connection from the connection manager
# Время ожидания готовности сервера принять запрос в мс
cacp20ConnectionRequestTimeout=2000

# Timeout in milliseconds for getting response from CA
# Время ожидания ответа от УЦ в мс
cacp20ResponseTimeout=2000</syntaxhighlight>

=== Сертификат УЦ ===

Сертификат УЦ необходимо разместить в доступном для сервиса месте (например в <code>/opt/pc/cp_ca/etc/</code>), и указать путь к этому файлу в параметре <code>cpca20TrustedCertificatesPath</code> конфигурационного файла.

== Размещение ключей ==

Файлы ключа и сертификата оператора в формате КриптоПро CSP HDImage необходимо разместить по по пути <code>/var/opt/cprocsp/keys/ProcessUsername/OperatorKeyAlias</code>, где вместо значений:

* <code>ProcessUsername</code> должено быть указано имя пользователя, под которым запущен процесс PCS;
* <code>OperatorKeyAlias</code> должен быть указан алиас оператора (для приведённого примера файла конфигурации это будет <code>Operator-1</code> и путь будет следующий <code>/var/opt/cprocsp/keys/user/Operator-1</code>).

Владельцем директорий <code>ProcessUsername/OperatorKeyAlias</code> и файлов ключей должен быть пользователь, под которым запущен процесс PCS.

= OpenSSL =

== Конфигурирование PKI коннектора ==

=== Путь к конфигурационному файлу коннектора ===

Настройку необходимо внести в pc_sys_property БД PCS.

PKI_SETTINGS_PATH | /opt/pc/pki/pki-settings.properties

Пример для PostgreSQL:<syntaxhighlight lang="sql">insert into pc_sys_property values (nextval('pc_setting_seq'), 'PKI_SETTINGS_PATH', '/opt/pc/pki/pki-settings.properties');</syntaxhighlight>

=== Пример конфигурационного файла ===

<syntaxhighlight lang="shell">
# check certificate's expiration, cert path and other constrains during each cert use
checkCertificates=true

# check certificate revocation status, to use checkCertificates must be true
checkRevocation=true
useCRL=true
useOCSP=false

# -- OpenSSL Settings
caType=OpenSSL
issueCertificateCmd=/opt/pc/pki/issue_cert.sh
revokeCertificateCmd=/opt/pc/pki/revoke_cert.sh

# files prefixes must contain path where tmp files will be stored
csrTmpFilePrefix=pc-openssl-connector-csr-
certTmpFilePrefix=pc-openssl-connector-cert-

# certificate chain in PEM-format
# the first certificate must be CA (self-signed), second - 1st intermediate, third - 2nd intermediate and so on
# if checkRevocation is true, then each of intermediate certificates must contain OCSP url or CRL Distribution point
caChainFileName=/opt/pc/pki/Intermediate_CA/certs/intermediate.chain.pem
</syntaxhighlight>

== Пример файла выпуска сертификата ==

=== ECDSA ===

<syntaxhighlight lang="shell">
#!/bin/sh
CA_DIR=/opt/pc/pki/Intermediate_CA
KEY_PASS=secretpassword

DER_CSR_FILE_NAME=$1
DER_CSR_BASE_FILE_NAME="$(basename -- $DER_CSR_FILE_NAME)"
DER_CSR_BASE_FILE_NAME="${DER_CSR_BASE_FILE_NAME%.*}"
PEM_CSR_FILE_NAME=csr/$DER_CSR_BASE_FILE_NAME.pem
PEM_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.pem
DER_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.der

DEST_CERT_FILE_NAME=$2

cd $CA_DIR
openssl req -inform DER -in $DER_CSR_FILE_NAME -out $PEM_CSR_FILE_NAME
openssl ca -config openssl.cnf -extensions usr_cert -days 375 -notext -md sha256 -in $PEM_CSR_FILE_NAME -out $PEM_CERT_FILE_NAME -passin pass:$KEY_PASS -batch
openssl x509 -outform der -in $PEM_CERT_FILE_NAME -out $DER_CERT_FILE_NAME

cp $DER_CERT_FILE_NAME $DEST_CERT_FILE_NAME
</syntaxhighlight>

=== ГОСТ ===

<syntaxhighlight lang="shell">
#!/bin/sh
CA_DIR=/opt/pc/pki/Intermediate_CA
KEY_PASS=secretpassword

DER_CSR_FILE_NAME=$1
DER_CSR_BASE_FILE_NAME="$(basename -- $DER_CSR_FILE_NAME)"
DER_CSR_BASE_FILE_NAME="${DER_CSR_BASE_FILE_NAME%.*}"
PEM_CSR_FILE_NAME=csr/$DER_CSR_BASE_FILE_NAME.pem
PEM_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.pem
DER_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.der

DEST_CERT_FILE_NAME=$2

cd $CA_DIR
openssl req -inform DER -in $DER_CSR_FILE_NAME -out $PEM_CSR_FILE_NAME
openssl ca -config openssl.cnf -extensions usr_cert -days 375 -notext -md gost12_256 -in $PEM_CSR_FILE_NAME -out $PEM_CERT_FILE_NAME -passin pass:$KEY_PASS -batch
openssl x509 -outform der -in $PEM_CERT_FILE_NAME -out $DER_CERT_FILE_NAME

cp $DER_CERT_FILE_NAME $DEST_CERT_FILE_NAME
</syntaxhighlight>
== Пример файла отзыва сертификата ==

<syntaxhighlight lang="shell">
#!/bin/sh
CERT_FILE_NAME=$1
KEY_PASS=secretpassword
CA_DIR=/opt/pc/pki/Intermediate_CA
INTERMEDIATE_CRL_LOCATION=crl/intermediate.crl

cd $CA_DIR

#revoke
openssl ca -config openssl.cnf -revoke $CERT_FILE_NAME -passin pass:$KEY_PASS
#publish CRL
openssl ca -config openssl.cnf -gencrl -out $INTERMEDIATE_CRL_LOCATION -passin pass:$KEY_PASS
cp -v $INTERMEDIATE_CRL_LOCATION /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Пример файла скрипта публикации списка отзыва корневого УЦ ==

<syntaxhighlight lang="shell">
#!/bin/bash
openssl ca \
-config /opt/pc/pki/Root_CA/openssl_host.cnf \
-gencrl \
-out /opt/pc/pki/Root_CA/crl/root.crl \
-passin pass:secretpassword
cp /opt/pc/pki/Root_CA/crl/root.crl /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Пример файла скрипта публикации списка отзыва промежуточного УЦ ==

<syntaxhighlight lang="shell">
#!/bin/bash
openssl ca \
-config /opt/pc/pki/Intermediate_CA/openssl_host.cnf \
-gencrl \
-out /opt/pc/pki/Intermediate_CA/crl/intermediate.crl \
-passin pass:secretpassword
cp /opt/pc/pki/Intermediate_CA/crl/intermediate.crl /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Включение ГОСТ в OpenSSL ==

=== Установка модуля ГОСТ ===

Для работы OpenSSL с криптоалгоритмами ГОСТ необходимо установить криптографическую библиотеку и настроить работу с этой библиотекой в конфигурационном файле, для этого:

* Установите пакет <code>openssl-gost-engine</code>, либо, если его нет в репозитории Вашего дистрибутива, скачайте по ссылке https://repo.paycontrol.org/cdn/artefacts/gost-engine/engine/gost.so (sha256sum: <code>435a0dee3273d924458c14ad57ac44b0711aa37fb3df9f2ba987a118f2339b1f gost.so</code>) и разместите скаченный файл криптобиблиотеки в директории модулей OpenSSL (в зависимости от дистрибутива это может быть <code>/usr/lib/engines-3/</code>, или, например <code>/usr/lib64/engines-3/</code>).
* В кофигурационный файл OpenSSL добавьте:<syntaxhighlight lang="shell">openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gost = gost_section

[gost_section]
engine_id = gost
dynamic_path = /usr/lib/engines-3/gost.so
default_algorithms = ALL </syntaxhighlight>, где в качестве значения <code>dynamic_path</code> должен быть указан путь к библиотеке <code>gost.so</code>.
* В кофигурационном файле OpenSSL параметру <code>default_md</code> необходимо установить значение <code>md_gost12_256</code>.

== Пример команд для создания корневого и промежуточного ГОСТ-УЦ в OpenSSL ==

=== Создание корневого сертификата ===

<syntaxhighlight lang="shell">
openssl genpkey -config openssl_intermediate.cnf -pass pass:$KEY_PASS -algorithm gost2012_256 -pkeyopt paramset:A -out private/root.key.pem
openssl req -config openssl_intermediate.cnf -key private/root.key.pem -passin pass:${PKI_KEY_PASS} -new -x509 -days 7300 -md_gost12_256 -extensions v3_ca -subj "${PKI_ROOT_SUBJECT}" -out certs/root.cert.pem
</syntaxhighlight>

=== Создание ключа и запроса для промежуточного УЦ ===

<syntaxhighlight lang="shell">
openssl genpkey -config openssl_root.cnf -pass pass:$KEY_PASS -algorithm gost2012_256 -pkeyopt paramset:A -out private/intermediate.key.pem
openssl req -config openssl_root.cnf -key private/intermediate.key.pem -passin pass:${PKI_KEY_PASS} -new -md_gost12_256 -subj "${PKI_INTERMEDIATE_SUBJECT}" -out csr/intermediate.csr.pem
</syntaxhighlight>

=== Выпуск сертификата для промежуточного УЦ ===

<syntaxhighlight lang="shell">
openssl ca -config openssl_intermediate.cnf -extensions v3_intermediate_ca -passin pass:${PKI_KEY_PASS} -days 3650 -notext -md gost12_256 -in ../Intermediate_CA/csr/intermediate.csr.pem -out ../Intermediate_CA/certs/intermediate.cert.pem -out certs/intermediate.cert.pem -batch
</syntaxhighlight>

[[Категория:OpenSSL]]
[[Категория:PKI]]
[[Категория:Сертификаты]]
[[Категория:КриптоПро УЦ]]

Категория:КриптоПро УЦ

2026-01-28T23:04:19Z

A.bursakov: Создана пустая страница

PayControl PKI

2026-01-28T23:03:02Z

A.bursakov:

= КриптоПро УЦ =

С версии 6.9.0, PC может быть подключён к КриптоПро УЦ 2.0 (исполнение 15 и 16) для выпуска сертификатов пользователям PC.

Коннектор к УЦ КриптоПро является модулем компонента PCS. Взаимодействие с УЦ КриптоПро ведётся через его компонент — центр регистрации.

Для работы с УЦ КриптоПро необходимо включить коннектор, настроить его, добавить ключ для аутентификации запросов в центр регистрации (или два раздельных ключа, один для mTLS, второй для подписания запросов к ЦР), добавить корневой сертификат УЦ для проверки аутентичности сервера при подключении.

== Конфигурирование PKI коннектора ==

=== Указание пути к файлу конфигурации PKI коннектора ===

Путь к файлу конфигурации устанавливается в настройках сервера PCS в параметре <code>PKI_SETTINGS_PATH</code>. Значением по умолчанию является <code>/opt/pc/pki/pki-settings.properties</code>. Способ установки описан в [https://repo.paycontrol.org/server/doc/latest/pc-reference-guide/ru/#установка-параметров|справочном руководстве].

=== Состав файла конфигурации ===

<syntaxhighlight lang="shell"># Connector type selection (MUST not be changed to use this connector)
# Указание типа коннектора (не подлежит изменению при использовании этого коннектора)
caType=CPCA20

# Alias of the Operator's private key and certificate stored in HDImage
# Алиас закрытого ключа и сертификата оператора в HDImage хранилище (используется для установки mTLS и подписи запросов к УЦ)
cpca20OperatorKeyAlias=Operator-1

# Password to the Operator's private key container
# Пароль закрытого ключа оператора
cpca20OperatorKeyPassword=

# Trusted certificates in PEM for establishing TLS connection with CA
# Путь к файлу с доверенными сертификатами
cpca20TrustedCertificatesPath=/opt/pc/cp_ca/etc/904C46A177CC4BAA6B683AD47E4BF625FADD166B.pem

# URL for the CA 2.0 instance
# Адрес центра регистрации УЦ КриптоПро для взаимодействия
cpca20InteractionUrl=https://cpca.loc

# URL for the CA 2.0 distribution point
# Адрес распространения списков отзывов сертификатов
cpca20CrlDp=http://cpca.loc/cdp/904C46A177CC4BAA6B683AD47E4BF625FADD166B.crl

# OID for the custom component in subject's DN (UnstructuredName)
# OID для поля UnstructuredName
cacp20UserNameOID=1.2.840.113549.1.9.2

# OID for the certificate template to be included in the extensions of certificate requests
# OID шаблона сертификата для включения в расширение в запросе сертификата
cacp20CertTemplateOID=1.2.643.2.999.1.1.1

# Folder to be used when creating users at RA
# Папка, в которой создаются сертификаты пользователей в ЦР УЦ КриптоПро
cacp20RegistrationFolder=Ra

# Whether to use specified CRL DP for certificate checking (useful when CRL DP is not included into certificate extensions)
# Флаг разрешающий использование установленного в cpca20CrlDp адреса для получения списка отзыва сертификатов (для случаев, если в сертификате не указана точка распространения списка отзывов)
cacp20UseCrlDpForCertificateValidation=true

# Timeout in milliseconds for establishing connection with CA
# Время ожидания установки TCP соединения с УЦ в мс
cacp20ConnectionTimeout=2000

# Timeout in milliseconds for requesting connection from the connection manager
# Время ожидания готовности сервера принять запрос в мс
cacp20ConnectionRequestTimeout=2000

# Timeout in milliseconds for getting response from CA
# Время ожидания ответа от УЦ в мс
cacp20ResponseTimeout=2000</syntaxhighlight>

=== Сертификат УЦ ===

Сертификат УЦ необходимо разместить в доступном для сервиса месте (например в <code>/opt/pc/cp_ca/etc/</code>), и указать путь к этому файлу в параметре <code>cpca20TrustedCertificatesPath</code> конфигурационного файла.

== Размещение ключей ==

Файлы ключа и сертификата оператора в формате КриптоПро CSP HDImage необходимо разместить по по пути <code>/var/opt/cprocsp/keys/user/OperatorKeyAlias</code>, где вместо значений:

* <code>ProcessUsername</code> должено быть указано имя пользователя, под которым запущен процесс PCS;
* <code>OperatorKeyAlias</code> должен быть указан алиас оператора (для приведённого примера файла конфигурации это будет <code>Operator-1</code> и путь будет следующий <code>/var/opt/cprocsp/keys/user/Operator-1</code>).

Владельцем директорий <code>ProcessUsername/OperatorKeyAlias</code> и файлов ключей должен быть пользователь, под которым запущен процесс PCS.

= OpenSSL =

== Конфигурирование PKI коннектора ==

=== Путь к конфигурационному файлу коннектора ===

Настройку необходимо внести в pc_sys_property БД PCS.

PKI_SETTINGS_PATH | /opt/pc/pki/pki-settings.properties

Пример для PostgreSQL:<syntaxhighlight lang="sql">insert into pc_sys_property values (nextval('pc_setting_seq'), 'PKI_SETTINGS_PATH', '/opt/pc/pki/pki-settings.properties');</syntaxhighlight>

=== Пример конфигурационного файла ===

<syntaxhighlight lang="shell">
# check certificate's expiration, cert path and other constrains during each cert use
checkCertificates=true

# check certificate revocation status, to use checkCertificates must be true
checkRevocation=true
useCRL=true
useOCSP=false

# -- OpenSSL Settings
caType=OpenSSL
issueCertificateCmd=/opt/pc/pki/issue_cert.sh
revokeCertificateCmd=/opt/pc/pki/revoke_cert.sh

# files prefixes must contain path where tmp files will be stored
csrTmpFilePrefix=pc-openssl-connector-csr-
certTmpFilePrefix=pc-openssl-connector-cert-

# certificate chain in PEM-format
# the first certificate must be CA (self-signed), second - 1st intermediate, third - 2nd intermediate and so on
# if checkRevocation is true, then each of intermediate certificates must contain OCSP url or CRL Distribution point
caChainFileName=/opt/pc/pki/Intermediate_CA/certs/intermediate.chain.pem
</syntaxhighlight>

== Пример файла выпуска сертификата ==

=== ECDSA ===

<syntaxhighlight lang="shell">
#!/bin/sh
CA_DIR=/opt/pc/pki/Intermediate_CA
KEY_PASS=secretpassword

DER_CSR_FILE_NAME=$1
DER_CSR_BASE_FILE_NAME="$(basename -- $DER_CSR_FILE_NAME)"
DER_CSR_BASE_FILE_NAME="${DER_CSR_BASE_FILE_NAME%.*}"
PEM_CSR_FILE_NAME=csr/$DER_CSR_BASE_FILE_NAME.pem
PEM_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.pem
DER_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.der

DEST_CERT_FILE_NAME=$2

cd $CA_DIR
openssl req -inform DER -in $DER_CSR_FILE_NAME -out $PEM_CSR_FILE_NAME
openssl ca -config openssl.cnf -extensions usr_cert -days 375 -notext -md sha256 -in $PEM_CSR_FILE_NAME -out $PEM_CERT_FILE_NAME -passin pass:$KEY_PASS -batch
openssl x509 -outform der -in $PEM_CERT_FILE_NAME -out $DER_CERT_FILE_NAME

cp $DER_CERT_FILE_NAME $DEST_CERT_FILE_NAME
</syntaxhighlight>

=== ГОСТ ===

<syntaxhighlight lang="shell">
#!/bin/sh
CA_DIR=/opt/pc/pki/Intermediate_CA
KEY_PASS=secretpassword

DER_CSR_FILE_NAME=$1
DER_CSR_BASE_FILE_NAME="$(basename -- $DER_CSR_FILE_NAME)"
DER_CSR_BASE_FILE_NAME="${DER_CSR_BASE_FILE_NAME%.*}"
PEM_CSR_FILE_NAME=csr/$DER_CSR_BASE_FILE_NAME.pem
PEM_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.pem
DER_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.der

DEST_CERT_FILE_NAME=$2

cd $CA_DIR
openssl req -inform DER -in $DER_CSR_FILE_NAME -out $PEM_CSR_FILE_NAME
openssl ca -config openssl.cnf -extensions usr_cert -days 375 -notext -md gost12_256 -in $PEM_CSR_FILE_NAME -out $PEM_CERT_FILE_NAME -passin pass:$KEY_PASS -batch
openssl x509 -outform der -in $PEM_CERT_FILE_NAME -out $DER_CERT_FILE_NAME

cp $DER_CERT_FILE_NAME $DEST_CERT_FILE_NAME
</syntaxhighlight>
== Пример файла отзыва сертификата ==

<syntaxhighlight lang="shell">
#!/bin/sh
CERT_FILE_NAME=$1
KEY_PASS=secretpassword
CA_DIR=/opt/pc/pki/Intermediate_CA
INTERMEDIATE_CRL_LOCATION=crl/intermediate.crl

cd $CA_DIR

#revoke
openssl ca -config openssl.cnf -revoke $CERT_FILE_NAME -passin pass:$KEY_PASS
#publish CRL
openssl ca -config openssl.cnf -gencrl -out $INTERMEDIATE_CRL_LOCATION -passin pass:$KEY_PASS
cp -v $INTERMEDIATE_CRL_LOCATION /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Пример файла скрипта публикации списка отзыва корневого УЦ ==

<syntaxhighlight lang="shell">
#!/bin/bash
openssl ca \
-config /opt/pc/pki/Root_CA/openssl_host.cnf \
-gencrl \
-out /opt/pc/pki/Root_CA/crl/root.crl \
-passin pass:secretpassword
cp /opt/pc/pki/Root_CA/crl/root.crl /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Пример файла скрипта публикации списка отзыва промежуточного УЦ ==

<syntaxhighlight lang="shell">
#!/bin/bash
openssl ca \
-config /opt/pc/pki/Intermediate_CA/openssl_host.cnf \
-gencrl \
-out /opt/pc/pki/Intermediate_CA/crl/intermediate.crl \
-passin pass:secretpassword
cp /opt/pc/pki/Intermediate_CA/crl/intermediate.crl /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Включение ГОСТ в OpenSSL ==

=== Установка модуля ГОСТ ===

Для работы OpenSSL с криптоалгоритмами ГОСТ необходимо установить криптографическую библиотеку и настроить работу с этой библиотекой в конфигурационном файле, для этого:

* Установите пакет <code>openssl-gost-engine</code>, либо, если его нет в репозитории Вашего дистрибутива, скачайте по ссылке https://repo.paycontrol.org/cdn/artefacts/gost-engine/engine/gost.so (sha256sum: <code>435a0dee3273d924458c14ad57ac44b0711aa37fb3df9f2ba987a118f2339b1f gost.so</code>) и разместите скаченный файл криптобиблиотеки в директории модулей OpenSSL (в зависимости от дистрибутива это может быть <code>/usr/lib/engines-3/</code>, или, например <code>/usr/lib64/engines-3/</code>).
* В кофигурационный файл OpenSSL добавьте:<syntaxhighlight lang="shell">openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gost = gost_section

[gost_section]
engine_id = gost
dynamic_path = /usr/lib/engines-3/gost.so
default_algorithms = ALL </syntaxhighlight>, где в качестве значения <code>dynamic_path</code> должен быть указан путь к библиотеке <code>gost.so</code>.
* В кофигурационном файле OpenSSL параметру <code>default_md</code> необходимо установить значение <code>md_gost12_256</code>.

== Пример команд для создания корневого и промежуточного ГОСТ-УЦ в OpenSSL ==

=== Создание корневого сертификата ===

<syntaxhighlight lang="shell">
openssl genpkey -config openssl_intermediate.cnf -pass pass:$KEY_PASS -algorithm gost2012_256 -pkeyopt paramset:A -out private/root.key.pem
openssl req -config openssl_intermediate.cnf -key private/root.key.pem -passin pass:${PKI_KEY_PASS} -new -x509 -days 7300 -md_gost12_256 -extensions v3_ca -subj "${PKI_ROOT_SUBJECT}" -out certs/root.cert.pem
</syntaxhighlight>

=== Создание ключа и запроса для промежуточного УЦ ===

<syntaxhighlight lang="shell">
openssl genpkey -config openssl_root.cnf -pass pass:$KEY_PASS -algorithm gost2012_256 -pkeyopt paramset:A -out private/intermediate.key.pem
openssl req -config openssl_root.cnf -key private/intermediate.key.pem -passin pass:${PKI_KEY_PASS} -new -md_gost12_256 -subj "${PKI_INTERMEDIATE_SUBJECT}" -out csr/intermediate.csr.pem
</syntaxhighlight>

=== Выпуск сертификата для промежуточного УЦ ===

<syntaxhighlight lang="shell">
openssl ca -config openssl_intermediate.cnf -extensions v3_intermediate_ca -passin pass:${PKI_KEY_PASS} -days 3650 -notext -md gost12_256 -in ../Intermediate_CA/csr/intermediate.csr.pem -out ../Intermediate_CA/certs/intermediate.cert.pem -out certs/intermediate.cert.pem -batch
</syntaxhighlight>

[[Категория:OpenSSL]]
[[Категория:PKI]]
[[Категория:Сертификаты]]
[[Категория:КриптоПро УЦ]]

PayControl PKI

2026-01-28T22:54:43Z

A.bursakov:

= КриптоПро УЦ =

PC может быть подключен к УЦ КриптоПро для выпуска сертификатов пользователям PC.

Коннектор к УЦ КриптоПро является модулем компонента PCS. Взаимодействие с УЦ КриптоПро ведётся через его компонент — центр регистрации.

Для работы с УЦ КриптоПро необходимо включить коннектор, настроить его, добавить ключ для аутентификации запросов в центр регистрации (или два раздельных ключа, один для mTLS, второй для подписания запросов к ЦР), добавить корневой сертификат УЦ для проверки аутентичности сервера при подключении.

== Конфигурирование PKI коннектора ==

=== Указание пути к файлу конфигурации PKI коннектора ===

Путь к файлу конфигурации устанавливается в настройках сервера PCS в параметре <code>PKI_SETTINGS_PATH</code>. Значением по умолчанию является <code>/opt/pc/pki/pki-settings.properties</code>. Способ установки описан в [https://repo.paycontrol.org/server/doc/latest/pc-reference-guide/ru/#установка-параметров|справочном руководстве].

=== Состав файла конфигурации ===

<syntaxhighlight lang="shell"># Connector type selection (MUST not be changed to use this connector)
# Указание типа коннектора (не подлежит изменению при использовании этого коннектора)
caType=CPCA20

# Alias of the Operator's private key and certificate stored in HDImage
# Алиас закрытого ключа и сертификата оператора в HDImage хранилище (используется для установки mTLS и подписи запросов к УЦ)
cpca20OperatorKeyAlias=Operator-1

# Password to the Operator's private key container
# Пароль закрытого ключа оператора
cpca20OperatorKeyPassword=

# Trusted certificates in PEM for establishing TLS connection with CA
# Путь к файлу с доверенными сертификатами
cpca20TrustedCertificatesPath=/opt/pc/cp_ca/etc/904C46A177CC4BAA6B683AD47E4BF625FADD166B.pem

# URL for the CA 2.0 instance
# Адрес центра регистрации УЦ КриптоПро для взаимодействия
cpca20InteractionUrl=https://cpca.loc

# URL for the CA 2.0 distribution point
# Адрес распространения списков отзывов сертификатов
cpca20CrlDp=http://cpca.loc/cdp/904C46A177CC4BAA6B683AD47E4BF625FADD166B.crl

# OID for the custom component in subject's DN (UnstructuredName)
# OID для поля UnstructuredName
cacp20UserNameOID=1.2.840.113549.1.9.2

# OID for the certificate template to be included in the extensions of certificate requests
# OID шаблона сертификата для включения в расширение в запросе сертификата
cacp20CertTemplateOID=1.2.643.2.999.1.1.1

# Folder to be used when creating users at RA
# Папка, в которой создаются сертификаты пользователей в ЦР УЦ КриптоПро
cacp20RegistrationFolder=Ra

# Whether to use specified CRL DP for certificate checking (useful when CRL DP is not included into certificate extensions)
# Флаг разрешающий использование установленного в cpca20CrlDp адреса для получения списка отзыва сертификатов (для случаев, если в сертификате не указана точка распространения списка отзывов)
cacp20UseCrlDpForCertificateValidation=true

# Timeout in milliseconds for establishing connection with CA
# Время ожидания установки TCP соединения с УЦ в мс
cacp20ConnectionTimeout=2000

# Timeout in milliseconds for requesting connection from the connection manager
# Время ожидания готовности сервера принять запрос в мс
cacp20ConnectionRequestTimeout=2000

# Timeout in milliseconds for getting response from CA
# Время ожидания ответа от УЦ в мс
cacp20ResponseTimeout=2000</syntaxhighlight>

=== Сертификат УЦ ===

Сертификат УЦ необходимо разместить в доступном для сервиса месте (например в <code>/opt/pc/cp_ca/etc/</code>), и указать путь к этому файлу в параметре <code>cpca20TrustedCertificatesPath</code> конфигурационного файла.

== Размещение ключей ==

Файлы ключа и сертификата оператора в формате КриптоПро CSP HDImage необходимо разместить по по пути <code>/var/opt/cprocsp/keys/user/OperatorKeyAlias</code>, где вместо значений:

* <code>ProcessUsername</code> должено быть указано имя пользователя, под которым запущен процесс PCS;
* <code>OperatorKeyAlias</code> должен быть указан алиас оператора (для приведённого примера файла конфигурации это будет <code>Operator-1</code> и путь будет следующий <code>/var/opt/cprocsp/keys/user/Operator-1</code>).

Владельцем директорий <code>ProcessUsername/OperatorKeyAlias</code> и файлов ключей должен быть пользователь, под которым запущен процесс PCS.

= OpenSSL =

== Конфигурирование PKI коннектора ==

=== Путь к конфигурационному файлу коннектора ===

Настройку необходимо внести в pc_sys_property БД PCS.

PKI_SETTINGS_PATH | /opt/pc/pki/pki-settings.properties

Пример для PostgreSQL:<syntaxhighlight lang="sql">insert into pc_sys_property values (nextval('pc_setting_seq'), 'PKI_SETTINGS_PATH', '/opt/pc/pki/pki-settings.properties');</syntaxhighlight>

=== Пример конфигурационного файла ===

<syntaxhighlight lang="shell">
# check certificate's expiration, cert path and other constrains during each cert use
checkCertificates=true

# check certificate revocation status, to use checkCertificates must be true
checkRevocation=true
useCRL=true
useOCSP=false

# -- OpenSSL Settings
caType=OpenSSL
issueCertificateCmd=/opt/pc/pki/issue_cert.sh
revokeCertificateCmd=/opt/pc/pki/revoke_cert.sh

# files prefixes must contain path where tmp files will be stored
csrTmpFilePrefix=pc-openssl-connector-csr-
certTmpFilePrefix=pc-openssl-connector-cert-

# certificate chain in PEM-format
# the first certificate must be CA (self-signed), second - 1st intermediate, third - 2nd intermediate and so on
# if checkRevocation is true, then each of intermediate certificates must contain OCSP url or CRL Distribution point
caChainFileName=/opt/pc/pki/Intermediate_CA/certs/intermediate.chain.pem
</syntaxhighlight>

== Пример файла выпуска сертификата ==

=== ECDSA ===

<syntaxhighlight lang="shell">
#!/bin/sh
CA_DIR=/opt/pc/pki/Intermediate_CA
KEY_PASS=secretpassword

DER_CSR_FILE_NAME=$1
DER_CSR_BASE_FILE_NAME="$(basename -- $DER_CSR_FILE_NAME)"
DER_CSR_BASE_FILE_NAME="${DER_CSR_BASE_FILE_NAME%.*}"
PEM_CSR_FILE_NAME=csr/$DER_CSR_BASE_FILE_NAME.pem
PEM_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.pem
DER_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.der

DEST_CERT_FILE_NAME=$2

cd $CA_DIR
openssl req -inform DER -in $DER_CSR_FILE_NAME -out $PEM_CSR_FILE_NAME
openssl ca -config openssl.cnf -extensions usr_cert -days 375 -notext -md sha256 -in $PEM_CSR_FILE_NAME -out $PEM_CERT_FILE_NAME -passin pass:$KEY_PASS -batch
openssl x509 -outform der -in $PEM_CERT_FILE_NAME -out $DER_CERT_FILE_NAME

cp $DER_CERT_FILE_NAME $DEST_CERT_FILE_NAME
</syntaxhighlight>

=== ГОСТ ===

<syntaxhighlight lang="shell">
#!/bin/sh
CA_DIR=/opt/pc/pki/Intermediate_CA
KEY_PASS=secretpassword

DER_CSR_FILE_NAME=$1
DER_CSR_BASE_FILE_NAME="$(basename -- $DER_CSR_FILE_NAME)"
DER_CSR_BASE_FILE_NAME="${DER_CSR_BASE_FILE_NAME%.*}"
PEM_CSR_FILE_NAME=csr/$DER_CSR_BASE_FILE_NAME.pem
PEM_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.pem
DER_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.der

DEST_CERT_FILE_NAME=$2

cd $CA_DIR
openssl req -inform DER -in $DER_CSR_FILE_NAME -out $PEM_CSR_FILE_NAME
openssl ca -config openssl.cnf -extensions usr_cert -days 375 -notext -md gost12_256 -in $PEM_CSR_FILE_NAME -out $PEM_CERT_FILE_NAME -passin pass:$KEY_PASS -batch
openssl x509 -outform der -in $PEM_CERT_FILE_NAME -out $DER_CERT_FILE_NAME

cp $DER_CERT_FILE_NAME $DEST_CERT_FILE_NAME
</syntaxhighlight>
== Пример файла отзыва сертификата ==

<syntaxhighlight lang="shell">
#!/bin/sh
CERT_FILE_NAME=$1
KEY_PASS=secretpassword
CA_DIR=/opt/pc/pki/Intermediate_CA
INTERMEDIATE_CRL_LOCATION=crl/intermediate.crl

cd $CA_DIR

#revoke
openssl ca -config openssl.cnf -revoke $CERT_FILE_NAME -passin pass:$KEY_PASS
#publish CRL
openssl ca -config openssl.cnf -gencrl -out $INTERMEDIATE_CRL_LOCATION -passin pass:$KEY_PASS
cp -v $INTERMEDIATE_CRL_LOCATION /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Пример файла скрипта публикации списка отзыва корневого УЦ ==

<syntaxhighlight lang="shell">
#!/bin/bash
openssl ca \
-config /opt/pc/pki/Root_CA/openssl_host.cnf \
-gencrl \
-out /opt/pc/pki/Root_CA/crl/root.crl \
-passin pass:secretpassword
cp /opt/pc/pki/Root_CA/crl/root.crl /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Пример файла скрипта публикации списка отзыва промежуточного УЦ ==

<syntaxhighlight lang="shell">
#!/bin/bash
openssl ca \
-config /opt/pc/pki/Intermediate_CA/openssl_host.cnf \
-gencrl \
-out /opt/pc/pki/Intermediate_CA/crl/intermediate.crl \
-passin pass:secretpassword
cp /opt/pc/pki/Intermediate_CA/crl/intermediate.crl /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Включение ГОСТ в OpenSSL ==

=== Установка модуля ГОСТ ===

Для работы OpenSSL с криптоалгоритмами ГОСТ необходимо установить криптографическую библиотеку и настроить работу с этой библиотекой в конфигурационном файле, для этого:

* Установите пакет <code>openssl-gost-engine</code>, либо, если его нет в репозитории Вашего дистрибутива, скачайте по ссылке https://repo.paycontrol.org/cdn/artefacts/gost-engine/engine/gost.so (sha256sum: <code>435a0dee3273d924458c14ad57ac44b0711aa37fb3df9f2ba987a118f2339b1f gost.so</code>) и разместите скаченный файл криптобиблиотеки в директории модулей OpenSSL (в зависимости от дистрибутива это может быть <code>/usr/lib/engines-3/</code>, или, например <code>/usr/lib64/engines-3/</code>).
* В кофигурационный файл OpenSSL добавьте:<syntaxhighlight lang="shell">openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gost = gost_section

[gost_section]
engine_id = gost
dynamic_path = /usr/lib/engines-3/gost.so
default_algorithms = ALL </syntaxhighlight>, где в качестве значения <code>dynamic_path</code> должен быть указан путь к библиотеке <code>gost.so</code>.
* В кофигурационном файле OpenSSL параметру <code>default_md</code> необходимо установить значение <code>md_gost12_256</code>.

== Пример команд для создания корневого и промежуточного ГОСТ-УЦ в OpenSSL ==

=== Создание корневого сертификата ===

<syntaxhighlight lang="shell">
openssl genpkey -config openssl_intermediate.cnf -pass pass:$KEY_PASS -algorithm gost2012_256 -pkeyopt paramset:A -out private/root.key.pem
openssl req -config openssl_intermediate.cnf -key private/root.key.pem -passin pass:${PKI_KEY_PASS} -new -x509 -days 7300 -md_gost12_256 -extensions v3_ca -subj "${PKI_ROOT_SUBJECT}" -out certs/root.cert.pem
</syntaxhighlight>

=== Создание ключа и запроса для промежуточного УЦ ===

<syntaxhighlight lang="shell">
openssl genpkey -config openssl_root.cnf -pass pass:$KEY_PASS -algorithm gost2012_256 -pkeyopt paramset:A -out private/intermediate.key.pem
openssl req -config openssl_root.cnf -key private/intermediate.key.pem -passin pass:${PKI_KEY_PASS} -new -md_gost12_256 -subj "${PKI_INTERMEDIATE_SUBJECT}" -out csr/intermediate.csr.pem
</syntaxhighlight>

=== Выпуск сертификата для промежуточного УЦ ===

<syntaxhighlight lang="shell">
openssl ca -config openssl_intermediate.cnf -extensions v3_intermediate_ca -passin pass:${PKI_KEY_PASS} -days 3650 -notext -md gost12_256 -in ../Intermediate_CA/csr/intermediate.csr.pem -out ../Intermediate_CA/certs/intermediate.cert.pem -out certs/intermediate.cert.pem -batch
</syntaxhighlight>

[[Категория:OpenSSL]]
[[Категория:PKI]]
[[Категория:Сертификаты]]

PC Pusher 5.1 En

2025-12-17T19:48:16Z

A.bursakov:

=Entering authentication data for sending push notifications=
{{Предупреждение|For non-PostgreSQL DBMS, change the sequence method}}

For '''MSSQL''' you need to use a string <code>NEXT VALUE FOR pc_split_pusher_creds_seq,</code> instead of string <code>nextval('pc_split_pusher_creds_seq'),</code>.

For '''Oracle''' you need to use a string <code>pc_split_pusher_creds_seq.NEXTVAL,</code> instead of string <code>nextval('pc_split_pusher_creds_seq'),</code>.

==To the PayConfirm app==
To enter authentication data for sending push notifications to the PayConfirm application, you must perform the following queries to the PC Pusher database, replacing the %SYSTEMID% values with the correct one.

Note that the percent signs '''need to be removed'''.
After executing the requests, you need to [[Руководство_администратора_PayControl_v5#Запуск и остановка служб сервера PayControl|restart]] the PC Pusher Wildfly server.

Example for СУБД PostgreSQL:
<syntaxhighlight lang="sql">INSERT INTO pc_split_pusher_credentials (
id,
appid,
credentials,
os,
systemid)
VALUES (
nextval('pc_split_pusher_creds_seq'),
'org.payconfirm.app',
'{"google_api_key":"AAAA4H70m7M:APA91bFsaPiXXiIuRyj4h-xGZpyd0-I3B9F1udIIergxaK8uL9vPPvUQXOvPfau2w8E-xur_6TlTzmhb2JsO13hBCxVDrNybD6Rj8k4hZKXfs7tC5fnJuWmCIB3-O_4dLo0QHlhfSbGn"}',
'Android',
'%SYSTEMID%');

INSERT INTO pc_split_pusher_credentials (
id,
appid,
credentials,
os,
systemid)
VALUES (
nextval('pc_split_pusher_creds_seq'),
'org.payconfirm.app',
'{"apns_key_file":"C:\\wildfly\\safetech-apns-JVBQX52N5Z.p8","apns_key_id":"QCC684AGC4","apns_team_id":"B98K5P3YHV"}',
'iOS',
'%SYSTEMID%');</syntaxhighlight>

==To another mobile app==
To enter authentication data for sending push notifications, you need to make a request to the PC Pusher database, replacing the value %SYSTEMID%, %appid%, %key file path%, %apns_key_id%, %apns_team_id%, %google_api_key% with the correct ones. (this data, with the exception of %SYSTEMID%, can be obtained from the owners of the account under whose name the application is published), and '''deleting''' the percent signs:

Example for СУБД PostgreSQL:
<syntaxhighlight lang="sql">
INSERT INTO pc_split_pusher_credentials (
id,
appid,
credentials,
is_default,
os,
systemid)
VALUES (
nextval('pc_split_pusher_creds_seq'),
'%appid%',
'{"google_api_key":"%google_api_key%"}',
1,
'Android',
'%SYSTEMID%');

INSERT INTO pc_split_pusher_credentials (
id,
appid,
credentials,
is_default,
os,
systemid)
VALUES (
nextval('pc_split_pusher_creds_seq'),
'%appid%',
'{"apns_key_file":"%key file path%","apns_key_id":"%apns_key_id%","apns_team_id":"%apns_team_id%"}',
1,
'iOS',
'%SYSTEMID%');

commit;
</syntaxhighlight>

PC Pusher 5.1 En

2025-12-17T19:48:03Z

A.bursakov:

Темы оформления мобильного приложения

2025-11-10T14:36:41Z

A.bursakov:

=Описание состава файлов тем=
==v5.0==
===Структура файла темы===

<pre>
.
├── locales.json // optional
├── base
│ ├── fonts
│ │ ├── fontName1.ttf
│ │ └── fontName2.ttf
│ ├── text
│ │ └── about.html
│ ├── images
│ │ ├── imageName1.png
│ │ ├── imageName2.png
│ │ └── imageName3.png
│ └── theme.json
├── ru-RU
│ ├── fonts
│ │ └── ...
│ ├── text
│ │ └── ...
│ ├── images
│ │ └── ...
│ └── theme.json
├── en-US
│ ├── fonts
│ │ └── ...
│ ├── text
│ │ └── ...
│ ├── images
│ │ └── ...
│ └── theme.json
└── ...
├── fonts
│ └── ...
├── text
│ └── ...
├── images
│ └── ...
└── theme.json
</pre>

Каждая тема состоит из папок с локализованными версиями тем и опционального файла ''locales.json'', который описывает какую версию темы использовать для определенных региональных параметров.

===Локализация===

Каждая тема может включать базовую локализацию '''base''', а так же локализации для других языков и регионов (ru-RU, en-US, ...). Приложение должно подтягивать информацию из локализированной версии темы. Если информация в локализированной версии отсутствует — она подтягивается из ''base''. Если отсутствует base, то из локализированной версии дефолтной темы или Base-версии дефолтной темы.

Файл ''locales.json'' опционален. Он необходим, если нужно сопоставить разные региональные идентификаторы с определённым идентификатором. Например, если для Украины, Беларуси нужно использовать русскую версию темы, то файл будет выглядеть так:
<syntaxhighlight lang="json">
{
"ru-UA": "ru-RU",
"be-BY": "ru-RU"
}
</syntaxhighlight>

===Структура локализированной версии===
<pre>
base // ru-RU, en-US, ...
│ ├── fonts
│ │ ├── fontName1.ttf
│ │ └── fontName2.ttf
│ ├── text
│ │ └── about.html
│ ├── images
│ │ ├── imageName1.png
│ │ ├── imageName2.png
│ │ └── imageName3.png
│ └── theme.json
</pre>

Каждая локализация содержит файл ''theme.json'', который описывает тему, и папки с ресурсами (''images'', ''fonts'', ''text'').

===Структура theme.json===

Набор установленных значений дан в качестве примера.
<syntaxhighlight lang="json">
{
"images": {
"menuImage": "logo.png",
...
},
"fonts": {
"default": "fontName.ttf"
},
"colors": {
"text": "#FFFFFF",
"error": "#FF0000",
"success": "#0000FF",
"background": "#110011",
"menuBackground": "#00ff00",
...
},
"sizes": {
"large": 20.0,
"default": 16.0,
"small": 14.0
...
},
"elements": {
"heading": {
"fontSize": "large",
"fontWeight": "medium",
"textColor": "text"
},
"caption": {
"fontSize": "default",
"fontWeight": "medium",
"textColor": "text"
},
"body": {
"fontSize": "default",
"fontWeight": "regular",
"textColor": "text"
},
"footnote": {
"fontSize": "small",
"fontWeight": "regular",
"textColor": "text"
},
"error": {
"fontSize": "small",
"fontWeight": "regular",
"textColor": "text",
"iconColor": "iconColor"
},
"menu": {
"fontSize": "default",
"fontWeight": "regular",
"textColor": "menuText",
"iconColor": "menuIcons"
},
"primaryButton": {
"fontSize": "default",
"fontWeight": "medium",
"textColor": "background",
"backgroundNormalColor": "button"
},
"secondaryButton": {
"fontSize": "default",
"fontWeight": "medium",
"textColor": "text",
"iconColor": "text",
"backgroundNormalColor": "secondaryButton"
},
"confirmationButton": {
"fontSize": "default",
"fontWeight": "medium",
"textColor": "text",
"backgroundNormalColor": "button"
},
"declineButton": {
"fontSize": "default",
"fontWeight": "medium",
"textColor": "text",
"backgroundNormalColor": "button"
},
"bar": {
"textColor": "barText",
"iconColor": "text",
"backgroundNormalColor": "background"
},
"timer": {
"fontSize": "timer",
"fontWeight": "medium",
"textColor": "text"
},
"confirmation": {
"fontSize": "confirmation",
"fontWeight": "regular",
"textColor": "text"
}
},
"feedback": "feedback@paycontrol.ru"
}
</syntaxhighlight>

* ''images'': Список картинок. Каждому ключу соответствует определённая картинка из папки ''images''. Есть системные ключи (список ниже), которые можно перезаписывать (тогда картинка в приложении соответствующая ключу поменяется), но можно добавлять и свои. Ключи картинок можно использовать в описании элементов.
* ''fonts'': Список шрифтов. Каждому ключу соответствует определённый шрифт в папке ''fonts''. В описании элементов указывается непосредственно ключ шрифта, а не конкретное значение. В дефолтной теме приложения словарь пустой — используется системный шрифт. Но если перезаписать ключ ''default'' на кастомный шрифт, то шрифт приложения должен поменяться на указанный.
* ''colors'': Список цветов. Каждому ключу соответствует определённый цвет. В описании элементов указывается непосредственно ключ цвета, а не конкретное значение. Есть системные ключи (например ''background'', весь список ниже), если их перезаписать, то поменяется цвет у элементов приложения, соответствующих ключу. Можно указывать свои ключи и значения, а потом использовать ключ в описании элементов.
* ''sizes'': Список размеров текста. Каждому ключу соответствует определённые размер. В описании элементов указывается непосредственно ключ размера, а не конкретное значение. Есть системные ключи (например ''default'', весь список ниже), если их перезаписать, то поменяется размер текста у элементов, которые используют данные ключ. Можно указывать свои ключи и значения, а потом использовать их в описании элементов.
* ''elements'': Описание стилей всех элементов приложения. Список элементов ограничен, добавлять можем только мы. Создатель темы может лишь перезаписать нужные ему значения. Каждый элемент содержит ограниченный набор полей.

===Системные значения images===

Названия картинок даны в качестве примера.
<syntaxhighlight lang="json">
"images": {
"main": "key_large.png", // Основная картинка приложения (там где сейчас ключ на главном экране)
"menu": "logo_small.png", // Логотип в боковом меню
"keys": "key_small.png", // Логотип в списке ключей
"bar": "logo_small.png", // Логотип в AppBar'е на Android или NavigationBar'е на iOS
"launch": "logo.png" // Логотип на сплешскрине
}
</syntaxhighlight>

===Системные значения fonts===

Название шрифта дано в качестве примера. В дефолтной теме приложения этого ключа нет, т.к. используется системный шрифт. Если добавить данные ключ-значение — то шрифт приложения поменяется на указанный.
<syntaxhighlight lang="json">
"fonts": {
"default": "font.ttf" // Глобальный шрифт приложения
}
</syntaxhighlight>

===Системные значения sizes===

Значения, которые используются по-умолчанию. Если любое значение изменить — поменяется размер во всех элементах, которые его используют.
<syntaxhighlight lang="json">
"sizes": {
"large": 20.0,
"default": 16.0,
"small": 14.0,
"timer": 24.0,
"confirmation": 54.0
}
</syntaxhighlight>

===Системные значения colors===

Значения указаны в качестве примера. Цвета указываются в формате '''hex''', могут использоваться как RGB, так и RGBA.
<syntaxhighlight lang="json">
"colors": {
"text": "#FFFFFF", // Цвет основного текста
"error": "#FF0000", // Цвет для элементов указывающих на ошибку
"success": "#00FF00", // Цвет для элементов указывающих на успешное действие
"background": "#0000FF", // Цвет фона приложения
"menuBackground": "#FFFFFF", // Цвет фона в боковом меню
"menuHeader": "#0000FF", // Цвет шапки бокового меню
"menuIcons": "#AAAAAA", // Цвет иконок в боковом меню,
"menuText": "#000000", // Цвет разделов в боковом меню
"bar": "#FFFFFF", // Цвет фона AppBar'а/NavigationBar'а
"timer": "#FFFFFF", // Цвет таймера обратного отсчёта
"statusbar": "#0000FF", // Цвет фона статусбара (для Android)
"button": "#FFFFFF", // Цвет фона кнопки в нормальном состоянии
"secondaryButton":"#0000FF", // Цвет вторичных кнопок
"badge": "#F44336" // Цвет фона бейджа
}
</syntaxhighlight>

===Системные значения sizes===
<syntaxhighlight lang="json">
"sizes": {
"large": 20.0, // В основном используется для заголовков
"default": 16.0, // Основной размер текста, кнопок, разделов меню
"small": 14.0, // Для подписей к текстовым полям, ошибкам
"timer": 24.0, // Размер таймера обратного отсчёта
"confirmation": 54.0 // Максимальный размер кода подтверждения
},
</syntaxhighlight>

===Элементы приложения elements===

Значения указаны в качестве примера. Цвета указываются в формате '''hex''', могут использоваться как RGB, так и RGBA.
<syntaxhighlight lang="json">
"elements": {
"heading": { ... }, // Крупные заголовки
"caption": { ... }, // Мелкие заголовки (заголовки текстовых полей)
"body": { ... }, // Основной текст
"footnote": { ... }, // Сноски и примечания
"error": { ... }, // Текст ошибок
"menu": { ... }, // Разделы бокового меню
"primaryButton": { ... }, // Стиль основных кнопок (например, «Далее»)
"secondaryButton": { ... }, // Стиль дополнительных кнопок (например, выбор типа пароля)
"confirmationButton": { ... }, // Кнопка подтверждения
"declineButton": { ... }, // Кнопка отклонения
"bar": { ... }, // Стиль AppBar'a или NavigationBar'a
"timer": { ... }, // Стиль обратного отсчёта
"confirmation": { ... }, // Стиль кода подтверждения
"badge": { ... } // Стиль контента бейджа
}
</syntaxhighlight>

===Описание стиля элемента===

Эти ключи опциональны и есть у каждого элемента. Значения указаны в качестве примера.
<syntaxhighlight lang="json">
"elementName":
{
"font": "fontKey", // Ключ шрифта из списка fonts
"fontSize": "sizeKey", // Ключ размера из списка sizes
"fontWeight": "regular", // Начертание шрифта
"textColor": "text", // Ключ цвета из списка colors
"iconColor": "iconColor", // Цвет иконки, если она присутствует у элемента
"icon": "iconKey", // Ключ изображения из списка images
"backgroundNormalColor": "button", // Цвет фона в нормальном состоянии
"backgroundPressedColor": "button", // Цвет фона в нажатом состоянии. Если пусто — используется системное поведение. Например, в iOS — полупрозрачный цвет нормального состояния
"backgroundDisabledColor": "button", // Цвет фона в неактивном состоянии. Если пусто — используется системное поведение. Например, в iOS — почти прозрачный цвет нормального состояния
}
</syntaxhighlight>

===Обратная связь feedback===

В качестве значения указывается email. У каждой локализации может быть свой адрес.

<syntaxhighlight lang="json">
{
"feedback": "feedback@paycontrol.ru"
}
</syntaxhighlight>

===Файлы с текстом из директории text===

Папка ''text'' содержит файлы с текстом для различных экранов. Сейчас есть только ''about.html'', он подставляется на экран about. Но в дальнейшем могут появится другие.

===Правила получения значений===

Т.к. все значения опциональны, то значения берутся по цепочке:

''Локализированное значение'' > ''Значение из base'' > ''Локализированное значение из дефолтной темы'' > ''Значение из base дефолтной темы'' > Системной значение (Там где возможно. Например, для AppBar/NavigationBar)

= Публикация темы оформления на сервере PayControl =

Скины размещаются на Interaction-Rest сервер (PCIS External).

== Для приложения PayControl Classic (v3.6-3.9) ==
# Убедиться, что название файла скина имеет вид {systemid}.zip, где {systemid} - идентификатор системы, для которой размещается скин;
# Разместить не распаковывая файл скина на сервере PCIS External в папке (создав её при необходимости):
#* Linux
#*: /opt/wildfly/paycontrol_skins
#* Windows
#*: C:\wildfly\paycontrol_skins

После добавления скина на сервер, он должен стать доступным по адресу:
<pre>http{s}://{servername}/PayControl-interaction-rest/skin/{systemid}</pre>

== Для приложения PayControl (v5.0-5.1) ==

# Убедиться, что название файла скина имеет вид {systemid}.zip, где {systemid} - идентификатор системы, для которой размещается скин;
# Разместить не распаковывая файл скина на сервере PCIS External в папке (создав её при необходимости):
#* Linux
#*: /opt/wildfly/pc_themes/v5
#* Windows
#*: C:\wildfly\pc_themes\v5

После добавления скина на сервер, он должен стать доступным по адресу:
<pre>http{s}://{servername}/pc-client-api/themes/v5/{systemid}</pre>
<pre>http{s}://{servername}/PayControl-interaction-rest/themes/v5/{systemid}</pre>

== Для приложения PayControl (v5.2-5.5) ==

# Убедиться, что название файла скина имеет вид {systemid}.zip, где {systemid} - идентификатор системы, для которой размещается скин;
# Разместить не распаковывая файл скина на сервере PCIS External в папке (создав её при необходимости):
#* Linux
#*: /opt/wildfly/pc_themes/v52
#* Windows
#*: C:\wildfly\pc_themes\v52

После добавления скина на сервер, он должен стать доступным по адресу:
<pre>http{s}://{servername}/pc-client-api/themes/v52/{systemid}</pre>
<pre>http{s}://{servername}/PayControl-interaction-rest/themes/v52/{systemid}</pre>

== Для приложения PayControl (v6) ==

https://repo.paycontrol.org/server/doc/latest/pc-reference-guide/ru/#публикация-темы-оформления-на-сервере-pce

Обновление PayControl с версии 3 на версию 6

2025-09-11T11:16:19Z

A.bursakov: /* Резервное копирование */

= Введение =

== Резервное копирование ==

Перед обновлением необходимо выполнить резервное копирование БД PCS.

= Обновление Java =

Перед обновлением компонентов PC '''требуется''' остановить Wildfly и обновить Java до версии 17. Версия 11 больше не поддерживается.

При установке Java новой версии, старая версия не удаляется, и PC может продолжить работать на версии 11, что приведёт к ошибкам.

Для того чтобы компоненты работали под Java 17, необходимо либо удалить неактуальную версию Java, либо выбрать необходимую версию с помощью:

<syntaxhighlight lang="shell">
sudo update-alternatives --config java
</syntaxhighlight>

== Изменение названий серверов ==

В версии 6 изменены названия серверов:

* PC Server (PCS) — без изменений;
* PC Interaction Internal — PC Pusher (PCP);
* PC Interaction External — PC External (PCE).

= Изменения в БД =

== Правки структуры таблиц БД PCS ==

Для обеспечения должного функционирования системы PC, в некоторые таблицы необходимо внести изменения, выполнив запросы:

=== Postgre ===

<syntaxhighlight lang="sql">
alter table pc_delayedkeyinfo alter column is_deleted set not null;
alter table pc_delayedkeyinfo alter column is_deleted set default 0;
alter table pc_delayedkeyinfo drop column type;
alter table pc_delayedkeyinfo add column renew_challenge varchar(255);

alter table pc_device alter column is_deleted set not null;
alter table pc_device alter column is_deleted set default 0;
alter table pc_device add column app_id varchar(255);

alter table pc_event alter column is_deleted set not null;
alter table pc_event alter column is_deleted set default 0;
alter table pc_event alter column requester_ip type varchar(64);
alter table pc_event add column event_data text;
alter table pc_event drop column eventposturl;

alter table pc_keyinfo alter column is_deleted set not null;
alter table pc_keyinfo alter column is_deleted set default 0;
alter table pc_keyinfo drop column type;
alter table pc_keyinfo drop column key_container_id;
alter table pc_keyinfo add column external_approve_data_id varchar(255);

alter table pc_publickey alter column is_deleted set not null;
alter table pc_publickey alter column is_deleted set default 0;
alter table pc_publickey add column autosign_public_key bytea;

alter table pc_system alter column is_deleted set not null;
alter table pc_system alter column is_deleted set default 0;
alter table pc_system add column callback_url varchar(255);

alter table pc_system_params alter column is_deleted set not null;
alter table pc_system_params alter column is_deleted set default 0;
alter table pc_system_params alter column license type varchar(4096);
alter table pc_system_params add column qr_url_scheme varchar(24);

alter table pc_transaction alter column is_deleted set not null;
alter table pc_transaction alter column is_deleted set default 0;
alter table pc_transaction add column autosign_enabled int2;
alter table pc_transaction add column ext_pulp bytea;
alter table pc_transaction add column extended_check int2;
alter table pc_transaction add column render_type int4;
alter table pc_transaction add column scoring_settings varchar(1023);
alter table pc_transaction add column transaction_type int4;

alter table pc_user alter column is_deleted set not null;
alter table pc_user alter column is_deleted set default 0;
alter table pc_user add column blocked int2;

alter table pc_confirm_attempt add column scoring_results varchar(512);
alter table pc_confirm_attempt add column scoring_settings varchar(512);
</syntaxhighlight>

=== MS SQL ===

<syntaxhighlight lang="sql">
IF NOT EXISTS(
SELECT *
FROM sys.columns
WHERE object_id = OBJECT_ID(N'[dbo].[PC_TRANSACTION]')
AND name = 'transaction_type'
)
ALTER TABLE PC_TRANSACTION
ADD
transaction_type integer;

IF NOT EXISTS(
SELECT *
FROM sys.columns
WHERE object_id = OBJECT_ID(N'[dbo].[PC_SYSTEM]')
AND name = 'callback_url'
)
ALTER TABLE PC_SYSTEM
ADD
callback_url character varying(255);

IF NOT EXISTS(
SELECT *
FROM sys.columns
WHERE object_id = OBJECT_ID(N'[dbo].[PC_USER]')
AND name = 'blocked'
)
ALTER TABLE PC_USER
ADD
blocked smallint;

IF NOT EXISTS(
SELECT *
FROM sys.columns
WHERE object_id = OBJECT_ID(N'[dbo].[PC_KEYINFO]')
AND name = 'external_approve_data_id'
)
ALTER TABLE PC_KEYINFO
ADD
external_approve_data_id character varying(255);

IF NOT EXISTS(
SELECT *
FROM sys.columns
WHERE object_id = OBJECT_ID(N'[dbo].[PC_PUBLICKEY]')
AND name = 'autosign_public_key'
)
ALTER TABLE PC_PUBLICKEY
ADD
autosign_public_key varbinary(255);

IF NOT EXISTS(
SELECT *
FROM sys.columns
WHERE object_id = OBJECT_ID(N'[dbo].[PC_DELAYEDKEYINFO]')
AND name = 'renew_challenge'
)
ALTER TABLE PC_DELAYEDKEYINFO
ADD
renew_challenge character varying(255);

IF NOT EXISTS(
SELECT *
FROM sys.columns
WHERE object_id = OBJECT_ID(N'[dbo].[PC_DEVICE]')
AND name = 'app_id'
)
ALTER TABLE PC_DEVICE
ADD
app_id character varying(255);

IF NOT EXISTS(
SELECT *
FROM sys.columns
WHERE object_id = OBJECT_ID(N'[dbo].[PC_TRANSACTION]')
AND name = 'autosign_enabled'
)
ALTER TABLE PC_TRANSACTION
ADD
autosign_enabled smallint;

IF NOT EXISTS(
SELECT *
FROM sys.columns
WHERE object_id = OBJECT_ID(N'[dbo].[PC_TRANSACTION]')
AND name = 'ext_pulp'
)
ALTER TABLE PC_TRANSACTION
ADD
ext_pulp character varying(255);

IF NOT EXISTS(
SELECT *
FROM sys.columns
WHERE object_id = OBJECT_ID(N'[dbo].[PC_TRANSACTION]')
AND name = 'extended_check'
)
ALTER TABLE PC_TRANSACTION
ADD
extended_check smallint;

IF NOT EXISTS(
SELECT *
FROM sys.columns
WHERE object_id = OBJECT_ID(N'[dbo].[PC_TRANSACTION]')
AND name = 'render_type'
)
ALTER TABLE PC_TRANSACTION
ADD
render_type integer;

IF NOT EXISTS(
SELECT *
FROM sys.columns
WHERE object_id = OBJECT_ID(N'[dbo].[PC_TRANSACTION]')
AND name = 'scoring_settings'
)
ALTER TABLE PC_TRANSACTION
ADD
scoring_settings character varying(1023);

IF NOT EXISTS(
SELECT *
FROM sys.columns
WHERE object_id = OBJECT_ID(N'[dbo].[PC_CONFIRM_ATTEMPT]')
AND name = 'scoring_results'
)
ALTER TABLE PC_CONFIRM_ATTEMPT
ADD
scoring_results character varying(512);

IF NOT EXISTS(
SELECT *
FROM sys.columns
WHERE object_id = OBJECT_ID(N'[dbo].[PC_CONFIRM_ATTEMPT]')
AND name = 'scoring_settings'
)
ALTER TABLE PC_CONFIRM_ATTEMPT
ADD
scoring_settings character varying(512);

IF NOT EXISTS(
SELECT *
FROM sys.columns
WHERE object_id = OBJECT_ID(N'[dbo].[PC_EVENT]')
AND name = 'event_data'
)
ALTER TABLE PC_EVENT
ADD
event_data VARCHAR(MAX);
ELSE
ALTER TABLE PC_EVENT
ALTER COLUMN event_data VARCHAR(MAX);

IF EXISTS(
SELECT *
FROM sys.columns
WHERE object_id = OBJECT_ID(N'[dbo].[PC_KEYINFO]')
AND name = 'type'
)
ALTER TABLE PC_KEYINFO
DROP COLUMN type;

IF EXISTS(
SELECT *
FROM sys.columns
WHERE object_id = OBJECT_ID(N'[dbo].[PC_DELAYEDKEYINFO]')
AND name = 'type'
)
ALTER TABLE PC_DELAYEDKEYINFO
DROP COLUMN type;

ALTER TABLE PC_EVENT ALTER COLUMN requester_ip varchar(64);
</syntaxhighlight>

=== Oracle ===

<syntaxhighlight lang="sql">
ALTER TABLE pc_delayedkeyinfo MODIFY is_deleted NOT NULL;
ALTER TABLE pc_delayedkeyinfo MODIFY is_deleted DEFAULT 0;
ALTER TABLE pc_delayedkeyinfo DROP COLUMN type;
ALTER TABLE pc_delayedkeyinfo ADD renew_challenge VARCHAR2(255);

ALTER TABLE pc_device MODIFY is_deleted NOT NULL;
ALTER TABLE pc_device MODIFY is_deleted DEFAULT 0;
ALTER TABLE pc_device ADD app_id VARCHAR2(255);

ALTER TABLE pc_event MODIFY is_deleted NOT NULL;
ALTER TABLE pc_event MODIFY is_deleted DEFAULT 0;
ALTER TABLE pc_event MODIFY requester_ip VARCHAR2(64);
ALTER TABLE pc_event ADD event_data CLOB;
ALTER TABLE pc_event DROP COLUMN eventposturl;

ALTER TABLE pc_keyinfo MODIFY is_deleted NOT NULL;
ALTER TABLE pc_keyinfo MODIFY is_deleted DEFAULT 0;
ALTER TABLE pc_keyinfo DROP COLUMN type;
ALTER TABLE pc_keyinfo DROP COLUMN key_container_id;
ALTER TABLE pc_keyinfo ADD external_approve_data_id VARCHAR2(255);

ALTER TABLE pc_publickey MODIFY is_deleted NOT NULL;
ALTER TABLE pc_publickey MODIFY is_deleted DEFAULT 0;
ALTER TABLE pc_publickey ADD autosign_public_key BLOB;

ALTER TABLE pc_system MODIFY is_deleted NOT NULL;
ALTER TABLE pc_system MODIFY is_deleted DEFAULT 0;
ALTER TABLE pc_system ADD callback_url VARCHAR2(255);

ALTER TABLE pc_system_params MODIFY is_deleted NOT NULL;
ALTER TABLE pc_system_params MODIFY is_deleted DEFAULT 0;
ALTER TABLE pc_system_params MODIFY license VARCHAR2(4000);
ALTER TABLE pc_system_params ADD qr_url_scheme VARCHAR2(24);

ALTER TABLE pc_transaction MODIFY is_deleted NOT NULL;
ALTER TABLE pc_transaction MODIFY is_deleted DEFAULT 0;
ALTER TABLE pc_transaction ADD autosign_enabled NUMBER(5);
ALTER TABLE pc_transaction ADD ext_pulp BLOB;
ALTER TABLE pc_transaction ADD extended_check NUMBER(5);
ALTER TABLE pc_transaction ADD render_type NUMBER(10);
ALTER TABLE pc_transaction ADD scoring_settings VARCHAR2(1023);
ALTER TABLE pc_transaction ADD transaction_type NUMBER(10);
ALTER TABLE pc_transaction ADD snipped_text VARCHAR2(1023);

ALTER TABLE pc_user MODIFY is_deleted NOT NULL;
ALTER TABLE pc_user MODIFY is_deleted DEFAULT 0;
ALTER TABLE pc_user ADD blocked NUMBER(5);

ALTER TABLE pc_confirm_attempt ADD scoring_results VARCHAR2(512);
ALTER TABLE pc_confirm_attempt ADD scoring_settings VARCHAR2(512);

ALTER TABLE pc_sys_property MODIFY SETTING_VALUE VARCHAR2(1023);

</syntaxhighlight>

== Запрос на регистрацию и лицензия ==

=== Получение нового запроса и лицензии ===

Для получения обновленного запроса на регистрацию и лицензии обратитесь в компанию Сэйфтек.

=== Замена запроса в БД ===

В приведённом ниже запросе необходимо:

* заменить <code>%SYSTEMID%</code> на реальное значение systemid зарегистрированное для Вашей прикладной системы. Обратите внимание, что знаки процента '''нужно удалить''';
* заменить <code>%REGISTERREQUEST%</code> на реальные данные запроса, созданного для Вашей прикладной системы. Обратите внимание, что знаки процента '''нужно удалить''';
** пример нужных данных запроса <code>eyJyZXF1ZXN0Ijp7InFyVVJMU2NoZW1lIjoiIiwiYmlsbGluZ1R5cGUiOjIsImludGVyYWN0aW9uRXh0ZXJuYWxVUkwiOiJodHRwczovL3BheWNvbnRyb2wuZXhhbXBsZS5jb20vcGMtY2xpZW50LWFwaS8iLCJpbnRlcmFjd----m1VRERpZndVU3VOS3BoYmV4emsifQ==</code>

<syntaxhighlight lang="sql">
update pc_system_params set register_request='%REGISTERREQUEST%' where systemid='%SYSTEMID%';
</syntaxhighlight>

=== Замена лицензии(при наличии) в БД ===

В приведённом ниже запросе необходимо:

* заменить <code>%SYSTEMID%</code> на реальное значение systemid зарегистрированное для Вашей прикладной системы. Обратите внимание, что знаки процента '''нужно удалить''';
* заменить <code>%LICENSE%</code> на реальные данные лицензии, созданной для Вашей прикладной системы. Обратите внимание, что знаки процента '''нужно удалить''';
** пример нужных данных запроса <code>{"request":{"systemId":"99000000-e00e-0ad0-00ab-f00f0000a0b0","dateTime":1700000000000,"usersCount":100,"licenseID":"0000e000-0000-0000-b0ec-c0f0000000f0","type":2,"features":{"gost_crypto":false,"pki":{"openssl":false},"binary_data":{"raw":true,"pdf":true},"server_signer":false,"rks":false}},"signature":"MEYCIQDy7OUT6iiligbiugYcpK9fjkU/GDRIUiJtB+UcHppVwIhAKzS+EcktxyRikvqEThPyo1jHlPuAfgxW+EEo5gioW7Y"}</code>

<syntaxhighlight lang="sql">
update pc_system_params set license='%LICENSE%' where systemid='%SYSTEMID%';
</syntaxhighlight>

= Обновление модулей PC =

Перед обновлением настоятельно рекомендуем также выполнить резервное копирование баз данных PC.

Для установки PC 6-й версии воспользуйтесь инструкцией по ссылке - https://repo.paycontrol.org/server/doc/latest/pc-install-guide/ru/#перед-установкой

После обновления '''необходимо''' отключить автозапуск Wildfly и выполнить запрос к БД:

<syntaxhighlight lang="sql">
update pc_keyinfo set is_activated=1;
update pc_transaction set transaction_type=0;
update pc_transaction set render_type=0;
update pc_transaction set status=6 where status=4;
update pc_transaction set status=7 where status=5;

</syntaxhighlight>

== Корректировка (смена) адресов компонентов серверов PC ==

=== Изменение адреса PCP для подключения с PCS ===

Для изменения адреса сервера PCP, необходимо, предварительно указав корректные данные (протокол (HTTP/HTTPS), имя или IP сервера, порт, идентификатор системы), выполнить запрос к БД PCS:
<syntaxhighlight lang="sql">update pc_system set pc_is_internal_url = 'http[s]://<IP или DNS-имя>:8082/pc-pusher-api/' where systemid='<SYSTEMID>';</syntaxhighlight>

=== Изменение адреса для внешних подключений (PCE) с мобильных устройств ===

Для изменения внешнего адреса сервера PC, по которому связываются мобильное приложение с сервером PC, необходимо, предварительно указав корректные данные (протокол (HTTP/HTTPS), имя или IP сервера, порт, идентификатор системы), выполнить запрос к БД PCS:
<syntaxhighlight lang="sql">update pc_system set pc_is_external_url = 'http[s]://<IP или DNS-имя>[:PORT]/pc-client-api/' where systemid='<SYSTEMID>';</syntaxhighlight>

На версии сервера 6.0.0-6.9.0 '''для работы старых ключей''', обращающихся по эндпоинту <code>/PayControl-interaction-rest/</code> нужно установить проксирование на эндпоинт <code>/pc-client-api/</code>, любым удобным способом.

Пример для nginx:
<syntaxhighlight lang="bash">
location /PayControl-interaction-rest/ {
proxy_pass http://o-pc-ext-example.com:8081/pc-client-api/;
}
</syntaxhighlight>

== Правки для корректной отправки пушей ==

<syntaxhighlight lang="sql">
update pc_device set app_id ='org.example.app' where device_push_id not like '%####%' and app_id is null and type=1;
!!!Запрос выше для Android при обновлении с 3.6-3.7. Вместо org.example.app нужно вписать app_id вашего приложения из БД PCIS Internal:
select appid from pc_split_pusher_credentials where os='Android';

update pc_device set app_id ='org.example.app' where device_push_id not like '%####%' and app_id is null and type=2;
!!!Запрос выше для iOS при обновлении с 3.6-3.7. Вместо org.example.app нужно вписать app_id вашего приложения из БД PCIS Internal:
select appid from pc_split_pusher_credentials where os='iOS';

update pc_device set app_id = split_part(device_push_id,'####',2) where app_id is NULL;
update pc_device set device_push_id = split_part(device_push_id,'####',1) where app_id is not NULL;

!!! '''Обратите внимание''', что для выполнения запросов со split_part на Oracle нужно сначала выполнить запрос ниже:
create or replace function split_part(pString varchar2, pDelimiter varchar2, pPartNumber integer) return varchar2 deterministic is
vStart number;
vEnd number;
begin
if pPartNumber <> 0 and pDelimiter is not null then
vStart := instr(pDelimiter||pString||pDelimiter, pDelimiter, sign(pPartNumber), abs(pPartNumber));
vEnd := instr(pDelimiter||pString||pDelimiter, pDelimiter, sign(pPartNumber), abs(pPartNumber) + 1);
end if;
return case
when pDelimiter is null and abs(pPartNumber) = 1 then pString
when pPartNumber > 0 then substr(pString, vStart, vEnd - vStart - length(pDelimiter))
when pPartNumber < 0 then substr(pString, vEnd, vStart - vEnd - length(pDelimiter))
else null
end;
end;
/

</syntaxhighlight>

= Документация по работе с PC 6-й версии =

* Вся документация - https://repo.paycontrol.org/

* Руководство администратора - https://repo.paycontrol.org/server/doc/latest/pc-admin-guide/ru/

* Справочное руководство - https://repo.paycontrol.org/server/doc/latest/pc-reference-guide/ru/

== Доступ к сервисам ==

Адреса конечных точек по умолчанию:

* PC Server - http://<host>:8080/pc-api/
* PC Pusher - http://<host>:8082/pc-pusher-api/
* PC External - http://<host>:8081/pc-client-api/

=== Health Check ===

Адреса конечных точек health check:

* PC Server - http://<host>:8080/pc-api/health_check
* PC Pusher - http://<host>:8082/pc-pusher-api/health_check
* PC External - http://<host>:8081/pc-client-api/health_check

= Откат обновления в случае сбоя =

Остановите сервисы PC.

Восстановите БД PCS и PCIS Internal из бэкапа.

Переключитесь на Java 11.

Запустите wildfly и включите автозапуск.

Заглавная страница

2025-06-25T22:39:07Z

A.bursakov: /* PayControl */

Ресурс содержит документацию и справочные сведения и предназначен для предоставления доступа к этой информации партнёрам компании SafeTech.

= PayControl Wiki =

== Список категорий ==

{{Special:AllPages|namespace=14}}

== Список статей ==

{{Special:AllPages}}

= Демо =

== PayControl ==

* https://paycontrol.org/ru/demo.php
* https://paycontrol.org/eng/demo.php

== myDSS ==

=== 2.0 ===

https://mydss.safe-tech.ru/demo/

=== v.1 ===

https://paycontrol.org/mydss/

= Открытый ключ для проверки подписи файлов в репозитории =

* https://repo.paycontrol.org/keySafeTech.pub.asc (до 2022-02-10)
* https://repo.paycontrol.org/SafeTech.pub.asc (до 2024-09-15)
* https://repo.paycontrol.org/SafeTech2024.pub.asc (до 2026-10-01)

Заглавная страница

2025-06-25T22:38:36Z

A.bursakov: /* PayControl */

Ресурс содержит документацию и справочные сведения и предназначен для предоставления доступа к этой информации партнёрам компании SafeTech.

= PayControl Wiki =

== Список категорий ==

{{Special:AllPages|namespace=14}}

== Список статей ==

{{Special:AllPages}}

= Демо =

== PayControl ==

* https://paycontrol.org/ru/demo
* https://paycontrol.org/eng/demo

== myDSS ==

=== 2.0 ===

https://mydss.safe-tech.ru/demo/

=== v.1 ===

https://paycontrol.org/mydss/

= Открытый ключ для проверки подписи файлов в репозитории =

* https://repo.paycontrol.org/keySafeTech.pub.asc (до 2022-02-10)
* https://repo.paycontrol.org/SafeTech.pub.asc (до 2024-09-15)
* https://repo.paycontrol.org/SafeTech2024.pub.asc (до 2026-10-01)

Категория:Сертификаты

2025-06-25T22:35:16Z

A.bursakov: Создана пустая страница

Категория:PKI

2025-06-25T22:35:11Z

A.bursakov: Создана пустая страница

Категория:OpenSSL

2025-06-25T22:35:04Z

A.bursakov: Создана пустая страница

PayControl PKI

2025-06-25T22:34:35Z

A.bursakov:

= OpenSSL =

== Конфигурирование PKI коннектора ==

=== Путь к конфигурационному файлу коннектора ===

Настройку необходимо внести в pc_sys_property БД PCS.

PKI_SETTINGS_PATH | /opt/pc/pki/pki-settings.properties

Пример для PostgreSQL:<syntaxhighlight lang="sql">insert into pc_sys_property values (nextval('pc_setting_seq'), 'PKI_SETTINGS_PATH', '/opt/pc/pki/pki-settings.properties');</syntaxhighlight>

=== Пример конфигурационного файла ===

<syntaxhighlight lang="shell">
# check certificate's expiration, cert path and other constrains during each cert use
checkCertificates=true

# check certificate revocation status, to use checkCertificates must be true
checkRevocation=true
useCRL=true
useOCSP=false

# -- OpenSSL Settings
caType=OpenSSL
issueCertificateCmd=/opt/pc/pki/issue_cert.sh
revokeCertificateCmd=/opt/pc/pki/revoke_cert.sh

# files prefixes must contain path where tmp files will be stored
csrTmpFilePrefix=pc-openssl-connector-csr-
certTmpFilePrefix=pc-openssl-connector-cert-

# certificate chain in PEM-format
# the first certificate must be CA (self-signed), second - 1st intermediate, third - 2nd intermediate and so on
# if checkRevocation is true, then each of intermediate certificates must contain OCSP url or CRL Distribution point
caChainFileName=/opt/pc/pki/Intermediate_CA/certs/intermediate.chain.pem
</syntaxhighlight>

== Пример файла выпуска сертификата ==

=== ECDSA ===

<syntaxhighlight lang="shell">
#!/bin/sh
CA_DIR=/opt/pc/pki/Intermediate_CA
KEY_PASS=secretpassword

DER_CSR_FILE_NAME=$1
DER_CSR_BASE_FILE_NAME="$(basename -- $DER_CSR_FILE_NAME)"
DER_CSR_BASE_FILE_NAME="${DER_CSR_BASE_FILE_NAME%.*}"
PEM_CSR_FILE_NAME=csr/$DER_CSR_BASE_FILE_NAME.pem
PEM_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.pem
DER_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.der

DEST_CERT_FILE_NAME=$2

cd $CA_DIR
openssl req -inform DER -in $DER_CSR_FILE_NAME -out $PEM_CSR_FILE_NAME
openssl ca -config openssl.cnf -extensions usr_cert -days 375 -notext -md sha256 -in $PEM_CSR_FILE_NAME -out $PEM_CERT_FILE_NAME -passin pass:$KEY_PASS -batch
openssl x509 -outform der -in $PEM_CERT_FILE_NAME -out $DER_CERT_FILE_NAME

cp $DER_CERT_FILE_NAME $DEST_CERT_FILE_NAME
</syntaxhighlight>

=== ГОСТ ===

<syntaxhighlight lang="shell">
#!/bin/sh
CA_DIR=/opt/pc/pki/Intermediate_CA
KEY_PASS=secretpassword

DER_CSR_FILE_NAME=$1
DER_CSR_BASE_FILE_NAME="$(basename -- $DER_CSR_FILE_NAME)"
DER_CSR_BASE_FILE_NAME="${DER_CSR_BASE_FILE_NAME%.*}"
PEM_CSR_FILE_NAME=csr/$DER_CSR_BASE_FILE_NAME.pem
PEM_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.pem
DER_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.der

DEST_CERT_FILE_NAME=$2

cd $CA_DIR
openssl req -inform DER -in $DER_CSR_FILE_NAME -out $PEM_CSR_FILE_NAME
openssl ca -config openssl.cnf -extensions usr_cert -days 375 -notext -md gost12_256 -in $PEM_CSR_FILE_NAME -out $PEM_CERT_FILE_NAME -passin pass:$KEY_PASS -batch
openssl x509 -outform der -in $PEM_CERT_FILE_NAME -out $DER_CERT_FILE_NAME

cp $DER_CERT_FILE_NAME $DEST_CERT_FILE_NAME
</syntaxhighlight>
== Пример файла отзыва сертификата ==

<syntaxhighlight lang="shell">
#!/bin/sh
CERT_FILE_NAME=$1
KEY_PASS=secretpassword
CA_DIR=/opt/pc/pki/Intermediate_CA
INTERMEDIATE_CRL_LOCATION=crl/intermediate.crl

cd $CA_DIR

#revoke
openssl ca -config openssl.cnf -revoke $CERT_FILE_NAME -passin pass:$KEY_PASS
#publish CRL
openssl ca -config openssl.cnf -gencrl -out $INTERMEDIATE_CRL_LOCATION -passin pass:$KEY_PASS
cp -v $INTERMEDIATE_CRL_LOCATION /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Пример файла скрипта публикации списка отзыва корневого УЦ ==

<syntaxhighlight lang="shell">
#!/bin/bash
openssl ca \
-config /opt/pc/pki/Root_CA/openssl_host.cnf \
-gencrl \
-out /opt/pc/pki/Root_CA/crl/root.crl \
-passin pass:secretpassword
cp /opt/pc/pki/Root_CA/crl/root.crl /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Пример файла скрипта публикации списка отзыва промежуточного УЦ ==

<syntaxhighlight lang="shell">
#!/bin/bash
openssl ca \
-config /opt/pc/pki/Intermediate_CA/openssl_host.cnf \
-gencrl \
-out /opt/pc/pki/Intermediate_CA/crl/intermediate.crl \
-passin pass:secretpassword
cp /opt/pc/pki/Intermediate_CA/crl/intermediate.crl /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Включение ГОСТ в OpenSSL ==

=== Установка модуля ГОСТ ===

Для работы OpenSSL с криптоалгоритмами ГОСТ необходимо установить криптографическую библиотеку и настроить работу с этой библиотекой в конфигурационном файле, для этого:

* Установите пакет <code>openssl-gost-engine</code>, либо, если его нет в репозитории Вашего дистрибутива, скачайте по ссылке https://repo.paycontrol.org/cdn/artefacts/gost-engine/engine/gost.so (sha256sum: <code>435a0dee3273d924458c14ad57ac44b0711aa37fb3df9f2ba987a118f2339b1f gost.so</code>) и разместите скаченный файл криптобиблиотеки в директории модулей OpenSSL (в зависимости от дистрибутива это может быть <code>/usr/lib/engines-3/</code>, или, например <code>/usr/lib64/engines-3/</code>).
* В кофигурационный файл OpenSSL добавьте:<syntaxhighlight lang="shell">openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gost = gost_section

[gost_section]
engine_id = gost
dynamic_path = /usr/lib/engines-3/gost.so
default_algorithms = ALL </syntaxhighlight>, где в качестве значения <code>dynamic_path</code> должен быть указан путь к библиотеке <code>gost.so</code>.
* В кофигурационном файле OpenSSL параметру <code>default_md</code> необходимо установить значение <code>md_gost12_256</code>.

== Пример команд для создания корневого и промежуточного ГОСТ-УЦ в OpenSSL ==

=== Создание корневого сертификата ===

<syntaxhighlight lang="shell">
openssl genpkey -config openssl_intermediate.cnf -pass pass:$KEY_PASS -algorithm gost2012_256 -pkeyopt paramset:A -out private/root.key.pem
openssl req -config openssl_intermediate.cnf -key private/root.key.pem -passin pass:${PKI_KEY_PASS} -new -x509 -days 7300 -md_gost12_256 -extensions v3_ca -subj "${PKI_ROOT_SUBJECT}" -out certs/root.cert.pem
</syntaxhighlight>

=== Создание ключа и запроса для промежуточного УЦ ===

<syntaxhighlight lang="shell">
openssl genpkey -config openssl_root.cnf -pass pass:$KEY_PASS -algorithm gost2012_256 -pkeyopt paramset:A -out private/intermediate.key.pem
openssl req -config openssl_root.cnf -key private/intermediate.key.pem -passin pass:${PKI_KEY_PASS} -new -md_gost12_256 -subj "${PKI_INTERMEDIATE_SUBJECT}" -out csr/intermediate.csr.pem
</syntaxhighlight>

=== Выпуск сертификата для промежуточного УЦ ===

<syntaxhighlight lang="shell">
openssl ca -config openssl_intermediate.cnf -extensions v3_intermediate_ca -passin pass:${PKI_KEY_PASS} -days 3650 -notext -md gost12_256 -in ../Intermediate_CA/csr/intermediate.csr.pem -out ../Intermediate_CA/certs/intermediate.cert.pem -out certs/intermediate.cert.pem -batch
</syntaxhighlight>

[[Категория:OpenSSL]]
[[Категория:PKI]]
[[Категория:Сертификаты]]

Запуск PC в Docker

2024-10-09T18:29:55Z

A.bursakov: Содержимое страницы заменено на «=== 3.5 – 5.5 === https://repo.paycontrol.org/server/doc/v5.5/pc-install-guide/ru/#под-docker === 6 === https://repo.paycon…»

=== 3.5 – 5.5 ===

https://repo.paycontrol.org/server/doc/v5.5/pc-install-guide/ru/#под-docker

=== 6 ===

https://repo.paycontrol.org/server/doc/latest/pc-install-guide/ru/#под-docker

Заглавная страница

2024-10-01T09:44:11Z

A.bursakov: /* Открытый ключ для проверки подписи файлов в репозитории */

Ресурс содержит документацию и справочные сведения и предназначен для предоставления доступа к этой информации партнёрам компании SafeTech.

= PayControl Wiki =

== Список категорий ==

{{Special:AllPages|namespace=14}}

== Список статей ==

{{Special:AllPages}}

= Демо =

== PayControl ==

https://paycontrol.org/demo/

== myDSS ==

=== 2.0 ===

https://mydss.safe-tech.ru/demo/

=== v.1 ===

https://paycontrol.org/mydss/

= Открытый ключ для проверки подписи файлов в репозитории =

* https://repo.paycontrol.org/keySafeTech.pub.asc (до 2022-02-10)
* https://repo.paycontrol.org/SafeTech.pub.asc (до 2024-09-15)
* https://repo.paycontrol.org/SafeTech2024.pub.asc (до 2026-10-01)

PayControl PKI

2023-11-16T10:31:07Z

A.bursakov: Новая страница: «== Путь к конфигурационному файлу коннектора == Настройку необходимо внести в pc_sys_property БД…»

== Путь к конфигурационному файлу коннектора ==

Настройку необходимо внести в pc_sys_property БД PCS.

PKI_SETTINGS_PATH | /opt/pc/pki/pki-settings.properties

Пример для PostgreSQL:<syntaxhighlight lang="sql">insert into pc_sys_property values (nextval('pc_setting_seq'), 'PKI_SETTINGS_PATH', '/opt/pc/pki/pki-settings.properties');</syntaxhighlight>

== Пример конфигурационного файла ==

<syntaxhighlight lang="shell">
# check certificate's expiration, cert path and other constrains during each cert use
checkCertificates=true

# check certificate revocation status, to use checkCertificates must be true
checkRevocation=true
useCRL=true
useOCSP=false

# -- OpenSSL Settings
caType=OpenSSL
issueCertificateCmd=/opt/pc/pki/issue_cert.sh
revokeCertificateCmd=/opt/pc/pki/revoke_cert.sh

# files prefixes must contain path where tmp files will be stored
csrTmpFilePrefix=pc-openssl-connector-csr-
certTmpFilePrefix=pc-openssl-connector-cert-

# certificate chain in PEM-format
# the first certificate must be CA (self-signed), second - 1st intermediate, third - 2nd intermediate and so on
# if checkRevocation is true, then each of intermediate certificates must contain OCSP url or CRL Distribution point
caChainFileName=/opt/pc/pki/Intermediate_CA/certs/intermediate.chain.pem
</syntaxhighlight>

== Пример файла выпуска сертификата ==

<syntaxhighlight lang="shell">
#!/bin/sh
CA_DIR=/opt/pc/pki/Intermediate_CA
KEY_PASS=secretpassword

DER_CSR_FILE_NAME=$1
DER_CSR_BASE_FILE_NAME="$(basename -- $DER_CSR_FILE_NAME)"
DER_CSR_BASE_FILE_NAME="${DER_CSR_BASE_FILE_NAME%.*}"
PEM_CSR_FILE_NAME=csr/$DER_CSR_BASE_FILE_NAME.pem
PEM_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.pem
DER_CERT_FILE_NAME=certs/$DER_CSR_BASE_FILE_NAME.cert.der

DEST_CERT_FILE_NAME=$2

cd $CA_DIR
openssl req -inform DER -in $DER_CSR_FILE_NAME -out $PEM_CSR_FILE_NAME
openssl ca -config openssl.cnf -extensions usr_cert -days 375 -notext -md sha256 -in $PEM_CSR_FILE_NAME -out $PEM_CERT_FILE_NAME -passin pass:$KEY_PASS -batch
openssl x509 -outform der -in $PEM_CERT_FILE_NAME -out $DER_CERT_FILE_NAME

cp $DER_CERT_FILE_NAME $DEST_CERT_FILE_NAME
</syntaxhighlight>

== Пример файла отзыва сертификата ==

<syntaxhighlight lang="shell">
#!/bin/sh
CERT_FILE_NAME=$1
KEY_PASS=secretpassword
CA_DIR=/opt/pc/pki/Intermediate_CA
INTERMEDIATE_CRL_LOCATION=crl/intermediate.crl

cd $CA_DIR

#revoke
openssl ca -config openssl.cnf -revoke $CERT_FILE_NAME -passin pass:$KEY_PASS
#publish CRL
openssl ca -config openssl.cnf -gencrl -out $INTERMEDIATE_CRL_LOCATION -passin pass:$KEY_PASS
cp -v $INTERMEDIATE_CRL_LOCATION /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Пример файла скрипта публикации списка отзыва корневого УЦ ==

<syntaxhighlight lang="shell">
#!/bin/bash
openssl ca \
-config /opt/pc/pki/Root_CA/openssl_host.cnf \
-gencrl \
-out /opt/pc/pki/Root_CA/crl/root.crl \
-passin pass:secretpassword
cp /opt/pc/pki/Root_CA/crl/root.crl /opt/pc/pki/pub/crl/
</syntaxhighlight>

== Пример файла скрипта публикации списка отзыва промежуточного УЦ ==

<syntaxhighlight lang="shell">
#!/bin/bash
openssl ca \
-config /opt/pc/pki/Intermediate_CA/openssl_host.cnf \
-gencrl \
-out /opt/pc/pki/Intermediate_CA/crl/intermediate.crl \
-passin pass:secretpassword
cp /opt/pc/pki/Intermediate_CA/crl/intermediate.crl /opt/pc/pki/pub/crl/
</syntaxhighlight>

Отчёт по использованию лицензии PayControl v3

2023-08-18T10:24:18Z

A.bursakov:

=Генерация отчёта=
Отчёт может быть сгенерирован путём [[Вызов методов SOAP интерфейса|вызова метода]] ''generateReport'' SOAP-интерфейса [[Сервер PayControl|сервера PCS]], например с помощью SoapUI или cURL.

WSDL схема с этим методом доступна на эндпоинте <code>/ws/PayControlReportService?wsdl</code>.

==Значения полей==
===systemId===
В значении поля должен быть указан SystemID [[Прикладная система|прикладной системы]], для которой генерируется отчёт.
===Поля для установки временного диапазона===
Поля
* <genDate>
* <dateFrom>
* <dateTo>
опциональны. Должны быть либо заполнены в формате YYYY-MM-DD±hh:mm, например 2019-04-24+03:00, либо удалены сами поля.
==SoapUI==
Для формирования отчёта необходимо выполнить вызов SOAP-метода ''generateReport'' на сервер PCS, на ''http://%PCS%/ws/PayControlReportService?wsdl'' (заменив %PCS% на реальный адрес сервера). В частности, такой запрос можно выполнить с использованием утилиты [https://www.soapui.org/ SoapUI].
Пример формирования отчёта за 1 месяц:
[[Файл:PCS Generate Report.png|обрамить|центр]]
Для передачи отчёта компании SafeTech необходимо отправить весь результат, возвращённый сервером (в правой части представленного выше изображения).

==cURL==
# Скопировать или создать файл, содержащий параметры запроса в формате [[XML]] вызываемого SOAP-метода (к примеру, название файла будет ''generateReport.xml'') в любую директорию на машину, с которой будет производиться запуск команды curl. Этот файл должен содержать параметры запроса на генерацию отчёта. Пример состава файла ''generateReport.xml'' для формирования отчёта за один месяц:<syntaxhighlight lang="xml"><soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:pay="http://ws.safetech.ru/PayControlReport/">
<soapenv:Header/>
<soapenv:Body>
<pay:generateReportRequest>
<systemId>e33affa9-1ff8-4d2a-aa42-856fb59309e0</systemId>
<genDate>2019-04-24+03:00</genDate>
<dateFrom>2019-03-24+03:00</dateFrom>
<dateTo>2019-04-24+03:00</dateTo>
</pay:generateReportRequest>
</soapenv:Body>
</soapenv:Envelope></syntaxhighlight>
# Выполнить команду (в той-же директории, где располагается скопированный файл):<syntaxhighlight lang="bash">
curl --header "Content-Type: text/xml;charset=UTF-8" --header "SOAPAction: generateReport" --data @generateReport.xml <PCServer_IP/localhost>:8080/ws/PayControlReportService
</syntaxhighlight>
# Для передачи отчёта компании SafeTech необходимо отправить весь результат, возвращённый сервером.
=Открытие файла отчёта=
Для открытия файла отчёта необходимо декодировать из Base64 содержимое из тега <report>, и сохранить как файл с расширением docx. Например, это можно сделать на сайте http://base64converter.com/
[[Категория:Лицензирование]]
[[Категория:Руководства]]

Установка компонентов сервера PayControl v3.9 вручную

2023-08-17T06:57:28Z

A.bursakov: /* Учёт изменения адреса сервера PCS */

=Подготовка БД=
* Создать базу данных и пользователя на сервере СУБД, где будет работать база данных PC Server (pcs-user, pcs-pass, pcs-db, pcs-db-host). Предоставить права на доступ пользователю к БД.

=Установка Java=
Установить последнюю версию JDK 11.

=Установка Wildfly=
* Скачать WildFly Server 26.1.3 (Jakarta EE 8 Full & Web Distribution) – https://wildfly.org/downloads/
Далее по тексту, под '''WF_PATH''' имеется в виду адрес созданной символьной ссылки.
==Linux==
При распаковке рекомендуется исключить кириллические символы в пути, а также пробелы.
* Распаковать Wildfly, например, в /opt/.
* Создать символьную ссылку /opt/wildfly на распакованную директорию. Пример команды:<source lang="bash">ln -s /opt/wildfly-26.1.3.Final/ /opt/wildfly</source>
==Windows==
При распаковке рекомендуется исключить кириллические символы в пути, а также пробелы.
* Распаковать Wildfly, например, в C:\.
* Создать символьную ссылку, к примеру ''C:\wildfly'', на распакованную директорию. Пример команды:<syntaxhighlight lang="bat">mklink /D C:\wildfly C:\wildfly-26.1.3.Final\</syntaxhighlight>
==Удаление настроек WildFly по-умолчанию==
Для удаления настроек по-умолчанию, необходимо выполнить пункты описанные по ссылке [[Wildfly#Удаление настроек по умолчанию|Wildfly - Удаление настроек по умолчанию]]

=Настройка подключения к БД PC Server=
==Добавление JDBC-драйвера СУБД==
===PostgreSQL===
* Скачать актуальный JDBC-драйвер по адресу https://jdbc.postgresql.org/
* Создать директорию ''WF_PATH/modules/org/postgresql/main/''
* В директорию ''WF_PATH/modules/org/postgresql/main/'' поместить скачанный postgresql-*.*.*.jar
* Создать в этой же папке файл ''module.xml'' следующего содержания, указав имя файла драйвера вместо "JAR_PATH":<source lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module xmlns="urn:jboss:module:1.0" name="org.postgresql">
<resources>
<resource-root path="JAR_PATH"/>
</resources>
<dependencies>
<module name="javax.api"/>
<module name="javax.transaction.api"/>
<module name="javax.servlet.api" optional="true"/>
</dependencies>
</module>
</source>
* Добавить установленный модуль в качестве драйвера для подключения к СУБД в файл ''WF_PATH/standalone/configuration/standalone.xml'', в секцию ''<datasources/drivers>'', добавив следующий блок:<source lang="xml">
<driver name="pgsql" module="org.postgresql">
<driver-class>org.postgresql.Driver</driver-class>
</driver>
</source>

===MS SQL===
* Скачать JDBC-драйвер с сайта Microsoft https://docs.microsoft.com/ru-ru/sql/connect/jdbc/download-microsoft-jdbc-driver-for-sql-server?view=sql-server-ver15
* Создать директорию ''WF_PATH/modules/system/layers/base/com/microsoft/sqlserver/main/''
* В директорию распаковать файлы и директории драйвера. Файлы драйвера (*.jar) должны располагаться непосредственно в директории ''main/''
* Создать в этой же папке файл module.xml следующего содержания, заменив JAR_PATH на имя файла драйвера, например на ''mssql-jdbc-8.2.2.jre8.jar'':<syntaxhighlight lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module xmlns="urn:jboss:module:1.3" name="com.microsoft.sqlserver">
<resources>
<resource-root path="JAR_PATH"/>
</resources>
<dependencies>
<module name="javax.api"/>
<module name="javax.transaction.api"/>
<module name="javax.xml.bind.api"/>
</dependencies>
</module>
</syntaxhighlight>
* Добавить установленный модуль в качестве драйвера для подключения к СУБД в файл ''WF_PATH/standalone/configuration/standalone.xml'', в секцию ''<datasources/drivers>'', добавив следующий блок:<syntaxhighlight lang="xml">
<driver name="mssql" module="com.microsoft.sqlserver">
<driver-class>com.microsoft.sqlserver.jdbc.SQLServerDriver</driver-class>
</driver>
</syntaxhighlight>

===Oracle===
* Скачать актуальный JDBC-драйвер по адресу https://www.oracle.com/database/technologies/appdev/jdbc-downloads.html
* Создать директорию ''WF_PATH/modules/org/postgresql/main/''
* В директорию ''WF_PATH/modules/system/layers/base/com/oracle/main/'' поместить скачанный ojdbc*.jar.
* Создать в этой же папке файл ''module.xml'' следующего содержания, указав имя файла драйвера вместо "JAR_PATH":<source lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module xmlns="urn:jboss:module:1.0" name="com.oracle">
<resources>
<resource-root path="JAR_PATH"/>
</resources>
<dependencies>
<module name="javax.api"/>
<module name="javax.transaction.api"/>
</dependencies>
</module>
</source>
* Добавить установленный модуль в качестве драйвера для подключения к СУБД в файл ''WF_PATH/standalone/configuration/standalone.xml'', в секцию ''<datasources/drivers>'', добавив следующий блок:<source lang="xml">
<driver name="oracle" module="com.oracle">
<driver-class>oracle.jdbc.driver.OracleDriver</driver-class>
</driver>
</source>

==Особенности маппинга Oracle==
Для корректной установки PC Server с подключением к БД Oracle требуется создать/изменить некоторые таблицы вручную:

Инструкция:
* Заменить по содержимому ниже <syntaxhighlight lang="sql">
<TABLESPACE_NAME>
<USER_NAME>
<USER_PASS>
</syntaxhighlight>

* Из-под пользователя с правами на создание пользователей и табличных пространств выполнить:<syntaxhighlight lang="sql">
---Создание табличного пространства и пользователя---
CREATE TABLESPACE <TABLESPACE_NAME> DATAFILE '<TABLESPACE_NAME>.DAT' SIZE 50M AUTOEXTEND ON;
CREATE USER "<USER_NAME>" IDENTIFIED BY "<USER_PASS>" DEFAULT TABLESPACE <TABLESPACE_NAME>;
GRANT CREATE SESSION TO "<USER_NAME>";
GRANT CREATE TABLE TO "<USER_NAME>";
GRANT CREATE SEQUENCE TO "<USER_NAME>";
GRANT UNLIMITED TABLESPACE TO "<USER_NAME>";
</syntaxhighlight>

* Из-под созданного пользователя, под которым будет производиться подключение PC к БД выполнить:<syntaxhighlight lang="sql">
---Создание таблиц---
CREATE TABLE "PC_SYS_PROPERTY"
("SETTING_ID" NUMBER(19,0) NOT NULL ENABLE,
"SETTING_NAME" VARCHAR2(255),
"SETTING_VALUE" VARCHAR2(255),
PRIMARY KEY ("SETTING_ID"),
CONSTRAINT "UK_BYEQYB1KICGD7SNXKM5L52582" UNIQUE ("SETTING_NAME"));

CREATE TABLE "PC_SYSTEM"
( "SYSTEMID" VARCHAR2(36) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"EVENTS_POST_URL" VARCHAR2(1024),
"NAME" VARCHAR2(255),
"PC_IS_EXTERNAL_URL" VARCHAR2(255),
"PC_IS_INTERNAL_URL" VARCHAR2(255),
PRIMARY KEY ("SYSTEMID"));

CREATE TABLE "PC_SYSTEM_PARAMS"
( "SYSTEMID" VARCHAR2(36) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"BILLED_DATE_REQUEST" CLOB,
"BILLING_PERIOD" NUMBER(10,0),
"BILLED_DATE" DATE,
"BILLING_TYPE" NUMBER(10,0),
"DESCRIPTION" VARCHAR2(255),
"FRONT_END_URL" VARCHAR2(255),
"LICENSE" VARCHAR2(2048),
"ONLINE_CONFIRMATION_URL" VARCHAR2(255),
"REGISTER_REQUEST" CLOB,
"REPORT_TEMPLATE_PATH" VARCHAR2(255),
"USER_KEYS_EXPIRATION_PERIOD" NUMBER(10,0),
PRIMARY KEY ("SYSTEMID"));

CREATE TABLE "PC_USER"
("USERID" VARCHAR2(64) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"BILLED_DATE" DATE,
"SYSTEMID" VARCHAR2(36),
PRIMARY KEY ("USERID"),
CONSTRAINT "FKGLUVAW7N4TKK6V6XALY8IK3S2" FOREIGN KEY ("SYSTEMID")
REFERENCES "PC_SYSTEM" ("SYSTEMID") ENABLE
);

CREATE TABLE "PC_TRANSACTION"
( "TRANSACTIONID" VARCHAR2(36) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"CALLBACK_URL" VARCHAR2(255),
"IS_CLEANED" NUMBER(5,0),
"CONFIRM_CODE_LENGTH" NUMBER(10,0),
"CONFIRMATION_TYPE" NUMBER(10,0),
"DECLINE_REASON" VARCHAR2(64),
"DATA_HASH" RAW(255),
"NOTIF_ID" VARCHAR2(255),
"STATUS" NUMBER(10,0),
"TIME_TO_LIVE" NUMBER(10,0),
"DATA_BINARY" BLOB,
"DATA_TEXT" VARCHAR2(3095),
"USERID" VARCHAR2(64),
PRIMARY KEY ("TRANSACTIONID"),
CONSTRAINT "FKARQ3VEGMNJXEJK8ONU4HRHEN3" FOREIGN KEY ("USERID")
REFERENCES "PC_USER" ("USERID") ENABLE
);

CREATE TABLE "PC_CONFIRM_ATTEMPT"
( "CONFIRM_ATTEMPT_ID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"CONFIRM_CODE" VARCHAR2(255),
"CONFIRM_RESULT" NUMBER(10,0),
"DATA_HASH" RAW(255),
"SIGNATURE" VARCHAR2(512),
"TRANSACTIONID" VARCHAR2(36),
"USERID" VARCHAR2(64),
PRIMARY KEY ("CONFIRM_ATTEMPT_ID"),
CONSTRAINT "FK5258W9Y6WQ4FY55U41WB30OWG" FOREIGN KEY ("TRANSACTIONID")
REFERENCES "PC_TRANSACTION" ("TRANSACTIONID") ENABLE,
CONSTRAINT "FKHEJP6UYKY6U4X8QFDPV4VA63Y" FOREIGN KEY ("USERID")
REFERENCES "PC_USER" ("USERID") ENABLE
);

CREATE TABLE "PC_DELAYEDKEYINFO"
( "TYPE" NUMBER(10,0) NOT NULL ENABLE,
"DELAYEDKEYID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"KEY_CONTAINER_ID" VARCHAR2(255),
"KEY_CONTENT" RAW(255),
"EXPIRATION_DATE" DATE,
"USER_KEY_VERSION" NUMBER(10,0),
"USERID" VARCHAR2(64),
PRIMARY KEY ("DELAYEDKEYID"),
CONSTRAINT "FK73X95ORVBL8BA0T3A3WEWADRF" FOREIGN KEY ("USERID")
REFERENCES "PC_USER" ("USERID") ENABLE
);

CREATE TABLE "PC_DEVICE"
( "TYPE" NUMBER(10,0) NOT NULL ENABLE,
"DEVICEID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"DEVICE_PUSH_ID" VARCHAR2(255),
"USERID" VARCHAR2(64),
PRIMARY KEY ("DEVICEID"),
CONSTRAINT "FK8CMG562COTMP53MVGRDDF1EYA" FOREIGN KEY ("USERID")
REFERENCES "PC_USER" ("USERID") ENABLE
);

CREATE TABLE "PC_KEYINFO"
( "TYPE" NUMBER(10,0) NOT NULL ENABLE,
"KEYID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"KEY_CONTAINER_ID" VARCHAR2(255),
"KEY_CONTENT" RAW(255),
"EXPIRATION_DATE" DATE,
"DEVICE_FINGERPRINT" VARCHAR2(255),
"USER_KEY_VERSION" NUMBER(10,0),
"USERID" VARCHAR2(64),
PRIMARY KEY ("KEYID"),
CONSTRAINT "FKN3VEB4OTVNAIE35AWBD0HDS90" FOREIGN KEY ("USERID")
REFERENCES "PC_USER" ("USERID") ENABLE
);

CREATE TABLE "PC_PUBLICKEY"
( "PUBLICKEYID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"PUBLIC_KEY" RAW(512),
"KEYID" NUMBER(19,0),
PRIMARY KEY ("PUBLICKEYID"),
CONSTRAINT "FKEMTGHSA74S1WI903R2TN7T3N" FOREIGN KEY ("KEYID")
REFERENCES "PC_KEYINFO" ("KEYID") ENABLE
);

CREATE TABLE "PC_EVENT"
( "EVENTID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"AUTH_CODE" VARCHAR2(64),
"DEVICE_EVENTID" VARCHAR2(36),
"DEVICE_INFO" CLOB,
"DEVICE_TIME" DATE,
"EVENTPOSTURL" VARCHAR2(255),
"REQUEST_HMAC" VARCHAR2(64),
"REQUEST_HASH" VARCHAR2(64),
"REQUEST_RESULT" NUMBER(10,0),
"REQUEST_TYPE" VARCHAR2(36),
"REQUESTER_IP" VARCHAR2(15),
"SESSIONID" VARCHAR2(36),
"TRANSACTIONID" VARCHAR2(36),
"USERID" VARCHAR2(64),
PRIMARY KEY ("EVENTID"));

</syntaxhighlight><syntaxhighlight lang="sql">
---Создание индексов
CREATE INDEX pc_keyinfo1_idx ON PC_KEYINFO (userID, expiration_date, is_deleted);
CREATE INDEX pc_delayedkeyinfo1_idx ON PC_DELAYEDKEYINFO (userID, is_deleted);
CREATE INDEX pc_device1_idx ON PC_DEVICE (userID, is_deleted);
CREATE INDEX pc_transaction1_idx ON PC_TRANSACTION (userID, status);
CREATE INDEX pc_device2_idx ON PC_DEVICE (userID);
CREATE INDEX pc_keyinfo2_idx ON PC_KEYINFO (userID);
CREATE INDEX pc_transaction2_idx ON PC_TRANSACTION (userID);
CREATE INDEX pc_user1_idx ON PC_USER (systemID);
</syntaxhighlight><syntaxhighlight lang="sql">
---Создание очередей---
create sequence PC_ATTEMPT_SEQ start with 1 increment by 1;
create sequence PC_DELAYEDKEYINFO_SEQ start with 1 increment by 1;
create sequence PC_DEVICE_SEQ start with 1 increment by 1;
create sequence PC_KEYINFO_SEQ start with 1 increment by 1;
create sequence PC_PUBLICKEY_SEQ start with 1 increment by 1;
create sequence PC_SETTING_SEQ start with 1 increment by 1;
create sequence PC_EVENT_SEQ start with 1 increment by 1;
create sequence PC_PUSH_SEQ start with 1 increment by 1;
</syntaxhighlight>

==Добавление источников данных для PC Server==
[[PC_Pusher_5.2|'''При установке PC Pusher версии 5.2 и выше, подключение к БД PC Pusher не требуется''']]

===PostgreSQL===
====PC Server====
В файл ''WF_PATH/standalone/configuration/standalone.xml'' внести следующие изменения добавить новый источник данных в секцию ''<datasources></datasources>'' заменив pcs-db-host, port, pcs-db, pcs-user, pcs-pass:<source lang="xml">
<datasource jta="true" jndi-name="java:jboss/datasources/PayControlDS" pool-name="PayControlDS" enabled="true" use-ccm="true">
<connection-url>jdbc:postgresql://pcs-db-host:port/pcs-db</connection-url>
<driver-class>org.postgresql.Driver</driver-class>
<driver>pgsql</driver>
<security>
<user-name>pcs-user</user-name>
<password>pcs-pass</password>
</security>
<validation>
<valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLValidConnectionChecker"/>
<background-validation>true</background-validation>
<exception-sorter class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLExceptionSorter"/>
</validation>
</datasource>
</source>

===MS SQL===
====PC Server====
В файл ''WF_PATH/standalone/configuration/standalone.xml'' внести следующие изменения добавить новый источник данных в секцию ''<datasources></datasources>'' заменив pcs-db-host, port, pcs-db-host, pcs-db, pcs-user, pcs-pass:<source lang="xml">
<datasource jta="true" jndi-name="java:jboss/datasources/PayControlDS" pool-name="PayControlDS" enabled="true" use-ccm="true">
<connection-url>jdbc:sqlserver://pcs-db-host:port;databaseName=pcs-db</connection-url>
<driver>mssql</driver>
<security>
<user-name>pcs-user</user-name>
<password>pcs-pass</password>
</security>
<pool>
<min-pool-size>5</min-pool-size>
<max-pool-size>50</max-pool-size>
<prefill>false</prefill>
<use-strict-min>false</use-strict-min>
<flush-strategy>FailingConnectionOnly</flush-strategy>
</pool>
<validation>
<valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.mssql.MSSQLValidConnectionChecker"></valid-connection-checker>
</validation>
</datasource>
</source>

===Oracle===
====PC Server====
В файл ''WF_PATH/standalone/configuration/standalone.xml'' внести следующие изменения добавить новый источник данных в секцию ''<datasources></datasources>'' заменив pcs-db-host, port, pcs-db, pcs-user, pcs-pass:<source lang="xml">
<datasource jta="true" jndi-name="java:jboss/datasources/PayControlDS" pool-name="PayControlDS" enabled="true" use-ccm="true">
<connection-url>jdbc:oracle:thin:@pcs-db-host:port:sid</connection-url>
<driver-class>org.postgresql.Driver</driver-class>
<driver>oracle</driver>
<security>
<user-name>pcs-user</user-name>
<password>pcs-pass</password>
</security>
<pool>
<min-pool-size>1</min-pool-size>
<max-pool-size>5</max-pool-size>
<prefill>true</prefill>
</pool>
<validation>
<check-valid-connection-sql>select 1 from dual</check-valid-connection-sql>
<validate-on-match>false</validate-on-match>
<background-validation>true</background-validation>
<background-validation-millis>10000</background-validation-millis>
</validation>
</datasource>
</source>

=Настройка подключения PCIS External к PC Server=
На сервере PCIS External необходимо установить адрес сервера PC Server (host и port заменить на реальные значения). Для этого:
* на Linux в файл ''WF_PATH/bin/standalone.conf'' нужно добавить <syntaxhighlight lang="bash">JAVA_OPTS="$JAVA_OPTS -Dpcservice.endpoint=http://<host>:<port>/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"</syntaxhighlight>
* на Windows в файл ''WF_PATH/bin/standalone.conf.bat'' нужно добавить <syntaxhighlight lang="bat">set "JAVA_OPTS=%JAVA_OPTS% -Dpcservice.endpoint=http://<host>:<port>/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"</syntaxhighlight> выше метки :JAVA_OPTS_SET

=Настройка выделения памяти серверу=
На всех серверах установить максимальный объем доступной для использования памяти:
* на Linux в ''WF_PATH/bin/standalone.conf'' указать объём «ОбщийОбъёмОЗУ - 512MB»
* на Windows в ''WF_PATH\bin\standalone.conf.bat'' указать объём «ОбщийОбъёмОЗУ - 1536MB»
Для этого в строке
''JAVA_OPTS="-Xms64m -Xmx512m -XX:MetaspaceSize=96M -XX:MaxMetaspaceSize=256m -Djava.net.preferIPv4Stack=true"'' поменять значение параметра ''Xmx'' на выделяемый объём.
==Запуск проекта==
* Загрузить файлы модулей требуемых компонентов последних версий из репозитория по адресу https://repo.paycontrol.org/server/maven/tech/paycon/server/ (при этом модуль PCPusher необходимо взять из ветки 5.x):
** PC Server — https://repo.paycontrol.org/server/maven/tech/paycon/server/PayControl-services-module/, файл ''PayControl-services-module-<VERSION>.ear''
** PC Pusher — https://repo.paycontrol.org/server/maven/tech/paycon/server/pc-pusher/, файл ''pc-pusher-<VERSION>.war''
** PCIS External — https://repo.paycontrol.org/server/maven/tech/paycon/server/PayControl-interaction-rest/, файл ''PayControl-interaction-rest-<VERSION>.war''
* Скопировать файл приложения сервера ''WF_PATH\standalone\deployments\''. Один сервер WildFly может запускать одно или несколько приложений сервера.
* Запустить
** Linux <syntaxhighlight lang="bash">WF_PATH/bin/standalone.sh -b 0.0.0.0</syntaxhighlight>
** Windows <syntaxhighlight lang="bat">WF_PATH\bin\standalone.bat -b 0.0.0.0</syntaxhighlight>
*: где -b 0.0.0.0 - позволяет подключаться к серверу используя любой его интерфейс (опция bind)
* Дождаться старта WF, проверить, что нет ошибок запуска.

==Настройка автозапуска службы сервера==
===Linux===
Для настройки автозапуска службы, перейти в каталог WF_PATH/docs/contrib/scripts/systemd/ и выполнить шаги, описанные в файле README в этом каталоге, за исключением пунктов распаковки и создания символьной ссылки на каталог.
Пункт <code>chown -R wildfly:wildfly /opt/wildfly</code> необходимо выполнить с параметрами «-RH» (параметр «H» указывает, что если на вход подана символьная ссылка, то нужно пойти вглубь каталога, на который она ссылается). Таким образом команда должна выглядеть следующим образом:
<syntaxhighlight lang="bash">chown -RHv wildfly:wildfly /opt/wildfly</syntaxhighlight>
Чтобы исключить возможность отклонения запросов при запуске в качестве службы, необходимо установить параметры JAVA_OPTS в файле standalone.conf:
<syntaxhighlight lang="bat">JAVA_OPTS="$JAVA_OPTS -Djboss.bind.address=0.0.0.0"</syntaxhighlight>
===Windows===
Скопировать папку 
''WF_PATH\docs\contrib\scripts\service\'' 
в папку 
''WF_PATH\bin\'' 

Выполнить
<syntaxhighlight lang="bat">WF_PATH\bin\service\service.bat install /startup</syntaxhighlight>
Чтобы исключить возможность отклонения запросов при запуске в качестве службы, необходимо установить параметры JAVA_OPTS в файле standalone.conf.bat выше метки :JAVA_OPTS_SET.
<syntaxhighlight lang="bat">set "JAVA_OPTS=%JAVA_OPTS% -Djboss.bind.address=0.0.0.0"</syntaxhighlight>

После создания службы, вы можете создать отдельного пользователя, например "wildfly", с правами группы "Пользователи", сделать его владельцем папки, где находятся файлы Wildfly, с полным доступом и в "Службах" Windows настроить запуск службы Wildfly от этого пользователя.

==URL-фильтрация при совмещении PC Pusher и PCIS External==
При совмещении ролей PC Pusher и PCIS External на одном сервере необходимо исключить возможность выполнения запросов PC Pusher со стороны сети интернет. 

Для этого необходимо со стороны сети интернет разрешить подключения только на конечную точку PCIS External. 
Конечная точка PCIS External - ''<host>:<port>/PayControl-interaction-rest/*'' 
Доступ к другим конечным точкам должен быть запрещен.

При этом доступ к PC Pusher со стороны PC Server должен сохраниться. 
Конечная точка PC Pusher - ''<host>:<port>/pc-pusher-api/*''

=Внесение изменений в БД=
==Создание индексов БД PC Server==
После первого запуска приложения, в базе данных будут созданы необходимые таблицы.

На продуктивной среде после этого необходимо создать индексы в базе данных('''за исключением Oracle''') PC Server.

Для этого выполните SQL скрипт:
<syntaxhighlight lang="sql">
create index pc_keyinfo1_idx on PC_KEYINFO (userID, expiration_date, is_deleted);
create index pc_delayedkeyinfo1_idx on PC_DELAYEDKEYINFO (userID, is_deleted);
create index pc_device1_idx on PC_DEVICE (userID, is_deleted);
create index pc_transaction1_idx on PC_TRANSACTION (userID, status);
create index pc_device2_idx on PC_DEVICE (userID);
create index pc_keyinfo2_idx on PC_KEYINFO (userID);
create index pc_transaction2_idx on PC_TRANSACTION (userID);
create index pc_user1_idx on PC_USER (systemID);
</syntaxhighlight>

==Корректировка типов данных для MS SQL==
Java-приложение при создании таблиц БД неоптимально устанавливает тип для одного из полей для СУБД MS SQL.

Для его корректировки после того, как таблицы созданы, выполните запрос
<syntaxhighlight lang="sql">
ALTER TABLE PC_TRANSACTION ALTER COLUMN DATA_BINARY image;
</syntaxhighlight>
==Регистрация системы==
После успешного запуска приложения PC Server до начала работы необходимо зарегистрировать прикладную систему.

Это действие выполняется путем отправки на PC Server HTTP POST запроса, сформированного ST/Airome. Содержание запроса предоставляется дополнительно.

Для отправки запроса можно использовать любое средство отправки HTTP-запросов.
===Примеры===

====Curl====
cURL (в ОС Linux доступна в репозиториях, для ОС Windows можно скачать с сайта разработчика https://curl.haxx.se/download.html):
* 1. Скопировать файл RegisterSystemRequest.xml (если название файла с запросом на регистрацию отличается, то необходимо либо переименовать его, либо изменить имя этого файла в параметрах команды curl) на сервер в любую директорию на машину, с которой будет производиться запуск команды curl.
* 2. Проверить содержимое файла. Если файл выглядит как<syntaxhighlight lang="xml">
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:pay="http://ws.safetech.ru/PayControlV3/">
<soapenv:Header/>
<soapenv:Body>
<pay:registerSystemRequest>
<request>PD94bWwgdmVyc2lvbj0iMJlIHhtbG5zPSJodHRwOi8vd3Muc2FmZXRlY2gucS4w... ...ZXF1JlIHhtbG5zPSJodHRwOi8vd3Muc2FmZXRlY2gucnUZ==</request>
</pay:registerSystemRequest>
</soapenv:Body>
</soapenv:Envelope>
</syntaxhighlight>
то, перейти к п.4.
* 3. Если файл выглядит как
<code>PD94bWwgdmVyc2lvbj0iMJlIHhtbG5zPSJodHRwOi8vd3Muc2FmZXRlY2gucS4w... ...ZXF1JlIHhtbG5zPSJodHRwOi8vd3Muc2FmZXRlY2gucnUZ==</code>
то необходимо добавить в его начало<syntaxhighlight lang="xml">
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:pay="http://ws.safetech.ru/PayControlV3/">
<soapenv:Header/>
<soapenv:Body>
<pay:registerSystemRequest>
<request>
</syntaxhighlight>
и в его конец<syntaxhighlight lang="xml">
</request>
</pay:registerSystemRequest>
</soapenv:Body>
</soapenv:Envelope>
</syntaxhighlight>
чтобы он принял вид, как представлено в п.2.
* 4. Выполнить команду (в той-же директории, где располагается скопированный/изменённый файл), заменив <PCServer_IP/localhost> на DNS-имя сервера или его IP-адрес:<syntaxhighlight lang="bash">
curl --header "Content-Type: text/xml;charset=UTF-8" --header "SOAPAction: registerSystem" --data @RegisterSystemRequest.xml <PCServer_IP/localhost>:8080/ws/PayControlServiceV3
</syntaxhighlight>

* Если в составе ответа пришла строка <systemId>SYSTEMID ВАШЕЙ ПРИКЛАДНОЙ СИСТЕМЫ</systemId>, значит прикладная система зарегистрирована.
* Если в составе ответа было <soap:Fault>, значит возникла проблема на этапе регистрации.
* После успешной регистрации прикладной системы на сервере, файл registerSystem.xml больше не нужен.

====SOAP UI====
* 1. Добавить подключение к серверу PCS, указав адрес WSDL схемы:
[[Файл:Soap add conn.jpg]]
* 2. Создать новый запрос из категории registerSystem
[[Файл:Soap register system.jpg]]
* 3. Выполнить запрос

* Если в составе ответа пришла строка <systemId>SYSTEMID ВАШЕЙ ПРИКЛАДНОЙ СИСТЕМЫ</systemId>, значит прикладная система зарегистрирована.
* Если в составе ответа было <soap:Fault>, значит возникла проблема на этапе регистрации.

==Доступ к сервисам==
Сервис PC Server доступен по ссылкам (при запросе на эти 2 адреса ниже, должна возвратиться WSDL-схема):
* http://<IP или имя сервера с WF >:8080/ws/PayControlServiceV3?wsdl
* http://<IP или имя сервера с WF >:8080/ws/PayControlReportService?wsdl

Адрес конечной точки PC Pusher по умолчанию:
* http://<IP или имя сервера с WF >:8080/pc-pusher-api/
Адрес PC Pusher health check:
* http://<IP или имя сервера с WF >:8080/pc-pusher-api/health_check

PCIS External (при запросе на этот адрес должно возвратиться «Not Found». Также необходимо обратить внимание, на то, какой протокол разрешён – HTTP или HTTPS):
* http://<IP или имя сервера с WF >:8080/PayControl-interaction-rest/
=Настройка PC Pusher для отправки пушей в другое приложение (при необходимости)=
Необходимо выполнить пункты описанные по ссылке [[Обновление_с_3.6_до_3.8#Настройка PC Pusher|"Настройка PCS и PC Pusher"]]

=Корректировка (смена) адресов серверов PayControl (при необходимости)=
{{Предупреждение|Не рекомендуется дополнительно указывать номер порта, в случаях, если для HTTP используется порт 80, или для HTTPS используется порт 443}}
==Учёт изменения адреса сервера PCS==

Для учёта изменения адреса сервера PCS необходимо произвести изменения в настройках PCIS External. В строке, нужно указать правильный адрес и при необходимости порт сервера PCS, а также уточнить протокол подключения (HTTP/HTTPS):
* на Linux в файле <code>/opt/wildfly/bin/standalone.conf</code>: <syntaxhighlight lang="bash">
JAVA_OPTS="$JAVA_OPTS -Dpcservice.endpoint=http[s]://<IP или DNS-имя>[:PORT]/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"
</syntaxhighlight>
* Windows, в файле <code>WF_PATH/bin/standalone.conf.bat</code>: <syntaxhighlight lang="bash">
set "JAVA_OPTS=%JAVA_OPTS% -Dpcservice.endpoint=http[s]://<IP или DNS-имя>[:PORT]/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"
</syntaxhighlight>

После корректировки адреса необходимо перезапустить службу WildFly для вступления изменений в силу.

==Учёт изменения адреса сервера PC Pusher==
Для учёта изменения адреса сервера PC Pusher, необходимо, предварительно указав корректные данные (протокол (HTTP/HTTPS), имя или IP сервера, порт, идентификатор системы), выполнить запрос к БД PCS:
<syntaxhighlight lang="sql">update pc_system set pc_is_internal_url = 'http[s]://<IP или DNS-имя>[:PORT]/pc-pusher-api/' where systemid='<SYSTEMID>';</syntaxhighlight>
==Учёт изменения внешнего адреса сервера PCIS External==
{{Предупреждение|Если система была переведена в промышленную эксплуатацию, при смене адреса для доступа мобильных устройств, не рекомендуется выводить из действия предыдущий адрес на протяжении всего срока действия выпущенных ключей пользователя. Иначе мобильное приложение потеряет доступ к серверу PayControl и для восстановления будет необходимо перевыпустить ключ и заново добавить его в приложение пользователя.}}
Для учёта изменения внешнего адреса сервера PayControl, по которому связываются мобильное приложение с сервером PayControl, необходимо, предварительно указав корректные данные (протокол (HTTP/HTTPS), имя или IP сервера, порт, идентификатор системы), выполнить запрос к БД PCS:
<syntaxhighlight lang="sql">update pc_system set pc_is_external_url = 'http[s]://<IP или DNS-имя>[:PORT]/PayControl-interaction-rest/' where systemid='<SYSTEMID>';</syntaxhighlight>

Установка компонентов сервера PayControl v3.9 вручную

2023-08-16T11:23:43Z

A.bursakov: /* Учёт изменения адреса сервера PCS */

=Подготовка БД=
* Создать базу данных и пользователя на сервере СУБД, где будет работать база данных PC Server (pcs-user, pcs-pass, pcs-db, pcs-db-host). Предоставить права на доступ пользователю к БД.

=Установка Java=
Установить последнюю версию JDK 11.

=Установка Wildfly=
* Скачать WildFly Server 26.1.3 (Jakarta EE 8 Full & Web Distribution) – https://wildfly.org/downloads/
Далее по тексту, под '''WF_PATH''' имеется в виду адрес созданной символьной ссылки.
==Linux==
При распаковке рекомендуется исключить кириллические символы в пути, а также пробелы.
* Распаковать Wildfly, например, в /opt/.
* Создать символьную ссылку /opt/wildfly на распакованную директорию. Пример команды:<source lang="bash">ln -s /opt/wildfly-26.1.3.Final/ /opt/wildfly</source>
==Windows==
При распаковке рекомендуется исключить кириллические символы в пути, а также пробелы.
* Распаковать Wildfly, например, в C:\.
* Создать символьную ссылку, к примеру ''C:\wildfly'', на распакованную директорию. Пример команды:<syntaxhighlight lang="bat">mklink /D C:\wildfly C:\wildfly-26.1.3.Final\</syntaxhighlight>
==Удаление настроек WildFly по-умолчанию==
Для удаления настроек по-умолчанию, необходимо выполнить пункты описанные по ссылке [[Wildfly#Удаление настроек по умолчанию|Wildfly - Удаление настроек по умолчанию]]

=Настройка подключения к БД PC Server=
==Добавление JDBC-драйвера СУБД==
===PostgreSQL===
* Скачать актуальный JDBC-драйвер по адресу https://jdbc.postgresql.org/
* Создать директорию ''WF_PATH/modules/org/postgresql/main/''
* В директорию ''WF_PATH/modules/org/postgresql/main/'' поместить скачанный postgresql-*.*.*.jar
* Создать в этой же папке файл ''module.xml'' следующего содержания, указав имя файла драйвера вместо "JAR_PATH":<source lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module xmlns="urn:jboss:module:1.0" name="org.postgresql">
<resources>
<resource-root path="JAR_PATH"/>
</resources>
<dependencies>
<module name="javax.api"/>
<module name="javax.transaction.api"/>
<module name="javax.servlet.api" optional="true"/>
</dependencies>
</module>
</source>
* Добавить установленный модуль в качестве драйвера для подключения к СУБД в файл ''WF_PATH/standalone/configuration/standalone.xml'', в секцию ''<datasources/drivers>'', добавив следующий блок:<source lang="xml">
<driver name="pgsql" module="org.postgresql">
<driver-class>org.postgresql.Driver</driver-class>
</driver>
</source>

===MS SQL===
* Скачать JDBC-драйвер с сайта Microsoft https://docs.microsoft.com/ru-ru/sql/connect/jdbc/download-microsoft-jdbc-driver-for-sql-server?view=sql-server-ver15
* Создать директорию ''WF_PATH/modules/system/layers/base/com/microsoft/sqlserver/main/''
* В директорию распаковать файлы и директории драйвера. Файлы драйвера (*.jar) должны располагаться непосредственно в директории ''main/''
* Создать в этой же папке файл module.xml следующего содержания, заменив JAR_PATH на имя файла драйвера, например на ''mssql-jdbc-8.2.2.jre8.jar'':<syntaxhighlight lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module xmlns="urn:jboss:module:1.3" name="com.microsoft.sqlserver">
<resources>
<resource-root path="JAR_PATH"/>
</resources>
<dependencies>
<module name="javax.api"/>
<module name="javax.transaction.api"/>
<module name="javax.xml.bind.api"/>
</dependencies>
</module>
</syntaxhighlight>
* Добавить установленный модуль в качестве драйвера для подключения к СУБД в файл ''WF_PATH/standalone/configuration/standalone.xml'', в секцию ''<datasources/drivers>'', добавив следующий блок:<syntaxhighlight lang="xml">
<driver name="mssql" module="com.microsoft.sqlserver">
<driver-class>com.microsoft.sqlserver.jdbc.SQLServerDriver</driver-class>
</driver>
</syntaxhighlight>

===Oracle===
* Скачать актуальный JDBC-драйвер по адресу https://www.oracle.com/database/technologies/appdev/jdbc-downloads.html
* Создать директорию ''WF_PATH/modules/org/postgresql/main/''
* В директорию ''WF_PATH/modules/system/layers/base/com/oracle/main/'' поместить скачанный ojdbc*.jar.
* Создать в этой же папке файл ''module.xml'' следующего содержания, указав имя файла драйвера вместо "JAR_PATH":<source lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module xmlns="urn:jboss:module:1.0" name="com.oracle">
<resources>
<resource-root path="JAR_PATH"/>
</resources>
<dependencies>
<module name="javax.api"/>
<module name="javax.transaction.api"/>
</dependencies>
</module>
</source>
* Добавить установленный модуль в качестве драйвера для подключения к СУБД в файл ''WF_PATH/standalone/configuration/standalone.xml'', в секцию ''<datasources/drivers>'', добавив следующий блок:<source lang="xml">
<driver name="oracle" module="com.oracle">
<driver-class>oracle.jdbc.driver.OracleDriver</driver-class>
</driver>
</source>

==Особенности маппинга Oracle==
Для корректной установки PC Server с подключением к БД Oracle требуется создать/изменить некоторые таблицы вручную:

Инструкция:
* Заменить по содержимому ниже <syntaxhighlight lang="sql">
<TABLESPACE_NAME>
<USER_NAME>
<USER_PASS>
</syntaxhighlight>

* Из-под пользователя с правами на создание пользователей и табличных пространств выполнить:<syntaxhighlight lang="sql">
---Создание табличного пространства и пользователя---
CREATE TABLESPACE <TABLESPACE_NAME> DATAFILE '<TABLESPACE_NAME>.DAT' SIZE 50M AUTOEXTEND ON;
CREATE USER "<USER_NAME>" IDENTIFIED BY "<USER_PASS>" DEFAULT TABLESPACE <TABLESPACE_NAME>;
GRANT CREATE SESSION TO "<USER_NAME>";
GRANT CREATE TABLE TO "<USER_NAME>";
GRANT CREATE SEQUENCE TO "<USER_NAME>";
GRANT UNLIMITED TABLESPACE TO "<USER_NAME>";
</syntaxhighlight>

* Из-под созданного пользователя, под которым будет производиться подключение PC к БД выполнить:<syntaxhighlight lang="sql">
---Создание таблиц---
CREATE TABLE "PC_SYS_PROPERTY"
("SETTING_ID" NUMBER(19,0) NOT NULL ENABLE,
"SETTING_NAME" VARCHAR2(255),
"SETTING_VALUE" VARCHAR2(255),
PRIMARY KEY ("SETTING_ID"),
CONSTRAINT "UK_BYEQYB1KICGD7SNXKM5L52582" UNIQUE ("SETTING_NAME"));

CREATE TABLE "PC_SYSTEM"
( "SYSTEMID" VARCHAR2(36) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"EVENTS_POST_URL" VARCHAR2(1024),
"NAME" VARCHAR2(255),
"PC_IS_EXTERNAL_URL" VARCHAR2(255),
"PC_IS_INTERNAL_URL" VARCHAR2(255),
PRIMARY KEY ("SYSTEMID"));

CREATE TABLE "PC_SYSTEM_PARAMS"
( "SYSTEMID" VARCHAR2(36) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"BILLED_DATE_REQUEST" CLOB,
"BILLING_PERIOD" NUMBER(10,0),
"BILLED_DATE" DATE,
"BILLING_TYPE" NUMBER(10,0),
"DESCRIPTION" VARCHAR2(255),
"FRONT_END_URL" VARCHAR2(255),
"LICENSE" VARCHAR2(2048),
"ONLINE_CONFIRMATION_URL" VARCHAR2(255),
"REGISTER_REQUEST" CLOB,
"REPORT_TEMPLATE_PATH" VARCHAR2(255),
"USER_KEYS_EXPIRATION_PERIOD" NUMBER(10,0),
PRIMARY KEY ("SYSTEMID"));

CREATE TABLE "PC_USER"
("USERID" VARCHAR2(64) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"BILLED_DATE" DATE,
"SYSTEMID" VARCHAR2(36),
PRIMARY KEY ("USERID"),
CONSTRAINT "FKGLUVAW7N4TKK6V6XALY8IK3S2" FOREIGN KEY ("SYSTEMID")
REFERENCES "PC_SYSTEM" ("SYSTEMID") ENABLE
);

CREATE TABLE "PC_TRANSACTION"
( "TRANSACTIONID" VARCHAR2(36) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"CALLBACK_URL" VARCHAR2(255),
"IS_CLEANED" NUMBER(5,0),
"CONFIRM_CODE_LENGTH" NUMBER(10,0),
"CONFIRMATION_TYPE" NUMBER(10,0),
"DECLINE_REASON" VARCHAR2(64),
"DATA_HASH" RAW(255),
"NOTIF_ID" VARCHAR2(255),
"STATUS" NUMBER(10,0),
"TIME_TO_LIVE" NUMBER(10,0),
"DATA_BINARY" BLOB,
"DATA_TEXT" VARCHAR2(3095),
"USERID" VARCHAR2(64),
PRIMARY KEY ("TRANSACTIONID"),
CONSTRAINT "FKARQ3VEGMNJXEJK8ONU4HRHEN3" FOREIGN KEY ("USERID")
REFERENCES "PC_USER" ("USERID") ENABLE
);

CREATE TABLE "PC_CONFIRM_ATTEMPT"
( "CONFIRM_ATTEMPT_ID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"CONFIRM_CODE" VARCHAR2(255),
"CONFIRM_RESULT" NUMBER(10,0),
"DATA_HASH" RAW(255),
"SIGNATURE" VARCHAR2(512),
"TRANSACTIONID" VARCHAR2(36),
"USERID" VARCHAR2(64),
PRIMARY KEY ("CONFIRM_ATTEMPT_ID"),
CONSTRAINT "FK5258W9Y6WQ4FY55U41WB30OWG" FOREIGN KEY ("TRANSACTIONID")
REFERENCES "PC_TRANSACTION" ("TRANSACTIONID") ENABLE,
CONSTRAINT "FKHEJP6UYKY6U4X8QFDPV4VA63Y" FOREIGN KEY ("USERID")
REFERENCES "PC_USER" ("USERID") ENABLE
);

CREATE TABLE "PC_DELAYEDKEYINFO"
( "TYPE" NUMBER(10,0) NOT NULL ENABLE,
"DELAYEDKEYID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"KEY_CONTAINER_ID" VARCHAR2(255),
"KEY_CONTENT" RAW(255),
"EXPIRATION_DATE" DATE,
"USER_KEY_VERSION" NUMBER(10,0),
"USERID" VARCHAR2(64),
PRIMARY KEY ("DELAYEDKEYID"),
CONSTRAINT "FK73X95ORVBL8BA0T3A3WEWADRF" FOREIGN KEY ("USERID")
REFERENCES "PC_USER" ("USERID") ENABLE
);

CREATE TABLE "PC_DEVICE"
( "TYPE" NUMBER(10,0) NOT NULL ENABLE,
"DEVICEID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"DEVICE_PUSH_ID" VARCHAR2(255),
"USERID" VARCHAR2(64),
PRIMARY KEY ("DEVICEID"),
CONSTRAINT "FK8CMG562COTMP53MVGRDDF1EYA" FOREIGN KEY ("USERID")
REFERENCES "PC_USER" ("USERID") ENABLE
);

CREATE TABLE "PC_KEYINFO"
( "TYPE" NUMBER(10,0) NOT NULL ENABLE,
"KEYID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"KEY_CONTAINER_ID" VARCHAR2(255),
"KEY_CONTENT" RAW(255),
"EXPIRATION_DATE" DATE,
"DEVICE_FINGERPRINT" VARCHAR2(255),
"USER_KEY_VERSION" NUMBER(10,0),
"USERID" VARCHAR2(64),
PRIMARY KEY ("KEYID"),
CONSTRAINT "FKN3VEB4OTVNAIE35AWBD0HDS90" FOREIGN KEY ("USERID")
REFERENCES "PC_USER" ("USERID") ENABLE
);

CREATE TABLE "PC_PUBLICKEY"
( "PUBLICKEYID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"PUBLIC_KEY" RAW(512),
"KEYID" NUMBER(19,0),
PRIMARY KEY ("PUBLICKEYID"),
CONSTRAINT "FKEMTGHSA74S1WI903R2TN7T3N" FOREIGN KEY ("KEYID")
REFERENCES "PC_KEYINFO" ("KEYID") ENABLE
);

CREATE TABLE "PC_EVENT"
( "EVENTID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"AUTH_CODE" VARCHAR2(64),
"DEVICE_EVENTID" VARCHAR2(36),
"DEVICE_INFO" CLOB,
"DEVICE_TIME" DATE,
"EVENTPOSTURL" VARCHAR2(255),
"REQUEST_HMAC" VARCHAR2(64),
"REQUEST_HASH" VARCHAR2(64),
"REQUEST_RESULT" NUMBER(10,0),
"REQUEST_TYPE" VARCHAR2(36),
"REQUESTER_IP" VARCHAR2(15),
"SESSIONID" VARCHAR2(36),
"TRANSACTIONID" VARCHAR2(36),
"USERID" VARCHAR2(64),
PRIMARY KEY ("EVENTID"));

</syntaxhighlight><syntaxhighlight lang="sql">
---Создание индексов
CREATE INDEX pc_keyinfo1_idx ON PC_KEYINFO (userID, expiration_date, is_deleted);
CREATE INDEX pc_delayedkeyinfo1_idx ON PC_DELAYEDKEYINFO (userID, is_deleted);
CREATE INDEX pc_device1_idx ON PC_DEVICE (userID, is_deleted);
CREATE INDEX pc_transaction1_idx ON PC_TRANSACTION (userID, status);
CREATE INDEX pc_device2_idx ON PC_DEVICE (userID);
CREATE INDEX pc_keyinfo2_idx ON PC_KEYINFO (userID);
CREATE INDEX pc_transaction2_idx ON PC_TRANSACTION (userID);
CREATE INDEX pc_user1_idx ON PC_USER (systemID);
</syntaxhighlight><syntaxhighlight lang="sql">
---Создание очередей---
create sequence PC_ATTEMPT_SEQ start with 1 increment by 1;
create sequence PC_DELAYEDKEYINFO_SEQ start with 1 increment by 1;
create sequence PC_DEVICE_SEQ start with 1 increment by 1;
create sequence PC_KEYINFO_SEQ start with 1 increment by 1;
create sequence PC_PUBLICKEY_SEQ start with 1 increment by 1;
create sequence PC_SETTING_SEQ start with 1 increment by 1;
create sequence PC_EVENT_SEQ start with 1 increment by 1;
create sequence PC_PUSH_SEQ start with 1 increment by 1;
</syntaxhighlight>

==Добавление источников данных для PC Server==
[[PC_Pusher_5.2|'''При установке PC Pusher версии 5.2 и выше, подключение к БД PC Pusher не требуется''']]

===PostgreSQL===
====PC Server====
В файл ''WF_PATH/standalone/configuration/standalone.xml'' внести следующие изменения добавить новый источник данных в секцию ''<datasources></datasources>'' заменив pcs-db-host, port, pcs-db, pcs-user, pcs-pass:<source lang="xml">
<datasource jta="true" jndi-name="java:jboss/datasources/PayControlDS" pool-name="PayControlDS" enabled="true" use-ccm="true">
<connection-url>jdbc:postgresql://pcs-db-host:port/pcs-db</connection-url>
<driver-class>org.postgresql.Driver</driver-class>
<driver>pgsql</driver>
<security>
<user-name>pcs-user</user-name>
<password>pcs-pass</password>
</security>
<validation>
<valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLValidConnectionChecker"/>
<background-validation>true</background-validation>
<exception-sorter class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLExceptionSorter"/>
</validation>
</datasource>
</source>

===MS SQL===
====PC Server====
В файл ''WF_PATH/standalone/configuration/standalone.xml'' внести следующие изменения добавить новый источник данных в секцию ''<datasources></datasources>'' заменив pcs-db-host, port, pcs-db-host, pcs-db, pcs-user, pcs-pass:<source lang="xml">
<datasource jta="true" jndi-name="java:jboss/datasources/PayControlDS" pool-name="PayControlDS" enabled="true" use-ccm="true">
<connection-url>jdbc:sqlserver://pcs-db-host:port;databaseName=pcs-db</connection-url>
<driver>mssql</driver>
<security>
<user-name>pcs-user</user-name>
<password>pcs-pass</password>
</security>
<pool>
<min-pool-size>5</min-pool-size>
<max-pool-size>50</max-pool-size>
<prefill>false</prefill>
<use-strict-min>false</use-strict-min>
<flush-strategy>FailingConnectionOnly</flush-strategy>
</pool>
<validation>
<valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.mssql.MSSQLValidConnectionChecker"></valid-connection-checker>
</validation>
</datasource>
</source>

===Oracle===
====PC Server====
В файл ''WF_PATH/standalone/configuration/standalone.xml'' внести следующие изменения добавить новый источник данных в секцию ''<datasources></datasources>'' заменив pcs-db-host, port, pcs-db, pcs-user, pcs-pass:<source lang="xml">
<datasource jta="true" jndi-name="java:jboss/datasources/PayControlDS" pool-name="PayControlDS" enabled="true" use-ccm="true">
<connection-url>jdbc:oracle:thin:@pcs-db-host:port:sid</connection-url>
<driver-class>org.postgresql.Driver</driver-class>
<driver>oracle</driver>
<security>
<user-name>pcs-user</user-name>
<password>pcs-pass</password>
</security>
<pool>
<min-pool-size>1</min-pool-size>
<max-pool-size>5</max-pool-size>
<prefill>true</prefill>
</pool>
<validation>
<check-valid-connection-sql>select 1 from dual</check-valid-connection-sql>
<validate-on-match>false</validate-on-match>
<background-validation>true</background-validation>
<background-validation-millis>10000</background-validation-millis>
</validation>
</datasource>
</source>

=Настройка подключения PCIS External к PC Server=
На сервере PCIS External необходимо установить адрес сервера PC Server (host и port заменить на реальные значения). Для этого:
* на Linux в файл ''WF_PATH/bin/standalone.conf'' нужно добавить <syntaxhighlight lang="bash">JAVA_OPTS="$JAVA_OPTS -Dpcservice.endpoint=http://<host>:<port>/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"</syntaxhighlight>
* на Windows в файл ''WF_PATH/bin/standalone.conf.bat'' нужно добавить <syntaxhighlight lang="bat">set "JAVA_OPTS=%JAVA_OPTS% -Dpcservice.endpoint=http://<host>:<port>/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"</syntaxhighlight> выше метки :JAVA_OPTS_SET

=Настройка выделения памяти серверу=
На всех серверах установить максимальный объем доступной для использования памяти:
* на Linux в ''WF_PATH/bin/standalone.conf'' указать объём «ОбщийОбъёмОЗУ - 512MB»
* на Windows в ''WF_PATH\bin\standalone.conf.bat'' указать объём «ОбщийОбъёмОЗУ - 1536MB»
Для этого в строке
''JAVA_OPTS="-Xms64m -Xmx512m -XX:MetaspaceSize=96M -XX:MaxMetaspaceSize=256m -Djava.net.preferIPv4Stack=true"'' поменять значение параметра ''Xmx'' на выделяемый объём.
==Запуск проекта==
* Загрузить файлы модулей требуемых компонентов последних версий из репозитория по адресу https://repo.paycontrol.org/server/maven/tech/paycon/server/ (при этом модуль PCPusher необходимо взять из ветки 5.x):
** PC Server — https://repo.paycontrol.org/server/maven/tech/paycon/server/PayControl-services-module/, файл ''PayControl-services-module-<VERSION>.ear''
** PC Pusher — https://repo.paycontrol.org/server/maven/tech/paycon/server/pc-pusher/, файл ''pc-pusher-<VERSION>.war''
** PCIS External — https://repo.paycontrol.org/server/maven/tech/paycon/server/PayControl-interaction-rest/, файл ''PayControl-interaction-rest-<VERSION>.war''
* Скопировать файл приложения сервера ''WF_PATH\standalone\deployments\''. Один сервер WildFly может запускать одно или несколько приложений сервера.
* Запустить
** Linux <syntaxhighlight lang="bash">WF_PATH/bin/standalone.sh -b 0.0.0.0</syntaxhighlight>
** Windows <syntaxhighlight lang="bat">WF_PATH\bin\standalone.bat -b 0.0.0.0</syntaxhighlight>
*: где -b 0.0.0.0 - позволяет подключаться к серверу используя любой его интерфейс (опция bind)
* Дождаться старта WF, проверить, что нет ошибок запуска.

==Настройка автозапуска службы сервера==
===Linux===
Для настройки автозапуска службы, перейти в каталог WF_PATH/docs/contrib/scripts/systemd/ и выполнить шаги, описанные в файле README в этом каталоге, за исключением пунктов распаковки и создания символьной ссылки на каталог.
Пункт <code>chown -R wildfly:wildfly /opt/wildfly</code> необходимо выполнить с параметрами «-RH» (параметр «H» указывает, что если на вход подана символьная ссылка, то нужно пойти вглубь каталога, на который она ссылается). Таким образом команда должна выглядеть следующим образом:
<syntaxhighlight lang="bash">chown -RHv wildfly:wildfly /opt/wildfly</syntaxhighlight>
Чтобы исключить возможность отклонения запросов при запуске в качестве службы, необходимо установить параметры JAVA_OPTS в файле standalone.conf:
<syntaxhighlight lang="bat">JAVA_OPTS="$JAVA_OPTS -Djboss.bind.address=0.0.0.0"</syntaxhighlight>
===Windows===
Скопировать папку 
''WF_PATH\docs\contrib\scripts\service\'' 
в папку 
''WF_PATH\bin\'' 

Выполнить
<syntaxhighlight lang="bat">WF_PATH\bin\service\service.bat install /startup</syntaxhighlight>
Чтобы исключить возможность отклонения запросов при запуске в качестве службы, необходимо установить параметры JAVA_OPTS в файле standalone.conf.bat выше метки :JAVA_OPTS_SET.
<syntaxhighlight lang="bat">set "JAVA_OPTS=%JAVA_OPTS% -Djboss.bind.address=0.0.0.0"</syntaxhighlight>

После создания службы, вы можете создать отдельного пользователя, например "wildfly", с правами группы "Пользователи", сделать его владельцем папки, где находятся файлы Wildfly, с полным доступом и в "Службах" Windows настроить запуск службы Wildfly от этого пользователя.

==URL-фильтрация при совмещении PC Pusher и PCIS External==
При совмещении ролей PC Pusher и PCIS External на одном сервере необходимо исключить возможность выполнения запросов PC Pusher со стороны сети интернет. 

Для этого необходимо со стороны сети интернет разрешить подключения только на конечную точку PCIS External. 
Конечная точка PCIS External - ''<host>:<port>/PayControl-interaction-rest/*'' 
Доступ к другим конечным точкам должен быть запрещен.

При этом доступ к PC Pusher со стороны PC Server должен сохраниться. 
Конечная точка PC Pusher - ''<host>:<port>/pc-pusher-api/*''

=Внесение изменений в БД=
==Создание индексов БД PC Server==
После первого запуска приложения, в базе данных будут созданы необходимые таблицы.

На продуктивной среде после этого необходимо создать индексы в базе данных('''за исключением Oracle''') PC Server.

Для этого выполните SQL скрипт:
<syntaxhighlight lang="sql">
create index pc_keyinfo1_idx on PC_KEYINFO (userID, expiration_date, is_deleted);
create index pc_delayedkeyinfo1_idx on PC_DELAYEDKEYINFO (userID, is_deleted);
create index pc_device1_idx on PC_DEVICE (userID, is_deleted);
create index pc_transaction1_idx on PC_TRANSACTION (userID, status);
create index pc_device2_idx on PC_DEVICE (userID);
create index pc_keyinfo2_idx on PC_KEYINFO (userID);
create index pc_transaction2_idx on PC_TRANSACTION (userID);
create index pc_user1_idx on PC_USER (systemID);
</syntaxhighlight>

==Корректировка типов данных для MS SQL==
Java-приложение при создании таблиц БД неоптимально устанавливает тип для одного из полей для СУБД MS SQL.

Для его корректировки после того, как таблицы созданы, выполните запрос
<syntaxhighlight lang="sql">
ALTER TABLE PC_TRANSACTION ALTER COLUMN DATA_BINARY image;
</syntaxhighlight>
==Регистрация системы==
После успешного запуска приложения PC Server до начала работы необходимо зарегистрировать прикладную систему.

Это действие выполняется путем отправки на PC Server HTTP POST запроса, сформированного ST/Airome. Содержание запроса предоставляется дополнительно.

Для отправки запроса можно использовать любое средство отправки HTTP-запросов.
===Примеры===

====Curl====
cURL (в ОС Linux доступна в репозиториях, для ОС Windows можно скачать с сайта разработчика https://curl.haxx.se/download.html):
* 1. Скопировать файл RegisterSystemRequest.xml (если название файла с запросом на регистрацию отличается, то необходимо либо переименовать его, либо изменить имя этого файла в параметрах команды curl) на сервер в любую директорию на машину, с которой будет производиться запуск команды curl.
* 2. Проверить содержимое файла. Если файл выглядит как<syntaxhighlight lang="xml">
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:pay="http://ws.safetech.ru/PayControlV3/">
<soapenv:Header/>
<soapenv:Body>
<pay:registerSystemRequest>
<request>PD94bWwgdmVyc2lvbj0iMJlIHhtbG5zPSJodHRwOi8vd3Muc2FmZXRlY2gucS4w... ...ZXF1JlIHhtbG5zPSJodHRwOi8vd3Muc2FmZXRlY2gucnUZ==</request>
</pay:registerSystemRequest>
</soapenv:Body>
</soapenv:Envelope>
</syntaxhighlight>
то, перейти к п.4.
* 3. Если файл выглядит как
<code>PD94bWwgdmVyc2lvbj0iMJlIHhtbG5zPSJodHRwOi8vd3Muc2FmZXRlY2gucS4w... ...ZXF1JlIHhtbG5zPSJodHRwOi8vd3Muc2FmZXRlY2gucnUZ==</code>
то необходимо добавить в его начало<syntaxhighlight lang="xml">
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:pay="http://ws.safetech.ru/PayControlV3/">
<soapenv:Header/>
<soapenv:Body>
<pay:registerSystemRequest>
<request>
</syntaxhighlight>
и в его конец<syntaxhighlight lang="xml">
</request>
</pay:registerSystemRequest>
</soapenv:Body>
</soapenv:Envelope>
</syntaxhighlight>
чтобы он принял вид, как представлено в п.2.
* 4. Выполнить команду (в той-же директории, где располагается скопированный/изменённый файл), заменив <PCServer_IP/localhost> на DNS-имя сервера или его IP-адрес:<syntaxhighlight lang="bash">
curl --header "Content-Type: text/xml;charset=UTF-8" --header "SOAPAction: registerSystem" --data @RegisterSystemRequest.xml <PCServer_IP/localhost>:8080/ws/PayControlServiceV3
</syntaxhighlight>

* Если в составе ответа пришла строка <systemId>SYSTEMID ВАШЕЙ ПРИКЛАДНОЙ СИСТЕМЫ</systemId>, значит прикладная система зарегистрирована.
* Если в составе ответа было <soap:Fault>, значит возникла проблема на этапе регистрации.
* После успешной регистрации прикладной системы на сервере, файл registerSystem.xml больше не нужен.

====SOAP UI====
* 1. Добавить подключение к серверу PCS, указав адрес WSDL схемы:
[[Файл:Soap add conn.jpg]]
* 2. Создать новый запрос из категории registerSystem
[[Файл:Soap register system.jpg]]
* 3. Выполнить запрос

* Если в составе ответа пришла строка <systemId>SYSTEMID ВАШЕЙ ПРИКЛАДНОЙ СИСТЕМЫ</systemId>, значит прикладная система зарегистрирована.
* Если в составе ответа было <soap:Fault>, значит возникла проблема на этапе регистрации.

==Доступ к сервисам==
Сервис PC Server доступен по ссылкам (при запросе на эти 2 адреса ниже, должна возвратиться WSDL-схема):
* http://<IP или имя сервера с WF >:8080/ws/PayControlServiceV3?wsdl
* http://<IP или имя сервера с WF >:8080/ws/PayControlReportService?wsdl

Адрес конечной точки PC Pusher по умолчанию:
* http://<IP или имя сервера с WF >:8080/pc-pusher-api/
Адрес PC Pusher health check:
* http://<IP или имя сервера с WF >:8080/pc-pusher-api/health_check

PCIS External (при запросе на этот адрес должно возвратиться «Not Found». Также необходимо обратить внимание, на то, какой протокол разрешён – HTTP или HTTPS):
* http://<IP или имя сервера с WF >:8080/PayControl-interaction-rest/
=Настройка PC Pusher для отправки пушей в другое приложение (при необходимости)=
Необходимо выполнить пункты описанные по ссылке [[Обновление_с_3.6_до_3.8#Настройка PC Pusher|"Настройка PCS и PC Pusher"]]

=Корректировка (смена) адресов серверов PayControl (при необходимости)=
{{Предупреждение|Не рекомендуется дополнительно указывать номер порта, в случаях, если для HTTP используется порт 80, или для HTTPS используется порт 443}}
==Учёт изменения адреса сервера PCS==
Для учёта изменения адреса сервера PCS необходимо произвести изменения в настройках PCIS External. В файле /opt/wildfly/bin/standalone.conf, в следующей строке, указав правильный адрес и при необходимости порт сервера PCS, а также уточнив протокол подключения (HTTP/HTTPS):
* Linux <syntaxhighlight lang="bash">
JAVA_OPTS="$JAVA_OPTS -Dpcservice.endpoint=http[s]://<IP или DNS-имя>[:PORT]/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"
</syntaxhighlight>
* Windows <syntaxhighlight lang="bash">
set "JAVA_OPTS=%JAVA_OPTS% -Dpcservice.endpoint=http[s]://<IP или DNS-имя>[:PORT]/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"
</syntaxhighlight>

После корректировки адреса необходимо перезапустить службу WildFly для вступления изменений в силу.

==Учёт изменения адреса сервера PC Pusher==
Для учёта изменения адреса сервера PC Pusher, необходимо, предварительно указав корректные данные (протокол (HTTP/HTTPS), имя или IP сервера, порт, идентификатор системы), выполнить запрос к БД PCS:
<syntaxhighlight lang="sql">update pc_system set pc_is_internal_url = 'http[s]://<IP или DNS-имя>[:PORT]/pc-pusher-api/' where systemid='<SYSTEMID>';</syntaxhighlight>
==Учёт изменения внешнего адреса сервера PCIS External==
{{Предупреждение|Если система была переведена в промышленную эксплуатацию, при смене адреса для доступа мобильных устройств, не рекомендуется выводить из действия предыдущий адрес на протяжении всего срока действия выпущенных ключей пользователя. Иначе мобильное приложение потеряет доступ к серверу PayControl и для восстановления будет необходимо перевыпустить ключ и заново добавить его в приложение пользователя.}}
Для учёта изменения внешнего адреса сервера PayControl, по которому связываются мобильное приложение с сервером PayControl, необходимо, предварительно указав корректные данные (протокол (HTTP/HTTPS), имя или IP сервера, порт, идентификатор системы), выполнить запрос к БД PCS:
<syntaxhighlight lang="sql">update pc_system set pc_is_external_url = 'http[s]://<IP или DNS-имя>[:PORT]/PayControl-interaction-rest/' where systemid='<SYSTEMID>';</syntaxhighlight>

Установка PayControl v3.9 Linux

2023-07-14T11:13:07Z

A.bursakov: /* Учёт изменения адреса сервера PCS */

Статья описывает установку с помощью инсталляционного скрипта.
=Справка скрипта инсталляции=
<pre>Execution modes:
-i Install. Set it for process installation.
-h Help. Will show this help.

Installation options:
-r Register system (only on PCS, matters with -i option). Optional. For registration you must put you register system request file to "customer" directory before. Contact you supplier for obtain this request file.

PC roles (must selected at least one of them):
-S PC Server
-P PC Pusher
-E External / PCIS External
-G PC Server Signer (only for version 5.2 and above)

Install wildfly database driver (mandatory for PCS and PCSS modules):
-p PostgreSQL
-o Oracle
Need to set up parameter - jdbc version:
8 JDBCv8. Certified with JDK8 and JDK11. Supports Oracle Database versions - 21c, 19c, 18c, and 12.2
0 JDBCv10. Implements JDBC 4.3 spec and certified with JDK11. Supports Oracle Database versions - 21c, 19c, 18c, and 12.2
1 JDBCv11. Implements JDBC 4.3 spec and certified with JDK11 and JDK17. Supports Oracle Database versions - 21c, 19c, 18c, and 12.2
-m MS SQL

Examples
install.sh -i -SPEG -r -o8
also like
install.sh -iSPEGro8
will install PCS, PCP, PCE, PCSS, Oracle JDBC8 Driver and execute register system request

install.sh -i -Sp
also like
install.sh -Sp
will install PCS with Postgres drivers</pre>

= Перед установкой PayControl =

Установить последнюю версию JDK 11.

= Конфигурирование =

Конфигурирование производится путём редактирования раздела <code>CUSTOMER Config</code> файла <code>install.conf</code>.

== Подключение к БД для PCS==

Необходимо установить корректные значения адресов и портов СУБД, имена пользователей и пароли.

=== СУБД Oracle ===

При использовании СУБД Oracle необходимо указать, каким образом происходит выбор необходимой БД - с помощью SID или Service Name.

Также '''необходимо''' следуя высланной инструкции '''Oracle. Создание пользователя, табличного пространства и таблиц''' выполнить ее 3-й пункт.

== Настройка PCE для подключения к PCS ==

Для соединения PCE с PCS необходимо указать правильный адрес сервера PCS по которому он сможет получить к нему доступ.

== Пример ==

<syntaxhighlight lang="bash">###################################################
#
# CUSTOMER Config
#
###################################################

PC_PATH='/opt/pc'
PC_PRODUCT='PayControl'

# PC Servers Settings
## PCS
### DB
PCSDB_HOST='hostname:port'
PCSDB='DB'
PCSDB_USER='user'
PCSDB_PASSWD='password'

# Oracle connection string delimiters:
# - use ':', if PCSDB contains SID
# - use '/', if PCSDB contains Service Name
PCSDB_Oracle_delimiter=':'

### PCE

PCS_HOSTNAME_PORT='localhost:8080'</syntaxhighlight>

= Установка =

У пользователя, осуществляющего установку должны быть права на выполнение действий с уровнем привилегий root, либо возможность использовать учётную запись root.
# Скопировать файлы дистрибутива на сервер, например в домашнюю папку пользователя.
# Перейти в директорию с дистрибутивом.
# Запустить установочный скрипт с привилегиями root, с необходимыми параметрами.

== PC Pusher ==

Установка PC Pusher на сервере вместе с другим уже установленным модулем PC выполняется следующим образом:

* Скопировать файл приложения сервера в ''WF_PATH\standalone\deployments\'':
** на PC Pusher - файл ''pc-pusher-<VERSION>.war''
* Дождаться старта WF, проверить, что нет ошибок запуска.
* После развёртывания новых файлов, в директории deployments будут созданы файлы:
** с расширением *.deployed, где вместо * будут указаны названия новых модулей.
** После того, как появятся файлы *.deployed, рекомендуется перезапустить Wildfly
** При появлении файлов с расширением *.failed, необходимо перезапустить Wildfly.

= Результат выполнения инсталляционного скрипта =

Результат выполнения инсталляционного скрипта является:

* установка службы wildflу (директория /opt);
* включение автозапуска службы wildfly;
* добавление драйверов СУБД (опционально);
* добавление источников данных (только для PCS);
* развёртывание файлов сервера в wildfly;
* регистрация прикладной системы в PayControl (при установленном параметре "'''r'''"). Результат регистрации - вывод на экран идентификатора системы в конце журнала работы инсталляционного скрипта (systemid). Пример:<syntaxhighlight lang="xml"><soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Body><ns3:registerSystemResponse xmlns:ns2="http://ws.safetech.ru/PayControl/services/ws/common/" xmlns:ns3="http://ws.safetech.ru/PayControlV3/"><systemId>e64a67c9-73e9-462c-9c27-2d0195a2bd23</systemId></ns3:registerSystemResponse></soap:Body></soap:Envelope></syntaxhighlight> В приведённом примере идентификатором зарегистрированной прикладной системы является ''e64a67c9-73e9-462c-9c27-2d0195a2bd23''. В дальнейшем этот идентификатор понадобится при настройке прикладной системы на работу с PayControl. Если значение идентификатора прикладной системы утеряно, свяжитесь с компанией СэйфТек для его уточнения.

== Примеры параметров запуска ==

Примеры ниже приведены для установки PayControl с драйвером PostgreSQL (параметр "'''p'''").

=== Всё на одном сервере ===

==== Без регистрации прикладной системы ====

<syntaxhighlight lang="bash">sudo ./install.sh -ipSE</syntaxhighlight>

==== С регистрацией прикладной системы ====

<syntaxhighlight lang="bash">sudo ./install.sh -ipSEr</syntaxhighlight>

=== PCS ===

==== Без регистрации прикладной системы ====

<syntaxhighlight lang="bash">sudo ./install.sh -ipS</syntaxhighlight>

==== С регистрацией прикладной системы ====

<syntaxhighlight lang="bash">sudo ./install.sh -ipSr</syntaxhighlight>

=== PCE ===

<syntaxhighlight lang="bash">sudo ./install.sh -iE</syntaxhighlight>

= Контроль =

== Вывод журнала в консоль в реальном времени ==

<syntaxhighlight lang="bash">tail -n 300 -f /opt/wildfly/standalone/log/server.log</syntaxhighlight>

== Просмотр успешности развёртывания компонентов сервера ==

<syntaxhighlight lang="bash">ls -la /opt/pc/deployments/</syntaxhighlight>

Если компонент сервера развёрнут успешно, рядом с файлом компонента сервера создаётся файл с аналогичным именем файлу сервера с расширением "'''.deployed'''".

== Проверка доступности сервисов ==

=== PCS ===

Сервисы доступны по ссылкам (при запросе на эти адреса должна возвратиться WSDL-схема):
<pre>http://<IP или имя сервера PCS>:8080/ws/PayControlServiceV3?wsdl
http://<IP или имя сервера PCS>:8080/ws/PayControlReportService?wsdl</pre>

=== PCP ===

Сервис доступен по адресу:

<pre>http://<IP или имя сервера PC Pusher>:8080/pc-pusher-api/health_check</pre>

=== PCE ===

Сервис доступен по адресу

<pre>http://<IP или имя сервера PCIS External>:8080/PayControl-interaction-rest/</pre>

При запросе на этот адрес должно возвратиться текст «Not Found» с HTTP-кодом 404. В Internet Explorer будет выведена своя страница браузера, сообщающая о том, что страница не найдена.

= Внесение изменений в БД =

== Создание индексов БД PCS ==

Для создания индексов необходимо выполнить следующие запросы к БД PCS:

<syntaxhighlight lang="sql">create index pc_keyinfo1_idx on PC_KEYINFO (userID, expiration_date, is_deleted);
create index pc_delayedkeyinfo1_idx on PC_DELAYEDKEYINFO (userID, is_deleted);
create index pc_device1_idx on PC_DEVICE (userID, is_deleted);
create index pc_transaction1_idx on PC_TRANSACTION (userID, status);
create index pc_device2_idx on PC_DEVICE (userID);
create index pc_keyinfo2_idx on PC_KEYINFO (userID);
create index pc_transaction2_idx on PC_TRANSACTION (userID);
create index pc_user1_idx on PC_USER (systemID);</syntaxhighlight>

== Корректировка типов данных для MS SQL ==

Для корректировки типов данных необходимо выполнить следующий запрос к БД PCS:

<syntaxhighlight lang="sql">ALTER TABLE PC_TRANSACTION ALTER COLUMN DATA_BINARY image;</syntaxhighlight>

= Настройка PC Pusher для отправки пушей в другое приложение (при необходимости) =
Необходимо выполнить пункты описанные по ссылке [[Обновление_с_3.6_до_3.8#Настройка PC Pusher|"Настройка PCS и PC Pusher"]]

= Корректировка (смена) адресов серверов PayControl (при необходимости) =

{{Предупреждение|Не рекомендуется дополнительно указывать номер порта, в случаях, если для HTTP используется порт 80, или для HTTPS используется порт 443}}

== Учёт изменения адреса сервера PCS ==

Для учёта изменения адреса сервера PCS необходимо произвести изменения в настройках PCE. В файле /opt/wildfly/bin/standalone.conf, в следующей строке, указав правильный адрес и при необходимости порт сервера PCS, а также уточнив протокол подключения (HTTP/HTTPS):

<syntaxhighlight lang="bash">
JAVA_OPTS="$JAVA_OPTS -Dpcservice.endpoint=http[s]://<IP или DNS-имя>[:PORT]/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"
</syntaxhighlight>

После установки нового значения необходимо перезапустить службу wildfly.

== Учёт изменения адреса сервера PC Pusher ==

Для учёта изменения адреса сервера PC Pusher, необходимо, предварительно указав корректные данные (протокол (HTTP/HTTPS), имя или IP сервера, порт, идентификатор системы), выполнить запрос к БД PCS:

<syntaxhighlight lang="sql">update pc_system set pc_is_internal_url = 'http[s]://<IP или DNS-имя>[:PORT]/pc-pusher-api/' where systemid='<SYSTEMID>';</syntaxhighlight>

== Учёт изменения внешнего адреса сервера PCE ==

{{Предупреждение|Если система была переведена в промышленную эксплуатацию, при смене адреса для доступа мобильных устройств, не рекомендуется выводить из действия предыдущий адрес на протяжении всего срока действия выпущенных ключей пользователя. Иначе мобильное приложение потеряет доступ к серверу PayControl и для восстановления будет необходимо перевыпустить ключ и заново добавить его в приложение пользователя.}}
Для учёта изменения внешнего адреса сервера PayControl, по которому связываются мобильное приложение с сервером PayControl, необходимо, предварительно указав корректные данные (протокол (HTTP/HTTPS), имя или IP сервера, порт, идентификатор системы), выполнить запрос к БД PCS:

<syntaxhighlight lang="sql">update pc_system set pc_is_external_url = 'http[s]://<IP или DNS-имя>[:PORT]/PayControl-interaction-rest/' where systemid='<SYSTEMID>';</syntaxhighlight>

Параметры ключа

2023-06-02T14:23:51Z

A.bursakov: /* Флаги */

При создании запроса на генерацию [[Ключевая информация|ключевой информации]] пользователя, могут быть установлены параметры, перечисленные ниже.
=Описание=
==Отпечаток устройства==
'''withFingerPrint''' – указывает, осуществлять ли привязку устройства к Пользователю PayControl. В случае наличия в запросе на создание пользователя параметра «флаг привязки пользователя к устройству» со значением «true» при проверке кода подтверждения будет использован отпечаток устройства пользователя. Отпечаток устройства вносится в информацию о пользователе путем вызова метода «Сохранение отпечатка устройства»;

==Сбор событий==
'''collectEvent''' – флаг, указывающий необходимость передачи мобильным приложением информации о событиях и сохранения её сервером в базе данных PayControl;
===Информация об устройстве===
'''collectDeviceInfo''' – флаг, указывающий необходимость сбора информации об устройстве в составе информации о событии. Учитывается только в случае, если установлен флаг collectEvent;
====Информация о сим-карте====
'''collectDeviceSIMInfo''' – флаг, указывающий необходимость сбора информации о телефоне (SIM-карте). При включении – мобильное устройство передаёт информацию, относящуюся к телефону и SIM-карте в составе информации об устройстве. Учитывается только если установлен флаг collectDeviceInfo. На Android-устройстве необходимо дополнительное разрешение приложению на доступ к информации о телефоне;

====Информация о местоположении устройства====
'''collectDeviceLocation''' – флаг, указывающий необходимость сбора информации о местоположении устройства. При включении – мобильное устройство передаёт координаты местоположения устройства в составе информации об устройстве. Учитывается только если установлен флаг collectDeviceInfo. На мобильном устройстве необходимо дополнительное разрешение на доступ к геолокации;

==Запрет перерегистрации открытого ключа==
'''denyRenewPublicKey''' – флаг, запрещающий перерегистарцию открытого ключа сервере, если открытый ключ уже был зарегистрирован ранее;

==Параметры сохранения ключевой информации на устройстве==
===Запрет использования механизмов безопасности ОС===
'''denyStoreWithOSProtection''' – флаг, запрещающий сохранение ключа с использованием механизмов безопасности операционной системы мобильного устройства (TouchID/FaceID, Google Key Store);
===Требования к паролю===
Также может быть указан вариант требований к сложности пароля при сохранении ключевой информации на мобильном устройстве, путём задания значения passPolicy. Доступны следующие варианты:
* «0» – минимум 6 символов, пароль не обязателен;
* «1» – минимум 6 символов, пароль обязателен;
* «2» – минимум 8 символов (обязательно использование A-Z и a-z) пароль обязателен;
* «3» – минимум 8 символов (обязательно использование A-Z, a-z и 0-9) пароль обязателен.
Если опциональное значение passPolicy не установлено, принимается значение равное «0».
==Скоринг и автоподпись==
===Скоринг===
'''scoring_enabled''' - разрешение "скоринга" устройства и поведенческого анализа с помощью дополнительного антифрод-модуля Secure Bank от Group IB. Лицензируется отдельно.
===Автоподписание===
'''autosign_enabled''' - разрешение автоподписи транзакций на основе результата скоринга устройства и поведенческого анализа. Для автоподписи используется дополнительная асимметричная ключевая пара.
==Отложенный ввод в действие ключевой информации==
'''delayed''' – флаг отложенного ввода в действие ключа. При его установке ключ, используемый для подтверждения транзакций и проверки кодов аутентификации, не заменяется. Сгенерированный новый ключ помечается как отложенный. Его ввод в действие выполняется одним из следующих способов:
* путем вызова метода Ввод отложенного ключа в действие;
* путем вызова одного из методов: Сохранение отпечатка устройства, Регистрация открытого ключа, Регистрация устройства для отправки PUSH-уведомлений с кодом аутентификации, сформированным на отложенном ключе.
Выполнять обновление ключевой информации с флагом отложенного ввода можно неограниченное количество раз. При этом сформированная ранее отложенная ключевая информация будет заменена новой отложенной ключевой информацией.
При выполнении обновления без данного флага вся отложенная ключевая информация далее считается недействительной и не может быть введена в действие.
Если значение опционального флага не указано, принимается значение равное «false».
==Параметры NFC==
'''nfc_policy''' - флаг, который определяет использования NFC на мобильном устройстве. Доступны следующие варианты:
* «0» – использование NFC-карты, хранащей закрытый ключ, на мобильном устройстве запрещено. Для всех криптографических операций используется ключевая пара генерируемая на самом мобильном устройстве;
* «1» – использование NFC-карты, хранащей закрытый ключ, на мобильном устройстве опционально. В криптографических операциях может быть использована как ключевая пара, генерируемая на мобильном устройстве, так и ключевой контейнер, хранящийся на NFC-карте;
* «2» – использование NFC-карты, хранащей закрытый ключ, на мобильном устройстве обязательно. Для всех криптографических операций используется ключевая пара, хранящаяся в контейнере на NFC-карте;

Если опциональное значение nfc_policy не установлено, принимается значение равное «0».
=Флаги=
В составе QR-кода, значения передаются в 7-ой строке данных (для версии сервера 3.x) или в параметре "key_flags" (для версии сервера 5 и выше), целым числом. Значения флагов вычисляются с помощью битовой маски.
<syntaxhighlight lang="java">
KEYFLAG_WITH_FINGERPRINT = (1 << 0);
KEYFLAG_COLLECT_EVENTS = (1 << 1);
KEYFLAG_COLLECT_DEVICEINFO = (1 << 2);
KEYFLAG_COLLECT_SIMINFO = (1 << 3);
KEYFLAG_COLLECT_LOCATION = (1 << 4);
KEYFLAG_PASS_POLICY_POS = (1 << 5); // password policy encoded by 2 bits (4 values)
KEYFLAG_PASS_POLICY_POS = (1 << 6); // password policy encoded by 2 bits (4 values)
KEYFLAG_DENY_STORE_WITH_OS_PROTECTION = (1 << 7);
KEYFLAG_DENY_RENEW_PUBKEY = (1 << 8);
KEYFLAG_SCORING_ENABLED = (1 << 9);
KEYFLAG_AUTOSIGN_ENABLED = (1 << 10);
KEYFLAG_REMOTE_UPDATE_ENABLED = (1 << 11);
KEYFLAG_SERVERSIGNER = (1 << 12);
KEYFLAG_NFC_ENABLED_POS = (1 << 13);
KEYFLAG_NFC_ENABLED_POS = (1 << 14);
</syntaxhighlight>

Wildfly

2023-05-10T17:18:38Z

A.bursakov: /* Установка лимитов потребляемой памяти */

=Настройка=
==Из командной строки==
Подключение к консоли:
<syntaxhighlight lang="bash">sudo /opt/wildfly/bin/jboss-cli.sh --connect</syntaxhighlight>
Выполнение команд в неинтерактивном режиме:
<syntaxhighlight lang="bash">sudo /opt/wildfly/bin/jboss-cli.sh --connect --commands=ls\ deployment</syntaxhighlight>
===Настройка PayControl===
Удаление настроек по умолчанию:
<syntaxhighlight lang="bash">
data-source remove --name=ExampleDS
/subsystem=ee/service=default-bindings:remove()
reload
/subsystem=datasources/jdbc-driver=h2:remove
/subsystem=undertow/server=default-server/host=default-host/location=\/:remove()
/subsystem=undertow/configuration=handler:remove()
</syntaxhighlight>
Добавление драйвера (postgresql) и источников данных:
<syntaxhighlight lang="bash">
module add --name=org.postgresql --resources=/opt/paycontrol/postgresql-42.2.5.jar --dependencies=javax.api,javax.transaction.api,javax.servlet.api
/subsystem=datasources/jdbc-driver=postgres:add(driver-name="postgres",driver-module-name="org.postgresql",driver-class-name=org.postgresql.Driver)
data-source add --jndi-name=java:jboss/datasources/PayControlDS --name=PayControlDS --connection-url=jdbc:postgresql://localhost:5432/pcs --driver-name=postgres --user-name=pcuser --password=XXXXXXXX
data-source add --jndi-name=java:jboss/datasources/PayControlISDS --name=PayControlISDS --connection-url=jdbc:postgresql://localhost:5432/pcis --driver-name=postgres --user-name=pcuser --password=XXXXXXXX
</syntaxhighlight>
Установка wsdl-host
<syntaxhighlight lang="bash">
/subsystem=webservices:write-attribute$name=wsdl-host,value=docker.loc$
</syntaxhighlight>

===Добавление источников данных (разные СУБД)===
{|class="wikitable"
!Datasource!!Connection URL
|-
|IBM DB2||jdbc:db2://SERVER_NAME:PORT/DATABASE_NAME
|-
|MariaDB||jdbc:mariadb://SERVER_NAME:PORT/DATABASE_NAME
|-
|Microsoft SQL Server||jdbc:sqlserver://SERVER_NAME:PORT;DatabaseName=DATABASE_NAME
|-
|MySQL||jdbc:mysql://SERVER_NAME:PORT/DATABASE_NAME
|-
|Oracle||jdbc:oracle:thin:@SERVER_NAME:PORT:ORACLE_SID
|-
|PostgreSQL||jdbc:postgresql://SERVER_NAME:PORT/DATABASE_NAME
|-
|Sybase||jdbc:sybase:Tds:SERVER_NAME:PORT/DATABASE_NAME
|}
==Удаление настроек по умолчанию==
При конфигурировании Wildfly можно (при [[Перевод в промышленную эксплуатацию|переводе системы в промышленную эксплуатацию]] - рекомендуется) удалить пример источника данных и страницу-приветствие. Для этого в файле standalone.xml необходимо убрать (либо закомментировать) следующие объекты:<syntaxhighlight lang="xml">
<datasource jndi-name="java:jboss/datasources/ExampleDS" pool-name="ExampleDS" enabled="true" use-java-context="true">
<connection-url>jdbc:h2:mem:test;DB_CLOSE_DELAY=-1;DB_CLOSE_ON_EXIT=FALSE</connection-url>
<driver>h2</driver>
<security>
<user-name>sa</user-name>
<password>sa</password>
</security>
</datasource>
</syntaxhighlight> <syntaxhighlight lang="xml">
<driver name="h2" module="com.h2database.h2">
<xa-datasource-class>org.h2.jdbcx.JdbcDataSource</xa-datasource-class>
</driver>
</syntaxhighlight> <syntaxhighlight lang="xml">
<default-bindings context-service="java:jboss/ee/concurrency/context/default" datasource="java:jboss/datasources/ExampleDS" managed-executor-service="java:jboss/ee/concurrency/executor/default" managed-scheduled-executor-service="java:jboss/ee/concurrency/scheduler/default" managed-thread-factory="java:jboss/ee/concurrency/factory/default"/>
</syntaxhighlight><syntaxhighlight lang="xml">
<location name="/" handler="welcome-content"/>
</syntaxhighlight> <syntaxhighlight lang="xml">
<handlers>
<file name="welcome-content" path="${jboss.home.dir}/welcome-content"/>
</handlers>
</syntaxhighlight>

==Добавление сертификатов корпоративных УЦ==
java keytool – с его помощью установить корневой сертификат в keystore. Если есть промежуточные, то их тоже.

java keystore password по умолчанию – “changeit”.

Примеры инструкций:
* https://docs.microsoft.com/ru-ru/java/azure/java-sdk-add-certificate-ca-store?view=azure-java-stable
* https://www.ibm.com/docs/en/cognos-tm1/10.2.2?topic=ictocyoiatwas-add-certificates-jre-keystore
* https://connect2id.com/blog/importing-ca-root-cert-into-jvm-trust-store
* https://www.ibm.com/support/knowledgecenter/en/SSFUEU_6.2.1/com.ibm.swg.ba.cognos.administrators_guide.6.2.1.doc/t_shi_import_the_root_certificate_for_java.html

Как минимум в CN сертификата должен быть адрес, по которому происходит обращение к серверу (DNS или IP). Если этого будет недостаточно, тогда добавить в SAN сертификата.

==Включение и конфигурирование [[HTTPS]]==
===Добавление сертификата===
Для добавления/обновления сертификата необходимо выполнить следующие действия:
# Составить цепочку сертификатов. Из файлов сертификатов в формате PEM (Base64) составить цепочку путём соединения в новом файле с расширением crt, например fullchain.crt. Для этого в новый файл с помощью текстового редактора нужно добавить сертификат корневого УЦ, промежуточных, и собственно сертификат сервера.
# Создать контейнер формата pkcs12:<syntaxhighlight lang="bat">openssl pkcs12 -export -in fullchain.crt -inkey private_key.key -out keycontainer.p12</syntaxhighlight> при экспорте следует задать пароль <password> для приватного ключа.
# Создать JKS-контейнер из PKCS12:<syntaxhighlight lang="bat">keytool -importkeystore -srckeystore keycontainer.p12 \
-srcstoretype PKCS12 \
-destkeystore <container-name>.jks \
-deststoretype JKS</syntaxhighlight> при импорте указываем <password>, при экспорте указываем пароль к контейнеру.
# Скопировать <container-name>.jks например в /opt/wildfly/standalone/configuration/ (для Linux), либо в C:\wildfly\standalone\configuration\ (для Windows).
# Имя файла-контейнера (относительный путь от директории <code>configuration</code>) и пароли указать в файле /opt/wildfly/standalone/configuration/standalone.xml (для Linux), либо в C:\wildfly\standalone\configuration\standalone.xml (для Windows), для WildFly 25 и выше, :<syntaxhighlight lang="xml">
<tls>
<key-stores>
<key-store name="applicationKS">
<credential-reference clear-text="ПАРОЛЬ К КОНТЕЙНЕРУ"/>
<implementation type="JKS"/>
<file path="ИМЯ ФАЙЛА-КОНТЕЙНЕРА.jks" relative-to="jboss.server.config.dir"/>
</key-store>
</key-stores>
<key-managers>
<key-manager name="applicationKM" key-store="applicationKS" generate-self-signed-certificate-host="localhost">
<credential-reference clear-text="ПАРОЛЬ К ПРИВАТНОМУ КЛЮЧУ"/>
</key-manager>
</key-managers>
<server-ssl-contexts>
<server-ssl-context name="applicationSSC" key-manager="applicationKM"/>
</server-ssl-contexts>
</tls>
</syntaxhighlight>До версии 25, в объекте keystore (если АЛИАС не был задан, по умолчанию устанавливается значение "1"):<syntaxhighlight lang="xml">
<security-realm name="ApplicationRealm">
<server-identities>
<ssl>
<keystore path="ИМЯ ФАЙЛА-КОНТЕЙНЕРА.jks" relative-to="jboss.server.config.dir" keystore-password="ПАРОЛЬ К КОНТЕЙНЕРУ" alias="АЛИАС" key-password="ПАРОЛЬ К ПРИВАТНОМУ КЛЮЧУ" generate-self-signed-certificate-host="localhost"/>
</ssl>
</server-identities></syntaxhighlight>
# Перезапустить сервис WildFly.
# Проверить подключение:<syntaxhighlight lang="bat">openssl s_client -connect <server-name>:8443</syntaxhighlight>Verify Result должен быть 0.

===Отключение HTTP порта (8080)===
{{Предупреждение|Приведённый ниже порядок действий применим для приложений, не публикующих WSDL-схему. Для приложений с WSDL потребуется дополнительная донастройка.}}
Для того, чтобы на сервере PCIS External отключить доступ к REST-интерфейсу по порту 8080 необходимо в файле ''/opt/wildfly/standalone/configuration/standalone.xml'' (для Linux), либо в ''C:\wildfly\standalone\configuration\standalone.xml'' (для Windows) (перед этим лучше сделать его резервную копию) в блоке <code><server name="default-server"></code> удалить строку<syntaxhighlight lang="xml"><http-listener name="default" socket-binding="http" redirect-socket="https" enable-http2="true"/></syntaxhighlight>
В блоке <code><socket-binding-group name="standard-sockets" default-interface="public" port-offset="${jboss.socket.binding.port-offset:0}"></code> удалить строку:<syntaxhighlight lang="xml"><socket-binding name="http" port="${jboss.http.port:8080}"/></syntaxhighlight>
Изменить параметр <code><http-connector name="http-remoting-connector" connector-ref="default" security-realm="ApplicationRealm"/></code> следующим образом (изменить значение <code>connector-ref</code> с <code>default</code> на <code>https</code>):
<syntaxhighlight lang="xml"><http-connector name="http-remoting-connector" connector-ref="https" security-realm="ApplicationRealm"/></syntaxhighlight>
===Переключение публикации схемы на HTTPS===
Для того, чтобы, располагающаяся в WSDL, ссылка на схему была также корректна, необходимо в <code><subsystem xmlns="urn:jboss:domain:webservices:2.0"></code> добавить (заменив значения wsdl-host и, при необходимости, wsdl-port и wsdl-secure-port на необходимые) следующее:
<syntaxhighlight lang="xml">
<wsdl-host>yoursite.com</wsdl-host>
<wsdl-port>8080</wsdl-port>
<wsdl-secure-port>8443</wsdl-secure-port>
<wsdl-uri-scheme>https</wsdl-uri-scheme>
</syntaxhighlight>
Пример результата:
<syntaxhighlight lang="xml">
<subsystem xmlns="urn:jboss:domain:webservices:2.0">
<wsdl-host>paycontrol.org</wsdl-host>
<wsdl-port>8080</wsdl-port>
<wsdl-secure-port>8443</wsdl-secure-port>
<wsdl-uri-scheme>https</wsdl-uri-scheme>
<endpoint-config name="Standard-Endpoint-Config"/>
<endpoint-config name="Recording-Endpoint-Config">
<pre-handler-chain name="recording-handlers" protocol-bindings="##SOAP11_HTTP ##SOAP11_HTTP_MTOM ##SOAP12_HTTP ##SOAP12_HTTP_MTOM">
<handler name="RecordingHandler" class="org.jboss.ws.common.invocation.RecordingServerHandler"/>
</pre-handler-chain>
</endpoint-config>
<client-config name="Standard-Client-Config"/>
</subsystem>
</syntaxhighlight>

===Указание определённых стандартов защиты и алгоритмов===
Для выбора стандарта защиты HTTPS, только, например, TLS 1.2, нужно в ''объект https-listener объекта <nowiki><subsystem xmlns="urn:jboss:domain:undertow:X.X"></nowiki>'' добавить, '''enabled-protocols="TLSv1.2"'''.

Для выбора определённых криптографических алгоритмов, необходимо их указать в ''объекте https-listener объекта <nowiki><subsystem xmlns="urn:jboss:domain:undertow:X.X"></nowiki>''. Например, для запрета режимов работы без использования алгоритмов Диффи-Хеллмана, нужно добавить '''enabled-cipher-suites="ALL:!kRSA"'''.

Пример:
<syntaxhighlight lang="xml">
<subsystem xmlns="urn:jboss:domain:undertow:1.2">
<server name="default-server">
<https-listener name="https" socket-binding="https" security-realm="ApplicationRealm" enable-http2="true" enabled-cipher-suites="ALL:!kRSA" enabled-protocols="TLSv1.2"/>
</server>
</subsystem>
</syntaxhighlight>

https://security.stackexchange.com/questions/145855/how-to-enforce-perfect-forward-secrecy-using-jvm-properties

https://www.openssl.org/docs/manmaster/man1/ciphers.html

===Включение дополнительных заголовков===
Для включения дополнительных HTTP заголовков необходимо в файл
* Linux:
*: /opt/wildfly/standalone/configuration/standalone.xml
* Windows:
*: C:\wildfly\standalone\configuration\standalone.xml
# добавить фильтры в раздел ''<nowiki><subsystem xmlns="urn:jboss:domain:undertow:X.X"></nowiki>'' добавив блок (при его отсутствии) <code><filters></filters></code> следующего содержания:<syntaxhighlight lang="xml">
<filters>
<response-header name="transport-security" header-name="Strict-Transport-Security" header-value="max-age=31536000"/>
<response-header name="x-frame-options" header-name="X-Frame-Options" header-value="DENY"/>
<response-header name="x-content-type-options" header-name="X-Content-Type-Options" header-value="nosniff"/>
<response-header name="Content-Security-Policy" header-name="Content-Security-Policy" header-value="default-src 'self'"/>
</filters></syntaxhighlight>
# добавить ссылки на эти фильтры в раздел ''<nowiki><subsystem xmlns="urn:jboss:domain:undertow:X.X"> в <server name="default-server"> в <host name="default-host" alias="localhost"></nowiki>'' включив следующие строки:<syntaxhighlight lang="xml">
<filter-ref name="transport-security"/>
<filter-ref name="x-frame-options"/>
<filter-ref name="x-content-type-options"/>
<filter-ref name="Content-Security-Policy"/>
</syntaxhighlight>
Пример:
<syntaxhighlight lang="xml">
<subsystem xmlns="urn:jboss:domain:undertow:11.0" default-server="default-server" default-virtual-host="default-host" default-servlet-container="default" default-security-domain="other">
<buffer-cache name="default"/>
<server name="default-server">
<http-listener name="default" socket-binding="http" redirect-socket="https" enable-http2="true"/>
<https-listener name="https" socket-binding="https" security-realm="ApplicationRealm" enable-http2="true" enabled-cipher-suites="ALL:!kRSA" enabled-protocols="TLSv1.2"/>
<host name="default-host" alias="localhost">
<http-invoker security-realm="ApplicationRealm"/>
<filter-ref name="transport-security"/>
<filter-ref name="x-frame-options"/>
<filter-ref name="x-content-type-options"/>
<filter-ref name="Content-Security-Policy"/>
</host>
</server>
<servlet-container name="default">
<jsp-config/>
<websockets/>
</servlet-container>
<filters>
<response-header name="transport-security" header-name="Strict-Transport-Security" header-value="max-age=31536000"/>
<response-header name="x-frame-options" header-name="X-Frame-Options" header-value="DENY"/>
<response-header name="x-content-type-options" header-name="X-Content-Type-Options" header-value="nosniff"/>
<response-header name="Content-Security-Policy" header-name="Content-Security-Policy" header-value="default-src 'self'"/>
</filters>
</subsystem></syntaxhighlight>

==Изменение номера порта==
{{Предупреждение|ОС Linux не позволяет сервисам работающим не от имени root использовать порты с номерами ниже 1024. Для использования портов ниже 1024 необходимо выполнять трансляцию, например с помощью netfilter (iptables/firewalld).}}
Для изменения номера порта необходимо в файле /opt/wildfly/standalone/configuration/standalone.xml (Linux) или в C:\wildfly\standalone\configuration\standalone.xml (Windows), в блоке <syntaxhighlight lang="xml"><socket-binding-group name="standard-sockets" default-interface="public" port-offset="${jboss.socket.binding.port-offset:0}"></syntaxhighlight> в нужном (для http, либо https) параметре <syntaxhighlight lang="xml"><socket-binding name="http" port="${jboss.http.port:8080}"/>
<socket-binding name="https" port="${jboss.https.port:8443}"/></syntaxhighlight> изменить номер используемого порта.

После изменения номера порта, службу WildFly необходимо перезапустить.

При использовании «сервером» стандартных портов (80 для HTTP или 443 для HTTPS), при установке параметров настроек «клиента» для подключения к «серверу», номер порта в адресе дополнительно указывать не рекомендуется во избежании проблем, т.к. в этих случаях, согласно RFC2616 используется порт по умолчанию. При дополнительном указании в адресе порта по умолчанию бывали случаи возникновения проблем подключения.

Приведённые ниже примеры описаны для протокола HTTP. При использовании HTTPS, необходимо также скорректировать название используемого протокола в адресе подключения.
===Изменение порта PCS===
При изменении порта для подключения к PCS, необходимо:
* установить новый порт для обращения к PC в настройках [[Прикладная система|прикладной системы]];
* изменить номер порта в настройках [[Сервер PayControl|PCIS External]].
Для изменения номера порта для обращения к PCS, в настройках PCIS External в файле /opt/wildfly/bin/standalone.conf (Linux) или C:\opt\wildfly\bin\standalone.conf.bat (Windows), в строке
<syntaxhighlight lang="bash">JAVA_OPTS="$JAVA_OPTS -Dpcservice.endpoint=http://localhost:8080/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"</syntaxhighlight>
в параметре -Dpcservice.endpoint=http://<HOSTNAME>:<PORT>/ws/PayControlServiceV3?wsdl установить новое значение <PORT>.
===Изменение порта PCIS Internal===
Для изменения порта для подключения к [[Сервер PayControl|PCIS Internal]] необходимо в БД PCS выполнить следующий запрос:
<syntaxhighlight lang="sql">update pc_system set pc_is_internal_url='http://<HOSTNASME>:<PORT>/wsis/PayControlInteractionService?wsdl' where systemid='XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX';</syntaxhighlight>
где
* <HOSTNASME> - имя хоста PCIS Internal;
* <PORT> новое значение порта;
* XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX - UUID идентификатор прикладной системы.

Допускается выполнять запрос к БД PCS на обновление адреса PCIS Internal без указания systemid, в случае, если подключена только одна прикладная система, или необходимо обновить адрес PCIS Internal для всех прикладных систем.

После изменения номера порта, службу wildfly необходимо перезапустить.
===Изменение порта PCIS External===
{{Предупреждение|При изменении порта PCIS External мобильное приложение потеряет возможность подключения к серверу PayControl до тех пор, пока пользователю мобильного приложения не будет перевыпущен ключ с новым адресом подключения к серверу.}}

{{Предупреждение|Изменение порта, на котором сервер PCIS External ожидает подключения не всегда ведёт к изменению порта назначения, который используется мобильным приложением для доступа к серверу PayControl. Такая ситуация, например, может возникнуть, если перед сервером PCIS External со стороны сети Интернет установлено оборудование/ПО, выполняющее трансляцию сетевых портов.}}
При изменении порта PCIS External необходимо в БД PCS выполнить следующий запрос:
<syntaxhighlight lang="sql">update pc_system set pc_is_external_url='http://<HOSTNASME>:<PORT>/PayControl-interaction-rest/' where systemid='XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX';</syntaxhighlight>
где
* <HOSTNASME> - имя хоста PCIS External, используемое мобильными устройствами для доступа к серверу PayControl;
* <PORT> новое значение порта;
* XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX - UUID идентификатор прикладной системы.

Допускается выполнять запрос к БД PCS на обновление адреса PCIS External без указания systemid, в случае, если подключена только одна прикладная система, или необходимо обновить адрес PCIS External для всех прикладных систем.

После изменения номера порта, службу wildfly необходимо перезапустить.
== Валидация подключения ==
=== PostgreSQL ===
<syntaxhighlight lang="xml">
<validation>
<valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLValidConnectionChecker"></valid-connection-checker>
<exception-sorter class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLExceptionSorter"></exception-sorter>
</validation>
</syntaxhighlight>
=== Oracle ===
<syntaxhighlight lang="xml">
<validation>
<check-valid-connection-sql>select 1 from dual</check-valid-connection-sql>
<validate-on-match>false</validate-on-match>
<background-validation>true</background-validation>
<background-validation-millis>10000</background-validation-millis>
</validation>
</syntaxhighlight>
=== MS SQL ===
<syntaxhighlight lang="xml">
<validation>
<valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.mssql.MSSQLValidConnectionChecker"></valid-connection-checker>
</validation>
</syntaxhighlight>

== Установка лимитов потребляемой памяти ==

Лимиты доступа к памяти необходимо выбирать исходя из нагрузки и ресурсов сервера.

Пример:

<syntaxhighlight lang="shell">
JAVA_OPTS=-Xms64m -Xmx512m -XX:MetaspaceSize=96M -XX:MaxMetaspaceSize=256m
</syntaxhighlight>

= Контроль =

== Потребление ресурсов ==

<syntaxhighlight lang="shell">
/opt/jboss/wildfly/bin/jboss-cli.sh --connect
/core-service=platform-mbean/type=memory:read-resource(recursive=true,proxies=true,include-runtime=true,include-defaults=true)
</syntaxhighlight>
Вывод:
<syntaxhighlight lang="json">
{
"outcome" => "success",
"result" => {
"heap-memory-usage" => {
"init" => 641728512L,
"used" => 1746929168L,
"committed" => 4097835008L,
"max" => 10257170432L
},
"non-heap-memory-usage" => {
"init" => 7667712L,
"used" => 331419120L,
"committed" => 357740544L,
"max" => -1L
},
"object-name" => "java.lang:type=Memory",
"object-pending-finalization-count" => 0,
"verbose" => false
}
}
</syntaxhighlight>

== Вывод параметров конфигурации в журнал при старте ==

<syntaxhighlight lang="shell">
JAVA_OPTS=-XshowSettings:all
</syntaxhighlight>

== Журналирование ==

=== Доступ к данным журнала ===

Журнал работы сервера PayControl записываются общий лог функционирования Wildfly.

Файлы журналов за текущий день доступны по следующему пути:
* Linux:
*: /opt/wildfly/standalone/log/server.log
* Windows:
*: C:\wildfly\standalone\log\server.log
Для просмотра журнала за другие дни, нужно добавить к имени файла требуемую дату в формате server.log.YYYY-MM-DD

=== Включение журналирования SOAP-вызовов ===

Для включения расширенного логирования необходимо:
# Остановить службу wildfly.
# Добавить после блока <extensions> ... </extensions> в файл
#* Linux:
#*: /opt/wildfly/standalone/configuration/standalone.xml
#* Windows:
#*: C:\wildfly\standalone\configuration\standalone.xml
#: следующий блок:<syntaxhighlight lang="xml">
<system-properties>
<property name="org.apache.cxf.logging.enabled" value="pretty"/>
</system-properties>
</syntaxhighlight>
# Запустить службу wildfly.

=== Направление логов Wildfly в Kafka ===

Исходник https://developer.jboss.org/docs/DOC-56423. Основное отличие - добавление <code><module name="com.fasterxml.jackson.core.jackson-databind"/></code> в зависимости модуля ''org.apache.kafka.clients''.

==== Модули ====

Файлы модулей можно загрузить с https://mvnrepository.com/

===== org.apache.kafka.clients =====

Создать файл <code>/opt/wildfly/modules/system/layers/base/org/apache/kafka/clients/main/module.xml</code> с содержанием
<syntaxhighlight lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module name="org.apache.kafka.clients" xmlns="urn:jboss:module:1.8">
<resources>
<resource-root path="kafka-clients-2.6.0.jar"/>
<resource-root path="snappy-java-1.1.8.2.jar"/>
<resource-root path="lz4-java-1.7.1.jar"/>
</resources>
<dependencies>
<module name="javax.api"/>
<module name="org.slf4j"/>
<module name="com.fasterxml.jackson.core.jackson-databind"/>
</dependencies>
</module>
</syntaxhighlight>
и добавить в директорию указанные в блоке <code>resources</code> файлы.

===== org.apache.kafka.log4jappender =====

Создать файл <code>/opt/wildfly/modules/system/layers/base/org/apache/kafka/log4jappender/main/module.xml</code> с содержанием
<syntaxhighlight lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module name="org.apache.kafka.log4jappender" xmlns="urn:jboss:module:1.8">
<resources>
<resource-root path="kafka-log4j-appender-2.6.0.jar"/>
<resource-root path="slf4j-log4j12-1.7.30.jar"/>
</resources>
<dependencies>
<module name="org.slf4j"/>
<module name="org.apache.kafka.clients" />
<module name="org.jboss.log4j.logmanager" />
</dependencies>
</module>
</syntaxhighlight>
и добавить в директорию указанные в блоке <code>resources</code> файлы.

===== org.apache.log4j =====

Добавить модуль log4jappender в качестве зависимости в существующий org.apache.log4j модуль:
<syntaxhighlight lang="xml">
<module name="org.apache.log4j" xmlns="urn:jboss:module:1.6">

...

<dependencies>

...

<module name="org.apache.kafka.log4jappender" export="true"/>

</dependencies>

</module>
</syntaxhighlight>

===== org.jboss.as.standalone =====

Указать в имеющемся модуле org.jboss.as.standalone в качестве зависимости модуль org.apache.kafka.clients.
<syntaxhighlight lang="xml">
<module name="org.jboss.as.standalone" xmlns="urn:jboss:module:1.6">

...

<dependencies>

...

<module name="org.apache.kafka.clients" />

</dependencies>

</module>
</syntaxhighlight>

==== Хэндлеры ====

Необходимо добавить перечисленные ниже хэндлеры в файл standalone.xml в блок <code><subsystem xmlns="urn:jboss:domain:logging:8.0"></code>

===== kafka =====

<syntaxhighlight lang="xml">
<custom-handler name="kafka" class="org.apache.kafka.log4jappender.KafkaLog4jAppender" module="org.apache.log4j">
<level name="INFO"/>
<formatter>
<named-formatter name="PATTERN"/>
</formatter>
<properties>
<property name="brokerList" value="localhost:9092"/>
<property name="topic" value="out-topic"/>
</properties>
</custom-handler>
</syntaxhighlight>

===== async-kafka-wrapper =====

<syntaxhighlight lang="xml">
<async-handler name="async-kafka-wrapper">
<level name="ALL"/>
<queue-length value="1024"/>
<overflow-action value="block"/>
<subhandlers>
<handler name="kafka"/>
</subhandlers>
</async-handler>
</syntaxhighlight>

===== Включение хэндлера =====

В блок <code><handlers></code> добавить <code><handler name="async-kafka-wrapper"/></code>

= Проблемы и способы их устранения =

== Очень медленный старт через standalone.sh (каждый этап скрипта запуска - с большими задержками). Система отправляет сигнал на остановку сервиса ==

Вероятная проблема - неверные настройки DNS сервера. 
'''Решение''':Необходимо скорректировать настройки DNS. 
''Проблема обнаружилась 2018-07-27 при развёртывании у заказчика.'' [[Участник:A.bursakov|A.bursakov]] ([[Обсуждение участника:A.bursakov|обсуждение]]) 19:56, 1 августа 2018 (MSK)
==Не происходит «биндинг» IP-адреса адаптера==
Вероятная проблема - отсутствие PTR-записи на DNS-сервере, или неправильная работа службы DNS. 
'''Решение''': Добавить в файл opt/wildfly/bin/standalone.conf (Linux) или C:\opt\wildfly\bin\standalone.conf.bat (Windows), в переменную JAVA_OPTS параметр -Djboss.bind.address=0.0.0.0 
''Проблема проявилась на тестовом Windows-сервере'' [[Участник:A.bursakov|A.bursakov]] ([[Обсуждение участника:A.bursakov|обсуждение]]) 19:56, 1 августа 2018 (MSK)

== Частое появление WARNING в логе ==

Предупреждения в логе вида:
<pre>
WARNING [org.apache.cxf.phase.PhaseInterceptorChain] (default task-1) Interceptor for {http://ws.safetech.ru/PayControlV3/}PayControlServiceV3 has thrown exception, unwinding now: org.apache.cxf.binding.soap.SoapFault: Error writing to XMLStreamWriter.
Caused by: com.ctc.wstx.exc.WstxIOException: UT010029: Stream is closed
Caused by: java.io.IOException: UT010029: Stream is closed
</pre>
<pre>
WARNING [org.apache.cxf.phase.PhaseInterceptorChain] (default task-1) Interceptor for {http://ws.safetech.ru/PayControlV3/}PayControlServiceV3 has thrown exception, unwinding now: org.apache.cxf.interceptor.Fault: Could not send Message.
Caused by: java.io.IOException: Broken pipe
</pre>

Могут быть вызваны системой мониторинга, которая для проверки того, что сервер доступен, устанавливает соединение и обрывает его получив лишь только header.

Для отключения предупреждений о непредвиденном закрытии соединения необходимо в файл /opt/wildfly/standalone/configuration/standalone.xml в блок
<syntaxhighlight lang="xml"><profile>
<subsystem xmlns="urn:jboss:domain:logging:X.X">
...
</subsystem>
</profile></syntaxhighlight> добавить:
<syntaxhighlight lang="xml">

<logger category="org.apache.cxf.phase.PhaseInterceptorChain">
<level name="ERROR"/>
</logger>
</syntaxhighlight>

==INFO: Disabling contextual LOB creation as createClob() method threw error==
Иногда смущает появление в журнале события, из-за присутствия в его составе слова "error":
INFO [org.hibernate.engine.jdbc.env.internal.LobCreatorBuilderImpl] (ServerService Thread Pool -- 64) HHH000424: Disabling contextual LOB creation as createClob() method threw error : java.lang.reflect.InvocationTargetException
Для отключения этого сообщения необходимо установить <code>hibernate.temp.use_jdbc_metadata_defaults=false</code>
в файл persistence.xml, располагающийся внутри модуля сервера следующим образом:
<properties>
...
<property name="hibernate.temp.use_jdbc_metadata_defaults" value="false"/>
...
</properties>

== Wildfly не стартует как служба и нет логов ==
Возможные проблемы:
* Некорректные права на директории/файлы в /opt/wildfly.<syntaxhighlight lang="shell">chown -RHv wildfly:wildfly /opt/wildfly</syntaxhighlight>
* Проблемы с определением необходимой Java. Для восстановления необходимо выполнить <syntaxhighlight lang="shell">sudo update-alternatives --config java</syntaxhighlight>

[[Категория:Серверная часть]]
[[Категория:Возможные проблемы]]
[[Категория:Отладка]]

Включение формирования имитовставки

2023-04-24T13:17:00Z

A.bursakov:

Значение имитовставки будет возвращаться в коллбэке и информации о подтверждённой транзакции в HEX-кодировке в поле <code>gost_imit</code>.

Для включения необходимо:

* обновить модули сервера PC,
* модифицировать окружение сервера PC,
* включить формирование имитовставки в PC.

= Обновление модулей сервера PC =

Поддержка формирования имитовставки добавлена с версий ''3.9.х'' и ''5.5.х''. Необходимо обновить модули сервера до версий не ниже указанных. Перед обновлением серверных компонентов необходимо убедиться, что конечные пользователи используют мобильные приложения, в которых версия SDK в первых двух разрядах не ниже версии сервера (например, при обновлении сервера на 5.5, версии SDK мобильных приложений должны быть не ниже 5.5).

= Модификация окружения сервера PC =

== Docker ==

Необходимо загрузить и использовать свежий [https://repo.paycontrol.org/server/doc/latest/pc-install-guide/ru/#образы образ] (не старше чем от 08 декабря 2022 г.).

== ОС ==

=== Установка модуля КриптоПро JCP ===

==== Добавление модуля в WildFly ====

Можно установить двумя способами:
* путём копирования загруженных файлов модуля и добавления описания модуля в файл конфигурации WildFly
* с помощью ''jboss-cli''.

Имя модуля - '''ru.cryptopro.jcp'''

Файлы модуля доступны по ссылке https://repo.paycontrol.org/cdn/artefacts/wildfly/wf-module-ru.cryptoro.jcp.zip

{{Уведомление|При неправильной установке модуля и конфигурации области его видимости подтверждение транзакций будет завершаться с ошибкой.}}

===== Путём ручного копирования =====

* Скопировать файлы из загруженного архива в ''wildfly/modules/ru/cryptopro/jcp/main''
* В файл <syntaxhighlight lang="text">wildfly/standalone/configuration/standalone.xml</syntaxhighlight>в тег<syntaxhighlight lang="text">subsystem xmlns="urn:jboss:domain:ee:[version]</syntaxhighlight> нужно добавить глобальную область видимости этого модуля путём добавления<syntaxhighlight lang="xml">
<global-modules>
<module name="ru.cryptopro.jcp" slot="main"/>
</global-modules>
</syntaxhighlight>Пример секции:<syntaxhighlight lang="xml">
<subsystem xmlns="urn:jboss:domain:ee:6.0">
<global-modules>
<module name="ru.cryptopro.jcp" slot="main"/>
</global-modules>
...
</subsystem>
</syntaxhighlight>

=== Создание временной директории ===

Необходимо создать "временную" директорию ''/var/opt/cprocsp/tmp'' с правом сервиса Wildfly на запись в неё.

= Включение формирования имитовставки в PC =

В таблицу ''pc_sys_property'' внести настройку<syntaxhighlight lang="xml">
-[ RECORD 1 ]-+-------------------
setting_id | ...
setting_name | GOST_IMIT_PROVIDER
setting_value | CryptoPro JCP 2.0
</syntaxhighlight>
** Postgresql:<syntaxhighlight lang="sql">
insert into pc_sys_property (setting_id, setting_name, setting_value) values (nextval('pc_setting_seq'), 'GOST_IMIT_PROVIDER', 'CryptoPro JCP 2.0');
</syntaxhighlight>
** Oracle:<syntaxhighlight lang="sql">
insert into pc_sys_property values (PC_SETTING_SEQ.NEXTVAL, 'GOST_IMIT_PROVIDER', 'CryptoPro JCP 2.0');
</syntaxhighlight>
** MSSQL:<syntaxhighlight lang="sql">
insert into pc_sys_property values (NEXT VALUE FOR PC_SETTING_SEQ, 'GOST_IMIT_PROVIDER', 'CryptoPro JCP 2.0');
</syntaxhighlight>

Участник:A.bursakov

2023-04-20T17:45:39Z

A.bursakov:

Антон Бурсаков

Менеджер по продуктам компании [https://safe-tech.ru/ SafeTech].

Wildfly

2023-04-19T13:37:30Z

A.bursakov:

=Настройка=
==Из командной строки==
Подключение к консоли:
<syntaxhighlight lang="bash">sudo /opt/wildfly/bin/jboss-cli.sh --connect</syntaxhighlight>
Выполнение команд в неинтерактивном режиме:
<syntaxhighlight lang="bash">sudo /opt/wildfly/bin/jboss-cli.sh --connect --commands=ls\ deployment</syntaxhighlight>
===Настройка PayControl===
Удаление настроек по умолчанию:
<syntaxhighlight lang="bash">
data-source remove --name=ExampleDS
/subsystem=ee/service=default-bindings:remove()
reload
/subsystem=datasources/jdbc-driver=h2:remove
/subsystem=undertow/server=default-server/host=default-host/location=\/:remove()
/subsystem=undertow/configuration=handler:remove()
</syntaxhighlight>
Добавление драйвера (postgresql) и источников данных:
<syntaxhighlight lang="bash">
module add --name=org.postgresql --resources=/opt/paycontrol/postgresql-42.2.5.jar --dependencies=javax.api,javax.transaction.api,javax.servlet.api
/subsystem=datasources/jdbc-driver=postgres:add(driver-name="postgres",driver-module-name="org.postgresql",driver-class-name=org.postgresql.Driver)
data-source add --jndi-name=java:jboss/datasources/PayControlDS --name=PayControlDS --connection-url=jdbc:postgresql://localhost:5432/pcs --driver-name=postgres --user-name=pcuser --password=XXXXXXXX
data-source add --jndi-name=java:jboss/datasources/PayControlISDS --name=PayControlISDS --connection-url=jdbc:postgresql://localhost:5432/pcis --driver-name=postgres --user-name=pcuser --password=XXXXXXXX
</syntaxhighlight>
Установка wsdl-host
<syntaxhighlight lang="bash">
/subsystem=webservices:write-attribute$name=wsdl-host,value=docker.loc$
</syntaxhighlight>

===Добавление источников данных (разные СУБД)===
{|class="wikitable"
!Datasource!!Connection URL
|-
|IBM DB2||jdbc:db2://SERVER_NAME:PORT/DATABASE_NAME
|-
|MariaDB||jdbc:mariadb://SERVER_NAME:PORT/DATABASE_NAME
|-
|Microsoft SQL Server||jdbc:sqlserver://SERVER_NAME:PORT;DatabaseName=DATABASE_NAME
|-
|MySQL||jdbc:mysql://SERVER_NAME:PORT/DATABASE_NAME
|-
|Oracle||jdbc:oracle:thin:@SERVER_NAME:PORT:ORACLE_SID
|-
|PostgreSQL||jdbc:postgresql://SERVER_NAME:PORT/DATABASE_NAME
|-
|Sybase||jdbc:sybase:Tds:SERVER_NAME:PORT/DATABASE_NAME
|}
==Удаление настроек по умолчанию==
При конфигурировании Wildfly можно (при [[Перевод в промышленную эксплуатацию|переводе системы в промышленную эксплуатацию]] - рекомендуется) удалить пример источника данных и страницу-приветствие. Для этого в файле standalone.xml необходимо убрать (либо закомментировать) следующие объекты:<syntaxhighlight lang="xml">
<datasource jndi-name="java:jboss/datasources/ExampleDS" pool-name="ExampleDS" enabled="true" use-java-context="true">
<connection-url>jdbc:h2:mem:test;DB_CLOSE_DELAY=-1;DB_CLOSE_ON_EXIT=FALSE</connection-url>
<driver>h2</driver>
<security>
<user-name>sa</user-name>
<password>sa</password>
</security>
</datasource>
</syntaxhighlight> <syntaxhighlight lang="xml">
<driver name="h2" module="com.h2database.h2">
<xa-datasource-class>org.h2.jdbcx.JdbcDataSource</xa-datasource-class>
</driver>
</syntaxhighlight> <syntaxhighlight lang="xml">
<default-bindings context-service="java:jboss/ee/concurrency/context/default" datasource="java:jboss/datasources/ExampleDS" managed-executor-service="java:jboss/ee/concurrency/executor/default" managed-scheduled-executor-service="java:jboss/ee/concurrency/scheduler/default" managed-thread-factory="java:jboss/ee/concurrency/factory/default"/>
</syntaxhighlight><syntaxhighlight lang="xml">
<location name="/" handler="welcome-content"/>
</syntaxhighlight> <syntaxhighlight lang="xml">
<handlers>
<file name="welcome-content" path="${jboss.home.dir}/welcome-content"/>
</handlers>
</syntaxhighlight>

==Добавление сертификатов корпоративных УЦ==
java keytool – с его помощью установить корневой сертификат в keystore. Если есть промежуточные, то их тоже.

java keystore password по умолчанию – “changeit”.

Примеры инструкций:
* https://docs.microsoft.com/ru-ru/java/azure/java-sdk-add-certificate-ca-store?view=azure-java-stable
* https://www.ibm.com/docs/en/cognos-tm1/10.2.2?topic=ictocyoiatwas-add-certificates-jre-keystore
* https://connect2id.com/blog/importing-ca-root-cert-into-jvm-trust-store
* https://www.ibm.com/support/knowledgecenter/en/SSFUEU_6.2.1/com.ibm.swg.ba.cognos.administrators_guide.6.2.1.doc/t_shi_import_the_root_certificate_for_java.html

Как минимум в CN сертификата должен быть адрес, по которому происходит обращение к серверу (DNS или IP). Если этого будет недостаточно, тогда добавить в SAN сертификата.

==Включение и конфигурирование [[HTTPS]]==
===Добавление сертификата===
Для добавления/обновления сертификата необходимо выполнить следующие действия:
# Составить цепочку сертификатов. Из файлов сертификатов в формате PEM (Base64) составить цепочку путём соединения в новом файле с расширением crt, например fullchain.crt. Для этого в новый файл с помощью текстового редактора нужно добавить сертификат корневого УЦ, промежуточных, и собственно сертификат сервера.
# Создать контейнер формата pkcs12:<syntaxhighlight lang="bat">openssl pkcs12 -export -in fullchain.crt -inkey private_key.key -out keycontainer.p12</syntaxhighlight> при экспорте следует задать пароль <password> для приватного ключа.
# Создать JKS-контейнер из PKCS12:<syntaxhighlight lang="bat">keytool -importkeystore -srckeystore keycontainer.p12 \
-srcstoretype PKCS12 \
-destkeystore <container-name>.jks \
-deststoretype JKS</syntaxhighlight> при импорте указываем <password>, при экспорте указываем пароль к контейнеру.
# Скопировать <container-name>.jks например в /opt/wildfly/standalone/configuration/ (для Linux), либо в C:\wildfly\standalone\configuration\ (для Windows).
# Имя файла-контейнера (относительный путь от директории <code>configuration</code>) и пароли указать в файле /opt/wildfly/standalone/configuration/standalone.xml (для Linux), либо в C:\wildfly\standalone\configuration\standalone.xml (для Windows), для WildFly 25 и выше, :<syntaxhighlight lang="xml">
<tls>
<key-stores>
<key-store name="applicationKS">
<credential-reference clear-text="ПАРОЛЬ К КОНТЕЙНЕРУ"/>
<implementation type="JKS"/>
<file path="ИМЯ ФАЙЛА-КОНТЕЙНЕРА.jks" relative-to="jboss.server.config.dir"/>
</key-store>
</key-stores>
<key-managers>
<key-manager name="applicationKM" key-store="applicationKS" generate-self-signed-certificate-host="localhost">
<credential-reference clear-text="ПАРОЛЬ К ПРИВАТНОМУ КЛЮЧУ"/>
</key-manager>
</key-managers>
<server-ssl-contexts>
<server-ssl-context name="applicationSSC" key-manager="applicationKM"/>
</server-ssl-contexts>
</tls>
</syntaxhighlight>До версии 25, в объекте keystore (если АЛИАС не был задан, по умолчанию устанавливается значение "1"):<syntaxhighlight lang="xml">
<security-realm name="ApplicationRealm">
<server-identities>
<ssl>
<keystore path="ИМЯ ФАЙЛА-КОНТЕЙНЕРА.jks" relative-to="jboss.server.config.dir" keystore-password="ПАРОЛЬ К КОНТЕЙНЕРУ" alias="АЛИАС" key-password="ПАРОЛЬ К ПРИВАТНОМУ КЛЮЧУ" generate-self-signed-certificate-host="localhost"/>
</ssl>
</server-identities></syntaxhighlight>
# Перезапустить сервис WildFly.
# Проверить подключение:<syntaxhighlight lang="bat">openssl s_client -connect <server-name>:8443</syntaxhighlight>Verify Result должен быть 0.

===Отключение HTTP порта (8080)===
{{Предупреждение|Приведённый ниже порядок действий применим для приложений, не публикующих WSDL-схему. Для приложений с WSDL потребуется дополнительная донастройка.}}
Для того, чтобы на сервере PCIS External отключить доступ к REST-интерфейсу по порту 8080 необходимо в файле ''/opt/wildfly/standalone/configuration/standalone.xml'' (для Linux), либо в ''C:\wildfly\standalone\configuration\standalone.xml'' (для Windows) (перед этим лучше сделать его резервную копию) в блоке <code><server name="default-server"></code> удалить строку<syntaxhighlight lang="xml"><http-listener name="default" socket-binding="http" redirect-socket="https" enable-http2="true"/></syntaxhighlight>
В блоке <code><socket-binding-group name="standard-sockets" default-interface="public" port-offset="${jboss.socket.binding.port-offset:0}"></code> удалить строку:<syntaxhighlight lang="xml"><socket-binding name="http" port="${jboss.http.port:8080}"/></syntaxhighlight>
Изменить параметр <code><http-connector name="http-remoting-connector" connector-ref="default" security-realm="ApplicationRealm"/></code> следующим образом (изменить значение <code>connector-ref</code> с <code>default</code> на <code>https</code>):
<syntaxhighlight lang="xml"><http-connector name="http-remoting-connector" connector-ref="https" security-realm="ApplicationRealm"/></syntaxhighlight>
===Переключение публикации схемы на HTTPS===
Для того, чтобы, располагающаяся в WSDL, ссылка на схему была также корректна, необходимо в <code><subsystem xmlns="urn:jboss:domain:webservices:2.0"></code> добавить (заменив значения wsdl-host и, при необходимости, wsdl-port и wsdl-secure-port на необходимые) следующее:
<syntaxhighlight lang="xml">
<wsdl-host>yoursite.com</wsdl-host>
<wsdl-port>8080</wsdl-port>
<wsdl-secure-port>8443</wsdl-secure-port>
<wsdl-uri-scheme>https</wsdl-uri-scheme>
</syntaxhighlight>
Пример результата:
<syntaxhighlight lang="xml">
<subsystem xmlns="urn:jboss:domain:webservices:2.0">
<wsdl-host>paycontrol.org</wsdl-host>
<wsdl-port>8080</wsdl-port>
<wsdl-secure-port>8443</wsdl-secure-port>
<wsdl-uri-scheme>https</wsdl-uri-scheme>
<endpoint-config name="Standard-Endpoint-Config"/>
<endpoint-config name="Recording-Endpoint-Config">
<pre-handler-chain name="recording-handlers" protocol-bindings="##SOAP11_HTTP ##SOAP11_HTTP_MTOM ##SOAP12_HTTP ##SOAP12_HTTP_MTOM">
<handler name="RecordingHandler" class="org.jboss.ws.common.invocation.RecordingServerHandler"/>
</pre-handler-chain>
</endpoint-config>
<client-config name="Standard-Client-Config"/>
</subsystem>
</syntaxhighlight>

===Указание определённых стандартов защиты и алгоритмов===
Для выбора стандарта защиты HTTPS, только, например, TLS 1.2, нужно в ''объект https-listener объекта <nowiki><subsystem xmlns="urn:jboss:domain:undertow:X.X"></nowiki>'' добавить, '''enabled-protocols="TLSv1.2"'''.

Для выбора определённых криптографических алгоритмов, необходимо их указать в ''объекте https-listener объекта <nowiki><subsystem xmlns="urn:jboss:domain:undertow:X.X"></nowiki>''. Например, для запрета режимов работы без использования алгоритмов Диффи-Хеллмана, нужно добавить '''enabled-cipher-suites="ALL:!kRSA"'''.

Пример:
<syntaxhighlight lang="xml">
<subsystem xmlns="urn:jboss:domain:undertow:1.2">
<server name="default-server">
<https-listener name="https" socket-binding="https" security-realm="ApplicationRealm" enable-http2="true" enabled-cipher-suites="ALL:!kRSA" enabled-protocols="TLSv1.2"/>
</server>
</subsystem>
</syntaxhighlight>

https://security.stackexchange.com/questions/145855/how-to-enforce-perfect-forward-secrecy-using-jvm-properties

https://www.openssl.org/docs/manmaster/man1/ciphers.html

===Включение дополнительных заголовков===
Для включения дополнительных HTTP заголовков необходимо в файл
* Linux:
*: /opt/wildfly/standalone/configuration/standalone.xml
* Windows:
*: C:\wildfly\standalone\configuration\standalone.xml
# добавить фильтры в раздел ''<nowiki><subsystem xmlns="urn:jboss:domain:undertow:X.X"></nowiki>'' добавив блок (при его отсутствии) <code><filters></filters></code> следующего содержания:<syntaxhighlight lang="xml">
<filters>
<response-header name="transport-security" header-name="Strict-Transport-Security" header-value="max-age=31536000"/>
<response-header name="x-frame-options" header-name="X-Frame-Options" header-value="DENY"/>
<response-header name="x-content-type-options" header-name="X-Content-Type-Options" header-value="nosniff"/>
<response-header name="Content-Security-Policy" header-name="Content-Security-Policy" header-value="default-src 'self'"/>
</filters></syntaxhighlight>
# добавить ссылки на эти фильтры в раздел ''<nowiki><subsystem xmlns="urn:jboss:domain:undertow:X.X"> в <server name="default-server"> в <host name="default-host" alias="localhost"></nowiki>'' включив следующие строки:<syntaxhighlight lang="xml">
<filter-ref name="transport-security"/>
<filter-ref name="x-frame-options"/>
<filter-ref name="x-content-type-options"/>
<filter-ref name="Content-Security-Policy"/>
</syntaxhighlight>
Пример:
<syntaxhighlight lang="xml">
<subsystem xmlns="urn:jboss:domain:undertow:11.0" default-server="default-server" default-virtual-host="default-host" default-servlet-container="default" default-security-domain="other">
<buffer-cache name="default"/>
<server name="default-server">
<http-listener name="default" socket-binding="http" redirect-socket="https" enable-http2="true"/>
<https-listener name="https" socket-binding="https" security-realm="ApplicationRealm" enable-http2="true" enabled-cipher-suites="ALL:!kRSA" enabled-protocols="TLSv1.2"/>
<host name="default-host" alias="localhost">
<http-invoker security-realm="ApplicationRealm"/>
<filter-ref name="transport-security"/>
<filter-ref name="x-frame-options"/>
<filter-ref name="x-content-type-options"/>
<filter-ref name="Content-Security-Policy"/>
</host>
</server>
<servlet-container name="default">
<jsp-config/>
<websockets/>
</servlet-container>
<filters>
<response-header name="transport-security" header-name="Strict-Transport-Security" header-value="max-age=31536000"/>
<response-header name="x-frame-options" header-name="X-Frame-Options" header-value="DENY"/>
<response-header name="x-content-type-options" header-name="X-Content-Type-Options" header-value="nosniff"/>
<response-header name="Content-Security-Policy" header-name="Content-Security-Policy" header-value="default-src 'self'"/>
</filters>
</subsystem></syntaxhighlight>

==Изменение номера порта==
{{Предупреждение|ОС Linux не позволяет сервисам работающим не от имени root использовать порты с номерами ниже 1024. Для использования портов ниже 1024 необходимо выполнять трансляцию, например с помощью netfilter (iptables/firewalld).}}
Для изменения номера порта необходимо в файле /opt/wildfly/standalone/configuration/standalone.xml (Linux) или в C:\wildfly\standalone\configuration\standalone.xml (Windows), в блоке <syntaxhighlight lang="xml"><socket-binding-group name="standard-sockets" default-interface="public" port-offset="${jboss.socket.binding.port-offset:0}"></syntaxhighlight> в нужном (для http, либо https) параметре <syntaxhighlight lang="xml"><socket-binding name="http" port="${jboss.http.port:8080}"/>
<socket-binding name="https" port="${jboss.https.port:8443}"/></syntaxhighlight> изменить номер используемого порта.

После изменения номера порта, службу WildFly необходимо перезапустить.

При использовании «сервером» стандартных портов (80 для HTTP или 443 для HTTPS), при установке параметров настроек «клиента» для подключения к «серверу», номер порта в адресе дополнительно указывать не рекомендуется во избежании проблем, т.к. в этих случаях, согласно RFC2616 используется порт по умолчанию. При дополнительном указании в адресе порта по умолчанию бывали случаи возникновения проблем подключения.

Приведённые ниже примеры описаны для протокола HTTP. При использовании HTTPS, необходимо также скорректировать название используемого протокола в адресе подключения.
===Изменение порта PCS===
При изменении порта для подключения к PCS, необходимо:
* установить новый порт для обращения к PC в настройках [[Прикладная система|прикладной системы]];
* изменить номер порта в настройках [[Сервер PayControl|PCIS External]].
Для изменения номера порта для обращения к PCS, в настройках PCIS External в файле /opt/wildfly/bin/standalone.conf (Linux) или C:\opt\wildfly\bin\standalone.conf.bat (Windows), в строке
<syntaxhighlight lang="bash">JAVA_OPTS="$JAVA_OPTS -Dpcservice.endpoint=http://localhost:8080/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"</syntaxhighlight>
в параметре -Dpcservice.endpoint=http://<HOSTNAME>:<PORT>/ws/PayControlServiceV3?wsdl установить новое значение <PORT>.
===Изменение порта PCIS Internal===
Для изменения порта для подключения к [[Сервер PayControl|PCIS Internal]] необходимо в БД PCS выполнить следующий запрос:
<syntaxhighlight lang="sql">update pc_system set pc_is_internal_url='http://<HOSTNASME>:<PORT>/wsis/PayControlInteractionService?wsdl' where systemid='XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX';</syntaxhighlight>
где
* <HOSTNASME> - имя хоста PCIS Internal;
* <PORT> новое значение порта;
* XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX - UUID идентификатор прикладной системы.

Допускается выполнять запрос к БД PCS на обновление адреса PCIS Internal без указания systemid, в случае, если подключена только одна прикладная система, или необходимо обновить адрес PCIS Internal для всех прикладных систем.

После изменения номера порта, службу wildfly необходимо перезапустить.
===Изменение порта PCIS External===
{{Предупреждение|При изменении порта PCIS External мобильное приложение потеряет возможность подключения к серверу PayControl до тех пор, пока пользователю мобильного приложения не будет перевыпущен ключ с новым адресом подключения к серверу.}}

{{Предупреждение|Изменение порта, на котором сервер PCIS External ожидает подключения не всегда ведёт к изменению порта назначения, который используется мобильным приложением для доступа к серверу PayControl. Такая ситуация, например, может возникнуть, если перед сервером PCIS External со стороны сети Интернет установлено оборудование/ПО, выполняющее трансляцию сетевых портов.}}
При изменении порта PCIS External необходимо в БД PCS выполнить следующий запрос:
<syntaxhighlight lang="sql">update pc_system set pc_is_external_url='http://<HOSTNASME>:<PORT>/PayControl-interaction-rest/' where systemid='XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX';</syntaxhighlight>
где
* <HOSTNASME> - имя хоста PCIS External, используемое мобильными устройствами для доступа к серверу PayControl;
* <PORT> новое значение порта;
* XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX - UUID идентификатор прикладной системы.

Допускается выполнять запрос к БД PCS на обновление адреса PCIS External без указания systemid, в случае, если подключена только одна прикладная система, или необходимо обновить адрес PCIS External для всех прикладных систем.

После изменения номера порта, службу wildfly необходимо перезапустить.
== Валидация подключения ==
=== PostgreSQL ===
<syntaxhighlight lang="xml">
<validation>
<valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLValidConnectionChecker"></valid-connection-checker>
<exception-sorter class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLExceptionSorter"></exception-sorter>
</validation>
</syntaxhighlight>
=== Oracle ===
<syntaxhighlight lang="xml">
<validation>
<check-valid-connection-sql>select 1 from dual</check-valid-connection-sql>
<validate-on-match>false</validate-on-match>
<background-validation>true</background-validation>
<background-validation-millis>10000</background-validation-millis>
</validation>
</syntaxhighlight>
=== MS SQL ===
<syntaxhighlight lang="xml">
<validation>
<valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.mssql.MSSQLValidConnectionChecker"></valid-connection-checker>
</validation>
</syntaxhighlight>

== Установка лимитов потребляемой памяти ==

Пример. Лимиты доступа к памяти необходимо выбирать исходя из нагрузки и ресурсов сервера.

<syntaxhighlight lang="shell">
JAVA_OPTS=-Xms64m -Xmx512m -XX:MetaspaceSize=96M -XX:MaxMetaspaceSize=256m
</syntaxhighlight>

= Контроль =

== Потребление ресурсов ==

<syntaxhighlight lang="shell">
/opt/jboss/wildfly/bin/jboss-cli.sh --connect
/core-service=platform-mbean/type=memory:read-resource(recursive=true,proxies=true,include-runtime=true,include-defaults=true)
</syntaxhighlight>
Вывод:
<syntaxhighlight lang="json">
{
"outcome" => "success",
"result" => {
"heap-memory-usage" => {
"init" => 641728512L,
"used" => 1746929168L,
"committed" => 4097835008L,
"max" => 10257170432L
},
"non-heap-memory-usage" => {
"init" => 7667712L,
"used" => 331419120L,
"committed" => 357740544L,
"max" => -1L
},
"object-name" => "java.lang:type=Memory",
"object-pending-finalization-count" => 0,
"verbose" => false
}
}
</syntaxhighlight>

== Вывод параметров конфигурации в журнал при старте ==

<syntaxhighlight lang="shell">
JAVA_OPTS=-XshowSettings:all
</syntaxhighlight>

== Журналирование ==

=== Доступ к данным журнала ===

Журнал работы сервера PayControl записываются общий лог функционирования Wildfly.

Файлы журналов за текущий день доступны по следующему пути:
* Linux:
*: /opt/wildfly/standalone/log/server.log
* Windows:
*: C:\wildfly\standalone\log\server.log
Для просмотра журнала за другие дни, нужно добавить к имени файла требуемую дату в формате server.log.YYYY-MM-DD

=== Включение журналирования SOAP-вызовов ===

Для включения расширенного логирования необходимо:
# Остановить службу wildfly.
# Добавить после блока <extensions> ... </extensions> в файл
#* Linux:
#*: /opt/wildfly/standalone/configuration/standalone.xml
#* Windows:
#*: C:\wildfly\standalone\configuration\standalone.xml
#: следующий блок:<syntaxhighlight lang="xml">
<system-properties>
<property name="org.apache.cxf.logging.enabled" value="pretty"/>
</system-properties>
</syntaxhighlight>
# Запустить службу wildfly.

=== Направление логов Wildfly в Kafka ===

Исходник https://developer.jboss.org/docs/DOC-56423. Основное отличие - добавление <code><module name="com.fasterxml.jackson.core.jackson-databind"/></code> в зависимости модуля ''org.apache.kafka.clients''.

==== Модули ====

Файлы модулей можно загрузить с https://mvnrepository.com/

===== org.apache.kafka.clients =====

Создать файл <code>/opt/wildfly/modules/system/layers/base/org/apache/kafka/clients/main/module.xml</code> с содержанием
<syntaxhighlight lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module name="org.apache.kafka.clients" xmlns="urn:jboss:module:1.8">
<resources>
<resource-root path="kafka-clients-2.6.0.jar"/>
<resource-root path="snappy-java-1.1.8.2.jar"/>
<resource-root path="lz4-java-1.7.1.jar"/>
</resources>
<dependencies>
<module name="javax.api"/>
<module name="org.slf4j"/>
<module name="com.fasterxml.jackson.core.jackson-databind"/>
</dependencies>
</module>
</syntaxhighlight>
и добавить в директорию указанные в блоке <code>resources</code> файлы.

===== org.apache.kafka.log4jappender =====

Создать файл <code>/opt/wildfly/modules/system/layers/base/org/apache/kafka/log4jappender/main/module.xml</code> с содержанием
<syntaxhighlight lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module name="org.apache.kafka.log4jappender" xmlns="urn:jboss:module:1.8">
<resources>
<resource-root path="kafka-log4j-appender-2.6.0.jar"/>
<resource-root path="slf4j-log4j12-1.7.30.jar"/>
</resources>
<dependencies>
<module name="org.slf4j"/>
<module name="org.apache.kafka.clients" />
<module name="org.jboss.log4j.logmanager" />
</dependencies>
</module>
</syntaxhighlight>
и добавить в директорию указанные в блоке <code>resources</code> файлы.

===== org.apache.log4j =====

Добавить модуль log4jappender в качестве зависимости в существующий org.apache.log4j модуль:
<syntaxhighlight lang="xml">
<module name="org.apache.log4j" xmlns="urn:jboss:module:1.6">

...

<dependencies>

...

<module name="org.apache.kafka.log4jappender" export="true"/>

</dependencies>

</module>
</syntaxhighlight>

===== org.jboss.as.standalone =====

Указать в имеющемся модуле org.jboss.as.standalone в качестве зависимости модуль org.apache.kafka.clients.
<syntaxhighlight lang="xml">
<module name="org.jboss.as.standalone" xmlns="urn:jboss:module:1.6">

...

<dependencies>

...

<module name="org.apache.kafka.clients" />

</dependencies>

</module>
</syntaxhighlight>

==== Хэндлеры ====

Необходимо добавить перечисленные ниже хэндлеры в файл standalone.xml в блок <code><subsystem xmlns="urn:jboss:domain:logging:8.0"></code>

===== kafka =====

<syntaxhighlight lang="xml">
<custom-handler name="kafka" class="org.apache.kafka.log4jappender.KafkaLog4jAppender" module="org.apache.log4j">
<level name="INFO"/>
<formatter>
<named-formatter name="PATTERN"/>
</formatter>
<properties>
<property name="brokerList" value="localhost:9092"/>
<property name="topic" value="out-topic"/>
</properties>
</custom-handler>
</syntaxhighlight>

===== async-kafka-wrapper =====

<syntaxhighlight lang="xml">
<async-handler name="async-kafka-wrapper">
<level name="ALL"/>
<queue-length value="1024"/>
<overflow-action value="block"/>
<subhandlers>
<handler name="kafka"/>
</subhandlers>
</async-handler>
</syntaxhighlight>

===== Включение хэндлера =====

В блок <code><handlers></code> добавить <code><handler name="async-kafka-wrapper"/></code>

= Проблемы и способы их устранения =

== Очень медленный старт через standalone.sh (каждый этап скрипта запуска - с большими задержками). Система отправляет сигнал на остановку сервиса ==

Вероятная проблема - неверные настройки DNS сервера. 
'''Решение''':Необходимо скорректировать настройки DNS. 
''Проблема обнаружилась 2018-07-27 при развёртывании у заказчика.'' [[Участник:A.bursakov|A.bursakov]] ([[Обсуждение участника:A.bursakov|обсуждение]]) 19:56, 1 августа 2018 (MSK)
==Не происходит «биндинг» IP-адреса адаптера==
Вероятная проблема - отсутствие PTR-записи на DNS-сервере, или неправильная работа службы DNS. 
'''Решение''': Добавить в файл opt/wildfly/bin/standalone.conf (Linux) или C:\opt\wildfly\bin\standalone.conf.bat (Windows), в переменную JAVA_OPTS параметр -Djboss.bind.address=0.0.0.0 
''Проблема проявилась на тестовом Windows-сервере'' [[Участник:A.bursakov|A.bursakov]] ([[Обсуждение участника:A.bursakov|обсуждение]]) 19:56, 1 августа 2018 (MSK)

== Частое появление WARNING в логе ==

Предупреждения в логе вида:
<pre>
WARNING [org.apache.cxf.phase.PhaseInterceptorChain] (default task-1) Interceptor for {http://ws.safetech.ru/PayControlV3/}PayControlServiceV3 has thrown exception, unwinding now: org.apache.cxf.binding.soap.SoapFault: Error writing to XMLStreamWriter.
Caused by: com.ctc.wstx.exc.WstxIOException: UT010029: Stream is closed
Caused by: java.io.IOException: UT010029: Stream is closed
</pre>
<pre>
WARNING [org.apache.cxf.phase.PhaseInterceptorChain] (default task-1) Interceptor for {http://ws.safetech.ru/PayControlV3/}PayControlServiceV3 has thrown exception, unwinding now: org.apache.cxf.interceptor.Fault: Could not send Message.
Caused by: java.io.IOException: Broken pipe
</pre>

Могут быть вызваны системой мониторинга, которая для проверки того, что сервер доступен, устанавливает соединение и обрывает его получив лишь только header.

Для отключения предупреждений о непредвиденном закрытии соединения необходимо в файл /opt/wildfly/standalone/configuration/standalone.xml в блок
<syntaxhighlight lang="xml"><profile>
<subsystem xmlns="urn:jboss:domain:logging:X.X">
...
</subsystem>
</profile></syntaxhighlight> добавить:
<syntaxhighlight lang="xml">

<logger category="org.apache.cxf.phase.PhaseInterceptorChain">
<level name="ERROR"/>
</logger>
</syntaxhighlight>

==INFO: Disabling contextual LOB creation as createClob() method threw error==
Иногда смущает появление в журнале события, из-за присутствия в его составе слова "error":
INFO [org.hibernate.engine.jdbc.env.internal.LobCreatorBuilderImpl] (ServerService Thread Pool -- 64) HHH000424: Disabling contextual LOB creation as createClob() method threw error : java.lang.reflect.InvocationTargetException
Для отключения этого сообщения необходимо установить <code>hibernate.temp.use_jdbc_metadata_defaults=false</code>
в файл persistence.xml, располагающийся внутри модуля сервера следующим образом:
<properties>
...
<property name="hibernate.temp.use_jdbc_metadata_defaults" value="false"/>
...
</properties>

== Wildfly не стартует как служба и нет логов ==
Возможные проблемы:
* Некорректные права на директории/файлы в /opt/wildfly.<syntaxhighlight lang="shell">chown -RHv wildfly:wildfly /opt/wildfly</syntaxhighlight>
* Проблемы с определением необходимой Java. Для восстановления необходимо выполнить <syntaxhighlight lang="shell">sudo update-alternatives --config java</syntaxhighlight>

[[Категория:Серверная часть]]
[[Категория:Возможные проблемы]]
[[Категория:Отладка]]

Заглавная страница

2022-12-21T11:44:43Z

A.bursakov:

Ресурс содержит документацию и справочные сведения и предназначен для предоставления доступа к этой информации партнёрам компании SafeTech.

= PayControl Wiki =

== Список категорий ==

{{Special:AllPages|namespace=14}}

== Список статей ==

{{Special:AllPages}}

= Демо =

== PayControl ==

https://paycontrol.org/demo/

== myDSS ==

=== 2.0 ===

https://mydss.safe-tech.ru/demo/

=== v.1 ===

https://paycontrol.org/mydss/

= Открытый ключ для проверки подписи файлов в репозитории =

* https://repo.paycontrol.org/keySafeTech.pub.asc (до 2022-02-10)
* https://repo.paycontrol.org/SafeTech.pub.asc (до 2024-09-15)

Установка компонентов сервера PC вручную v3.6

2022-12-14T07:20:09Z

A.bursakov: /* Установка Wildfly */

=Подготовка БД=
* Создать базу данных и пользователя на сервере СУБД, где будет работать база данных PCS (pcs-user, pcs-pass, pcs-db, pcs-db-host). Предоставить права на доступ пользователю к БД.
* Создать базу данных и пользователя на сервере СУБД, где будет работать база данных PCP (pcp-user, pcp-pass, pcp-db, pcp-db-host). Предоставить права на доступ пользователю к БД.
=Установка Java=
Установить последнюю версию JRE 11
==Обновление Security==
===JRE 11===
Замена файлов библиотек не требуется.

=Установка Wildfly=
* Скачать версию WildFly Server 26.1.2(Jakarta EE 8 Full & Web Distribution) – https://wildfly.org/downloads/
Далее по тексту, под <WF_PATH> имеется в виду адрес созданной символьной ссылки.
==Linux==
* Распаковать Wildfly, например, в /opt/.
* Создать символьную ссылку /opt/wildfly на распакованную директорию:<source lang="bash">ln -s /opt/wildfly-26.1.2.Final/ /opt/wildfly</source>
==Windows==
* Распаковать Wildfly, например, в C:\.
* Создать символьную ссылку, к примеру ''C:\wildfly'', на распакованную директорию. Пример команды:<syntaxhighlight lang="bat">mklink /D c:\wildfly c:\wildfly-26.1.2.Final\</syntaxhighlight>
==Удаление настроек WildFly по-умолчанию==
Для удаления настроек по-умолчанию, необходимо выполнить пункты описанные по ссылке [[PCWiki:Wildfly#Удаление настроек по умолчанию|Wildfly - Удаление настроек по умолчанию]]

=Настройка подключения к БД=
==Добавление JDBC-драйвера СУБД==
===PostgreSQL===
* Скачать актуальный JDBC-драйвер по адресу https://jdbc.postgresql.org/
* Создать директорию <WF_PATH>/modules/org/postgresql/main/<source lang="bash">sudo mkdir -p /opt/wildfly/modules/org/postgresql/main/</source>
* В директорию поместить скачанный jar.<source lang="bash">sudo mv postgresql-42.2.2.jar /opt/wildfly/modules/org/postgresql/main/</source>
* Создать в этой же папке файл module.xml<source lang="bash">sudo vi /opt/wildfly/modules/org/postgresql/main/module.xml</source>следующего содержания, указав имя файла драйвера вместо "JAR_PATH":<source lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module xmlns="urn:jboss:module:1.0" name="org.postgresql">
<resources>
<resource-root path="JAR_PATH"/>
</resources>
<dependencies>
<module name="javax.api"/>
<module name="javax.transaction.api"/>
<module name="javax.servlet.api" optional="true"/>
</dependencies>
</module>

</source>
* Добавить установленный модуль в качестве драйвера для подключения к СУБД в файл <WF_PATH>/standalone/configuration/standalone.xml, в секцию ''<datasources/drivers>'', добавив следующий блок:

<syntaxhighlight lang="xml">
<driver name="postgresql" module="org.postgresql">
<driver-class>org.postgresql.Driver</driver-class>
</driver>
</syntaxhighlight>

===MS SQL===
* Скачать JDBC-драйвер с сайта Microsoft https://docs.microsoft.com/ru-ru/sql/connect/jdbc/download-microsoft-jdbc-driver-for-sql-server?view=sql-server-ver15
* Создать директорию ''<WF_PATH>/modules/system/layers/base/com/microsoft/sqlserver/main/''
* В директорию распаковать файлы и директории драйвера. Файлы драйвера (*.jar) должны располагаться непосредственно в директории ''main/''
* Создать в этой же папке файл module.xml следующего содержания, заменив JAR_PATH на имя файла драйвера, например на ''mssql-jdbc-6.2.1.jre8.jar'':
<syntaxhighlight lang="xml"><?xml version="1.0" encoding="UTF-8"?>
<module xmlns="urn:jboss:module:1.3" name="com.microsoft.sqlserver">
<resources>
<resource-root path="JAR_PATH"/>
</resources>
<dependencies>
<module name="javax.api"/>
<module name="javax.transaction.api"/>
<module name="javax.xml.bind.api"/>
</dependencies>
</module>
</syntaxhighlight>
* Добавить установленный модуль в качестве драйвера для подключения к СУБД в файл <WF_PATH>/standalone/configuration/standalone.xml, в секцию ''<datasources/drivers>'', добавив следующий блок:
<syntaxhighlight lang="xml">
<driver name="mssql" module="com.microsoft.sqlserver">
<driver-class>com.microsoft.sqlserver.jdbc.SQLServerDriver</driver-class>
</driver>
</syntaxhighlight>

==Добавление испочников данных для модулей==
===PostgreSQL===
====PCS====
В файл ''<WF_PATH>/standalone/configuration/standalone.xml'' внести следующие изменения добавить новый источник данных в секцию ''<datasources>'' заменив pcs-db-host, port, pcs-db, pcs-user, pcs-pass:
<source lang="xml">
<datasource jta="true" jndi-name="java:jboss/datasources/PayControlDS" pool-name="PayControlDS" enabled="true" use-ccm="true">
<connection-url>jdbc:postgresql://pcs-db-host:port/pcs-db</connection-url>
<driver-class>org.postgresql.Driver</driver-class>
<connection-property name="url">
jdbc:postgresql://pcs-db-host:port/pcs-db
</connection-property>
<driver>postgresql</driver>
<security>
<user-name>pcs-user</user-name>
<password>pcs-pass</password>
</security>
<validation>
<valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLValidConnectionChecker"/>
<background-validation>true</background-validation>
<exception-sorter class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLExceptionSorter"/>
</validation>
</datasource>
</source>
====PCIS Internal====
На сервере PCIS Internal добавить новый источник данных в секцию ''<datasources>'', заменив pcp-db-host, port, pcp-db, pcp-user, pcp-pass:
<source lang="xml">
<datasource jta="true" jndi-name="java:jboss/datasources/PayControlISDS" pool-name="PayControlISDS" enabled="true" use-ccm="true">
<connection-url>jdbc:postgresql://pcp-db-host:port/pcp-db</connection-url>
<driver-class>org.postgresql.Driver</driver-class>
<connection-property name="url">
jdbc:postgresql://pcp-db-host:port/pcp-db
</connection-property>
<driver>postgresql</driver>
<security>
<user-name>pcp-user</user-name>
<password>pcp-pass</password>
</security>
<validation>
<valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLValidConnectionChecker"/>
<background-validation>true</background-validation>
<exception-sorter class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLExceptionSorter"/>
</validation>
</datasource>
</source>

===MS SQL===
====PCS====
В файл ''<WF_PATH>/standalone/configuration/standalone.xml'' внести следующие изменения добавить новый источник данных в секцию ''<datasources>'' заменив pcs-db-host, port, pcs-db-host, pcs-db, pcs-user, pcs-pass:
<source lang="xml">
<datasource jta="true" jndi-name="java:jboss/datasources/PayControlDS" pool-name="PayControlDS" enabled="true" use-ccm="true">
<connection-url>jdbc:sqlserver://pcs-db-host:port;databaseName=pcs-db</connection-url>
<connection-property name="url">
jdbc:sqlserver://pcs-db-host:port;databaseName=pcs-db
</connection-property>
<driver>mssql</driver>
<security>
<user-name>pcs-user</user-name>
<password>pcs-pass</password>
</security>
<pool>
<min-pool-size>5</min-pool-size>
<max-pool-size>50</max-pool-size>
<prefill>false</prefill>
<use-strict-min>false</use-strict-min>
<flush-strategy>FailingConnectionOnly</flush-strategy>
</pool>
<validation>
<valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.mssql.MSSQLValidConnectionChecker"></valid-connection-checker>
</validation>
</datasource>
</source>
====PCIS Internal====
На сервере PCIS Internal добавить новый источник данных в секцию ''<datasources>'', заменив pcp-db-host, port, pcp-db-host, pcp-db, pcp-user, pcp-pass:
<source lang="xml">
<datasource jta="true" jndi-name="java:jboss/datasources/PayControlISDS" pool-name="PayControlISDS" enabled="true" use-ccm="true">
<connection-url>jdbc:sqlserver://pcp-db-host:port;databaseName=pcp-db</connection-url>
<connection-property name="url">
jdbc:sqlserver://pcp-db-host:port;databaseName=pcp-db
</connection-property>
<driver>mssql</driver>
<security>
<user-name>pcp-user</user-name>
<password>pcp-pass</password>
</security>
<pool>
<min-pool-size>5</min-pool-size>
<max-pool-size>50</max-pool-size>
<prefill>false</prefill>
<use-strict-min>false</use-strict-min>
<flush-strategy>FailingConnectionOnly</flush-strategy>
</pool>
<validation>
<valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.mssql.MSSQLValidConnectionChecker"></valid-connection-checker>
</validation>
</datasource>
</source>

===Oracle===
====PCS====
В файл ''<WF_PATH>/standalone/configuration/standalone.xml'' внести следующие изменения добавить новый источник данных в секцию ''<datasources>'' заменив pcs-db-host, port, pcs-db, pcs-user, pcs-pass, sid:
<source lang="xml">
<datasource jta="true" jndi-name="java:jboss/datasources/PayControlDS" pool-name="PayControlDS" enabled="true" use-ccm="true">
<connection-url>jdbc:oracle:thin:@pcp-db-host:port:sid</connection-url>
<driver>com.oracle</driver>
<pool>
<min-pool-size>1</min-pool-size>
<max-pool-size>5</max-pool-size>
<prefill>true</prefill>
</pool>
<security>
<user-name>pcs-user</user-name>
<password>pcs-pass</password>
<validation>
<check-valid-connection-sql>select 1 from dual</check-valid-connection-sql>
<validate-on-match>false</validate-on-match>
<background-validation>true</background-validation>
<background-validation-millis>10000</background-validation-millis>
</validation>
</security>
</datasource>
</source>
====PCIS Internal====
На сервере PCP добавить новый источник данных в секцию ''<datasources>'', заменив pcp-db-host, port, pcp-db, pcp-user, pcp-pass, sid:
<source lang="xml">
<datasource jta="true" jndi-name="java:jboss/datasources/PayControlISDS" pool-name="PayControlISDS" enabled="true" use-ccm="true">
<connection-url>jdbc:oracle:thin:@pcp-db-host:port:sid</connection-url>
<driver>com.oracle</driver>
<pool>
<min-pool-size>1</min-pool-size>
<max-pool-size>5</max-pool-size>
<prefill>true</prefill>
</pool>
<security>
<user-name>pcp-user</user-name>
<password>pcp-pass</password>
<validation>
<check-valid-connection-sql>select 1 from dual</check-valid-connection-sql>
<validate-on-match>false</validate-on-match>
<background-validation>true</background-validation>
<background-validation-millis>10000</background-validation-millis>
</validation>
</security>
</datasource>
</source>

=Настройка подключения PCE к PCS=
На сервере PCE необходимо установить адрес сервера PCS (host и port заменить на реальные значения). Для этого:
* на Linux в файл ''<WF_PATH>/bin/standalone.conf'' нужно добавить <syntaxhighlight lang="bash">JAVA_OPTS="$JAVA_OPTS -Dpc_url=http://<host>:<port>/pc-api/ -Dpc_locale=ru"</syntaxhighlight>
* на Windows в файл ''<WF_PATH>/bin/standalone.conf.bat'' нужно добавить <syntaxhighlight lang="bat">set "JAVA_OPTS=%JAVA_OPTS% -Dpc_url=http://<host>:<port>/pc-api/ -Dpc_locale=ru"</syntaxhighlight> выше метки :JAVA_OPTS_SET

=Настройка выделения памяти серверу=
На всех серверах установить максимальный объем доступной для использования памяти:
* на Linux в ''<WF_PATH>/bin/standalone.conf'' указать объём «ОбщийОбъёмОЗУ - 512MB»
* на Windows в ''<WF_PATH>\bin\standalone.conf.bat'' указать объём «ОбщийОбъёмОЗУ - 1536MB»
Для этого в строке
''JAVA_OPTS="-Xms64m -Xmx512m -XX:MetaspaceSize=96M -XX:MaxMetaspaceSize=256m -Djava.net.preferIPv4Stack=true"'' поменять значение параметра ''Xmx'' на выделяемый объём.
==Запуск проекта==
* Скопировать файл приложения сервера ''<WF_PATH>\standalone\deployments\'':
** на PC Server - файл ''pc-server-<VERSION>.ear''
** на PC Pusher - файл ''pc-pusher-<VERSION>.war''
** на PC External - файл ''pc-external-<VERSION>.war''
Один сервер WildFly может запускать одно или несколько приложений сервера
* Запустить
** Linux <syntaxhighlight lang="bash"><WF_PATH>/bin/standalone.sh -b 0.0.0.0</syntaxhighlight>
** Windows <syntaxhighlight lang="bat"><WF_PATH>\bin\standalone.bat -b 0.0.0.0</syntaxhighlight>
*: где -b 0.0.0.0 - позволяет подключаться к серверу используя любой его интерфейс (опция bind)
* Дождаться старта WF, проверить, что нет ошибок запуска.
==Настройка автозапуска службы сервера==
===Linux===
Для настройки автозапуска службы, перейти в каталог <WF_PATH>/docs/contrib/scripts/systemd/ и выполнить шаги, описанные в файле README в этом каталоге, за исключением пунктов распаковки и создания символьной ссылки на каталог.
Пункт <code>chown -R wildfly:wildfly /opt/wildfly</code> необходимо выполнить с параметрами «-RH» (параметр «H» указывает, что если на вход подана символьная ссылка, то нужно пойти вглубь каталога, на который она ссылается). Таким образом команда должна выглядеть следующим образом:
<syntaxhighlight lang="bash">chown -RHv wildfly:wildfly /opt/wildfly</syntaxhighlight>
При запуске в качестве службы, возможно отклонение запросов. В таком случае необходимо установить параметры JAVA_OPTS в файле standalone.conf:
<syntaxhighlight lang="bat">JAVA_OPTS="$JAVA_OPTS -Djboss.bind.address=0.0.0.0"</syntaxhighlight>
===Windows===
Скопировать папку 
''<WF_PATH>\docs\contrib\scripts\service\'' 
в папку 
''<WF_PATH>\bin\'' 
Выполнить
<syntaxhighlight lang="bat"><WF_PATH>\bin\service\service.bat install /startup</syntaxhighlight>
При запуске в качестве службы, возможно отклонение запросов. В таком случае необходимо установить параметры JAVA_OPTS в файле standalone.conf.bat выше метки :JAVA_OPTS_SET.
<syntaxhighlight lang="bat">set "JAVA_OPTS=%JAVA_OPTS% -Djboss.bind.address=0.0.0.0"</syntaxhighlight>

==URL-фильтрация при совмещении PC Pusher и PC External==
При совмещении ролей PC Pusher и PC External на одном сервере необходимо исключить возможность выполнения запросов PC Pusher со стороны сети интернет. 
Для этого необходимо со стороны сети интернет разрешить подключения только на конечную точку PC External. 
Конечная точка PC External - ''<host>:<port>/pc-client-api/*'' 
Доступ к другим конечным точкам должен быть запрещен.

При этом доступ к PC Pusher со стороны PC Server должен сохраниться. 
Конечная точка PC Pusher - ''<host>:<port>/pc-pusher-api/*''
=Внесение изменений в БД=
==Создание индексов БД PCS==
После первого запуска приложения, в базе данных будут созданы необходимые таблицы.

На продуктивной среде после этого необходимо создать индексы в базе данных PC Server.

Для этого выполните SQL скрипт:
<syntaxhighlight lang="sql">
create index pc_keyinfo1_idx on PC_KEYINFO (userID, expiration_date, is_deleted);
create index pc_delayedkeyinfo1_idx on PC_DELAYEDKEYINFO (userID, is_deleted);
create index pc_device1_idx on PC_DEVICE (userID, is_deleted);
create index pc_transaction1_idx on PC_TRANSACTION (userID, status);
create index pc_device2_idx on PC_DEVICE (userID);
create index pc_keyinfo2_idx on PC_KEYINFO (userID);
create index pc_transaction2_idx on PC_TRANSACTION (userID);
create index pc_user1_idx on PC_USER (systemID);
</syntaxhighlight>
==Корректировка типов данных для MS SQL==
Java-приложение при создании таблиц БД неоптимально устанавливает тип для одного из полей для СУБД MS SQL.

Для его корректировки после того, как таблицы созданы, выполните запрос
<syntaxhighlight lang="sql">
ALTER TABLE PC_TRANSACTION ALTER COLUMN DATA_BINARY image;
</syntaxhighlight>
==Регистрация системы==
После успешного запуска приложения PC Server до начала работы необходимо зарегистрировать прикладную систему.

Это действие выполняется путем отправки на PC Server HTTP POST запроса, сформированного ST/Airome. Содержание запроса предоставляется дополнительно.

Для отправки запроса можно использовать любое средство отправки HTTP-запросов.
===Примеры===
====PowerShell====
<syntaxhighlight lang="PowerShell">
$headers = New-Object "System.Collections.Generic.Dictionary[[String],[String]]"
$headers.Add("Content-Type", "application/json")

$body = "{n "request`":"eyJyZXF1ZXN0Ijp7InFyVVJMU2NoZW1lIjEE9NoZ+W1lIjEE9NoZW... ...9NoZW1lIjEE+9NoZW1lIjEE9NoZW1lIjEE9PSJ9"`n}"

$response = Invoke-RestMethod 'https://dev.paycontrol.org/v5.0/pc-api/' -Method 'POST' -Headers $headers -Body $body
$response | ConvertTo-Json
</syntaxhighlight>
====cURL====
<syntaxhighlight lang="bat">
curl --location --request POST 'http://<host>:<port>/pc-api/' --header 'Content-Type: application/json' --data-raw '{"request":"eyJyZXF1ZXN0Ijp7InFyVVJMU2NoZW1lIjEE9NoZ+W1lIjEE9NoZW1lIjEE9... ...IjEE9NoZW1lIjEE9PSJ9"}'
</syntaxhighlight>

==Доступ к сервисам==
Адреса конечных точек по умолчанию:
* PC Server - http://<IP или имя сервера с WF >:8080/ws/PayControlServiceV3?wsdl; http://<IP или имя сервера с WF >:8080/ws/PayControlReportService?wsdl
* PCIS Internal - http://<IP или имя сервера с WF>:8080/wsis/PayControlInteractionService?wsdl - долна отобразиться wsdl-схема
* PCIS External - http://<IP или имя сервера с WF >:8080/PayControl-interaction-rest/ - (при запросе на этот адрес должно возвратиться «Not Found». Также необходимо обратить внимание, на то, какой протокол разрешён – HTTP или HTTPS)

=Внесение аутентификационных данных для отправки push-уведомлений=
{{Предупреждение|Для отличных от PostgreSQL СУБД измените метод работы с последовательностями}}

Для '''MSSQL''' необходимо вместо строк <code>nextval('pc_split_pusher_creds_seq'),</code> использовать строку <code>NEXT VALUE FOR pc_split_pusher_creds_seq,</code>.

Для '''Oracle''' необходимо вместо строк <code>nextval('pc_split_pusher_creds_seq'),</code> использовать строку <code>pc_split_pusher_creds_seq.NEXTVAL,</code>.
==В приложение PayControl==
Для внесение аутентификационных данных для отправки push-уведомлений в приложение PayControl необходимо выполнить следующие запросы к БД PC Pusher, заменив значения %SYSTEMID% на корректное.

Обратите внимание, что знаки процента '''нужно удалить'''.
После выполнения запросов необходимо [[PCWIKI:Руководство_администратора_PayControl_v5#Запуск и остановка служб сервера PayControl|перезапустить Wildfly]] сервера PC Pusher.

Пример для СУБД PostgreSQL:
<syntaxhighlight lang="sql">INSERT INTO pc_split_pusher_credentials (
id,
appid,
credentials,
os,
systemid)
VALUES (
nextval('pc_split_pusher_creds_seq'),
'org.paycontrol.app',
'{"google_api_key":"AAAAoZ7vyz4:APA91bFqLfNegQCs_GfHGFeOmS68PHWWSzWpeZaYKfnLul9iHufIQJiNIAjgAykeWrTxiDDs9qQzullXww3o5XR0VS9tlBEpuhTMlz4CyHdmN2EhntJBBUlSQa-8--Rw_UzDbKBCGCXk"}',
'Android',
'%SYSTEMID%');

INSERT INTO pc_split_pusher_credentials (
id,
appid,
credentials,
os,
systemid)
VALUES (
nextval('pc_split_pusher_creds_seq'),
'org.paycontrol.app',
'{"apns_key_file":"C:\\wildfly\\safetech-apns-JVBQX52N5Z.p8","apns_key_id":"JVBQX52N5Z","apns_team_id":"48HZH4RWJD"}',
'iOS',
'%SYSTEMID%');</syntaxhighlight>

==В приложение PayConfirm==
Для внесение аутентификационных данных для отправки push-уведомлений в приложение PayConfirm необходимо выполнить следующие запросы к БД PC Pusher, заменив значения %SYSTEMID% на корректное.

Обратите внимание, что знаки процента '''нужно удалить'''.
После выполнения запросов необходимо [[PCWIKI:Руководство_администратора_PayControl_v5#Запуск и остановка служб сервера PayControl|перезапустить Wildfly]] сервера PC Pusher.

Пример для СУБД PostgreSQL:
<syntaxhighlight lang="sql">INSERT INTO pc_split_pusher_credentials (
id,
appid,
credentials,
os,
systemid)
VALUES (
nextval('pc_split_pusher_creds_seq'),
'org.payconfirm.app',
'{"google_api_key":"AAAA4H70m7M:APA91bFsaPiXXiIuRyj4h-xGZpyd0-I3B9F1udIIergxaK8uL9vPPvUQXOvPfau2w8E-xur_6TlTzmhb2JsO13hBCxVDrNybD6Rj8k4hZKXfs7tC5fnJuWmCIB3-O_4dLo0QHlhfSbGn"}',
'Android',
'%SYSTEMID%');

INSERT INTO pc_split_pusher_credentials (
id,
appid,
credentials,
os,
systemid)
VALUES (
nextval('pc_split_pusher_creds_seq'),
'org.payconfirm.app',
'{"apns_key_file":"C:\\wildfly\\safetech-apns-JVBQX52N5Z.p8","apns_key_id":"QCC684AGC4","apns_team_id":"B98K5P3YHV"}',
'iOS',
'%SYSTEMID%');</syntaxhighlight>

==В другое мобильное приложение==
Для внесение аутентификационных данных для отправки push-уведомлений необходимо выполнить запрос к БД PC Pusher, заменив значение %SYSTEMID%, %appid%, %путь к файлу ключа%, %apns_key_id%, %apns_team_id%, %google_api_key% на корректные (эти данные, за исключением %SYSTEMID%, можно получить от разработчика мобильного приложения), и, '''удалив''' знаки процента:
<syntaxhighlight lang="sql">
INSERT INTO pc_split_pusher_credentials (
id,
appid,
credentials,
is_default,
os,
systemid)
VALUES (
nextval('pc_split_pusher_creds_seq'),
'%appid%',
'{"google_api_key":"%google_api_key%"}',
1,
'Android',
'%SYSTEMID%');

INSERT INTO pc_split_pusher_credentials (
id,
appid,
credentials,
is_default,
os,
systemid)
VALUES (
nextval('pc_split_pusher_creds_seq'),
'%appid%',
'{"apns_key_file":"%путь к файлу ключа%","apns_key_id":"%apns_key_id%","apns_team_id":"%apns_team_id%"}',
1,
'iOS',
'%SYSTEMID%');

commit;
</syntaxhighlight>

=Корректировка (смена) адресов компонентов серверов PC (при необходимости)=
{{Предупреждение|Не рекомендуется дополнительно указывать номер порта, в случаях, если для HTTP используется порт 80, или для HTTPS используется порт 443}}
==Учёт изменения адреса сервера PC Server==
Для учёта изменения адреса PCS необходимо произвести изменения в настройках PCE. В файле /opt/wildfly/bin/standalone.conf, в следующей строке, указав правильный адрес и при необходимости порт сервера PC Server, а также уточнив протокол подключения (HTTP/HTTPS):
<syntaxhighlight lang="bash">
JAVA_OPTS="$JAVA_OPTS -Dpc_url=http[s]://<IP или DNS-имя>[:PORT]/pc-api/ -Duser.language=ru -Dpc_locale=ru"
</syntaxhighlight>

==Учёт изменения адреса сервера PC Pusher==
Для учёта изменения адреса сервера PCP, необходимо, предварительно указав корректные данные (протокол (HTTP/HTTPS), имя или IP сервера, порт, идентификатор системы), выполнить запрос к БД PCS:
<syntaxhighlight lang="sql">update pc_system set pc_is_internal_url = 'http[s]://<IP или DNS-имя>[:PORT]/pc-pusher-api/' where systemid='<SYSTEMID>';</syntaxhighlight>
==Учёт изменения внешнего адреса сервера PC External==
{{Предупреждение|Если система была переведена в промышленную эксплуатацию, при смене адреса для доступа мобильных устройств, не рекомендуется выводить из действия предыдущий адрес на протяжении всего срока действия выпущенных ключей пользователя. Иначе мобильное приложение потеряет доступ к серверу PC и для восстановления будет необходимо перевыпустить ключ и заново добавить его в приложение пользователя.}}
Для учёта изменения внешнего адреса сервера PC, по которому связываются мобильное приложение с сервером PC, необходимо, предварительно указав корректные данные (протокол (HTTP/HTTPS), имя или IP сервера, порт, идентификатор системы), выполнить запрос к БД PCS:
<syntaxhighlight lang="sql">update pc_system set pc_is_external_url = 'http[s]://<IP или DNS-имя>[:PORT]/pc-client-api/' where systemid='<SYSTEMID>';</syntaxhighlight>

LoQR

2022-12-07T09:56:52Z

A.bursakov: /* Windows */

=Инсталляция=
==Linux==
# Установить на серверы '''LoQR Internal''' и '''LoQR External''' Java Runtime Environement (8/11).
# Создать БД Redis, доступную для '''LoQR Internal''' и '''LoQR External'''.
# Распаковать архив с инсталлятором.
# Разрешить запуск файла <code>install</code>.
# Скопировать конфигурационные файлы internal.conf.DEFAULT и external.conf.DEFAULT в файлы internal.conf и external.conf соответственно.
# В файлах internal.conf и external.conf указать необходимые конфигурационные параметры.
#* internal.conf <syntaxhighlight lang="bash"># Installator Params (NOT NEED TO MODIFY) - Параметры инсталлятора. Не стоит изменять при необходимости.
PC_MODULE=internal
PC_TITLE="PC LoQR Internal"
PC_MODULE_FILENAME=loqr-1.0-25.jar

# PC LoQR Internal Params

## Self params - Протокол доступа, имя сервера LoQR Internal, порт, пользователь, под которым будет запускаться служба.
PC_URL=http://loqr-int-hostname
PC_PORT=8098
PC_USER=pc_user

## Another components addressation - Расположение прочих компонентов

### PC LoQR External
PC_LOQR_EXT_URI=http://loqr-ext-hostname:8099

### PC Server
PC_SERVER_URI=https://pc-server-hostname/pc-api/

### Redis
REDIS_PORT=6379
REDIS_HOST=redis-hostname
REDIS_DB=1</syntaxhighlight>
#* external.conf <syntaxhighlight lang="bash"># Installator Params (NOT NEED TO MODIFY)
PC_MODULE=external
PC_TITLE="PC LoQR External"
PC_MODULE_FILENAME=loqr-external-1.0-25.jar

# PC LoQR External Params

## Self params
PC_URL=http://loqr-ext-hostname
PC_PORT=8099
PC_USER=pc_user
PC_QR_LOGO=logo.png

## Another components addressation

### PC LoQR Internal
PC_LOQR_INT_URI=http://loqr-int-hostname:8098

### Redis
REDIS_PORT=6379
REDIS_HOST=redis-hostname
REDIS_DB=1</syntaxhighlight>
# Указать в external/application.yml адрес самого LoQR External:
#* <syntaxhighlight lang="yaml">
url: "http://loqr-ext-hostname:loqr-ext-port"
</syntaxhighlight>
# Запустить инсталлятор
#* на сервере '''LoQR Internal''':<syntaxhighlight lang="bash">./install internal</syntaxhighlight>
#* на сервере '''LoQR External''':<syntaxhighlight lang="bash">./install external</syntaxhighlight>

==Windows==

=== winsw ===

https://www.baeldung.com/spring-boot-app-as-a-service#1-windows-service-wrapper

=== NSSM ===

* Установить на серверы '''LoQR Internal''' и '''LoQR External''' Java Runtime Environement (8/11).
* Создать БД Redis, доступную для '''LoQR Internal''' и '''LoQR External'''.
* Загрузить стабильный NSSM (http://nssm.cc/download) и распаковать папку nssm.
* Положить в одну папку файлы loqr-internal*.jar/loqr-extertnal*.jar и application.yml.
* Открыть терминал от Администратора->перейти в папку *\nssm\win64
* Для установки будет использован файл win64\nssm.exe, SHA-256 f689ee9af94b00e9e3f0bb072b34caaf207f32dcb4f5782fc9ca351df9a06c97
* Пример установки:
[[Файл:LoQ_example.jpg]]
* Установка LoQR Internal, как сервис:

Перейдите в папку nssm->win64 и в терминале выполните команду:
nssm install LoQInt

В открывшихся настройках сервиса:
Path - путь до java.exe
Startup directory - указать путь к папке с loqr-internal
Arguments - параметры запуска - "-Xms256m -Xmx512m -jar C:\"путь к папке с loqr-internal"\loqr-internal-1.0.34.jar --logging.file=C:\"путь к папке с loqr-internal"\app.log"
* Установка LoQR External, как сервис
Перейдите в папку nssm->win64 и терминале выполните команду:
nssm install LoQExt

В открывшихся настройках сервиса:
Path - путь до java.exe
Startup directory - указать путь к папке с loqr-external
Arguments - параметры запуска - "-Xms256m -Xmx512m -jar C:\"путь к папке с loqr-external"\loqr-external-1.0.34.jar --logging.file=C:\"путь к папке с loqr-external"\app.log"
* Логи будут записываться в файл app.log рядом с jar-файлом.
* После конфигурирования можно запускать сервисы.

=Конфигурирование=
==Включение TLS==
Чтобы включить TLS необходимо в конфигурационном файле application.yml '''LoQR External''' в секцию server добавить записи:
<syntaxhighlight lang="yaml">
ssl:
key-store-type: PKCS12
key-store: <path-to-pkcs-12-file>
key-store-password: <pkcs-12 password>
key-alias: <key-alias>
</syntaxhighlight>
==Аутентификация в Redis==
Для аутентификации по паролю в Redis необходимо его указать в параметрах подключения, в поле <code>password</code>:
<syntaxhighlight lang="yaml">
spring:
redis:
host: redis.example.com
port: 6379
database: 1
password: pass
lettuce:
pool:
min-idle: 8
</syntaxhighlight>

==Пример полной конфигурации==
<syntaxhighlight lang="yaml">
server:
port: 8099
address: 0.0.0.0
ssl:
key-store-type: PKCS12
key-store: /media/keystore/examcont.p12
key-store-password: 874814
key-alias: examplecont
loqrExternal:
url: "http://loqr.example.com:8099"
loqr: "http://loqr.example.com:8098"
logoQRPath: "/opt/loq/logo_.png"
logoOn: true
timeoutInSecond:
QR: 120
session: 600
spring:
redis:
host: redis.example.com
port: 6379
database: 1
password: pass
lettuce:
pool:
min-idle: 8
</syntaxhighlight>
=Администрирование=
==Запуск и остановка служб сервера LoQR==
Запуск:
<syntaxhighlight lang="bash">
systemctl start pc-loqr-external
systemctl start pc-loqr-internal
</syntaxhighlight>
Остановка:
<syntaxhighlight lang="bash">
systemctl stop pc-loqr-external
systemctl stop pc-loqr-internal
</syntaxhighlight>
Перезапуск:
<syntaxhighlight lang="bash">
systemctl restart pc-loqr-external
systemctl restart pc-loqr-internal
</syntaxhighlight>
==Просмотр журналов==
<syntaxhighlight lang="bash">
journalctl -u pc-loqr-external
journalctl -u pc-loqr-internal
</syntaxhighlight>

Обновление с 3.6 до 3.9

2022-10-13T11:57:48Z

A.bursakov:

В версии 3.8 реализовано взаимодействие с [[PC Pusher 5.2|PC Pusher 5.x]], который, в свою очередь, поддерживает отправку пуш-уведомлений на устройства Huawei. Обновлению с 3.6-3.7 подлежат модули PCS и PC External.

{{Предупреждение|Модуль PCIS Internal 3.6/3.7 подлежит замене на модуль PC Pusher 5.5. PCS с версии 3.8 не поддерживает работу с модулем PCIS Internal.}}

В версии 3.9 добавлена функциональность формирования имитовставки, для соответствия п.5.1 Положения Банка России от 17 апреля 2019 года N 683-П:

В целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом кредитные организации должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.

Модули сервера доступны по ссылкам:
* PC Server (https://repo.paycontrol.org/server/maven/tech/paycon/server/PayControl-services-module/), версия 3.9.xxx;
* PC External (https://repo.paycontrol.org/server/maven/tech/paycon/server/PayControl-interaction-rest/), версия 3.9.xxx;
* PC Pusher (https://repo.paycontrol.org/server/maven/tech/paycon/server/pc-pusher/), версия 5.5.xxx.

= Обновление Java =

Перед обновлением компонентов PC требуется обновить Java до версии 11. Версия 8 больше не поддерживается.

При установке Java новой версии, старая версия не удаляется, и [[Wildfly]] может продолжить работать на версии 8, что приведёт к ошибкам. Для того чтобы компоненты работали под Java 11, необходимо либо удалить неактуальную версию Java, либо выбрать необходимую версию с помощью:

<syntaxhighlight lang="shell">
sudo update-alternatives --config java
</syntaxhighlight>

= Обновление PC Server и PC External =

Перед обновлением настоятельно рекомендуем также выполнить резервное копирование баз данных PC.

Для обновления необходимо заменить на серверах файлы модулей PC Server и PC External в директории ''deployments'' сервера приложений [[Wildfly]].

Они имеют названия вида:
* PayControl-services-module-3.x.x.ear - PC Server;
* PayControl-interaction-rest-3.x.x.war - PC External.
Перед заменой файлов [[Руководство_администратора_PayControl_v3#Запуск и остановка служб сервера PayControl|остановите Wildfly]].
Файлы сервера предыдущей версии настоятельно рекомендуем сохранить для возможности отката на предыдущую версию.

После замены файлов и развёртывания новых, в директории ''deployments'' будут созданы файлы с названиями:
* *.undeployed, где вместо * будет указано название убранного из директории файла модуля сервера. Файлы с расширением undeployed рекомендуется удалить.
* и с расширением *.deployed, где вместо * будут указаны названия новых модулей.
При появлении файлов с расширением *.failed, необходимо [[Руководство_администратора_PayControl_v3#Запуск и остановка служб сервера PayControl|перезапустить Wildfly]].

= Переход с PCIS Internal на PC Pusher =

== Замена файлов модулей ==

{{Предупреждение|PC Pusher для своей работы не требует использования БД, в отличие от PCIS Internal.}}

Для обновления необходимо заменить на сервере файлы модуля PCIS Internal в директории deployments сервера приложений Wildfly. Файл имеют названия вида:

*PayControl-interaction-module-3.x.xxx.ear - PCIS Internal

Перед заменой файлов [[Руководство_администратора_PayControl_v3#Запуск и остановка служб сервера PayControl|остановите Wildfly]].
Файлы сервера предыдущей версии настоятельно рекомендуем сохранить для возможности отката на предыдущую версию.

*Новый файл имеет название вида: pc-pusher-5.5.xxx.war

После замены файлов и развёртывания новых, в директории deployments будут созданы файлы с названиями:

*.undeployed, где вместо * будет указано название убранного из директории файла модуля сервера. Файлы с расширением undeployed рекомендуется удалить.
*и с расширением *.deployed, где вместо * будут указаны названия новых модулей.
При появлении файлов с расширением *.failed, необходимо [[Руководство_администратора_PayControl_v3#Запуск и остановка служб сервера PayControl|перезапустить Wildfly]].
==Настройка PCS для работы с PCP==
После замены PCIS Internal на PC Pusher '''необходимо''' заменить его адрес в БД PCS:
<syntaxhighlight lang="sql">update pc_system set pc_is_internal_url='http[s]://pcphost:port/pc-pusher-api/';</syntaxhighlight>

Далее, '''необходимо''' предоставить доступ PC Pusher для отправки данных пушей в сервис HMS (Huawei Mobile Services).
При отправке push-сообщений, запросы должны отправляются по адресу https://push-api.cloud.huawei.com/ ,порт 443.

Также, с сервера PC Pusher '''должен''' быть доступен адрес: https://oauth-login.cloud.huawei.com/oauth2/v3/token

В случае, если PC Pusher находится на одном сервере с PC External, то '''необходимо''' перенастроить правила URL-фильтрации.

== Настройка PC Pusher ==

Если для подтверждения транзакций используется приложение PayControl, то данная настройка не требуется.

По умолчанию, если app/bundle id для отправки пуш-уведомлений явно не указан для устройства, PCS 3.9 отправляет пуши в приложение PayControl Classic.

Для отправки пушей в другое приложения необходимо:
# Произвести настройки аутентификационных данных "другого" мобильного приложения в соответствии с [[PC_Pusher_5.2|этой статьей]]
# Прописать app/bundle id необходимого приложения в БД PCS(после выполнения запроса необходимо перезапустить Wildfly):
Пример: <syntaxhighlight lang="sql">insert into pc_sys_property values (nextval('pc_setting_seq'), 'APP_ID_FOR_PUSHER', '{"Android":"com.example.mobile.app","iOS":"com.example.apple.app","Huawei":"com.example.apple.app"}');</syntaxhighlight>
Шаблоны:
* PostgreSQL <syntaxhighlight lang="sql">insert into pc_sys_property values (nextval('pc_setting_seq'), 'APP_ID_FOR_PUSHER', '{"Android":"your_appid","iOS":"your_appid","Huawei":"your_appid"}');</syntaxhighlight>
* MS SQL <syntaxhighlight lang="sql">insert into pc_sys_property values (NEXT VALUE FOR PC_SETTING_SEQ, 'APP_ID_FOR_PUSHER', '{"Android":"your_appid","iOS":"your_appid","Huawei":"your_appid"}');</syntaxhighlight>
* Oracle <syntaxhighlight lang="sql">insert into pc_sys_property values (PC_SETTING_SEQ.NEXTVAL, 'APP_ID_FOR_PUSHER', '{"Android":"your_appid","iOS":"your_appid","Huawei":"your_appid"}');</syntaxhighlight>

= Включение имитовставки =

Способ включения выработки имитовставки описан в статье [[Включение формирования имитовставки]].

Обновление с 3.6 до 3.8

2022-10-12T13:17:26Z

A.bursakov: Перенаправление на Обновление с 3.6 до 3.9

#перенаправление [[Обновление_с_3.6_до_3.9]]

Установка компонентов сервера PayControl v3.8 вручную

2022-10-12T13:12:46Z

A.bursakov: Перенаправление на Установка компонентов сервера PayControl v3.9 вручную

#перенаправление [[Установка компонентов сервера PayControl v3.9 вручную]]

Включение формирования имитовставки

2022-09-28T11:17:41Z

A.bursakov:

= Подготовка =

Для включения данной функции серверная часть PC '''должна быть обновлена''' до версии ''3.9.х'' или ''5.5.х''. На версиях сервера ниже указанных имитовставка формироваться не будет.

= Установка модуля КриптоПро JCP =

== Добавление модуля в WildFly ==

Можно установить двумя способами:
* путём копирования загруженных файлов модуля и добавления описания модуля в файл конфигурации WildFly
* с помощью ''jboss-cli''.

Имя модуля - '''ru.cryptopro.jcp'''

Файлы модуля доступны по ссылке https://repo.paycontrol.org/cdn/artefacts/wildfly/wf-module-ru.cryptoro.jcp.zip

=== Путём ручного копирования ===

* Скопировать файлы из загруженного архива в ''wildfly/modules/ru/cryptopro/jcp/main''
* В файл <syntaxhighlight lang="text">wildfly/standalone/configuration/standalone.xml</syntaxhighlight>в тег<syntaxhighlight lang="text">subsystem xmlns="urn:jboss:domain:ee:[version]</syntaxhighlight> нужно добавить глобальную область видимости этого модуля путём добавления<syntaxhighlight lang="xml">
<global-modules>
<module name="ru.cryptopro.jcp" slot="main"/>
</global-modules>
</syntaxhighlight>Пример секции:<syntaxhighlight lang="xml">
<subsystem xmlns="urn:jboss:domain:ee:6.0">
<global-modules>
<module name="ru.cryptopro.jcp" slot="main"/>
</global-modules>
...
</subsystem>
</syntaxhighlight>
* В таблицу ''pc_sys_property'' внести настройку<syntaxhighlight lang="xml">
-[ RECORD 1 ]-+-------------------
setting_id | ...
setting_name | GOST_IMIT_PROVIDER
setting_value | CryptoPro JCP 2.0
</syntaxhighlight>
** Postgresql:<syntaxhighlight lang="sql">
insert into pc_sys_property (setting_id, setting_name, setting_value) values (nextval('pc_setting_seq'), 'GOST_IMIT_PROVIDER', 'CryptoPro JCP 2.0');
</syntaxhighlight>
** Oracle:<syntaxhighlight lang="sql">
insert into pc_sys_property values (PC_SETTING_SEQ.NEXTVAL, ‘GOST_IMIT_PROVIDER', 'CryptoPro JCP 2.0');
</syntaxhighlight>
** MSSQL:<syntaxhighlight lang="sql">
insert into pc_sys_property values (NEXT VALUE FOR PC_SETTING_SEQ, ' GOST_IMIT_PROVIDER', 'CryptoPro JCP 2.0');
</syntaxhighlight>

== Создание временной директории ==

Создать директорию ''/var/opt/cprocsp/tmp'' и дать Wildfly права на запись в неё.

=Примечания=
# Если не выполнить ''пункт 3'', то имитовставка вычисляться не будет
# При неправильной установке модуля и конфигурации области его видимости подтверждение транзакций будет падать с ошибкой
# Значение имитовставки есть в коллбэке рядом с подписью, а также в таблице ''pc_confirm_attempt'' (для PC 5.5 и выше - выводится через endpoint РКС - hex-строка)

Заглавная страница

2022-09-16T13:12:26Z

A.bursakov: /* Открытый ключ для проверки подписи файлов в репозитории */

=PayControl Wiki=
Ресурс содержит документацию и справочные сведения и предназначен для предоставления доступа к этой информации партнёрам компании SafeTech.
==Список статей==
[[Служебная:Все_страницы]]
==Список категорий==
[[Служебная:Категории]]
=Демо=
==PayControl==
https://paycontrol.org/demo/
==myDSS==
https://paycontrol.org/mydss/
=Открытый ключ для проверки подписи файлов в репозитории=
* https://repo.paycontrol.org/keySafeTech.pub.asc (до 2022-02-10)
* https://repo.paycontrol.org/SafeTech.pub.asc (до 2024-09-15)

Установка PayControl v3.9 Linux

2022-09-14T14:41:14Z

A.bursakov:

Статья описывает установку с помощью инсталляционного скрипта.
=Справка скрипта инсталляции=
<pre>Execution modes:
-i Install. Set it for process installation.
-h Help. Will show this help.

Installation options:
-r Register system (only on PCS, matters with -i option). Optional. For registration you must put you register system request file to "customer" directory before. Contact you supplier for obtain this request file.

PC roles (must selected at least one of them):
-S PC Server
-P PC Pusher
-E External / PCIS External
-G PC Server Signer (only for version 5.2 and above)

Install wildfly database driver (mandatory for PCS and PCSS modules):
-p PostgreSQL
-o Oracle
Need to set up parameter - jdbc version:
8 JDBCv8. Certified with JDK8 and JDK11. Supports Oracle Database versions - 21c, 19c, 18c, and 12.2
0 JDBCv10. Implements JDBC 4.3 spec and certified with JDK11. Supports Oracle Database versions - 21c, 19c, 18c, and 12.2
1 JDBCv11. Implements JDBC 4.3 spec and certified with JDK11 and JDK17. Supports Oracle Database versions - 21c, 19c, 18c, and 12.2
-m MS SQL

Examples
install.sh -i -SPEG -r -o8
also like
install.sh -iSPEGro8
will install PCS, PCP, PCE, PCSS, Oracle JDBC8 Driver and execute register system request

install.sh -i -Sp
also like
install.sh -Sp
will install PCS with Postgres drivers</pre>

= Перед установкой PayControl =

Установить последнюю версию JRE 11.

= Конфигурирование =

Конфигурирование производится путём редактирования раздела <code>CUSTOMER Config</code> файла <code>install.conf</code>.

== Подключение к БД для PCS==

Необходимо установить корректные значения адресов и портов СУБД, имена пользователей и пароли.

=== СУБД Oracle ===

При использовании СУБД Oracle необходимо указать, каким образом происходит выбор необходимой БД - с помощью SID или Service Name.

Также '''необходимо''' следуя высланной инструкции '''Oracle. Создание пользователя, табличного пространства и таблиц''' выполнить ее 3-й пункт.

== Настройка PCE для подключения к PCS ==

Для соединения PCE с PCS необходимо указать правильный адрес сервера PCS по которому он сможет получить к нему доступ.

== Пример ==

<syntaxhighlight lang="bash">###################################################
#
# CUSTOMER Config
#
###################################################

PC_PATH='/opt/pc'
PC_PRODUCT='PayControl'

# PC Servers Settings
## PCS
### DB
PCSDB_HOST='hostname:port'
PCSDB='DB'
PCSDB_USER='user'
PCSDB_PASSWD='password'

# Oracle connection string delimiters:
# - use ':', if PCSDB contains SID
# - use '/', if PCSDB contains Service Name
PCSDB_Oracle_delimiter=':'

### PCE

PCS_HOSTNAME_PORT='localhost:8080'</syntaxhighlight>

= Установка =

У пользователя, осуществляющего установку должны быть права на выполнение действий с уровнем привилегий root, либо возможность использовать учётную запись root.
# Скопировать файлы дистрибутива на сервер, например в домашнюю папку пользователя.
# Перейти в директорию с дистрибутивом.
# Запустить установочный скрипт с привилегиями root, с необходимыми параметрами.

== PC Pusher ==

Установка PC Pusher на сервере вместе с другим уже установленным модулем PC выполняется следующим образом:

* Скопировать файл приложения сервера в ''WF_PATH\standalone\deployments\'':
** на PC Pusher - файл ''pc-pusher-<VERSION>.war''
* Дождаться старта WF, проверить, что нет ошибок запуска.
* После развёртывания новых файлов, в директории deployments будут созданы файлы:
** с расширением *.deployed, где вместо * будут указаны названия новых модулей.
** После того, как появятся файлы *.deployed, рекомендуется перезапустить Wildfly
** При появлении файлов с расширением *.failed, необходимо перезапустить Wildfly.

= Результат выполнения инсталляционного скрипта =

Результат выполнения инсталляционного скрипта является:

* установка службы wildflу (директория /opt);
* включение автозапуска службы wildfly;
* добавление драйверов СУБД (опционально);
* добавление источников данных (только для PCS);
* развёртывание файлов сервера в wildfly;
* регистрация прикладной системы в PayControl (при установленном параметре "'''r'''"). Результат регистрации - вывод на экран идентификатора системы в конце журнала работы инсталляционного скрипта (systemid). Пример:<syntaxhighlight lang="xml"><soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Body><ns3:registerSystemResponse xmlns:ns2="http://ws.safetech.ru/PayControl/services/ws/common/" xmlns:ns3="http://ws.safetech.ru/PayControlV3/"><systemId>e64a67c9-73e9-462c-9c27-2d0195a2bd23</systemId></ns3:registerSystemResponse></soap:Body></soap:Envelope></syntaxhighlight> В приведённом примере идентификатором зарегистрированной прикладной системы является ''e64a67c9-73e9-462c-9c27-2d0195a2bd23''. В дальнейшем этот идентификатор понадобится при настройке прикладной системы на работу с PayControl. Если значение идентификатора прикладной системы утеряно, свяжитесь с компанией СэйфТек для его уточнения.

== Примеры параметров запуска ==

Примеры ниже приведены для установки PayControl с драйвером PostgreSQL (параметр "'''p'''").

=== Всё на одном сервере ===

==== Без регистрации прикладной системы ====

<syntaxhighlight lang="bash">sudo ./install.sh -ipSE</syntaxhighlight>

==== С регистрацией прикладной системы ====

<syntaxhighlight lang="bash">sudo ./install.sh -ipSEr</syntaxhighlight>

=== PCS ===

==== Без регистрации прикладной системы ====

<syntaxhighlight lang="bash">sudo ./install.sh -ipS</syntaxhighlight>

==== С регистрацией прикладной системы ====

<syntaxhighlight lang="bash">sudo ./install.sh -ipSr</syntaxhighlight>

=== PCE ===

<syntaxhighlight lang="bash">sudo ./install.sh -iE</syntaxhighlight>

= Контроль =

== Вывод журнала в консоль в реальном времени ==

<syntaxhighlight lang="bash">tail -n 300 -f /opt/wildfly/standalone/log/server.log</syntaxhighlight>

== Просмотр успешности развёртывания компонентов сервера ==

<syntaxhighlight lang="bash">ls -la /opt/pc/deployments/</syntaxhighlight>

Если компонент сервера развёрнут успешно, рядом с файлом компонента сервера создаётся файл с аналогичным именем файлу сервера с расширением "'''.deployed'''".

== Проверка доступности сервисов ==

=== PCS ===

Сервисы доступны по ссылкам (при запросе на эти адреса должна возвратиться WSDL-схема):
<pre>http://<IP или имя сервера PCS>:8080/ws/PayControlServiceV3?wsdl
http://<IP или имя сервера PCS>:8080/ws/PayControlReportService?wsdl</pre>

=== PCP ===

Сервис доступен по адресу:

<pre>http://<IP или имя сервера PC Pusher>:8080/pc-pusher-api/health_check</pre>

=== PCE ===

Сервис доступен по адресу

<pre>http://<IP или имя сервера PCIS External>:8080/PayControl-interaction-rest/</pre>

При запросе на этот адрес должно возвратиться текст «Not Found» с HTTP-кодом 404. В Internet Explorer будет выведена своя страница браузера, сообщающая о том, что страница не найдена.

= Внесение изменений в БД =

== Создание индексов БД PCS ==

Для создания индексов необходимо выполнить следующие запросы к БД PCS:

<syntaxhighlight lang="sql">create index pc_keyinfo1_idx on PC_KEYINFO (userID, expiration_date, is_deleted);
create index pc_delayedkeyinfo1_idx on PC_DELAYEDKEYINFO (userID, is_deleted);
create index pc_device1_idx on PC_DEVICE (userID, is_deleted);
create index pc_transaction1_idx on PC_TRANSACTION (userID, status);
create index pc_device2_idx on PC_DEVICE (userID);
create index pc_keyinfo2_idx on PC_KEYINFO (userID);
create index pc_transaction2_idx on PC_TRANSACTION (userID);
create index pc_user1_idx on PC_USER (systemID);</syntaxhighlight>

== Корректировка типов данных для MS SQL ==

Для корректировки типов данных необходимо выполнить следующий запрос к БД PCS:

<syntaxhighlight lang="sql">ALTER TABLE PC_TRANSACTION ALTER COLUMN DATA_BINARY image;</syntaxhighlight>

= Настройка PC Pusher для отправки пушей в другое приложение (при необходимости) =
Необходимо выполнить пункты описанные по ссылке [[Обновление_с_3.6_до_3.8#Настройка PC Pusher|"Настройка PCS и PC Pusher"]]

= Корректировка (смена) адресов серверов PayControl (при необходимости) =

{{Предупреждение|Не рекомендуется дополнительно указывать номер порта, в случаях, если для HTTP используется порт 80, или для HTTPS используется порт 443}}

== Учёт изменения адреса сервера PCS ==

Для учёта изменения адреса сервера PCS необходимо произвести изменения в настройках PCE. В файле /opt/wildfly/bin/standalone.conf, в следующей строке, указав правильный адрес и при необходимости порт сервера PCS, а также уточнив протокол подключения (HTTP/HTTPS):

<syntaxhighlight lang="bash">
JAVA_OPTS="$JAVA_OPTS -Dpcservice.endpoint=http[s]://<IP или DNS-имя>[:PORT]/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"
</syntaxhighlight>

== Учёт изменения адреса сервера PC Pusher ==

Для учёта изменения адреса сервера PC Pusher, необходимо, предварительно указав корректные данные (протокол (HTTP/HTTPS), имя или IP сервера, порт, идентификатор системы), выполнить запрос к БД PCS:

<syntaxhighlight lang="sql">update pc_system set pc_is_internal_url = 'http[s]://<IP или DNS-имя>[:PORT]/pc-pusher-api/' where systemid='<SYSTEMID>';</syntaxhighlight>

== Учёт изменения внешнего адреса сервера PCE ==

{{Предупреждение|Если система была переведена в промышленную эксплуатацию, при смене адреса для доступа мобильных устройств, не рекомендуется выводить из действия предыдущий адрес на протяжении всего срока действия выпущенных ключей пользователя. Иначе мобильное приложение потеряет доступ к серверу PayControl и для восстановления будет необходимо перевыпустить ключ и заново добавить его в приложение пользователя.}}
Для учёта изменения внешнего адреса сервера PayControl, по которому связываются мобильное приложение с сервером PayControl, необходимо, предварительно указав корректные данные (протокол (HTTP/HTTPS), имя или IP сервера, порт, идентификатор системы), выполнить запрос к БД PCS:

<syntaxhighlight lang="sql">update pc_system set pc_is_external_url = 'http[s]://<IP или DNS-имя>[:PORT]/PayControl-interaction-rest/' where systemid='<SYSTEMID>';</syntaxhighlight>

Установка PayControl v3.9 Linux

2022-09-14T14:18:12Z

A.bursakov:

Статья описывает установку с помощью инсталляционного скрипта.
=Справка скрипта инсталляции=
<pre>Execution modes:
-i Install. Set it for process installation.
-h Help. Will show this help.

Installation options:
-r Register system (only on PCS, matters with -i option). Optional. For registration you must put you register system request file to "customer" directory before. Contact you supplier for obtain this request file.

PC roles (must selected at least one of them):
-S PC Server
-P PC Pusher
-E External / PCIS External
-G PC Server Signer (only for version 5.2 and above)

Install wildfly database driver (mandatory for PCS and PCSS modules):
-p PostgreSQL
-o Oracle
Need to set up parameter - jdbc version:
8 JDBCv8. Certified with JDK8 and JDK11. Supports Oracle Database versions - 21c, 19c, 18c, and 12.2
0 JDBCv10. Implements JDBC 4.3 spec and certified with JDK11. Supports Oracle Database versions - 21c, 19c, 18c, and 12.2
1 JDBCv11. Implements JDBC 4.3 spec and certified with JDK11 and JDK17. Supports Oracle Database versions - 21c, 19c, 18c, and 12.2
-m MS SQL

Examples
/usr/bin/bash -i -SPEG -r -o8
also like
/usr/bin/bash -iSPEGro8
will install PCS, PCP, PCE, PCSS, Oracle JDBC8 Driver and execute register system request

/usr/bin/bash -i -Sp
also like
/usr/bin/bash -Sp
will install PCS with Postgres drivers</pre>

= Перед установкой PayControl =

Перед установкой необходимо установить JRE.

= Конфигурирование =

Конфигурирование производится путём редактирования раздела <code>CUSTOMER Config</code> файла <code>install.conf</code>.

== Подключение к БД для PCS==

Необходимо установить корректные значения адресов и портов СУБД, имена пользователей и пароли.

=== СУБД Oracle ===

При использовании СУБД Oracle необходимо указать, каким образом происходит выбор необходимой БД - с помощью SID или Service Name.

Также '''необходимо''' следуя высланной инструкции '''Oracle. Создание пользователя, табличного пространства и таблиц''' выполнить ее 3-й пункт.

== Настройка PCE для подключения к PCS ==

Для соединения PCE с PCS необходимо указать правильный адрес сервера PCS по которому он сможет получить к нему доступ.

== Пример ==

<syntaxhighlight lang="bash">###################################################
#
# CUSTOMER Config
#
###################################################

PC_PATH='/opt/pc'
PC_PRODUCT='PayControl'

# PC Servers Settings
## PCS
### DB
PCSDB_HOST='hostname:port'
PCSDB='DB'
PCSDB_USER='user'
PCSDB_PASSWD='password'

# Oracle connection string delimiters:
# - use ':', if PCSDB contains SID
# - use '/', if PCSDB contains Service Name
PCSDB_Oracle_delimiter=':'

### PCE

PCS_HOSTNAME_PORT='localhost:8080'</syntaxhighlight>

= Установка =

У пользователя, осуществляющего установку должны быть права на выполнение действий с уровнем привилегий root, либо возможность использовать учётную запись root.
# Скопировать файлы дистрибутива на сервер, например в домашнюю папку пользователя.
# Перейти в директорию с дистрибутивом.
# Запустить установочный скрипт с привилегиями root, с необходимыми параметрами.

== PC Pusher ==

Установка PC Pusher на сервере вместе с другим уже установленным модулем PC выполняется следующим образом:

* Скопировать файл приложения сервера в ''WF_PATH\standalone\deployments\'':
** на PC Pusher - файл ''pc-pusher-<VERSION>.war''
* Дождаться старта WF, проверить, что нет ошибок запуска.
* После развёртывания новых файлов, в директории deployments будут созданы файлы:
** с расширением *.deployed, где вместо * будут указаны названия новых модулей.
** После того, как появятся файлы *.deployed, рекомендуется перезапустить Wildfly
** При появлении файлов с расширением *.failed, необходимо перезапустить Wildfly.

= Результат выполнения инсталляционного скрипта =

Результат выполнения инсталляционного скрипта является:

* установка службы wildflу (директория /opt);
* включение автозапуска службы wildfly;
* добавление драйверов СУБД (опционально);
* добавление источников данных (только для PCS);
* развёртывание файлов сервера в wildfly;
* регистрация прикладной системы в PayControl (при установленном параметре "'''r'''"). Результат регистрации - вывод на экран идентификатора системы в конце журнала работы инсталляционного скрипта (systemid). Пример:<syntaxhighlight lang="xml"><soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Body><ns3:registerSystemResponse xmlns:ns2="http://ws.safetech.ru/PayControl/services/ws/common/" xmlns:ns3="http://ws.safetech.ru/PayControlV3/"><systemId>e64a67c9-73e9-462c-9c27-2d0195a2bd23</systemId></ns3:registerSystemResponse></soap:Body></soap:Envelope></syntaxhighlight> В приведённом примере идентификатором зарегистрированной прикладной системы является ''e64a67c9-73e9-462c-9c27-2d0195a2bd23''. В дальнейшем этот идентификатор понадобится при настройке прикладной системы на работу с PayControl. Если значение идентификатора прикладной системы утеряно, свяжитесь с компанией СэйфТек для его уточнения.

== Примеры параметров запуска ==

Примеры ниже приведены для установки PayControl с драйвером PostgreSQL (параметр "'''p'''").

=== Всё на одном сервере ===

==== Без регистрации прикладной системы ====

<syntaxhighlight lang="bash">sudo ./install.sh -ipSE</syntaxhighlight>

==== С регистрацией прикладной системы ====

<syntaxhighlight lang="bash">sudo ./install.sh -ipSEr</syntaxhighlight>

=== PCS ===

==== Без регистрации прикладной системы ====

<syntaxhighlight lang="bash">sudo ./install.sh -ipS</syntaxhighlight>

==== С регистрацией прикладной системы ====

<syntaxhighlight lang="bash">sudo ./install.sh -ipSr</syntaxhighlight>

=== PCE ===

<syntaxhighlight lang="bash">sudo ./install.sh -iE</syntaxhighlight>

= Контроль =

== Вывод журнала в консоль в реальном времени ==

<syntaxhighlight lang="bash">tail -n 300 -f /opt/wildfly/standalone/log/server.log</syntaxhighlight>

== Просмотр успешности развёртывания компонентов сервера ==

<syntaxhighlight lang="bash">ls -la /opt/pc/deployments/</syntaxhighlight>

Если компонент сервера развёрнут успешно, рядом с файлом компонента сервера создаётся файл с аналогичным именем файлу сервера с расширением "'''.deployed'''".

== Проверка доступности сервисов ==

=== PCS ===

Сервисы доступны по ссылкам (при запросе на эти адреса должна возвратиться WSDL-схема):
<pre>http://<IP или имя сервера PCS>:8080/ws/PayControlServiceV3?wsdl
http://<IP или имя сервера PCS>:8080/ws/PayControlReportService?wsdl</pre>

=== PCP ===

Сервис доступен по адресу:

<pre>http://<IP или имя сервера PC Pusher>:8080/pc-pusher-api/health_check</pre>

=== PCE ===

Сервис доступен по адресу

<pre>http://<IP или имя сервера PCIS External>:8080/PayControl-interaction-rest/</pre>

При запросе на этот адрес должно возвратиться текст «Not Found» с HTTP-кодом 404. В Internet Explorer будет выведена своя страница браузера, сообщающая о том, что страница не найдена.

= Внесение изменений в БД =

== Создание индексов БД PCS ==

Для создания индексов необходимо выполнить следующие запросы к БД PCS:

<syntaxhighlight lang="sql">create index pc_keyinfo1_idx on PC_KEYINFO (userID, expiration_date, is_deleted);
create index pc_delayedkeyinfo1_idx on PC_DELAYEDKEYINFO (userID, is_deleted);
create index pc_device1_idx on PC_DEVICE (userID, is_deleted);
create index pc_transaction1_idx on PC_TRANSACTION (userID, status);
create index pc_device2_idx on PC_DEVICE (userID);
create index pc_keyinfo2_idx on PC_KEYINFO (userID);
create index pc_transaction2_idx on PC_TRANSACTION (userID);
create index pc_user1_idx on PC_USER (systemID);</syntaxhighlight>

== Корректировка типов данных для MS SQL ==

Для корректировки типов данных необходимо выполнить следующий запрос к БД PCS:

<syntaxhighlight lang="sql">ALTER TABLE PC_TRANSACTION ALTER COLUMN DATA_BINARY image;</syntaxhighlight>

= Настройка PC Pusher для отправки пушей в другое приложение (при необходимости) =
Необходимо выполнить пункты описанные по ссылке [[Обновление_с_3.6_до_3.8#Настройка PC Pusher|"Настройка PCS и PC Pusher"]]

= Корректировка (смена) адресов серверов PayControl (при необходимости) =

{{Предупреждение|Не рекомендуется дополнительно указывать номер порта, в случаях, если для HTTP используется порт 80, или для HTTPS используется порт 443}}

== Учёт изменения адреса сервера PCS ==

Для учёта изменения адреса сервера PCS необходимо произвести изменения в настройках PCE. В файле /opt/wildfly/bin/standalone.conf, в следующей строке, указав правильный адрес и при необходимости порт сервера PCS, а также уточнив протокол подключения (HTTP/HTTPS):

<syntaxhighlight lang="bash">
JAVA_OPTS="$JAVA_OPTS -Dpcservice.endpoint=http[s]://<IP или DNS-имя>[:PORT]/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"
</syntaxhighlight>

== Учёт изменения адреса сервера PC Pusher ==

Для учёта изменения адреса сервера PC Pusher, необходимо, предварительно указав корректные данные (протокол (HTTP/HTTPS), имя или IP сервера, порт, идентификатор системы), выполнить запрос к БД PCS:

<syntaxhighlight lang="sql">update pc_system set pc_is_internal_url = 'http[s]://<IP или DNS-имя>[:PORT]/pc-pusher-api/' where systemid='<SYSTEMID>';</syntaxhighlight>

== Учёт изменения внешнего адреса сервера PCE ==

{{Предупреждение|Если система была переведена в промышленную эксплуатацию, при смене адреса для доступа мобильных устройств, не рекомендуется выводить из действия предыдущий адрес на протяжении всего срока действия выпущенных ключей пользователя. Иначе мобильное приложение потеряет доступ к серверу PayControl и для восстановления будет необходимо перевыпустить ключ и заново добавить его в приложение пользователя.}}
Для учёта изменения внешнего адреса сервера PayControl, по которому связываются мобильное приложение с сервером PayControl, необходимо, предварительно указав корректные данные (протокол (HTTP/HTTPS), имя или IP сервера, порт, идентификатор системы), выполнить запрос к БД PCS:

<syntaxhighlight lang="sql">update pc_system set pc_is_external_url = 'http[s]://<IP или DNS-имя>[:PORT]/PayControl-interaction-rest/' where systemid='<SYSTEMID>';</syntaxhighlight>

Установка PayControl v3.9 Linux

2022-09-14T13:01:23Z

A.bursakov: Новая страница: «Статья описывает установку с помощью инсталляционного скрипта. =Справка скрипта инстал…»

Статья описывает установку с помощью инсталляционного скрипта.
=Справка скрипта инсталляции=
<pre>Installation type (just one of them MUST be setted):
-i install

Install options
-r Register system (only on PCS, matters with -i option)

Install PayControl Server roles
-S PC Server
-P PC Pusher
-E PC External

Install wildfly database driver
-p PostgreSQL
-o Oracle
Need to set up parameter - jdbc version:
6 for Oracle 11.2, 11gR2 (JDK8)
7 for Oracle 12.1, 12cR1 (JDK8)
8 for Oracle 12.2, 12cR2 (JDK8) and Oracle 18.3 with JDK8, JDK9, JDK10
-m MS SQL

Examples
install -i -SIE -o8 -r
will install Oracle JDBC8 Driver, PCS, PCP, PCIS External and execute register system request

install -ipSIEr
will install PostgreSQL JDBC Driver, PCS, PCP, PCE and execute register system request</pre>

= Перед установкой PayControl =

Перед установкой необходимо установить JRE.

= Конфигурирование =

Перед установкой необходимо сконфигурировать инсталлятор. Предварительно нужно скопировать файл ''install.conf.DEFAULT'' в файл ''install.conf''. Параметры установки необходимо устанавливать в файле ''install.conf'' в разделе <code>CUSTOMER Config</code>
== Подключение к БД для PCS==

Необходимо установить корректные значения адресов и портов СУБД, имена пользователей и пароли.

=== СУБД Oracle ===

При использовании СУБД Oracle необходимо указать, каким образом происходит выбор необходимой БД - с помощью SID или Service Name.

Также '''необходимо''' следуя высланной инструкции '''Oracle. Создание пользователя, табличного пространства и таблиц''' выполнить ее 3-й пункт.

== Настройка PCE для подключения к PCS ==

Для соединения PCE с PCS необходимо указать правильный адрес сервера PCS по которому он сможет получить к нему доступ.

== Пример ==

<syntaxhighlight lang="bash">###################################################
#
# CUSTOMER Config
#
###################################################

PC_PATH='/opt/pc'
PC_PRODUCT='PayControl'

# PC Servers Settings
## PCS
### DB
PCSDB_HOST='hostname:port'
PCSDB='DB'
PCSDB_USER='user'
PCSDB_PASSWD='password'

# Oracle connection string delimiters:
# - use ':', if PCSDB contains SID
# - use '/', if PCSDB contains Service Name
PCSDB_Oracle_delimiter=':'

### PCE

PCS_HOSTNAME_PORT='localhost:8080'</syntaxhighlight>

= Установка =

У пользователя, осуществляющего установку должны быть права на выполнение действий с уровнем привилегий root, либо возможность использовать учётную запись root.
# Скопировать файлы дистрибутива на сервер, например в домашнюю папку пользователя.
# Перейти в директорию с дистрибутивом.
# Предоставить права пользователю на исполнение файла-скрипта. Пример:<syntaxhighlight lang="bash">chmod u+x install</syntaxhighlight>
# Запустить установочный скрипт с привилегиями root, с необходимыми параметрами.

== PC Pusher ==

Установка PC Pusher на сервере вместе с другим уже установленным модулем PC выполняется следующим образом:

* Скопировать файл приложения сервера в ''WF_PATH\standalone\deployments\'':
** на PC Pusher - файл ''pc-pusher-<VERSION>.war''
* Дождаться старта WF, проверить, что нет ошибок запуска.
* После развёртывания новых файлов, в директории deployments будут созданы файлы:
** с расширением *.deployed, где вместо * будут указаны названия новых модулей.
** После того, как появятся файлы *.deployed, рекомендуется перезапустить Wildfly
** При появлении файлов с расширением *.failed, необходимо перезапустить Wildfly.

= Результат выполнения инсталляционного скрипта =

Результат выполнения инсталляционного скрипта является:

* установка службы wildflу (директория /opt);
* включение автозапуска службы wildfly;
* добавление драйверов СУБД (опционально);
* добавление источников данных (только для PCS);
* развёртывание файлов сервера в wildfly;
* регистрация прикладной системы в PayControl (при установленном параметре "'''r'''"). Результат регистрации - вывод на экран идентификатора системы в конце журнала работы инсталляционного скрипта (systemid). Пример:<syntaxhighlight lang="xml"><soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Body><ns3:registerSystemResponse xmlns:ns2="http://ws.safetech.ru/PayControl/services/ws/common/" xmlns:ns3="http://ws.safetech.ru/PayControlV3/"><systemId>e64a67c9-73e9-462c-9c27-2d0195a2bd23</systemId></ns3:registerSystemResponse></soap:Body></soap:Envelope></syntaxhighlight> В приведённом примере идентификатором зарегистрированной прикладной системы является ''e64a67c9-73e9-462c-9c27-2d0195a2bd23''. В дальнейшем этот идентификатор понадобится при настройке прикладной системы на работу с PayControl. Если значение идентификатора прикладной системы утеряно, свяжитесь с компанией СэйфТек для его уточнения.

== Примеры параметров запуска ==

Примеры ниже приведены для установки PayControl с драйвером PostgreSQL (параметр "'''p'''").

=== Всё на одном сервере ===

==== Без регистрации прикладной системы ====

<syntaxhighlight lang="bash">sudo ./install -ipSE</syntaxhighlight>

==== С регистрацией прикладной системы ====

<syntaxhighlight lang="bash">sudo ./install -ipSEr</syntaxhighlight>

=== PCS ===

==== Без регистрации прикладной системы ====

<syntaxhighlight lang="bash">sudo ./install -ipS</syntaxhighlight>

==== С регистрацией прикладной системы ====

<syntaxhighlight lang="bash">sudo ./install -ipSr</syntaxhighlight>

=== PCE ===

<syntaxhighlight lang="bash">sudo ./install -iE</syntaxhighlight>

= Контроль =

== Вывод журнала в консоль в реальном времени ==

<syntaxhighlight lang="bash">tail -n 300 -f /opt/wildfly/standalone/log/server.log</syntaxhighlight>

== Просмотр успешности развёртывания компонентов сервера ==

<syntaxhighlight lang="bash">ls -la /opt/pc/deployments/</syntaxhighlight>

Если компонент сервера развёрнут успешно, рядом с файлом компонента сервера создаётся файл с аналогичным именем файлу сервера с расширением "'''.deployed'''".

== Проверка доступности сервисов ==

=== PCS ===

Сервисы доступны по ссылкам (при запросе на эти адреса должна возвратиться WSDL-схема):
<pre>http://<IP или имя сервера PCS>:8080/ws/PayControlServiceV3?wsdl
http://<IP или имя сервера PCS>:8080/ws/PayControlReportService?wsdl</pre>

=== PCP ===

Сервис доступен по адресу:

<pre>http://<IP или имя сервера PC Pusher>:8080/pc-pusher-api/health_check</pre>

=== PCE ===

Сервис доступен по адресу

<pre>http://<IP или имя сервера PCIS External>:8080/PayControl-interaction-rest/</pre>

При запросе на этот адрес должно возвратиться текст «Not Found» с HTTP-кодом 404. В Internet Explorer будет выведена своя страница браузера, сообщающая о том, что страница не найдена.

= Внесение изменений в БД =

== Создание индексов БД PCS ==

Для создания индексов необходимо выполнить следующие запросы к БД PCS:

<syntaxhighlight lang="sql">create index pc_keyinfo1_idx on PC_KEYINFO (userID, expiration_date, is_deleted);
create index pc_delayedkeyinfo1_idx on PC_DELAYEDKEYINFO (userID, is_deleted);
create index pc_device1_idx on PC_DEVICE (userID, is_deleted);
create index pc_transaction1_idx on PC_TRANSACTION (userID, status);
create index pc_device2_idx on PC_DEVICE (userID);
create index pc_keyinfo2_idx on PC_KEYINFO (userID);
create index pc_transaction2_idx on PC_TRANSACTION (userID);
create index pc_user1_idx on PC_USER (systemID);</syntaxhighlight>

== Корректировка типов данных для MS SQL ==

Для корректировки типов данных необходимо выполнить следующий запрос к БД PCS:

<syntaxhighlight lang="sql">ALTER TABLE PC_TRANSACTION ALTER COLUMN DATA_BINARY image;</syntaxhighlight>

= Настройка PC Pusher для отправки пушей в другое приложение (при необходимости) =
Необходимо выполнить пункты описанные по ссылке [[Обновление_с_3.6_до_3.8#Настройка PC Pusher|"Настройка PCS и PC Pusher"]]

= Корректировка (смена) адресов серверов PayControl (при необходимости) =

{{Предупреждение|Не рекомендуется дополнительно указывать номер порта, в случаях, если для HTTP используется порт 80, или для HTTPS используется порт 443}}

== Учёт изменения адреса сервера PCS ==

Для учёта изменения адреса сервера PCS необходимо произвести изменения в настройках PCE. В файле /opt/wildfly/bin/standalone.conf, в следующей строке, указав правильный адрес и при необходимости порт сервера PCS, а также уточнив протокол подключения (HTTP/HTTPS):

<syntaxhighlight lang="bash">
JAVA_OPTS="$JAVA_OPTS -Dpcservice.endpoint=http[s]://<IP или DNS-имя>[:PORT]/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"
</syntaxhighlight>

== Учёт изменения адреса сервера PC Pusher ==

Для учёта изменения адреса сервера PC Pusher, необходимо, предварительно указав корректные данные (протокол (HTTP/HTTPS), имя или IP сервера, порт, идентификатор системы), выполнить запрос к БД PCS:

<syntaxhighlight lang="sql">update pc_system set pc_is_internal_url = 'http[s]://<IP или DNS-имя>[:PORT]/pc-pusher-api/' where systemid='<SYSTEMID>';</syntaxhighlight>

== Учёт изменения внешнего адреса сервера PCE ==

{{Предупреждение|Если система была переведена в промышленную эксплуатацию, при смене адреса для доступа мобильных устройств, не рекомендуется выводить из действия предыдущий адрес на протяжении всего срока действия выпущенных ключей пользователя. Иначе мобильное приложение потеряет доступ к серверу PayControl и для восстановления будет необходимо перевыпустить ключ и заново добавить его в приложение пользователя.}}
Для учёта изменения внешнего адреса сервера PayControl, по которому связываются мобильное приложение с сервером PayControl, необходимо, предварительно указав корректные данные (протокол (HTTP/HTTPS), имя или IP сервера, порт, идентификатор системы), выполнить запрос к БД PCS:

<syntaxhighlight lang="sql">update pc_system set pc_is_external_url = 'http[s]://<IP или DNS-имя>[:PORT]/PayControl-interaction-rest/' where systemid='<SYSTEMID>';</syntaxhighlight>

Установка компонентов сервера PayControl v3.8 вручную

2022-07-27T10:49:56Z

A.bursakov: /* Запуск проекта */

=Подготовка БД=
* Создать базу данных и пользователя на сервере СУБД, где будет работать база данных PC Server (pcs-user, pcs-pass, pcs-db, pcs-db-host). Предоставить права на доступ пользователю к БД.

=Установка Java=
Установить последнюю версию JRE 11.
=Установка Wildfly=
* Скачать актуальную версию WildFly Server (Jakarta EE 8 Full & Web Distribution) – https://wildfly.org/downloads/
Далее по тексту, под '''WF_PATH''' имеется в виду адрес созданной символьной ссылки.
==Linux==
При распаковке рекомендуется исключить кириллические символы в пути, а также пробелы.
* Распаковать Wildfly, например, в /opt/.
* Создать символьную ссылку /opt/wildfly на распакованную директорию. Пример команды:<source lang="bash">ln -s /opt/wildfly-26.0.0.Final/ /opt/wildfly</source>
==Windows==
При распаковке рекомендуется исключить кириллические символы в пути, а также пробелы.
* Распаковать Wildfly, например, в C:\.
* Создать символьную ссылку, к примеру ''C:\wildfly'', на распакованную директорию. Пример команды:<syntaxhighlight lang="bat">mklink /D C:\wildfly C:\wildfly-26.0.0.Final\</syntaxhighlight>
==Удаление настроек WildFly по-умолчанию==
Для удаления настроек по-умолчанию, необходимо выполнить пункты описанные по ссылке [[Wildfly#Удаление настроек по умолчанию|Wildfly - Удаление настроек по умолчанию]]

=Настройка подключения к БД PC Server=
==Добавление JDBC-драйвера СУБД==
===PostgreSQL===
* Скачать актуальный JDBC-драйвер по адресу https://jdbc.postgresql.org/
* Создать директорию ''WF_PATH/modules/org/postgresql/main/''
* В директорию ''WF_PATH/modules/org/postgresql/main/'' поместить скачанный postgresql-*.*.*.jar
* Создать в этой же папке файл ''module.xml'' следующего содержания, указав имя файла драйвера вместо "JAR_PATH":<source lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module xmlns="urn:jboss:module:1.0" name="org.postgresql">
<resources>
<resource-root path="JAR_PATH"/>
</resources>
<dependencies>
<module name="javax.api"/>
<module name="javax.transaction.api"/>
<module name="javax.servlet.api" optional="true"/>
</dependencies>
</module>
</source>
* Добавить установленный модуль в качестве драйвера для подключения к СУБД в файл ''WF_PATH/standalone/configuration/standalone.xml'', в секцию ''<datasources/drivers>'', добавив следующий блок:<source lang="xml">
<driver name="pgsql" module="org.postgresql">
<driver-class>org.postgresql.Driver</driver-class>
</driver>
</source>

===MS SQL===
* Скачать JDBC-драйвер с сайта Microsoft https://docs.microsoft.com/ru-ru/sql/connect/jdbc/download-microsoft-jdbc-driver-for-sql-server?view=sql-server-ver15
* Создать директорию ''WF_PATH/modules/system/layers/base/com/microsoft/sqlserver/main/''
* В директорию распаковать файлы и директории драйвера. Файлы драйвера (*.jar) должны располагаться непосредственно в директории ''main/''
* Создать в этой же папке файл module.xml следующего содержания, заменив JAR_PATH на имя файла драйвера, например на ''mssql-jdbc-8.2.2.jre8.jar'':<syntaxhighlight lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module xmlns="urn:jboss:module:1.3" name="com.microsoft.sqlserver">
<resources>
<resource-root path="JAR_PATH"/>
</resources>
<dependencies>
<module name="javax.api"/>
<module name="javax.transaction.api"/>
<module name="javax.xml.bind.api"/>
</dependencies>
</module>
</syntaxhighlight>
* Добавить установленный модуль в качестве драйвера для подключения к СУБД в файл ''WF_PATH/standalone/configuration/standalone.xml'', в секцию ''<datasources/drivers>'', добавив следующий блок:<syntaxhighlight lang="xml">
<driver name="mssql" module="com.microsoft.sqlserver">
<driver-class>com.microsoft.sqlserver.jdbc.SQLServerDriver</driver-class>
</driver>
</syntaxhighlight>

===Oracle===
* Скачать актуальный JDBC-драйвер по адресу https://www.oracle.com/database/technologies/appdev/jdbc-downloads.html
* Создать директорию ''WF_PATH/modules/org/postgresql/main/''
* В директорию ''WF_PATH/modules/system/layers/base/com/oracle/main/'' поместить скачанный ojdbc*.jar.
* Создать в этой же папке файл ''module.xml'' следующего содержания, указав имя файла драйвера вместо "JAR_PATH":<source lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module xmlns="urn:jboss:module:1.0" name="com.oracle">
<resources>
<resource-root path="JAR_PATH"/>
</resources>
<dependencies>
<module name="javax.api"/>
<module name="javax.transaction.api"/>
</dependencies>
</module>
</source>
* Добавить установленный модуль в качестве драйвера для подключения к СУБД в файл ''WF_PATH/standalone/configuration/standalone.xml'', в секцию ''<datasources/drivers>'', добавив следующий блок:<source lang="xml">
<driver name="oracle" module="com.oracle">
<driver-class>oracle.jdbc.driver.OracleDriver</driver-class>
</driver>
</source>

==Особенности маппинга Oracle==
Для корректной установки PC Server с подключением к БД Oracle требуется создать/изменить некоторые таблицы вручную:

Инструкция:
* Заменить по содержимому ниже <syntaxhighlight lang="sql">
<TABLESPACE_NAME>
<USER_NAME>
<USER_PASS>
</syntaxhighlight>

* Из-под пользователя с правами на создание пользователей и табличных пространств выполнить:<syntaxhighlight lang="sql">
---Создание табличного пространства и пользователя---
CREATE TABLESPACE <TABLESPACE_NAME> DATAFILE '<TABLESPACE_NAME>.DAT' SIZE 50M AUTOEXTEND ON;
CREATE USER "<USER_NAME>" IDENTIFIED BY "<USER_PASS>" DEFAULT TABLESPACE <TABLESPACE_NAME>;
GRANT CREATE SESSION TO "<USER_NAME>";
GRANT CREATE TABLE TO "<USER_NAME>";
GRANT CREATE SEQUENCE TO "<USER_NAME>";
GRANT UNLIMITED TABLESPACE TO "<USER_NAME>";
</syntaxhighlight>

* Из-под созданного пользователя, под которым будет производиться подключение PC к БД выполнить:<syntaxhighlight lang="sql">
---Создание таблиц---
CREATE TABLE "PC_SYS_PROPERTY"
("SETTING_ID" NUMBER(19,0) NOT NULL ENABLE,
"SETTING_NAME" VARCHAR2(255),
"SETTING_VALUE" VARCHAR2(255),
PRIMARY KEY ("SETTING_ID"),
CONSTRAINT "UK_BYEQYB1KICGD7SNXKM5L52582" UNIQUE ("SETTING_NAME"));

CREATE TABLE "PC_SYSTEM"
( "SYSTEMID" VARCHAR2(36) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"EVENTS_POST_URL" VARCHAR2(1024),
"NAME" VARCHAR2(255),
"PC_IS_EXTERNAL_URL" VARCHAR2(255),
"PC_IS_INTERNAL_URL" VARCHAR2(255),
PRIMARY KEY ("SYSTEMID"));

CREATE TABLE "PC_SYSTEM_PARAMS"
( "SYSTEMID" VARCHAR2(36) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"BILLED_DATE_REQUEST" CLOB,
"BILLING_PERIOD" NUMBER(10,0),
"BILLED_DATE" DATE,
"BILLING_TYPE" NUMBER(10,0),
"DESCRIPTION" VARCHAR2(255),
"FRONT_END_URL" VARCHAR2(255),
"LICENSE" VARCHAR2(2048),
"ONLINE_CONFIRMATION_URL" VARCHAR2(255),
"REGISTER_REQUEST" CLOB,
"REPORT_TEMPLATE_PATH" VARCHAR2(255),
"USER_KEYS_EXPIRATION_PERIOD" NUMBER(10,0),
PRIMARY KEY ("SYSTEMID"));

CREATE TABLE "PC_USER"
("USERID" VARCHAR2(64) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"BILLED_DATE" DATE,
"SYSTEMID" VARCHAR2(36),
PRIMARY KEY ("USERID"),
CONSTRAINT "FKGLUVAW7N4TKK6V6XALY8IK3S2" FOREIGN KEY ("SYSTEMID")
REFERENCES "PC_SYSTEM" ("SYSTEMID") ENABLE
);

CREATE TABLE "PC_TRANSACTION"
( "TRANSACTIONID" VARCHAR2(36) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"CALLBACK_URL" VARCHAR2(255),
"IS_CLEANED" NUMBER(5,0),
"CONFIRM_CODE_LENGTH" NUMBER(10,0),
"CONFIRMATION_TYPE" NUMBER(10,0),
"DECLINE_REASON" VARCHAR2(64),
"DATA_HASH" RAW(255),
"NOTIF_ID" VARCHAR2(255),
"STATUS" NUMBER(10,0),
"TIME_TO_LIVE" NUMBER(10,0),
"DATA_BINARY" BLOB,
"DATA_TEXT" VARCHAR2(3095),
"USERID" VARCHAR2(64),
PRIMARY KEY ("TRANSACTIONID"),
CONSTRAINT "FKARQ3VEGMNJXEJK8ONU4HRHEN3" FOREIGN KEY ("USERID")
REFERENCES "PC_USER" ("USERID") ENABLE
);

CREATE TABLE "PC_CONFIRM_ATTEMPT"
( "CONFIRM_ATTEMPT_ID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"CONFIRM_CODE" VARCHAR2(255),
"CONFIRM_RESULT" NUMBER(10,0),
"DATA_HASH" RAW(255),
"SIGNATURE" VARCHAR2(512),
"TRANSACTIONID" VARCHAR2(36),
"USERID" VARCHAR2(64),
PRIMARY KEY ("CONFIRM_ATTEMPT_ID"),
CONSTRAINT "FK5258W9Y6WQ4FY55U41WB30OWG" FOREIGN KEY ("TRANSACTIONID")
REFERENCES "PC_TRANSACTION" ("TRANSACTIONID") ENABLE,
CONSTRAINT "FKHEJP6UYKY6U4X8QFDPV4VA63Y" FOREIGN KEY ("USERID")
REFERENCES "PC_USER" ("USERID") ENABLE
);

CREATE TABLE "PC_DELAYEDKEYINFO"
( "TYPE" NUMBER(10,0) NOT NULL ENABLE,
"DELAYEDKEYID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"KEY_CONTAINER_ID" VARCHAR2(255),
"KEY_CONTENT" RAW(255),
"EXPIRATION_DATE" DATE,
"USER_KEY_VERSION" NUMBER(10,0),
"USERID" VARCHAR2(64),
PRIMARY KEY ("DELAYEDKEYID"),
CONSTRAINT "FK73X95ORVBL8BA0T3A3WEWADRF" FOREIGN KEY ("USERID")
REFERENCES "PC_USER" ("USERID") ENABLE
);

CREATE TABLE "PC_DEVICE"
( "TYPE" NUMBER(10,0) NOT NULL ENABLE,
"DEVICEID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"DEVICE_PUSH_ID" VARCHAR2(255),
"USERID" VARCHAR2(64),
PRIMARY KEY ("DEVICEID"),
CONSTRAINT "FK8CMG562COTMP53MVGRDDF1EYA" FOREIGN KEY ("USERID")
REFERENCES "PC_USER" ("USERID") ENABLE
);

CREATE TABLE "PC_KEYINFO"
( "TYPE" NUMBER(10,0) NOT NULL ENABLE,
"KEYID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"KEY_CONTAINER_ID" VARCHAR2(255),
"KEY_CONTENT" RAW(255),
"EXPIRATION_DATE" DATE,
"DEVICE_FINGERPRINT" VARCHAR2(255),
"USER_KEY_VERSION" NUMBER(10,0),
"USERID" VARCHAR2(64),
PRIMARY KEY ("KEYID"),
CONSTRAINT "FKN3VEB4OTVNAIE35AWBD0HDS90" FOREIGN KEY ("USERID")
REFERENCES "PC_USER" ("USERID") ENABLE
);

CREATE TABLE "PC_PUBLICKEY"
( "PUBLICKEYID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"PUBLIC_KEY" RAW(512),
"KEYID" NUMBER(19,0),
PRIMARY KEY ("PUBLICKEYID"),
CONSTRAINT "FKEMTGHSA74S1WI903R2TN7T3N" FOREIGN KEY ("KEYID")
REFERENCES "PC_KEYINFO" ("KEYID") ENABLE
);

CREATE TABLE "PC_EVENT"
( "EVENTID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"AUTH_CODE" VARCHAR2(64),
"DEVICE_EVENTID" VARCHAR2(36),
"DEVICE_INFO" CLOB,
"DEVICE_TIME" DATE,
"EVENTPOSTURL" VARCHAR2(255),
"REQUEST_HMAC" VARCHAR2(64),
"REQUEST_HASH" VARCHAR2(64),
"REQUEST_RESULT" NUMBER(10,0),
"REQUEST_TYPE" VARCHAR2(36),
"REQUESTER_IP" VARCHAR2(15),
"SESSIONID" VARCHAR2(36),
"TRANSACTIONID" VARCHAR2(36),
"USERID" VARCHAR2(64),
PRIMARY KEY ("EVENTID"));

</syntaxhighlight><syntaxhighlight lang="sql">
---Создание индексов
CREATE INDEX pc_keyinfo1_idx ON PC_KEYINFO (userID, expiration_date, is_deleted);
CREATE INDEX pc_delayedkeyinfo1_idx ON PC_DELAYEDKEYINFO (userID, is_deleted);
CREATE INDEX pc_device1_idx ON PC_DEVICE (userID, is_deleted);
CREATE INDEX pc_transaction1_idx ON PC_TRANSACTION (userID, status);
CREATE INDEX pc_device2_idx ON PC_DEVICE (userID);
CREATE INDEX pc_keyinfo2_idx ON PC_KEYINFO (userID);
CREATE INDEX pc_transaction2_idx ON PC_TRANSACTION (userID);
CREATE INDEX pc_user1_idx ON PC_USER (systemID);
</syntaxhighlight><syntaxhighlight lang="sql">
---Создание очередей---
create sequence PC_ATTEMPT_SEQ start with 1 increment by 1;
create sequence PC_DELAYEDKEYINFO_SEQ start with 1 increment by 1;
create sequence PC_DEVICE_SEQ start with 1 increment by 1;
create sequence PC_KEYINFO_SEQ start with 1 increment by 1;
create sequence PC_PUBLICKEY_SEQ start with 1 increment by 1;
create sequence PC_SETTING_SEQ start with 1 increment by 1;
create sequence PC_EVENT_SEQ start with 1 increment by 1;
create sequence PC_PUSH_SEQ start with 1 increment by 1;
</syntaxhighlight>

==Добавление источников данных для PC Server==
[[PC_Pusher_5.2|'''При установке PC Pusher версии 5.2 и выше, подключение к БД PC Pusher не требуется''']]

===PostgreSQL===
====PC Server====
В файл ''WF_PATH/standalone/configuration/standalone.xml'' внести следующие изменения добавить новый источник данных в секцию ''<datasources></datasources>'' заменив pcs-db-host, port, pcs-db, pcs-user, pcs-pass:<source lang="xml">
<datasource jta="true" jndi-name="java:jboss/datasources/PayControlDS" pool-name="PayControlDS" enabled="true" use-ccm="true">
<connection-url>jdbc:postgresql://pcs-db-host:port/pcs-db</connection-url>
<driver-class>org.postgresql.Driver</driver-class>
<driver>pgsql</driver>
<security>
<user-name>pcs-user</user-name>
<password>pcs-pass</password>
</security>
<validation>
<valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLValidConnectionChecker"/>
<background-validation>true</background-validation>
<exception-sorter class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLExceptionSorter"/>
</validation>
</datasource>
</source>

===MS SQL===
====PC Server====
В файл ''WF_PATH/standalone/configuration/standalone.xml'' внести следующие изменения добавить новый источник данных в секцию ''<datasources></datasources>'' заменив pcs-db-host, port, pcs-db-host, pcs-db, pcs-user, pcs-pass:<source lang="xml">
<datasource jta="true" jndi-name="java:jboss/datasources/PayControlDS" pool-name="PayControlDS" enabled="true" use-ccm="true">
<connection-url>jdbc:sqlserver://pcs-db-host:port;databaseName=pcs-db</connection-url>
<driver>mssql</driver>
<security>
<user-name>pcs-user</user-name>
<password>pcs-pass</password>
</security>
<pool>
<min-pool-size>5</min-pool-size>
<max-pool-size>50</max-pool-size>
<prefill>false</prefill>
<use-strict-min>false</use-strict-min>
<flush-strategy>FailingConnectionOnly</flush-strategy>
</pool>
<validation>
<valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.mssql.MSSQLValidConnectionChecker"></valid-connection-checker>
</validation>
</datasource>
</source>

===Oracle===
====PC Server====
В файл ''WF_PATH/standalone/configuration/standalone.xml'' внести следующие изменения добавить новый источник данных в секцию ''<datasources></datasources>'' заменив pcs-db-host, port, pcs-db, pcs-user, pcs-pass:<source lang="xml">
<datasource jta="true" jndi-name="java:jboss/datasources/PayControlDS" pool-name="PayControlDS" enabled="true" use-ccm="true">
<connection-url>jdbc:oracle:thin:@pcs-db-host:port:sid</connection-url>
<driver-class>org.postgresql.Driver</driver-class>
<driver>oracle</driver>
<security>
<user-name>pcs-user</user-name>
<password>pcs-pass</password>
</security>
<pool>
<min-pool-size>1</min-pool-size>
<max-pool-size>5</max-pool-size>
<prefill>true</prefill>
</pool>
<validation>
<check-valid-connection-sql>select 1 from dual</check-valid-connection-sql>
<validate-on-match>false</validate-on-match>
<background-validation>true</background-validation>
<background-validation-millis>10000</background-validation-millis>
</validation>
</datasource>
</source>

=Настройка подключения PCIS External к PC Server=
На сервере PCIS External необходимо установить адрес сервера PC Server (host и port заменить на реальные значения). Для этого:
* на Linux в файл ''WF_PATH/bin/standalone.conf'' нужно добавить <syntaxhighlight lang="bash">JAVA_OPTS="$JAVA_OPTS -Dpcservice.endpoint=http://<host>:<port>/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"</syntaxhighlight>
* на Windows в файл ''WF_PATH/bin/standalone.conf.bat'' нужно добавить <syntaxhighlight lang="bat">set "JAVA_OPTS=%JAVA_OPTS% -Dpcservice.endpoint=http://<host>:<port>/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"</syntaxhighlight> выше метки :JAVA_OPTS_SET

=Настройка выделения памяти серверу=
На всех серверах установить максимальный объем доступной для использования памяти:
* на Linux в ''WF_PATH/bin/standalone.conf'' указать объём «ОбщийОбъёмОЗУ - 512MB»
* на Windows в ''WF_PATH\bin\standalone.conf.bat'' указать объём «ОбщийОбъёмОЗУ - 1536MB»
Для этого в строке
''JAVA_OPTS="-Xms64m -Xmx512m -XX:MetaspaceSize=96M -XX:MaxMetaspaceSize=256m -Djava.net.preferIPv4Stack=true"'' поменять значение параметра ''Xmx'' на выделяемый объём.
==Запуск проекта==
* Загрузить файлы модулей требуемых компонентов последних версий из репозитория по адресу https://repo.paycontrol.org/server/maven/tech/paycon/server/ (при этом модуль PCPusher необходимо взять из ветки 5.x):
** PC Server — https://repo.paycontrol.org/server/maven/tech/paycon/server/PayControl-services-module/, файл ''PayControl-services-module-<VERSION>.ear''
** PC Pusher — https://repo.paycontrol.org/server/maven/tech/paycon/server/pc-pusher/, файл ''pc-pusher-<VERSION>.war''
** PCIS External — https://repo.paycontrol.org/server/maven/tech/paycon/server/PayControl-interaction-rest/, файл ''PayControl-interaction-rest-<VERSION>.war''
* Скопировать файл приложения сервера ''WF_PATH\standalone\deployments\''. Один сервер WildFly может запускать одно или несколько приложений сервера.
* Запустить
** Linux <syntaxhighlight lang="bash">WF_PATH/bin/standalone.sh -b 0.0.0.0</syntaxhighlight>
** Windows <syntaxhighlight lang="bat">WF_PATH\bin\standalone.bat -b 0.0.0.0</syntaxhighlight>
*: где -b 0.0.0.0 - позволяет подключаться к серверу используя любой его интерфейс (опция bind)
* Дождаться старта WF, проверить, что нет ошибок запуска.

==Настройка автозапуска службы сервера==
===Linux===
Для настройки автозапуска службы, перейти в каталог WF_PATH/docs/contrib/scripts/systemd/ и выполнить шаги, описанные в файле README в этом каталоге, за исключением пунктов распаковки и создания символьной ссылки на каталог.
Пункт <code>chown -R wildfly:wildfly /opt/wildfly</code> необходимо выполнить с параметрами «-RH» (параметр «H» указывает, что если на вход подана символьная ссылка, то нужно пойти вглубь каталога, на который она ссылается). Таким образом команда должна выглядеть следующим образом:
<syntaxhighlight lang="bash">chown -RHv wildfly:wildfly /opt/wildfly</syntaxhighlight>
При запуске в качестве службы, возможно отклонение запросов. В таком случае необходимо установить параметры JAVA_OPTS в файле standalone.conf:
<syntaxhighlight lang="bat">JAVA_OPTS="$JAVA_OPTS -Djboss.bind.address=0.0.0.0"</syntaxhighlight>
===Windows===
Скопировать папку 
''WF_PATH\docs\contrib\scripts\service\'' 
в папку 
''WF_PATH\bin\'' 

Выполнить
<syntaxhighlight lang="bat">WF_PATH\bin\service\service.bat install /startup</syntaxhighlight>
При запуске в качестве службы, возможно отклонение запросов. В таком случае необходимо установить параметры JAVA_OPTS в файле standalone.conf.bat выше метки :JAVA_OPTS_SET.
<syntaxhighlight lang="bat">set "JAVA_OPTS=%JAVA_OPTS% -Djboss.bind.address=0.0.0.0"</syntaxhighlight>

==URL-фильтрация при совмещении PC Pusher и PCIS External==
При совмещении ролей PC Pusher и PCIS External на одном сервере необходимо исключить возможность выполнения запросов PC Pusher со стороны сети интернет. 

Для этого необходимо со стороны сети интернет разрешить подключения только на конечную точку PCIS External. 
Конечная точка PCIS External - ''<host>:<port>/PayControl-interaction-rest/*'' 
Доступ к другим конечным точкам должен быть запрещен.

При этом доступ к PC Pusher со стороны PC Server должен сохраниться. 
Конечная точка PC Pusher - ''<host>:<port>/pc-pusher-api/*''

=Внесение изменений в БД=
==Создание индексов БД PC Server==
После первого запуска приложения, в базе данных будут созданы необходимые таблицы.

На продуктивной среде после этого необходимо создать индексы в базе данных('''за исключением Oracle''') PC Server.

Для этого выполните SQL скрипт:
<syntaxhighlight lang="sql">
create index pc_keyinfo1_idx on PC_KEYINFO (userID, expiration_date, is_deleted);
create index pc_delayedkeyinfo1_idx on PC_DELAYEDKEYINFO (userID, is_deleted);
create index pc_device1_idx on PC_DEVICE (userID, is_deleted);
create index pc_transaction1_idx on PC_TRANSACTION (userID, status);
create index pc_device2_idx on PC_DEVICE (userID);
create index pc_keyinfo2_idx on PC_KEYINFO (userID);
create index pc_transaction2_idx on PC_TRANSACTION (userID);
create index pc_user1_idx on PC_USER (systemID);
</syntaxhighlight>

==Корректировка типов данных для MS SQL==
Java-приложение при создании таблиц БД неоптимально устанавливает тип для одного из полей для СУБД MS SQL.

Для его корректировки после того, как таблицы созданы, выполните запрос
<syntaxhighlight lang="sql">
ALTER TABLE PC_TRANSACTION ALTER COLUMN DATA_BINARY image;
</syntaxhighlight>
==Регистрация системы==
После успешного запуска приложения PC Server до начала работы необходимо зарегистрировать прикладную систему.

Это действие выполняется путем отправки на PC Server HTTP POST запроса, сформированного ST/Airome. Содержание запроса предоставляется дополнительно.

Для отправки запроса можно использовать любое средство отправки HTTP-запросов.
===Примеры===

====Curl====
cURL (в ОС Linux доступна в репозиториях, для ОС Windows можно скачать с сайта разработчика https://curl.haxx.se/download.html):
* 1. Скопировать файл RegisterSystemRequest.xml (если название файла с запросом на регистрацию отличается, то необходимо либо переименовать его, либо изменить имя этого файла в параметрах команды curl) на сервер в любую директорию на машину, с которой будет производиться запуск команды curl.
* 2. Проверить содержимое файла. Если файл выглядит как<syntaxhighlight lang="xml">
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:pay="http://ws.safetech.ru/PayControlV3/">
<soapenv:Header/>
<soapenv:Body>
<pay:registerSystemRequest>
<request>PD94bWwgdmVyc2lvbj0iMJlIHhtbG5zPSJodHRwOi8vd3Muc2FmZXRlY2gucS4w... ...ZXF1JlIHhtbG5zPSJodHRwOi8vd3Muc2FmZXRlY2gucnUZ==</request>
</pay:registerSystemRequest>
</soapenv:Body>
</soapenv:Envelope>
</syntaxhighlight>
то, перейти к п.4.
* 3. Если файл выглядит как
<code>PD94bWwgdmVyc2lvbj0iMJlIHhtbG5zPSJodHRwOi8vd3Muc2FmZXRlY2gucS4w... ...ZXF1JlIHhtbG5zPSJodHRwOi8vd3Muc2FmZXRlY2gucnUZ==</code>
то необходимо добавить в его начало<syntaxhighlight lang="xml">
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:pay="http://ws.safetech.ru/PayControlV3/">
<soapenv:Header/>
<soapenv:Body>
<pay:registerSystemRequest>
<request>
</syntaxhighlight>
и в его конец<syntaxhighlight lang="xml">
</request>
</pay:registerSystemRequest>
</soapenv:Body>
</soapenv:Envelope>
</syntaxhighlight>
чтобы он принял вид, как представлено в п.2.
* 4. Выполнить команду (в той-же директории, где располагается скопированный/изменённый файл), заменив <PCServer_IP/localhost> на DNS-имя сервера или его IP-адрес:<syntaxhighlight lang="bash">
curl --header "Content-Type: text/xml;charset=UTF-8" --header "SOAPAction: registerSystem" --data @RegisterSystemRequest.xml <PCServer_IP/localhost>:8080/ws/PayControlServiceV3
</syntaxhighlight>

* Если в составе ответа пришла строка <systemId>SYSTEMID ВАШЕЙ ПРИКЛАДНОЙ СИСТЕМЫ</systemId>, значит прикладная система зарегистрирована.
* Если в составе ответа было <soap:Fault>, значит возникла проблема на этапе регистрации.
* После успешной регистрации прикладной системы на сервере, файл registerSystem.xml больше не нужен.

====SOAP UI====
* 1. Добавить подключение к серверу PCS, указав адрес WSDL схемы:
[[Файл:Soap add conn.jpg]]
* 2. Создать новый запрос из категории registerSystem
[[Файл:Soap register system.jpg]]
* 3. Выполнить запрос

* Если в составе ответа пришла строка <systemId>SYSTEMID ВАШЕЙ ПРИКЛАДНОЙ СИСТЕМЫ</systemId>, значит прикладная система зарегистрирована.
* Если в составе ответа было <soap:Fault>, значит возникла проблема на этапе регистрации.

==Доступ к сервисам==
Сервис PC Server доступен по ссылкам (при запросе на эти 2 адреса ниже, должна возвратиться WSDL-схема):
* http://<IP или имя сервера с WF >:8080/ws/PayControlServiceV3?wsdl
* http://<IP или имя сервера с WF >:8080/ws/PayControlReportService?wsdl

Адрес конечной точки PC Pusher по умолчанию:
* http://<IP или имя сервера с WF >:8080/pc-pusher-api/
Адрес PC Pusher health check:
* http://<IP или имя сервера с WF >:8080/pc-pusher-api/health_check

PCIS External (при запросе на этот адрес должно возвратиться «Not Found». Также необходимо обратить внимание, на то, какой протокол разрешён – HTTP или HTTPS):
* http://<IP или имя сервера с WF >:8080/PayControl-interaction-rest/
=Настройка PC Pusher для отправки пушей в другое приложение (при необходимости)=
Необходимо выполнить пункты описанные по ссылке [[Обновление_с_3.6_до_3.8#Настройка PC Pusher|"Настройка PCS и PC Pusher"]]

=Корректировка (смена) адресов серверов PayControl (при необходимости)=
{{Предупреждение|Не рекомендуется дополнительно указывать номер порта, в случаях, если для HTTP используется порт 80, или для HTTPS используется порт 443}}
==Учёт изменения адреса сервера PCS==
Для учёта изменения адреса сервера PCS необходимо произвести изменения в настройках PCIS External. В файле /opt/wildfly/bin/standalone.conf, в следующей строке, указав правильный адрес и при необходимости порт сервера PCS, а также уточнив протокол подключения (HTTP/HTTPS):
<syntaxhighlight lang="bash">
JAVA_OPTS="$JAVA_OPTS -Dpcservice.endpoint=http[s]://<IP или DNS-имя>[:PORT]/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"
</syntaxhighlight>
==Учёт изменения адреса сервера PC Pusher==
Для учёта изменения адреса сервера PC Pusher, необходимо, предварительно указав корректные данные (протокол (HTTP/HTTPS), имя или IP сервера, порт, идентификатор системы), выполнить запрос к БД PCS:
<syntaxhighlight lang="sql">update pc_system set pc_is_internal_url = 'http[s]://<IP или DNS-имя>[:PORT]/pc-pusher-api/' where systemid='<SYSTEMID>';</syntaxhighlight>
==Учёт изменения внешнего адреса сервера PCIS External==
{{Предупреждение|Если система была переведена в промышленную эксплуатацию, при смене адреса для доступа мобильных устройств, не рекомендуется выводить из действия предыдущий адрес на протяжении всего срока действия выпущенных ключей пользователя. Иначе мобильное приложение потеряет доступ к серверу PayControl и для восстановления будет необходимо перевыпустить ключ и заново добавить его в приложение пользователя.}}
Для учёта изменения внешнего адреса сервера PayControl, по которому связываются мобильное приложение с сервером PayControl, необходимо, предварительно указав корректные данные (протокол (HTTP/HTTPS), имя или IP сервера, порт, идентификатор системы), выполнить запрос к БД PCS:
<syntaxhighlight lang="sql">update pc_system set pc_is_external_url = 'http[s]://<IP или DNS-имя>[:PORT]/PayControl-interaction-rest/' where systemid='<SYSTEMID>';</syntaxhighlight>

Установка компонентов сервера PayControl v3.8 вручную

2022-07-20T15:55:28Z

A.bursakov:

=Подготовка БД=
* Создать базу данных и пользователя на сервере СУБД, где будет работать база данных PC Server (pcs-user, pcs-pass, pcs-db, pcs-db-host). Предоставить права на доступ пользователю к БД.

=Установка Java=
Установить последнюю версию JRE 11.
=Установка Wildfly=
* Скачать актуальную версию WildFly Server (Jakarta EE 8 Full & Web Distribution) – https://wildfly.org/downloads/
Далее по тексту, под '''WF_PATH''' имеется в виду адрес созданной символьной ссылки.
==Linux==
При распаковке рекомендуется исключить кириллические символы в пути, а также пробелы.
* Распаковать Wildfly, например, в /opt/.
* Создать символьную ссылку /opt/wildfly на распакованную директорию. Пример команды:<source lang="bash">ln -s /opt/wildfly-26.0.0.Final/ /opt/wildfly</source>
==Windows==
При распаковке рекомендуется исключить кириллические символы в пути, а также пробелы.
* Распаковать Wildfly, например, в C:\.
* Создать символьную ссылку, к примеру ''C:\wildfly'', на распакованную директорию. Пример команды:<syntaxhighlight lang="bat">mklink /D C:\wildfly C:\wildfly-26.0.0.Final\</syntaxhighlight>
==Удаление настроек WildFly по-умолчанию==
Для удаления настроек по-умолчанию, необходимо выполнить пункты описанные по ссылке [[Wildfly#Удаление настроек по умолчанию|Wildfly - Удаление настроек по умолчанию]]

=Настройка подключения к БД PC Server=
==Добавление JDBC-драйвера СУБД==
===PostgreSQL===
* Скачать актуальный JDBC-драйвер по адресу https://jdbc.postgresql.org/
* Создать директорию ''WF_PATH/modules/org/postgresql/main/''
* В директорию ''WF_PATH/modules/org/postgresql/main/'' поместить скачанный postgresql-*.*.*.jar
* Создать в этой же папке файл ''module.xml'' следующего содержания, указав имя файла драйвера вместо "JAR_PATH":<source lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module xmlns="urn:jboss:module:1.0" name="org.postgresql">
<resources>
<resource-root path="JAR_PATH"/>
</resources>
<dependencies>
<module name="javax.api"/>
<module name="javax.transaction.api"/>
<module name="javax.servlet.api" optional="true"/>
</dependencies>
</module>
</source>
* Добавить установленный модуль в качестве драйвера для подключения к СУБД в файл ''WF_PATH/standalone/configuration/standalone.xml'', в секцию ''<datasources/drivers>'', добавив следующий блок:<source lang="xml">
<driver name="pgsql" module="org.postgresql">
<driver-class>org.postgresql.Driver</driver-class>
</driver>
</source>

===MS SQL===
* Скачать JDBC-драйвер с сайта Microsoft https://docs.microsoft.com/ru-ru/sql/connect/jdbc/download-microsoft-jdbc-driver-for-sql-server?view=sql-server-ver15
* Создать директорию ''WF_PATH/modules/system/layers/base/com/microsoft/sqlserver/main/''
* В директорию распаковать файлы и директории драйвера. Файлы драйвера (*.jar) должны располагаться непосредственно в директории ''main/''
* Создать в этой же папке файл module.xml следующего содержания, заменив JAR_PATH на имя файла драйвера, например на ''mssql-jdbc-8.2.2.jre8.jar'':<syntaxhighlight lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module xmlns="urn:jboss:module:1.3" name="com.microsoft.sqlserver">
<resources>
<resource-root path="JAR_PATH"/>
</resources>
<dependencies>
<module name="javax.api"/>
<module name="javax.transaction.api"/>
<module name="javax.xml.bind.api"/>
</dependencies>
</module>
</syntaxhighlight>
* Добавить установленный модуль в качестве драйвера для подключения к СУБД в файл ''WF_PATH/standalone/configuration/standalone.xml'', в секцию ''<datasources/drivers>'', добавив следующий блок:<syntaxhighlight lang="xml">
<driver name="mssql" module="com.microsoft.sqlserver">
<driver-class>com.microsoft.sqlserver.jdbc.SQLServerDriver</driver-class>
</driver>
</syntaxhighlight>

===Oracle===
* Скачать актуальный JDBC-драйвер по адресу https://www.oracle.com/database/technologies/appdev/jdbc-downloads.html
* Создать директорию ''WF_PATH/modules/org/postgresql/main/''
* В директорию ''WF_PATH/modules/system/layers/base/com/oracle/main/'' поместить скачанный ojdbc*.jar.
* Создать в этой же папке файл ''module.xml'' следующего содержания, указав имя файла драйвера вместо "JAR_PATH":<source lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module xmlns="urn:jboss:module:1.0" name="com.oracle">
<resources>
<resource-root path="JAR_PATH"/>
</resources>
<dependencies>
<module name="javax.api"/>
<module name="javax.transaction.api"/>
</dependencies>
</module>
</source>
* Добавить установленный модуль в качестве драйвера для подключения к СУБД в файл ''WF_PATH/standalone/configuration/standalone.xml'', в секцию ''<datasources/drivers>'', добавив следующий блок:<source lang="xml">
<driver name="oracle" module="com.oracle">
<driver-class>oracle.jdbc.driver.OracleDriver</driver-class>
</driver>
</source>

==Особенности маппинга Oracle==
Для корректной установки PC Server с подключением к БД Oracle требуется создать/изменить некоторые таблицы вручную:

Инструкция:
* Заменить по содержимому ниже <syntaxhighlight lang="sql">
<TABLESPACE_NAME>
<USER_NAME>
<USER_PASS>
</syntaxhighlight>

* Из-под пользователя с правами на создание пользователей и табличных пространств выполнить:<syntaxhighlight lang="sql">
---Создание табличного пространства и пользователя---
CREATE TABLESPACE <TABLESPACE_NAME> DATAFILE '<TABLESPACE_NAME>.DAT' SIZE 50M AUTOEXTEND ON;
CREATE USER "<USER_NAME>" IDENTIFIED BY "<USER_PASS>" DEFAULT TABLESPACE <TABLESPACE_NAME>;
GRANT CREATE SESSION TO "<USER_NAME>";
GRANT CREATE TABLE TO "<USER_NAME>";
GRANT CREATE SEQUENCE TO "<USER_NAME>";
GRANT UNLIMITED TABLESPACE TO "<USER_NAME>";
</syntaxhighlight>

* Из-под созданного пользователя, под которым будет производиться подключение PC к БД выполнить:<syntaxhighlight lang="sql">
---Создание таблиц---
CREATE TABLE "PC_SYS_PROPERTY"
("SETTING_ID" NUMBER(19,0) NOT NULL ENABLE,
"SETTING_NAME" VARCHAR2(255),
"SETTING_VALUE" VARCHAR2(255),
PRIMARY KEY ("SETTING_ID"),
CONSTRAINT "UK_BYEQYB1KICGD7SNXKM5L52582" UNIQUE ("SETTING_NAME"));

CREATE TABLE "PC_SYSTEM"
( "SYSTEMID" VARCHAR2(36) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"EVENTS_POST_URL" VARCHAR2(1024),
"NAME" VARCHAR2(255),
"PC_IS_EXTERNAL_URL" VARCHAR2(255),
"PC_IS_INTERNAL_URL" VARCHAR2(255),
PRIMARY KEY ("SYSTEMID"));

CREATE TABLE "PC_SYSTEM_PARAMS"
( "SYSTEMID" VARCHAR2(36) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"BILLED_DATE_REQUEST" CLOB,
"BILLING_PERIOD" NUMBER(10,0),
"BILLED_DATE" DATE,
"BILLING_TYPE" NUMBER(10,0),
"DESCRIPTION" VARCHAR2(255),
"FRONT_END_URL" VARCHAR2(255),
"LICENSE" VARCHAR2(2048),
"ONLINE_CONFIRMATION_URL" VARCHAR2(255),
"REGISTER_REQUEST" CLOB,
"REPORT_TEMPLATE_PATH" VARCHAR2(255),
"USER_KEYS_EXPIRATION_PERIOD" NUMBER(10,0),
PRIMARY KEY ("SYSTEMID"));

CREATE TABLE "PC_USER"
("USERID" VARCHAR2(64) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"BILLED_DATE" DATE,
"SYSTEMID" VARCHAR2(36),
PRIMARY KEY ("USERID"),
CONSTRAINT "FKGLUVAW7N4TKK6V6XALY8IK3S2" FOREIGN KEY ("SYSTEMID")
REFERENCES "PC_SYSTEM" ("SYSTEMID") ENABLE
);

CREATE TABLE "PC_TRANSACTION"
( "TRANSACTIONID" VARCHAR2(36) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"CALLBACK_URL" VARCHAR2(255),
"IS_CLEANED" NUMBER(5,0),
"CONFIRM_CODE_LENGTH" NUMBER(10,0),
"CONFIRMATION_TYPE" NUMBER(10,0),
"DECLINE_REASON" VARCHAR2(64),
"DATA_HASH" RAW(255),
"NOTIF_ID" VARCHAR2(255),
"STATUS" NUMBER(10,0),
"TIME_TO_LIVE" NUMBER(10,0),
"DATA_BINARY" BLOB,
"DATA_TEXT" VARCHAR2(3095),
"USERID" VARCHAR2(64),
PRIMARY KEY ("TRANSACTIONID"),
CONSTRAINT "FKARQ3VEGMNJXEJK8ONU4HRHEN3" FOREIGN KEY ("USERID")
REFERENCES "PC_USER" ("USERID") ENABLE
);

CREATE TABLE "PC_CONFIRM_ATTEMPT"
( "CONFIRM_ATTEMPT_ID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"CONFIRM_CODE" VARCHAR2(255),
"CONFIRM_RESULT" NUMBER(10,0),
"DATA_HASH" RAW(255),
"SIGNATURE" VARCHAR2(512),
"TRANSACTIONID" VARCHAR2(36),
"USERID" VARCHAR2(64),
PRIMARY KEY ("CONFIRM_ATTEMPT_ID"),
CONSTRAINT "FK5258W9Y6WQ4FY55U41WB30OWG" FOREIGN KEY ("TRANSACTIONID")
REFERENCES "PC_TRANSACTION" ("TRANSACTIONID") ENABLE,
CONSTRAINT "FKHEJP6UYKY6U4X8QFDPV4VA63Y" FOREIGN KEY ("USERID")
REFERENCES "PC_USER" ("USERID") ENABLE
);

CREATE TABLE "PC_DELAYEDKEYINFO"
( "TYPE" NUMBER(10,0) NOT NULL ENABLE,
"DELAYEDKEYID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"KEY_CONTAINER_ID" VARCHAR2(255),
"KEY_CONTENT" RAW(255),
"EXPIRATION_DATE" DATE,
"USER_KEY_VERSION" NUMBER(10,0),
"USERID" VARCHAR2(64),
PRIMARY KEY ("DELAYEDKEYID"),
CONSTRAINT "FK73X95ORVBL8BA0T3A3WEWADRF" FOREIGN KEY ("USERID")
REFERENCES "PC_USER" ("USERID") ENABLE
);

CREATE TABLE "PC_DEVICE"
( "TYPE" NUMBER(10,0) NOT NULL ENABLE,
"DEVICEID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"DEVICE_PUSH_ID" VARCHAR2(255),
"USERID" VARCHAR2(64),
PRIMARY KEY ("DEVICEID"),
CONSTRAINT "FK8CMG562COTMP53MVGRDDF1EYA" FOREIGN KEY ("USERID")
REFERENCES "PC_USER" ("USERID") ENABLE
);

CREATE TABLE "PC_KEYINFO"
( "TYPE" NUMBER(10,0) NOT NULL ENABLE,
"KEYID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"KEY_CONTAINER_ID" VARCHAR2(255),
"KEY_CONTENT" RAW(255),
"EXPIRATION_DATE" DATE,
"DEVICE_FINGERPRINT" VARCHAR2(255),
"USER_KEY_VERSION" NUMBER(10,0),
"USERID" VARCHAR2(64),
PRIMARY KEY ("KEYID"),
CONSTRAINT "FKN3VEB4OTVNAIE35AWBD0HDS90" FOREIGN KEY ("USERID")
REFERENCES "PC_USER" ("USERID") ENABLE
);

CREATE TABLE "PC_PUBLICKEY"
( "PUBLICKEYID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"PUBLIC_KEY" RAW(512),
"KEYID" NUMBER(19,0),
PRIMARY KEY ("PUBLICKEYID"),
CONSTRAINT "FKEMTGHSA74S1WI903R2TN7T3N" FOREIGN KEY ("KEYID")
REFERENCES "PC_KEYINFO" ("KEYID") ENABLE
);

CREATE TABLE "PC_EVENT"
( "EVENTID" NUMBER(19,0) NOT NULL ENABLE,
"CREATED_AT" DATE,
"IS_DELETED" NUMBER(5,0),
"UPDATED_AT" DATE,
"AUTH_CODE" VARCHAR2(64),
"DEVICE_EVENTID" VARCHAR2(36),
"DEVICE_INFO" CLOB,
"DEVICE_TIME" DATE,
"EVENTPOSTURL" VARCHAR2(255),
"REQUEST_HMAC" VARCHAR2(64),
"REQUEST_HASH" VARCHAR2(64),
"REQUEST_RESULT" NUMBER(10,0),
"REQUEST_TYPE" VARCHAR2(36),
"REQUESTER_IP" VARCHAR2(15),
"SESSIONID" VARCHAR2(36),
"TRANSACTIONID" VARCHAR2(36),
"USERID" VARCHAR2(64),
PRIMARY KEY ("EVENTID"));

</syntaxhighlight><syntaxhighlight lang="sql">
---Создание индексов
CREATE INDEX pc_keyinfo1_idx ON PC_KEYINFO (userID, expiration_date, is_deleted);
CREATE INDEX pc_delayedkeyinfo1_idx ON PC_DELAYEDKEYINFO (userID, is_deleted);
CREATE INDEX pc_device1_idx ON PC_DEVICE (userID, is_deleted);
CREATE INDEX pc_transaction1_idx ON PC_TRANSACTION (userID, status);
CREATE INDEX pc_device2_idx ON PC_DEVICE (userID);
CREATE INDEX pc_keyinfo2_idx ON PC_KEYINFO (userID);
CREATE INDEX pc_transaction2_idx ON PC_TRANSACTION (userID);
CREATE INDEX pc_user1_idx ON PC_USER (systemID);
</syntaxhighlight><syntaxhighlight lang="sql">
---Создание очередей---
create sequence PC_ATTEMPT_SEQ start with 1 increment by 1;
create sequence PC_DELAYEDKEYINFO_SEQ start with 1 increment by 1;
create sequence PC_DEVICE_SEQ start with 1 increment by 1;
create sequence PC_KEYINFO_SEQ start with 1 increment by 1;
create sequence PC_PUBLICKEY_SEQ start with 1 increment by 1;
create sequence PC_SETTING_SEQ start with 1 increment by 1;
create sequence PC_EVENT_SEQ start with 1 increment by 1;
create sequence PC_PUSH_SEQ start with 1 increment by 1;
</syntaxhighlight>

==Добавление источников данных для PC Server==
[[PC_Pusher_5.2|'''При установке PC Pusher версии 5.2 и выше, подключение к БД PC Pusher не требуется''']]

===PostgreSQL===
====PC Server====
В файл ''WF_PATH/standalone/configuration/standalone.xml'' внести следующие изменения добавить новый источник данных в секцию ''<datasources></datasources>'' заменив pcs-db-host, port, pcs-db, pcs-user, pcs-pass:<source lang="xml">
<datasource jta="true" jndi-name="java:jboss/datasources/PayControlDS" pool-name="PayControlDS" enabled="true" use-ccm="true">
<connection-url>jdbc:postgresql://pcs-db-host:port/pcs-db</connection-url>
<driver-class>org.postgresql.Driver</driver-class>
<driver>pgsql</driver>
<security>
<user-name>pcs-user</user-name>
<password>pcs-pass</password>
</security>
<validation>
<valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLValidConnectionChecker"/>
<background-validation>true</background-validation>
<exception-sorter class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLExceptionSorter"/>
</validation>
</datasource>
</source>

===MS SQL===
====PC Server====
В файл ''WF_PATH/standalone/configuration/standalone.xml'' внести следующие изменения добавить новый источник данных в секцию ''<datasources></datasources>'' заменив pcs-db-host, port, pcs-db-host, pcs-db, pcs-user, pcs-pass:<source lang="xml">
<datasource jta="true" jndi-name="java:jboss/datasources/PayControlDS" pool-name="PayControlDS" enabled="true" use-ccm="true">
<connection-url>jdbc:sqlserver://pcs-db-host:port;databaseName=pcs-db</connection-url>
<driver>mssql</driver>
<security>
<user-name>pcs-user</user-name>
<password>pcs-pass</password>
</security>
<pool>
<min-pool-size>5</min-pool-size>
<max-pool-size>50</max-pool-size>
<prefill>false</prefill>
<use-strict-min>false</use-strict-min>
<flush-strategy>FailingConnectionOnly</flush-strategy>
</pool>
<validation>
<valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.mssql.MSSQLValidConnectionChecker"></valid-connection-checker>
</validation>
</datasource>
</source>

===Oracle===
====PC Server====
В файл ''WF_PATH/standalone/configuration/standalone.xml'' внести следующие изменения добавить новый источник данных в секцию ''<datasources></datasources>'' заменив pcs-db-host, port, pcs-db, pcs-user, pcs-pass:<source lang="xml">
<datasource jta="true" jndi-name="java:jboss/datasources/PayControlDS" pool-name="PayControlDS" enabled="true" use-ccm="true">
<connection-url>jdbc:oracle:thin:@pcs-db-host:port:sid</connection-url>
<driver-class>org.postgresql.Driver</driver-class>
<driver>oracle</driver>
<security>
<user-name>pcs-user</user-name>
<password>pcs-pass</password>
</security>
<pool>
<min-pool-size>1</min-pool-size>
<max-pool-size>5</max-pool-size>
<prefill>true</prefill>
</pool>
<validation>
<check-valid-connection-sql>select 1 from dual</check-valid-connection-sql>
<validate-on-match>false</validate-on-match>
<background-validation>true</background-validation>
<background-validation-millis>10000</background-validation-millis>
</validation>
</datasource>
</source>

=Настройка подключения PCIS External к PC Server=
На сервере PCIS External необходимо установить адрес сервера PC Server (host и port заменить на реальные значения). Для этого:
* на Linux в файл ''WF_PATH/bin/standalone.conf'' нужно добавить <syntaxhighlight lang="bash">JAVA_OPTS="$JAVA_OPTS -Dpcservice.endpoint=http://<host>:<port>/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"</syntaxhighlight>
* на Windows в файл ''WF_PATH/bin/standalone.conf.bat'' нужно добавить <syntaxhighlight lang="bat">set "JAVA_OPTS=%JAVA_OPTS% -Dpcservice.endpoint=http://<host>:<port>/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"</syntaxhighlight> выше метки :JAVA_OPTS_SET

=Настройка выделения памяти серверу=
На всех серверах установить максимальный объем доступной для использования памяти:
* на Linux в ''WF_PATH/bin/standalone.conf'' указать объём «ОбщийОбъёмОЗУ - 512MB»
* на Windows в ''WF_PATH\bin\standalone.conf.bat'' указать объём «ОбщийОбъёмОЗУ - 1536MB»
Для этого в строке
''JAVA_OPTS="-Xms64m -Xmx512m -XX:MetaspaceSize=96M -XX:MaxMetaspaceSize=256m -Djava.net.preferIPv4Stack=true"'' поменять значение параметра ''Xmx'' на выделяемый объём.
==Запуск проекта==
* Загрузить файлы модулей требуемых компонентов последних версий из репозитория по адресу https://repo.paycontrol.org/server/maven/tech/paycon/server/:
** PC Server — https://repo.paycontrol.org/server/maven/tech/paycon/server/PayControl-services-module/, файл ''PayControl-services-module-<VERSION>.ear''
** PC Pusher — https://repo.paycontrol.org/server/maven/tech/paycon/server/pc-pusher/, файл ''pc-pusher-<VERSION>.war''
** PCIS External — https://repo.paycontrol.org/server/maven/tech/paycon/server/PayControl-interaction-rest/, файл ''PayControl-interaction-rest-<VERSION>.war''
* Скопировать файл приложения сервера ''WF_PATH\standalone\deployments\''. Один сервер WildFly может запускать одно или несколько приложений сервера.
* Запустить
** Linux <syntaxhighlight lang="bash">WF_PATH/bin/standalone.sh -b 0.0.0.0</syntaxhighlight>
** Windows <syntaxhighlight lang="bat">WF_PATH\bin\standalone.bat -b 0.0.0.0</syntaxhighlight>
*: где -b 0.0.0.0 - позволяет подключаться к серверу используя любой его интерфейс (опция bind)
* Дождаться старта WF, проверить, что нет ошибок запуска.

==Настройка автозапуска службы сервера==
===Linux===
Для настройки автозапуска службы, перейти в каталог WF_PATH/docs/contrib/scripts/systemd/ и выполнить шаги, описанные в файле README в этом каталоге, за исключением пунктов распаковки и создания символьной ссылки на каталог.
Пункт <code>chown -R wildfly:wildfly /opt/wildfly</code> необходимо выполнить с параметрами «-RH» (параметр «H» указывает, что если на вход подана символьная ссылка, то нужно пойти вглубь каталога, на который она ссылается). Таким образом команда должна выглядеть следующим образом:
<syntaxhighlight lang="bash">chown -RHv wildfly:wildfly /opt/wildfly</syntaxhighlight>
При запуске в качестве службы, возможно отклонение запросов. В таком случае необходимо установить параметры JAVA_OPTS в файле standalone.conf:
<syntaxhighlight lang="bat">JAVA_OPTS="$JAVA_OPTS -Djboss.bind.address=0.0.0.0"</syntaxhighlight>
===Windows===
Скопировать папку 
''WF_PATH\docs\contrib\scripts\service\'' 
в папку 
''WF_PATH\bin\'' 

Выполнить
<syntaxhighlight lang="bat">WF_PATH\bin\service\service.bat install /startup</syntaxhighlight>
При запуске в качестве службы, возможно отклонение запросов. В таком случае необходимо установить параметры JAVA_OPTS в файле standalone.conf.bat выше метки :JAVA_OPTS_SET.
<syntaxhighlight lang="bat">set "JAVA_OPTS=%JAVA_OPTS% -Djboss.bind.address=0.0.0.0"</syntaxhighlight>

==URL-фильтрация при совмещении PC Pusher и PCIS External==
При совмещении ролей PC Pusher и PCIS External на одном сервере необходимо исключить возможность выполнения запросов PC Pusher со стороны сети интернет. 

Для этого необходимо со стороны сети интернет разрешить подключения только на конечную точку PCIS External. 
Конечная точка PCIS External - ''<host>:<port>/PayControl-interaction-rest/*'' 
Доступ к другим конечным точкам должен быть запрещен.

При этом доступ к PC Pusher со стороны PC Server должен сохраниться. 
Конечная точка PC Pusher - ''<host>:<port>/pc-pusher-api/*''

=Внесение изменений в БД=
==Создание индексов БД PC Server==
После первого запуска приложения, в базе данных будут созданы необходимые таблицы.

На продуктивной среде после этого необходимо создать индексы в базе данных('''за исключением Oracle''') PC Server.

Для этого выполните SQL скрипт:
<syntaxhighlight lang="sql">
create index pc_keyinfo1_idx on PC_KEYINFO (userID, expiration_date, is_deleted);
create index pc_delayedkeyinfo1_idx on PC_DELAYEDKEYINFO (userID, is_deleted);
create index pc_device1_idx on PC_DEVICE (userID, is_deleted);
create index pc_transaction1_idx on PC_TRANSACTION (userID, status);
create index pc_device2_idx on PC_DEVICE (userID);
create index pc_keyinfo2_idx on PC_KEYINFO (userID);
create index pc_transaction2_idx on PC_TRANSACTION (userID);
create index pc_user1_idx on PC_USER (systemID);
</syntaxhighlight>

==Корректировка типов данных для MS SQL==
Java-приложение при создании таблиц БД неоптимально устанавливает тип для одного из полей для СУБД MS SQL.

Для его корректировки после того, как таблицы созданы, выполните запрос
<syntaxhighlight lang="sql">
ALTER TABLE PC_TRANSACTION ALTER COLUMN DATA_BINARY image;
</syntaxhighlight>
==Регистрация системы==
После успешного запуска приложения PC Server до начала работы необходимо зарегистрировать прикладную систему.

Это действие выполняется путем отправки на PC Server HTTP POST запроса, сформированного ST/Airome. Содержание запроса предоставляется дополнительно.

Для отправки запроса можно использовать любое средство отправки HTTP-запросов.
===Примеры===

====Curl====
cURL (в ОС Linux доступна в репозиториях, для ОС Windows можно скачать с сайта разработчика https://curl.haxx.se/download.html):
* 1. Скопировать файл RegisterSystemRequest.xml (если название файла с запросом на регистрацию отличается, то необходимо либо переименовать его, либо изменить имя этого файла в параметрах команды curl) на сервер в любую директорию на машину, с которой будет производиться запуск команды curl.
* 2. Проверить содержимое файла. Если файл выглядит как<syntaxhighlight lang="xml">
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:pay="http://ws.safetech.ru/PayControlV3/">
<soapenv:Header/>
<soapenv:Body>
<pay:registerSystemRequest>
<request>PD94bWwgdmVyc2lvbj0iMJlIHhtbG5zPSJodHRwOi8vd3Muc2FmZXRlY2gucS4w... ...ZXF1JlIHhtbG5zPSJodHRwOi8vd3Muc2FmZXRlY2gucnUZ==</request>
</pay:registerSystemRequest>
</soapenv:Body>
</soapenv:Envelope>
</syntaxhighlight>
то, перейти к п.4.
* 3. Если файл выглядит как
<code>PD94bWwgdmVyc2lvbj0iMJlIHhtbG5zPSJodHRwOi8vd3Muc2FmZXRlY2gucS4w... ...ZXF1JlIHhtbG5zPSJodHRwOi8vd3Muc2FmZXRlY2gucnUZ==</code>
то необходимо добавить в его начало<syntaxhighlight lang="xml">
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:pay="http://ws.safetech.ru/PayControlV3/">
<soapenv:Header/>
<soapenv:Body>
<pay:registerSystemRequest>
<request>
</syntaxhighlight>
и в его конец<syntaxhighlight lang="xml">
</request>
</pay:registerSystemRequest>
</soapenv:Body>
</soapenv:Envelope>
</syntaxhighlight>
чтобы он принял вид, как представлено в п.2.
* 4. Выполнить команду (в той-же директории, где располагается скопированный/изменённый файл), заменив <PCServer_IP/localhost> на DNS-имя сервера или его IP-адрес:<syntaxhighlight lang="bash">
curl --header "Content-Type: text/xml;charset=UTF-8" --header "SOAPAction: registerSystem" --data @RegisterSystemRequest.xml <PCServer_IP/localhost>:8080/ws/PayControlServiceV3
</syntaxhighlight>

* Если в составе ответа пришла строка <systemId>SYSTEMID ВАШЕЙ ПРИКЛАДНОЙ СИСТЕМЫ</systemId>, значит прикладная система зарегистрирована.
* Если в составе ответа было <soap:Fault>, значит возникла проблема на этапе регистрации.
* После успешной регистрации прикладной системы на сервере, файл registerSystem.xml больше не нужен.

====SOAP UI====
* 1. Добавить подключение к серверу PCS, указав адрес WSDL схемы:
[[Файл:Soap add conn.jpg]]
* 2. Создать новый запрос из категории registerSystem
[[Файл:Soap register system.jpg]]
* 3. Выполнить запрос

* Если в составе ответа пришла строка <systemId>SYSTEMID ВАШЕЙ ПРИКЛАДНОЙ СИСТЕМЫ</systemId>, значит прикладная система зарегистрирована.
* Если в составе ответа было <soap:Fault>, значит возникла проблема на этапе регистрации.

==Доступ к сервисам==
Сервис PC Server доступен по ссылкам (при запросе на эти 2 адреса ниже, должна возвратиться WSDL-схема):
* http://<IP или имя сервера с WF >:8080/ws/PayControlServiceV3?wsdl
* http://<IP или имя сервера с WF >:8080/ws/PayControlReportService?wsdl

Адрес конечной точки PC Pusher по умолчанию:
* http://<IP или имя сервера с WF >:8080/pc-pusher-api/
Адрес PC Pusher health check:
* http://<IP или имя сервера с WF >:8080/pc-pusher-api/health_check

PCIS External (при запросе на этот адрес должно возвратиться «Not Found». Также необходимо обратить внимание, на то, какой протокол разрешён – HTTP или HTTPS):
* http://<IP или имя сервера с WF >:8080/PayControl-interaction-rest/
=Настройка PC Pusher для отправки пушей в другое приложение (при необходимости)=
Необходимо выполнить пункты описанные по ссылке [[Обновление_с_3.6_до_3.8#Настройка PC Pusher|"Настройка PCS и PC Pusher"]]

=Корректировка (смена) адресов серверов PayControl (при необходимости)=
{{Предупреждение|Не рекомендуется дополнительно указывать номер порта, в случаях, если для HTTP используется порт 80, или для HTTPS используется порт 443}}
==Учёт изменения адреса сервера PCS==
Для учёта изменения адреса сервера PCS необходимо произвести изменения в настройках PCIS External. В файле /opt/wildfly/bin/standalone.conf, в следующей строке, указав правильный адрес и при необходимости порт сервера PCS, а также уточнив протокол подключения (HTTP/HTTPS):
<syntaxhighlight lang="bash">
JAVA_OPTS="$JAVA_OPTS -Dpcservice.endpoint=http[s]://<IP или DNS-имя>[:PORT]/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"
</syntaxhighlight>
==Учёт изменения адреса сервера PC Pusher==
Для учёта изменения адреса сервера PC Pusher, необходимо, предварительно указав корректные данные (протокол (HTTP/HTTPS), имя или IP сервера, порт, идентификатор системы), выполнить запрос к БД PCS:
<syntaxhighlight lang="sql">update pc_system set pc_is_internal_url = 'http[s]://<IP или DNS-имя>[:PORT]/pc-pusher-api/' where systemid='<SYSTEMID>';</syntaxhighlight>
==Учёт изменения внешнего адреса сервера PCIS External==
{{Предупреждение|Если система была переведена в промышленную эксплуатацию, при смене адреса для доступа мобильных устройств, не рекомендуется выводить из действия предыдущий адрес на протяжении всего срока действия выпущенных ключей пользователя. Иначе мобильное приложение потеряет доступ к серверу PayControl и для восстановления будет необходимо перевыпустить ключ и заново добавить его в приложение пользователя.}}
Для учёта изменения внешнего адреса сервера PayControl, по которому связываются мобильное приложение с сервером PayControl, необходимо, предварительно указав корректные данные (протокол (HTTP/HTTPS), имя или IP сервера, порт, идентификатор системы), выполнить запрос к БД PCS:
<syntaxhighlight lang="sql">update pc_system set pc_is_external_url = 'http[s]://<IP или DNS-имя>[:PORT]/PayControl-interaction-rest/' where systemid='<SYSTEMID>';</syntaxhighlight>

Руководство администратора PayControl v5

2022-07-20T15:03:01Z

A.bursakov: Содержимое страницы заменено на «{{Уведомление|Актуальная документация по версии 5 располагается по адре…»

{{Уведомление|Актуальная документация по версии 5 располагается по адресу https://repo.paycontrol.org/index/safe-tech/#paycontrol}}

Установка PayControl v5. Linux

2022-07-20T15:02:21Z

{{Уведомление|Актуальная документация по версии 5 располагается по адресу https://repo.paycontrol.org/index/safe-tech/#paycontrol}}

Установка компонентов сервера PayControl v5 вручную

2022-07-20T15:01:41Z

{{Уведомление|Актуальная документация по версии 5 располагается по адресу https://repo.paycontrol.org/index/safe-tech/#paycontrol}}

Wildfly

2022-04-05T16:43:42Z

A.bursakov:

=Настройка=
==Из командной строки==
Подключение к консоли:
<syntaxhighlight lang="bash">sudo /opt/wildfly/bin/jboss-cli.sh --connect</syntaxhighlight>
Выполнение команд в неинтерактивном режиме:
<syntaxhighlight lang="bash">sudo /opt/wildfly/bin/jboss-cli.sh --connect --commands=ls\ deployment</syntaxhighlight>
===Настройка PayControl===
Удаление настроек по умолчанию:
<syntaxhighlight lang="bash">
data-source remove --name=ExampleDS
/subsystem=ee/service=default-bindings:remove()
reload
/subsystem=datasources/jdbc-driver=h2:remove
/subsystem=undertow/server=default-server/host=default-host/location=\/:remove()
/subsystem=undertow/configuration=handler:remove()
</syntaxhighlight>
Добавление драйвера (postgresql) и источников данных:
<syntaxhighlight lang="bash">
module add --name=org.postgresql --resources=/opt/paycontrol/postgresql-42.2.5.jar --dependencies=javax.api,javax.transaction.api,javax.servlet.api
/subsystem=datasources/jdbc-driver=postgres:add(driver-name="postgres",driver-module-name="org.postgresql",driver-class-name=org.postgresql.Driver)
data-source add --jndi-name=java:jboss/datasources/PayControlDS --name=PayControlDS --connection-url=jdbc:postgresql://localhost:5432/pcs --driver-name=postgres --user-name=pcuser --password=XXXXXXXX
data-source add --jndi-name=java:jboss/datasources/PayControlISDS --name=PayControlISDS --connection-url=jdbc:postgresql://localhost:5432/pcis --driver-name=postgres --user-name=pcuser --password=XXXXXXXX
</syntaxhighlight>
Установка wsdl-host
<syntaxhighlight lang="bash">
/subsystem=webservices:write-attribute$name=wsdl-host,value=docker.loc$
</syntaxhighlight>

===Добавление источников данных (разные СУБД)===
{|class="wikitable"
!Datasource!!Connection URL
|-
|IBM DB2||jdbc:db2://SERVER_NAME:PORT/DATABASE_NAME
|-
|MariaDB||jdbc:mariadb://SERVER_NAME:PORT/DATABASE_NAME
|-
|Microsoft SQL Server||jdbc:sqlserver://SERVER_NAME:PORT;DatabaseName=DATABASE_NAME
|-
|MySQL||jdbc:mysql://SERVER_NAME:PORT/DATABASE_NAME
|-
|Oracle||jdbc:oracle:thin:@SERVER_NAME:PORT:ORACLE_SID
|-
|PostgreSQL||jdbc:postgresql://SERVER_NAME:PORT/DATABASE_NAME
|-
|Sybase||jdbc:sybase:Tds:SERVER_NAME:PORT/DATABASE_NAME
|}
==Удаление настроек по умолчанию==
При конфигурировании Wildfly можно (при [[Перевод в промышленную эксплуатацию|переводе системы в промышленную эксплуатацию]] - рекомендуется) удалить пример источника данных и страницу-приветствие. Для этого в файле standalone.xml необходимо убрать (либо закомментировать) следующие объекты:<syntaxhighlight lang="xml">
<datasource jndi-name="java:jboss/datasources/ExampleDS" pool-name="ExampleDS" enabled="true" use-java-context="true">
<connection-url>jdbc:h2:mem:test;DB_CLOSE_DELAY=-1;DB_CLOSE_ON_EXIT=FALSE</connection-url>
<driver>h2</driver>
<security>
<user-name>sa</user-name>
<password>sa</password>
</security>
</datasource>
</syntaxhighlight> <syntaxhighlight lang="xml">
<driver name="h2" module="com.h2database.h2">
<xa-datasource-class>org.h2.jdbcx.JdbcDataSource</xa-datasource-class>
</driver>
</syntaxhighlight> <syntaxhighlight lang="xml">
<default-bindings context-service="java:jboss/ee/concurrency/context/default" datasource="java:jboss/datasources/ExampleDS" managed-executor-service="java:jboss/ee/concurrency/executor/default" managed-scheduled-executor-service="java:jboss/ee/concurrency/scheduler/default" managed-thread-factory="java:jboss/ee/concurrency/factory/default"/>
</syntaxhighlight><syntaxhighlight lang="xml">
<location name="/" handler="welcome-content"/>
</syntaxhighlight> <syntaxhighlight lang="xml">
<handlers>
<file name="welcome-content" path="${jboss.home.dir}/welcome-content"/>
</handlers>
</syntaxhighlight>

==Добавление сертификатов корпоративных УЦ==
java keytool – с его помощью установить корневой сертификат в keystore. Если есть промежуточные, то их тоже.

java keystore password по умолчанию – “changeit”.

Примеры инструкций:
* https://docs.microsoft.com/ru-ru/java/azure/java-sdk-add-certificate-ca-store?view=azure-java-stable
* https://www.ibm.com/support/knowledgecenter/en/SSFUEU_6.2.1/com.ibm.swg.ba.cognos.administrators_guide.6.2.1.doc/t_shi_import_the_root_certificate_for_java.html

Как минимум в CN сертификата должен быть адрес, по которому происходит обращение к серверу (DNS или IP). Если этого будет недостаточно, тогда добавить в SAN сертификата.

==Включение и конфигурирование [[HTTPS]]==
===Добавление сертификата===
Для добавления/обновления сертификата необходимо выполнить следующие действия:
# Составить цепочку сертификатов. Из файлов сертификатов в формате PEM (Base64) составить цепочку путём соединения в новом файле с расширением crt, например fullchain.crt. Для этого в новый файл с помощью текстового редактора нужно добавить сертификат корневого УЦ, промежуточных, и собственно сертификат сервера.
# Создать контейнер формата pkcs12:<syntaxhighlight lang="bat">openssl pkcs12 -export -in fullchain.crt -inkey private_key.key -out keycontainer.p12</syntaxhighlight> при экспорте следует задать пароль <password> для приватного ключа.
# Создать JKS-контейнер из PKCS12:<syntaxhighlight lang="bat">keytool -importkeystore -srckeystore keycontainer.p12 \
-srcstoretype PKCS12 \
-destkeystore <container-name>.jks \
-deststoretype JKS</syntaxhighlight> при импорте указываем <password>, при экспорте указываем пароль к контейнеру.
# Скопировать <container-name>.jks например в /opt/wildfly/standalone/configuration/ (для Linux), либо в C:\wildfly\standalone\configuration\ (для Windows).
# Имя файла-контейнера (относительный путь от директории <code>configuration</code>) и пароли указать в файле /opt/wildfly/standalone/configuration/standalone.xml (для Linux), либо в C:\wildfly\standalone\configuration\standalone.xml (для Windows), для WildFly 25 и выше, :<syntaxhighlight lang="xml">
<tls>
<key-stores>
<key-store name="applicationKS">
<credential-reference clear-text="ПАРОЛЬ К КОНТЕЙНЕРУ"/>
<implementation type="JKS"/>
<file path="ИМЯ ФАЙЛА-КОНТЕЙНЕРА.jks" relative-to="jboss.server.config.dir"/>
</key-store>
</key-stores>
<key-managers>
<key-manager name="applicationKM" key-store="applicationKS" generate-self-signed-certificate-host="localhost">
<credential-reference clear-text="ПАРОЛЬ К ПРИВАТНОМУ КЛЮЧУ"/>
</key-manager>
</key-managers>
<server-ssl-contexts>
<server-ssl-context name="applicationSSC" key-manager="applicationKM"/>
</server-ssl-contexts>
</tls>
</syntaxhighlight>До версии 25, в объекте keystore (если АЛИАС не был задан, по умолчанию устанавливается значение "1"):<syntaxhighlight lang="xml">
<security-realm name="ApplicationRealm">
<server-identities>
<ssl>
<keystore path="ИМЯ ФАЙЛА-КОНТЕЙНЕРА.jks" relative-to="jboss.server.config.dir" keystore-password="ПАРОЛЬ К КОНТЕЙНЕРУ" alias="АЛИАС" key-password="ПАРОЛЬ К ПРИВАТНОМУ КЛЮЧУ" generate-self-signed-certificate-host="localhost"/>
</ssl>
</server-identities></syntaxhighlight>
# Перезапустить сервис WildFly.
# Проверить подключение:<syntaxhighlight lang="bat">openssl s_client -connect <server-name>:8443</syntaxhighlight>Verify Result должен быть 0.

===Отключение HTTP порта (8080)===
{{Предупреждение|Приведённый ниже порядок действий применим для приложений, не публикующих WSDL-схему. Для приложений с WSDL потребуется дополнительная донастройка.}}
Для того, чтобы на сервере PCIS External отключить доступ к REST-интерфейсу по порту 8080 необходимо в файле ''/opt/wildfly/standalone/configuration/standalone.xml'' (для Linux), либо в ''C:\wildfly\standalone\configuration\standalone.xml'' (для Windows) (перед этим лучше сделать его резервную копию) в блоке <code><server name="default-server"></code> удалить строку<syntaxhighlight lang="xml"><http-listener name="default" socket-binding="http" redirect-socket="https" enable-http2="true"/></syntaxhighlight>
В блоке <code><socket-binding-group name="standard-sockets" default-interface="public" port-offset="${jboss.socket.binding.port-offset:0}"></code> удалить строку:<syntaxhighlight lang="xml"><socket-binding name="http" port="${jboss.http.port:8080}"/></syntaxhighlight>
Изменить параметр <code><http-connector name="http-remoting-connector" connector-ref="default" security-realm="ApplicationRealm"/></code> следующим образом (изменить значение <code>connector-ref</code> с <code>default</code> на <code>https</code>):
<syntaxhighlight lang="xml"><http-connector name="http-remoting-connector" connector-ref="https" security-realm="ApplicationRealm"/></syntaxhighlight>
===Переключение публикации схемы на HTTPS===
Для того, чтобы, располагающаяся в WSDL, ссылка на схему была также корректна, необходимо в <code><subsystem xmlns="urn:jboss:domain:webservices:2.0"></code> добавить (заменив значения wsdl-host и, при необходимости, wsdl-port и wsdl-secure-port на необходимые) следующее:
<syntaxhighlight lang="xml">
<wsdl-host>yoursite.com</wsdl-host>
<wsdl-port>8080</wsdl-port>
<wsdl-secure-port>8443</wsdl-secure-port>
<wsdl-uri-scheme>https</wsdl-uri-scheme>
</syntaxhighlight>
Пример результата:
<syntaxhighlight lang="xml">
<subsystem xmlns="urn:jboss:domain:webservices:2.0">
<wsdl-host>paycontrol.org</wsdl-host>
<wsdl-port>8080</wsdl-port>
<wsdl-secure-port>8443</wsdl-secure-port>
<wsdl-uri-scheme>https</wsdl-uri-scheme>
<endpoint-config name="Standard-Endpoint-Config"/>
<endpoint-config name="Recording-Endpoint-Config">
<pre-handler-chain name="recording-handlers" protocol-bindings="##SOAP11_HTTP ##SOAP11_HTTP_MTOM ##SOAP12_HTTP ##SOAP12_HTTP_MTOM">
<handler name="RecordingHandler" class="org.jboss.ws.common.invocation.RecordingServerHandler"/>
</pre-handler-chain>
</endpoint-config>
<client-config name="Standard-Client-Config"/>
</subsystem>
</syntaxhighlight>

===Указание определённых стандартов защиты и алгоритмов===
Для выбора стандарта защиты HTTPS, только, например, TLS 1.2, нужно в ''объект https-listener объекта <nowiki><subsystem xmlns="urn:jboss:domain:undertow:X.X"></nowiki>'' добавить, '''enabled-protocols="TLSv1.2"'''.

Для выбора определённых криптографических алгоритмов, необходимо их указать в ''объекте https-listener объекта <nowiki><subsystem xmlns="urn:jboss:domain:undertow:X.X"></nowiki>''. Например, для запрета режимов работы без использования алгоритмов Диффи-Хеллмана, нужно добавить '''enabled-cipher-suites="ALL:!kRSA"'''.

Пример:
<syntaxhighlight lang="xml">
<subsystem xmlns="urn:jboss:domain:undertow:1.2">
<server name="default-server">
<https-listener name="https" socket-binding="https" security-realm="ApplicationRealm" enable-http2="true" enabled-cipher-suites="ALL:!kRSA" enabled-protocols="TLSv1.2"/>
</server>
</subsystem>
</syntaxhighlight>

https://security.stackexchange.com/questions/145855/how-to-enforce-perfect-forward-secrecy-using-jvm-properties

https://www.openssl.org/docs/manmaster/man1/ciphers.html

===Включение дополнительных заголовков===
Для включения дополнительных HTTP заголовков необходимо в файл
* Linux:
*: /opt/wildfly/standalone/configuration/standalone.xml
* Windows:
*: C:\wildfly\standalone\configuration\standalone.xml
# добавить фильтры в раздел ''<nowiki><subsystem xmlns="urn:jboss:domain:undertow:X.X"></nowiki>'' добавив блок (при его отсутствии) <code><filters></filters></code> следующего содержания:<syntaxhighlight lang="xml">
<filters>
<response-header name="transport-security" header-name="Strict-Transport-Security" header-value="max-age=31536000"/>
<response-header name="x-frame-options" header-name="X-Frame-Options" header-value="DENY"/>
<response-header name="x-content-type-options" header-name="X-Content-Type-Options" header-value="nosniff"/>
<response-header name="Content-Security-Policy" header-name="Content-Security-Policy" header-value="default-src 'self'"/>
</filters></syntaxhighlight>
# добавить ссылки на эти фильтры в раздел ''<nowiki><subsystem xmlns="urn:jboss:domain:undertow:X.X"> в <server name="default-server"> в <host name="default-host" alias="localhost"></nowiki>'' включив следующие строки:<syntaxhighlight lang="xml">
<filter-ref name="transport-security"/>
<filter-ref name="x-frame-options"/>
<filter-ref name="x-content-type-options"/>
<filter-ref name="Content-Security-Policy"/>
</syntaxhighlight>
Пример:
<syntaxhighlight lang="xml">
<subsystem xmlns="urn:jboss:domain:undertow:11.0" default-server="default-server" default-virtual-host="default-host" default-servlet-container="default" default-security-domain="other">
<buffer-cache name="default"/>
<server name="default-server">
<http-listener name="default" socket-binding="http" redirect-socket="https" enable-http2="true"/>
<https-listener name="https" socket-binding="https" security-realm="ApplicationRealm" enable-http2="true" enabled-cipher-suites="ALL:!kRSA" enabled-protocols="TLSv1.2"/>
<host name="default-host" alias="localhost">
<http-invoker security-realm="ApplicationRealm"/>
<filter-ref name="transport-security"/>
<filter-ref name="x-frame-options"/>
<filter-ref name="x-content-type-options"/>
<filter-ref name="Content-Security-Policy"/>
</host>
</server>
<servlet-container name="default">
<jsp-config/>
<websockets/>
</servlet-container>
<filters>
<response-header name="transport-security" header-name="Strict-Transport-Security" header-value="max-age=31536000"/>
<response-header name="x-frame-options" header-name="X-Frame-Options" header-value="DENY"/>
<response-header name="x-content-type-options" header-name="X-Content-Type-Options" header-value="nosniff"/>
<response-header name="Content-Security-Policy" header-name="Content-Security-Policy" header-value="default-src 'self'"/>
</filters>
</subsystem></syntaxhighlight>

==Изменение номера порта==
{{Предупреждение|ОС Linux не позволяет сервисам работающим не от имени root использовать порты с номерами ниже 1024. Для использования портов ниже 1024 необходимо выполнять трансляцию, например с помощью netfilter (iptables/firewalld).}}
Для изменения номера порта необходимо в файле /opt/wildfly/standalone/configuration/standalone.xml (Linux) или в C:\wildfly\standalone\configuration\standalone.xml (Windows), в блоке <syntaxhighlight lang="xml"><socket-binding-group name="standard-sockets" default-interface="public" port-offset="${jboss.socket.binding.port-offset:0}"></syntaxhighlight> в нужном (для http, либо https) параметре <syntaxhighlight lang="xml"><socket-binding name="http" port="${jboss.http.port:8080}"/>
<socket-binding name="https" port="${jboss.https.port:8443}"/></syntaxhighlight> изменить номер используемого порта.

После изменения номера порта, службу WildFly необходимо перезапустить.

При использовании «сервером» стандартных портов (80 для HTTP или 443 для HTTPS), при установке параметров настроек «клиента» для подключения к «серверу», номер порта в адресе дополнительно указывать не рекомендуется во избежании проблем, т.к. в этих случаях, согласно RFC2616 используется порт по умолчанию. При дополнительном указании в адресе порта по умолчанию бывали случаи возникновения проблем подключения.

Приведённые ниже примеры описаны для протокола HTTP. При использовании HTTPS, необходимо также скорректировать название используемого протокола в адресе подключения.
===Изменение порта PCS===
При изменении порта для подключения к PCS, необходимо:
* установить новый порт для обращения к PC в настройках [[Прикладная система|прикладной системы]];
* изменить номер порта в настройках [[Сервер PayControl|PCIS External]].
Для изменения номера порта для обращения к PCS, в настройках PCIS External в файле /opt/wildfly/bin/standalone.conf (Linux) или C:\opt\wildfly\bin\standalone.conf.bat (Windows), в строке
<syntaxhighlight lang="bash">JAVA_OPTS="$JAVA_OPTS -Dpcservice.endpoint=http://localhost:8080/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"</syntaxhighlight>
в параметре -Dpcservice.endpoint=http://<HOSTNAME>:<PORT>/ws/PayControlServiceV3?wsdl установить новое значение <PORT>.
===Изменение порта PCIS Internal===
Для изменения порта для подключения к [[Сервер PayControl|PCIS Internal]] необходимо в БД PCS выполнить следующий запрос:
<syntaxhighlight lang="sql">update pc_system set pc_is_internal_url='http://<HOSTNASME>:<PORT>/wsis/PayControlInteractionService?wsdl' where systemid='XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX';</syntaxhighlight>
где
* <HOSTNASME> - имя хоста PCIS Internal;
* <PORT> новое значение порта;
* XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX - UUID идентификатор прикладной системы.

Допускается выполнять запрос к БД PCS на обновление адреса PCIS Internal без указания systemid, в случае, если подключена только одна прикладная система, или необходимо обновить адрес PCIS Internal для всех прикладных систем.

После изменения номера порта, службу wildfly необходимо перезапустить.
===Изменение порта PCIS External===
{{Предупреждение|При изменении порта PCIS External мобильное приложение потеряет возможность подключения к серверу PayControl до тех пор, пока пользователю мобильного приложения не будет перевыпущен ключ с новым адресом подключения к серверу.}}

{{Предупреждение|Изменение порта, на котором сервер PCIS External ожидает подключения не всегда ведёт к изменению порта назначения, который используется мобильным приложением для доступа к серверу PayControl. Такая ситуация, например, может возникнуть, если перед сервером PCIS External со стороны сети Интернет установлено оборудование/ПО, выполняющее трансляцию сетевых портов.}}
При изменении порта PCIS External необходимо в БД PCS выполнить следующий запрос:
<syntaxhighlight lang="sql">update pc_system set pc_is_external_url='http://<HOSTNASME>:<PORT>/PayControl-interaction-rest/' where systemid='XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX';</syntaxhighlight>
где
* <HOSTNASME> - имя хоста PCIS External, используемое мобильными устройствами для доступа к серверу PayControl;
* <PORT> новое значение порта;
* XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX - UUID идентификатор прикладной системы.

Допускается выполнять запрос к БД PCS на обновление адреса PCIS External без указания systemid, в случае, если подключена только одна прикладная система, или необходимо обновить адрес PCIS External для всех прикладных систем.

После изменения номера порта, службу wildfly необходимо перезапустить.
== Валидация подключения ==
=== PostgreSQL ===
<source lang="xml">
<validation>
<valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLValidConnectionChecker"></valid-connection-checker>
<exception-sorter class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLExceptionSorter"></exception-sorter>
</validation>
</source>
=== Oracle ===
<source lang="xml">
<validation>
<check-valid-connection-sql>select 1 from dual</check-valid-connection-sql>
<validate-on-match>false</validate-on-match>
<background-validation>true</background-validation>
<background-validation-millis>10000</background-validation-millis>
</validation>
</source>
=== MS SQL ===
<source lang="xml">
<validation>
<valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.mssql.MSSQLValidConnectionChecker"></valid-connection-checker>
</validation>
</source>

=Журналирование=
==Доступ к данным журнала==
Журнал работы сервера PayControl записываются общий лог функционирования Wildfly.

Файлы журналов за текущий день доступны по следующему пути:
* Linux:
*: /opt/wildfly/standalone/log/server.log
* Windows:
*: C:\wildfly\standalone\log\server.log
Для просмотра журнала за другие дни, нужно добавить к имени файла требуемую дату в формате server.log.YYYY-MM-DD

==Включение журналирования SOAP-вызовов==
Для включения расширенного логирования необходимо:
# Остановить службу wildfly.
# Добавить после блока <extensions> ... </extensions> в файл
#* Linux:
#*: /opt/wildfly/standalone/configuration/standalone.xml
#* Windows:
#*: C:\wildfly\standalone\configuration\standalone.xml
#: следующий блок:<syntaxhighlight lang="xml">
<system-properties>
<property name="org.apache.cxf.logging.enabled" value="pretty"/>
</system-properties>
</syntaxhighlight>
# Запустить службу wildfly.
==Направление логов Wildfly в Kafka==
Исходник https://developer.jboss.org/docs/DOC-56423. Основное отличие - добавление <code><module name="com.fasterxml.jackson.core.jackson-databind"/></code> в зависимости модуля ''org.apache.kafka.clients''.
===Модули===
Файлы модулей можно загрузить с https://mvnrepository.com/
====org.apache.kafka.clients====
Создать файл <code>/opt/wildfly/modules/system/layers/base/org/apache/kafka/clients/main/module.xml</code> с содержанием
<source lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module name="org.apache.kafka.clients" xmlns="urn:jboss:module:1.8">
<resources>
<resource-root path="kafka-clients-2.6.0.jar"/>
<resource-root path="snappy-java-1.1.8.2.jar"/>
<resource-root path="lz4-java-1.7.1.jar"/>
</resources>
<dependencies>
<module name="javax.api"/>
<module name="org.slf4j"/>
<module name="com.fasterxml.jackson.core.jackson-databind"/>
</dependencies>
</module>
</source>
и добавить в директорию указанные в блоке <code>resources</code> файлы.
====org.apache.kafka.log4jappender====
Создать файл <code>/opt/wildfly/modules/system/layers/base/org/apache/kafka/log4jappender/main/module.xml</code> с содержанием
<source lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module name="org.apache.kafka.log4jappender" xmlns="urn:jboss:module:1.8">
<resources>
<resource-root path="kafka-log4j-appender-2.6.0.jar"/>
<resource-root path="slf4j-log4j12-1.7.30.jar"/>
</resources>
<dependencies>
<module name="org.slf4j"/>
<module name="org.apache.kafka.clients" />
<module name="org.jboss.log4j.logmanager" />
</dependencies>
</module>
</source>
и добавить в директорию указанные в блоке <code>resources</code> файлы.
====org.apache.log4j====
Добавить модуль log4jappender в качестве зависимости в существующий org.apache.log4j модуль:
<source lang="xml">
<module name="org.apache.log4j" xmlns="urn:jboss:module:1.6">

...

<dependencies>

...

<module name="org.apache.kafka.log4jappender" export="true"/>

</dependencies>

</module>
</source>
====org.jboss.as.standalone====
Указать в имеющемся модуле org.jboss.as.standalone в качестве зависимости модуль org.apache.kafka.clients.
<source lang="xml">
<module name="org.jboss.as.standalone" xmlns="urn:jboss:module:1.6">

...

<dependencies>

...

<module name="org.apache.kafka.clients" />

</dependencies>

</module>
</source>
===Хэндлеры===
Необходимо добавить перечисленные ниже хэндлеры в файл standalone.xml в блок <code><subsystem xmlns="urn:jboss:domain:logging:8.0"></code>
====kafka====
<source lang="xml">
<custom-handler name="kafka" class="org.apache.kafka.log4jappender.KafkaLog4jAppender" module="org.apache.log4j">
<level name="INFO"/>
<formatter>
<named-formatter name="PATTERN"/>
</formatter>
<properties>
<property name="brokerList" value="localhost:9092"/>
<property name="topic" value="out-topic"/>
</properties>
</custom-handler>
</source>
====async-kafka-wrapper====
<source lang="xml">
<async-handler name="async-kafka-wrapper">
<level name="ALL"/>
<queue-length value="1024"/>
<overflow-action value="block"/>
<subhandlers>
<handler name="kafka"/>
</subhandlers>
</async-handler>
</source>
====Включение хэндлера====
В блок <code><handlers></code> добавить <code><handler name="async-kafka-wrapper"/></code>

=Проблемы и способы их устранения=
==Очень медленный старт через standalone.sh (каждый этап скрипта запуска - с большими задержками). Система отправляет сигнал на остановку сервиса==
Вероятная проблема - неверные настройки DNS сервера. 
'''Решение''':Необходимо скорректировать настройки DNS. 
''Проблема обнаружилась 2018-07-27 при развёртывании у заказчика.'' [[Участник:A.bursakov|A.bursakov]] ([[Обсуждение участника:A.bursakov|обсуждение]]) 19:56, 1 августа 2018 (MSK)
==Не происходит «биндинг» IP-адреса адаптера==
Вероятная проблема - отсутствие PTR-записи на DNS-сервере, или неправильная работа службы DNS. 
'''Решение''': Добавить в файл opt/wildfly/bin/standalone.conf (Linux) или C:\opt\wildfly\bin\standalone.conf.bat (Windows), в переменную JAVA_OPTS параметр -Djboss.bind.address=0.0.0.0 
''Проблема проявилась на тестовом Windows-сервере'' [[Участник:A.bursakov|A.bursakov]] ([[Обсуждение участника:A.bursakov|обсуждение]]) 19:56, 1 августа 2018 (MSK)

==Частое появление WARNING в логе==
Предупреждения в логе вида:
<pre>
WARNING [org.apache.cxf.phase.PhaseInterceptorChain] (default task-1) Interceptor for {http://ws.safetech.ru/PayControlV3/}PayControlServiceV3 has thrown exception, unwinding now: org.apache.cxf.binding.soap.SoapFault: Error writing to XMLStreamWriter.
Caused by: com.ctc.wstx.exc.WstxIOException: UT010029: Stream is closed
Caused by: java.io.IOException: UT010029: Stream is closed
</pre>
<pre>
WARNING [org.apache.cxf.phase.PhaseInterceptorChain] (default task-1) Interceptor for {http://ws.safetech.ru/PayControlV3/}PayControlServiceV3 has thrown exception, unwinding now: org.apache.cxf.interceptor.Fault: Could not send Message.
Caused by: java.io.IOException: Broken pipe
</pre>

Могут быть вызваны системой мониторинга, которая для проверки того, что сервер доступен, устанавливает соединение и обрывает его получив лишь только header.

Для отключения предупреждений о непредвиденном закрытии соединения необходимо в файл /opt/wildfly/standalone/configuration/standalone.xml в блок
<syntaxhighlight lang="xml"><profile>
<subsystem xmlns="urn:jboss:domain:logging:X.X">
...
</subsystem>
</profile></syntaxhighlight> добавить:
<syntaxhighlight lang="xml">

<logger category="org.apache.cxf.phase.PhaseInterceptorChain">
<level name="ERROR"/>
</logger>
</syntaxhighlight>

==INFO: Disabling contextual LOB creation as createClob() method threw error==
Иногда смущает появление в журнале события, из-за присутствия в его составе слова "error":
INFO [org.hibernate.engine.jdbc.env.internal.LobCreatorBuilderImpl] (ServerService Thread Pool -- 64) HHH000424: Disabling contextual LOB creation as createClob() method threw error : java.lang.reflect.InvocationTargetException
Для отключения этого сообщения необходимо установить <code>hibernate.temp.use_jdbc_metadata_defaults=false</code>
в файл persistence.xml, располагающийся внутри модуля сервера следующим образом:
<properties>
...
<property name="hibernate.temp.use_jdbc_metadata_defaults" value="false"/>
...
</properties>

== Wildfly не стартует как служба и нет логов ==
Возможные проблемы:
* Некорректные права на директории/файлы в /opt/wildfly.<syntaxhighlight lang="shell">chown -RHv wildfly:wildfly /opt/wildfly</syntaxhighlight>
* Проблемы с определением необходимой Java. Для восстановления необходимо выполнить <syntaxhighlight lang="shell">sudo update-alternatives --config java</syntaxhighlight>

[[Категория:Серверная часть]]
[[Категория:Возможные проблемы]]
[[Категория:Отладка]]

Wildfly

2021-12-28T11:55:31Z

A.bursakov: /* Добавление сертификата */

=Настройка=
==Из командной строки==
Подключение к консоли:
<syntaxhighlight lang="bash">sudo /opt/wildfly/bin/jboss-cli.sh --connect</syntaxhighlight>
Выполнение команд в неинтерактивном режиме:
<syntaxhighlight lang="bash">sudo /opt/wildfly/bin/jboss-cli.sh --connect --commands=ls\ deployment</syntaxhighlight>
===Настройка PayControl===
Удаление настроек по умолчанию:
<syntaxhighlight lang="bash">
data-source remove --name=ExampleDS
/subsystem=ee/service=default-bindings:remove()
reload
/subsystem=datasources/jdbc-driver=h2:remove
/subsystem=undertow/server=default-server/host=default-host/location=\/:remove()
/subsystem=undertow/configuration=handler:remove()
</syntaxhighlight>
Добавление драйвера (postgresql) и источников данных:
<syntaxhighlight lang="bash">
module add --name=org.postgresql --resources=/opt/paycontrol/postgresql-42.2.5.jar --dependencies=javax.api,javax.transaction.api,javax.servlet.api
/subsystem=datasources/jdbc-driver=postgres:add(driver-name="postgres",driver-module-name="org.postgresql",driver-class-name=org.postgresql.Driver)
data-source add --jndi-name=java:jboss/datasources/PayControlDS --name=PayControlDS --connection-url=jdbc:postgresql://localhost:5432/pcs --driver-name=postgres --user-name=pcuser --password=XXXXXXXX
data-source add --jndi-name=java:jboss/datasources/PayControlISDS --name=PayControlISDS --connection-url=jdbc:postgresql://localhost:5432/pcis --driver-name=postgres --user-name=pcuser --password=XXXXXXXX
</syntaxhighlight>
Установка wsdl-host
<syntaxhighlight lang="bash">
/subsystem=webservices:write-attribute$name=wsdl-host,value=docker.loc$
</syntaxhighlight>

===Добавление источников данных (разные СУБД)===
{|class="wikitable"
!Datasource!!Connection URL
|-
|IBM DB2||jdbc:db2://SERVER_NAME:PORT/DATABASE_NAME
|-
|MariaDB||jdbc:mariadb://SERVER_NAME:PORT/DATABASE_NAME
|-
|Microsoft SQL Server||jdbc:sqlserver://SERVER_NAME:PORT;DatabaseName=DATABASE_NAME
|-
|MySQL||jdbc:mysql://SERVER_NAME:PORT/DATABASE_NAME
|-
|Oracle||jdbc:oracle:thin:@SERVER_NAME:PORT:ORACLE_SID
|-
|PostgreSQL||jdbc:postgresql://SERVER_NAME:PORT/DATABASE_NAME
|-
|Sybase||jdbc:sybase:Tds:SERVER_NAME:PORT/DATABASE_NAME
|}
==Удаление настроек по умолчанию==
При конфигурировании Wildfly можно (при [[Перевод в промышленную эксплуатацию|переводе системы в промышленную эксплуатацию]] - рекомендуется) удалить пример источника данных и страницу-приветствие. Для этого в файле standalone.xml необходимо убрать (либо закомментировать) следующие объекты:<syntaxhighlight lang="xml">
<datasource jndi-name="java:jboss/datasources/ExampleDS" pool-name="ExampleDS" enabled="true" use-java-context="true">
<connection-url>jdbc:h2:mem:test;DB_CLOSE_DELAY=-1;DB_CLOSE_ON_EXIT=FALSE</connection-url>
<driver>h2</driver>
<security>
<user-name>sa</user-name>
<password>sa</password>
</security>
</datasource>
</syntaxhighlight> <syntaxhighlight lang="xml">
<driver name="h2" module="com.h2database.h2">
<xa-datasource-class>org.h2.jdbcx.JdbcDataSource</xa-datasource-class>
</driver>
</syntaxhighlight> <syntaxhighlight lang="xml">
<default-bindings context-service="java:jboss/ee/concurrency/context/default" datasource="java:jboss/datasources/ExampleDS" managed-executor-service="java:jboss/ee/concurrency/executor/default" managed-scheduled-executor-service="java:jboss/ee/concurrency/scheduler/default" managed-thread-factory="java:jboss/ee/concurrency/factory/default"/>
</syntaxhighlight><syntaxhighlight lang="xml">
<location name="/" handler="welcome-content"/>
</syntaxhighlight> <syntaxhighlight lang="xml">
<handlers>
<file name="welcome-content" path="${jboss.home.dir}/welcome-content"/>
</handlers>
</syntaxhighlight>

==Добавление сертификатов корпоративных УЦ==
java keytool – с его помощью установить корневой сертификат в keystore. Если есть промежуточные, то их тоже.

java keystore password по умолчанию – “changeit”.

Примеры инструкций:
* https://docs.microsoft.com/ru-ru/java/azure/java-sdk-add-certificate-ca-store?view=azure-java-stable
* https://www.ibm.com/support/knowledgecenter/en/SSFUEU_6.2.1/com.ibm.swg.ba.cognos.administrators_guide.6.2.1.doc/t_shi_import_the_root_certificate_for_java.html

Как минимум в CN сертификата должен быть адрес, по которому происходит обращение к серверу (DNS или IP). Если этого будет недостаточно, тогда добавить в SAN сертификата.

==Включение и конфигурирование [[HTTPS]]==
===Добавление сертификата===
Для добавления/обновления сертификата необходимо выполнить следующие действия:
# Составить цепочку сертификатов. Из файлов сертификатов в формате PEM (Base64) составить цепочку путём соединения в новом файле с расширением crt, например fullchain.crt. Для этого в новый файл с помощью текстового редактора нужно добавить сертификат корневого УЦ, промежуточных, и собственно сертификат сервера.
# Создать контейнер формата pkcs12:<syntaxhighlight lang="bat">openssl pkcs12 -export -in fullchain.crt -inkey private_key.key -out keycontainer.p12</syntaxhighlight> при экспорте следует задать пароль <password> для приватного ключа.
# Создать JKS-контейнер из PKCS12:<syntaxhighlight lang="bat">keytool -importkeystore -srckeystore keycontainer.p12 \
-srcstoretype PKCS12 \
-destkeystore <container-name>.jks \
-deststoretype JKS</syntaxhighlight> при импорте указываем <password>, при экспорте указываем пароль к контейнеру.
# Скопировать <container-name>.jks например в /opt/wildfly/standalone/configuration/ (для Linux), либо в C:\wildfly\standalone\configuration\ (для Windows).
# Имя файла-контейнера (относительный путь от директории <code>configuration</code>) и пароли указать в файле /opt/wildfly/standalone/configuration/standalone.xml (для Linux), либо в C:\wildfly\standalone\configuration\standalone.xml (для Windows), для WildFly 25 и выше, :<syntaxhighlight lang="xml">
<tls>
<key-stores>
<key-store name="applicationKS">
<credential-reference clear-text="ПАРОЛЬ К КОНТЕЙНЕРУ"/>
<implementation type="JKS"/>
<file path="ИМЯ ФАЙЛА-КОНТЕЙНЕРА.jks" relative-to="jboss.server.config.dir"/>
</key-store>
</key-stores>
<key-managers>
<key-manager name="applicationKM" key-store="applicationKS" generate-self-signed-certificate-host="localhost">
<credential-reference clear-text="ПАРОЛЬ К ПРИВАТНОМУ КЛЮЧУ"/>
</key-manager>
</key-managers>
<server-ssl-contexts>
<server-ssl-context name="applicationSSC" key-manager="applicationKM"/>
</server-ssl-contexts>
</tls>
</syntaxhighlight>До версии 25, в объекте keystore (если АЛИАС не был задан, по умолчанию устанавливается значение "1"):<syntaxhighlight lang="xml">
<security-realm name="ApplicationRealm">
<server-identities>
<ssl>
<keystore path="ИМЯ ФАЙЛА-КОНТЕЙНЕРА.jks" relative-to="jboss.server.config.dir" keystore-password="ПАРОЛЬ К КОНТЕЙНЕРУ" alias="АЛИАС" key-password="ПАРОЛЬ К ПРИВАТНОМУ КЛЮЧУ" generate-self-signed-certificate-host="localhost"/>
</ssl>
</server-identities></syntaxhighlight>
# Перезапустить сервис WildFly.
# Проверить подключение:<syntaxhighlight lang="bat">openssl s_client -connect <server-name>:8443</syntaxhighlight>Verify Result должен быть 0.

===Отключение HTTP порта (8080)===
{{Предупреждение|Приведённый ниже порядок действий применим для приложений, не публикующих WSDL-схему. Для приложений с WSDL потребуется дополнительная донастройка.}}
Для того, чтобы на сервере PCIS External отключить доступ к REST-интерфейсу по порту 8080 необходимо в файле ''/opt/wildfly/standalone/configuration/standalone.xml'' (для Linux), либо в ''C:\wildfly\standalone\configuration\standalone.xml'' (для Windows) (перед этим лучше сделать его резервную копию) в блоке <code><server name="default-server"></code> удалить строку<syntaxhighlight lang="xml"><http-listener name="default" socket-binding="http" redirect-socket="https" enable-http2="true"/></syntaxhighlight>
В блоке <code><socket-binding-group name="standard-sockets" default-interface="public" port-offset="${jboss.socket.binding.port-offset:0}"></code> удалить строку:<syntaxhighlight lang="xml"><socket-binding name="http" port="${jboss.http.port:8080}"/></syntaxhighlight>
Изменить параметр <code><http-connector name="http-remoting-connector" connector-ref="default" security-realm="ApplicationRealm"/></code> следующим образом (изменить значение <code>connector-ref</code> с <code>default</code> на <code>https</code>):
<syntaxhighlight lang="xml"><http-connector name="http-remoting-connector" connector-ref="https" security-realm="ApplicationRealm"/></syntaxhighlight>
===Переключение публикации схемы на HTTPS===
Для того, чтобы, располагающаяся в WSDL, ссылка на схему была также корректна, необходимо в <code><subsystem xmlns="urn:jboss:domain:webservices:2.0"></code> добавить (заменив значения wsdl-host и, при необходимости, wsdl-port и wsdl-secure-port на необходимые) следующее:
<syntaxhighlight lang="xml">
<wsdl-host>yoursite.com</wsdl-host>
<wsdl-port>8080</wsdl-port>
<wsdl-secure-port>8443</wsdl-secure-port>
<wsdl-uri-scheme>https</wsdl-uri-scheme>
</syntaxhighlight>
Пример результата:
<syntaxhighlight lang="xml">
<subsystem xmlns="urn:jboss:domain:webservices:2.0">
<wsdl-host>paycontrol.org</wsdl-host>
<wsdl-port>8080</wsdl-port>
<wsdl-secure-port>8443</wsdl-secure-port>
<wsdl-uri-scheme>https</wsdl-uri-scheme>
<endpoint-config name="Standard-Endpoint-Config"/>
<endpoint-config name="Recording-Endpoint-Config">
<pre-handler-chain name="recording-handlers" protocol-bindings="##SOAP11_HTTP ##SOAP11_HTTP_MTOM ##SOAP12_HTTP ##SOAP12_HTTP_MTOM">
<handler name="RecordingHandler" class="org.jboss.ws.common.invocation.RecordingServerHandler"/>
</pre-handler-chain>
</endpoint-config>
<client-config name="Standard-Client-Config"/>
</subsystem>
</syntaxhighlight>

===Указание определённых стандартов защиты и алгоритмов===
Для выбора стандарта защиты HTTPS, только, например, TLS 1.2, нужно в ''объект https-listener объекта <nowiki><subsystem xmlns="urn:jboss:domain:undertow:X.X"></nowiki>'' добавить, '''enabled-protocols="TLSv1.2"'''.

Для выбора определённых криптографических алгоритмов, необходимо их указать в ''объекте https-listener объекта <nowiki><subsystem xmlns="urn:jboss:domain:undertow:X.X"></nowiki>''. Например, для запрета режимов работы без использования алгоритмов Диффи-Хеллмана, нужно добавить '''enabled-cipher-suites="ALL:!kRSA"'''.

Пример:
<syntaxhighlight lang="xml">
<subsystem xmlns="urn:jboss:domain:undertow:1.2">
<server name="default-server">
<https-listener name="https" socket-binding="https" security-realm="ApplicationRealm" enable-http2="true" enabled-cipher-suites="ALL:!kRSA" enabled-protocols="TLSv1.2"/>
</server>
</subsystem>
</syntaxhighlight>

https://security.stackexchange.com/questions/145855/how-to-enforce-perfect-forward-secrecy-using-jvm-properties

https://www.openssl.org/docs/manmaster/man1/ciphers.html

===Включение дополнительных заголовков===
Для включения дополнительных HTTP заголовков необходимо в файл
* Linux:
*: /opt/wildfly/standalone/configuration/standalone.xml
* Windows:
*: C:\wildfly\standalone\configuration\standalone.xml
# добавить фильтры в раздел ''<nowiki><subsystem xmlns="urn:jboss:domain:undertow:X.X"></nowiki>'' добавив блок (при его отсутствии) <code><filters></filters></code> следующего содержания:<syntaxhighlight lang="xml">
<filters>
<response-header name="transport-security" header-name="Strict-Transport-Security" header-value="max-age=31536000"/>
<response-header name="x-frame-options" header-name="X-Frame-Options" header-value="DENY"/>
<response-header name="x-content-type-options" header-name="X-Content-Type-Options" header-value="nosniff"/>
<response-header name="Content-Security-Policy" header-name="Content-Security-Policy" header-value="default-src 'self'"/>
</filters></syntaxhighlight>
# добавить ссылки на эти фильтры в раздел ''<nowiki><subsystem xmlns="urn:jboss:domain:undertow:X.X"> в <server name="default-server"> в <host name="default-host" alias="localhost"></nowiki>'' включив следующие строки:<syntaxhighlight lang="xml">
<filter-ref name="transport-security"/>
<filter-ref name="x-frame-options"/>
<filter-ref name="x-content-type-options"/>
<filter-ref name="Content-Security-Policy"/>
</syntaxhighlight>
Пример:
<syntaxhighlight lang="xml">
<subsystem xmlns="urn:jboss:domain:undertow:11.0" default-server="default-server" default-virtual-host="default-host" default-servlet-container="default" default-security-domain="other">
<buffer-cache name="default"/>
<server name="default-server">
<http-listener name="default" socket-binding="http" redirect-socket="https" enable-http2="true"/>
<https-listener name="https" socket-binding="https" security-realm="ApplicationRealm" enable-http2="true" enabled-cipher-suites="ALL:!kRSA" enabled-protocols="TLSv1.2"/>
<host name="default-host" alias="localhost">
<http-invoker security-realm="ApplicationRealm"/>
<filter-ref name="transport-security"/>
<filter-ref name="x-frame-options"/>
<filter-ref name="x-content-type-options"/>
<filter-ref name="Content-Security-Policy"/>
</host>
</server>
<servlet-container name="default">
<jsp-config/>
<websockets/>
</servlet-container>
<filters>
<response-header name="transport-security" header-name="Strict-Transport-Security" header-value="max-age=31536000"/>
<response-header name="x-frame-options" header-name="X-Frame-Options" header-value="DENY"/>
<response-header name="x-content-type-options" header-name="X-Content-Type-Options" header-value="nosniff"/>
<response-header name="Content-Security-Policy" header-name="Content-Security-Policy" header-value="default-src 'self'"/>
</filters>
</subsystem></syntaxhighlight>

==Изменение номера порта==
{{Предупреждение|ОС Linux не позволяет сервисам работающим не от имени root использовать порты с номерами ниже 1024. Для использования портов ниже 1024 необходимо выполнять трансляцию, например с помощью netfilter (iptables/firewalld).}}
Для изменения номера порта необходимо в файле /opt/wildfly/standalone/configuration/standalone.xml (Linux) или в C:\wildfly\standalone\configuration\standalone.xml (Windows), в блоке <syntaxhighlight lang="xml"><socket-binding-group name="standard-sockets" default-interface="public" port-offset="${jboss.socket.binding.port-offset:0}"></syntaxhighlight> в нужном (для http, либо https) параметре <syntaxhighlight lang="xml"><socket-binding name="http" port="${jboss.http.port:8080}"/>
<socket-binding name="https" port="${jboss.https.port:8443}"/></syntaxhighlight> изменить номер используемого порта.

После изменения номера порта, службу WildFly необходимо перезапустить.

При использовании «сервером» стандартных портов (80 для HTTP или 443 для HTTPS), при установке параметров настроек «клиента» для подключения к «серверу», номер порта в адресе дополнительно указывать не рекомендуется во избежании проблем, т.к. в этих случаях, согласно RFC2616 используется порт по умолчанию. При дополнительном указании в адресе порта по умолчанию бывали случаи возникновения проблем подключения.

Приведённые ниже примеры описаны для протокола HTTP. При использовании HTTPS, необходимо также скорректировать название используемого протокола в адресе подключения.
===Изменение порта PCS===
При изменении порта для подключения к PCS, необходимо:
* установить новый порт для обращения к PC в настройках [[Прикладная система|прикладной системы]];
* изменить номер порта в настройках [[Сервер PayControl|PCIS External]].
Для изменения номера порта для обращения к PCS, в настройках PCIS External в файле /opt/wildfly/bin/standalone.conf (Linux) или C:\opt\wildfly\bin\standalone.conf.bat (Windows), в строке
<syntaxhighlight lang="bash">JAVA_OPTS="$JAVA_OPTS -Dpcservice.endpoint=http://localhost:8080/ws/PayControlServiceV3?wsdl -Duser.language=ru -Dpaycontrol.locale=ru"</syntaxhighlight>
в параметре -Dpcservice.endpoint=http://<HOSTNAME>:<PORT>/ws/PayControlServiceV3?wsdl установить новое значение <PORT>.
===Изменение порта PCIS Internal===
Для изменения порта для подключения к [[Сервер PayControl|PCIS Internal]] необходимо в БД PCS выполнить следующий запрос:
<syntaxhighlight lang="sql">update pc_system set pc_is_internal_url='http://<HOSTNASME>:<PORT>/wsis/PayControlInteractionService?wsdl' where systemid='XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX';</syntaxhighlight>
где
* <HOSTNASME> - имя хоста PCIS Internal;
* <PORT> новое значение порта;
* XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX - UUID идентификатор прикладной системы.

Допускается выполнять запрос к БД PCS на обновление адреса PCIS Internal без указания systemid, в случае, если подключена только одна прикладная система, или необходимо обновить адрес PCIS Internal для всех прикладных систем.

После изменения номера порта, службу wildfly необходимо перезапустить.
===Изменение порта PCIS External===
{{Предупреждение|При изменении порта PCIS External мобильное приложение потеряет возможность подключения к серверу PayControl до тех пор, пока пользователю мобильного приложения не будет перевыпущен ключ с новым адресом подключения к серверу.}}

{{Предупреждение|Изменение порта, на котором сервер PCIS External ожидает подключения не всегда ведёт к изменению порта назначения, который используется мобильным приложением для доступа к серверу PayControl. Такая ситуация, например, может возникнуть, если перед сервером PCIS External со стороны сети Интернет установлено оборудование/ПО, выполняющее трансляцию сетевых портов.}}
При изменении порта PCIS External необходимо в БД PCS выполнить следующий запрос:
<syntaxhighlight lang="sql">update pc_system set pc_is_external_url='http://<HOSTNASME>:<PORT>/PayControl-interaction-rest/' where systemid='XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX';</syntaxhighlight>
где
* <HOSTNASME> - имя хоста PCIS External, используемое мобильными устройствами для доступа к серверу PayControl;
* <PORT> новое значение порта;
* XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX - UUID идентификатор прикладной системы.

Допускается выполнять запрос к БД PCS на обновление адреса PCIS External без указания systemid, в случае, если подключена только одна прикладная система, или необходимо обновить адрес PCIS External для всех прикладных систем.

После изменения номера порта, службу wildfly необходимо перезапустить.
== Валидация подключения ==
=== PostgreSQL ===
<source lang="xml">
<validation>
<valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLValidConnectionChecker"></valid-connection-checker>
<exception-sorter class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLExceptionSorter"></exception-sorter>
</validation>
</source>
=== Oracle ===
<source lang="xml">
<validation>
<check-valid-connection-sql>select 1 from dual</check-valid-connection-sql>
<validate-on-match>false</validate-on-match>
<background-validation>true</background-validation>
<background-validation-millis>10000</background-validation-millis>
</validation>
</source>
=== MS SQL ===
<source lang="xml">
<validation>
<valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.mssql.MSSQLValidConnectionChecker"></valid-connection-checker>
</validation>
</source>

=Журналирование=
==Доступ к данным журнала==
Журнал работы сервера PayControl записываются общий лог функционирования Wildfly.

Файлы журналов за текущий день доступны по следующему пути:
* Linux:
*: /opt/wildfly/standalone/log/server.log
* Windows:
*: C:\wildfly\standalone\log\server.log
Для просмотра журнала за другие дни, нужно добавить к имени файла требуемую дату в формате server.log.YYYY-MM-DD

==Включение журналирования SOAP-вызовов==
Для включения расширенного логирования необходимо:
# Остановить службу wildfly.
# Добавить после блока <extensions> ... </extensions> в файл
#* Linux:
#*: /opt/wildfly/standalone/configuration/standalone.xml
#* Windows:
#*: C:\wildfly\standalone\configuration\standalone.xml
#: следующий блок:<syntaxhighlight lang="xml">
<system-properties>
<property name="org.apache.cxf.logging.enabled" value="pretty"/>
</system-properties>
</syntaxhighlight>
# Запустить службу wildfly.
==Направление логов Wildfly в Kafka==
Исходник https://developer.jboss.org/docs/DOC-56423. Основное отличие - добавление <code><module name="com.fasterxml.jackson.core.jackson-databind"/></code> в зависимости модуля ''org.apache.kafka.clients''.
===Модули===
Файлы модулей можно загрузить с https://mvnrepository.com/
====org.apache.kafka.clients====
Создать файл <code>/opt/wildfly/modules/system/layers/base/org/apache/kafka/clients/main/module.xml</code> с содержанием
<source lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module name="org.apache.kafka.clients" xmlns="urn:jboss:module:1.8">
<resources>
<resource-root path="kafka-clients-2.6.0.jar"/>
<resource-root path="snappy-java-1.1.8.2.jar"/>
<resource-root path="lz4-java-1.7.1.jar"/>
</resources>
<dependencies>
<module name="javax.api"/>
<module name="org.slf4j"/>
<module name="com.fasterxml.jackson.core.jackson-databind"/>
</dependencies>
</module>
</source>
и добавить в директорию указанные в блоке <code>resources</code> файлы.
====org.apache.kafka.log4jappender====
Создать файл <code>/opt/wildfly/modules/system/layers/base/org/apache/kafka/log4jappender/main/module.xml</code> с содержанием
<source lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<module name="org.apache.kafka.log4jappender" xmlns="urn:jboss:module:1.8">
<resources>
<resource-root path="kafka-log4j-appender-2.6.0.jar"/>
<resource-root path="slf4j-log4j12-1.7.30.jar"/>
</resources>
<dependencies>
<module name="org.slf4j"/>
<module name="org.apache.kafka.clients" />
<module name="org.jboss.log4j.logmanager" />
</dependencies>
</module>
</source>
и добавить в директорию указанные в блоке <code>resources</code> файлы.
====org.apache.log4j====
Добавить модуль log4jappender в качестве зависимости в существующий org.apache.log4j модуль:
<source lang="xml">
<module name="org.apache.log4j" xmlns="urn:jboss:module:1.6">

...

<dependencies>

...

<module name="org.apache.kafka.log4jappender" export="true"/>

</dependencies>

</module>
</source>
====org.jboss.as.standalone====
Указать в имеющемся модуле org.jboss.as.standalone в качестве зависимости модуль org.apache.kafka.clients.
<source lang="xml">
<module name="org.jboss.as.standalone" xmlns="urn:jboss:module:1.6">

...

<dependencies>

...

<module name="org.apache.kafka.clients" />

</dependencies>

</module>
</source>
===Хэндлеры===
Необходимо добавить перечисленные ниже хэндлеры в файл standalone.xml в блок <code><subsystem xmlns="urn:jboss:domain:logging:8.0"></code>
====kafka====
<source lang="xml">
<custom-handler name="kafka" class="org.apache.kafka.log4jappender.KafkaLog4jAppender" module="org.apache.log4j">
<level name="INFO"/>
<formatter>
<named-formatter name="PATTERN"/>
</formatter>
<properties>
<property name="brokerList" value="localhost:9092"/>
<property name="topic" value="out-topic"/>
</properties>
</custom-handler>
</source>
====async-kafka-wrapper====
<source lang="xml">
<async-handler name="async-kafka-wrapper">
<level name="ALL"/>
<queue-length value="1024"/>
<overflow-action value="block"/>
<subhandlers>
<handler name="kafka"/>
</subhandlers>
</async-handler>
</source>
====Включение хэндлера====
В блок <code><handlers></code> добавить <code><handler name="async-kafka-wrapper"/></code>

=Проблемы и способы их устранения=
==Очень медленный старт через standalone.sh (каждый этап скрипта запуска - с большими задержками). Система отправляет сигнал на остановку сервиса==
Вероятная проблема - неверные настройки DNS сервера. 
'''Решение''':Необходимо скорректировать настройки DNS. 
''Проблема обнаружилась 2018-07-27 при развёртывании у заказчика.'' [[Участник:A.bursakov|A.bursakov]] ([[Обсуждение участника:A.bursakov|обсуждение]]) 19:56, 1 августа 2018 (MSK)
==Не происходит «биндинг» IP-адреса адаптера==
Вероятная проблема - отсутствие PTR-записи на DNS-сервере, или неправильная работа службы DNS. 
'''Решение''': Добавить в файл opt/wildfly/bin/standalone.conf (Linux) или C:\opt\wildfly\bin\standalone.conf.bat (Windows), в переменную JAVA_OPTS параметр -Djboss.bind.address=0.0.0.0 
''Проблема проявилась на тестовом Windows-сервере'' [[Участник:A.bursakov|A.bursakov]] ([[Обсуждение участника:A.bursakov|обсуждение]]) 19:56, 1 августа 2018 (MSK)

==Частое появление WARNING в логе==
Предупреждения в логе вида:
<pre>
WARNING [org.apache.cxf.phase.PhaseInterceptorChain] (default task-1) Interceptor for {http://ws.safetech.ru/PayControlV3/}PayControlServiceV3 has thrown exception, unwinding now: org.apache.cxf.binding.soap.SoapFault: Error writing to XMLStreamWriter.
Caused by: com.ctc.wstx.exc.WstxIOException: UT010029: Stream is closed
Caused by: java.io.IOException: UT010029: Stream is closed
</pre>
<pre>
WARNING [org.apache.cxf.phase.PhaseInterceptorChain] (default task-1) Interceptor for {http://ws.safetech.ru/PayControlV3/}PayControlServiceV3 has thrown exception, unwinding now: org.apache.cxf.interceptor.Fault: Could not send Message.
Caused by: java.io.IOException: Broken pipe
</pre>

Могут быть вызваны системой мониторинга, которая для проверки того, что сервер доступен, устанавливает соединение и обрывает его получив лишь только header.

Для отключения предупреждений о непредвиденном закрытии соединения необходимо в файл /opt/wildfly/standalone/configuration/standalone.xml в блок
<syntaxhighlight lang="xml"><profile>
<subsystem xmlns="urn:jboss:domain:logging:X.X">
...
</subsystem>
</profile></syntaxhighlight> добавить:
<syntaxhighlight lang="xml">

<logger category="org.apache.cxf.phase.PhaseInterceptorChain">
<level name="ERROR"/>
</logger>
</syntaxhighlight>

==INFO: Disabling contextual LOB creation as createClob() method threw error==
Иногда смущает появление в журнале события, из-за присутствия в его составе слова "error":
INFO [org.hibernate.engine.jdbc.env.internal.LobCreatorBuilderImpl] (ServerService Thread Pool -- 64) HHH000424: Disabling contextual LOB creation as createClob() method threw error : java.lang.reflect.InvocationTargetException
Для отключения этого сообщения необходимо установить <code>hibernate.temp.use_jdbc_metadata_defaults=false</code>
в файл persistence.xml, располагающийся внутри модуля сервера следующим образом:
<properties>
...
<property name="hibernate.temp.use_jdbc_metadata_defaults" value="false"/>
...
</properties>

[[Категория:Серверная часть]]
[[Категория:Возможные проблемы]]
[[Категория:Отладка]]