VTOL CD CL - Guía de implementación 3.8.0.X
VTOL Crédito Débito Chile
1. Objetivo
El objetivo de este documento es ofrecer una guía completa del proceso de instalación del producto RS-VTOL CR/DB CL.
Se explicarán los pasos de la implementación, los requerimientos de hardware y software como así también las propiedades a ser configuradas.
2. Alcance
RS VTOL Crédito Débito Chile.
3. Referencias
Se menciona la serie de documentos que acompañan al producto:
- VTOLCR-DB- Guía de implementación
Este manual.
- RS-VTOL-Credito Debito Chile - Manual de Usuario
El manual del usuario tiene como finalidad capacitar a los usuarios en el uso de la consola de administración del producto VTOL CR/DB CL.
4. Introducción
4.1 Qué es RS-VTOL CR/DB?
RS-VTOL CR/DB es un validador de transacciones en línea, especializado en la industria del retail y sus operaciones financieras.
Funciona como un gateway multipropósito que conduce transacciones electrónicas desde y hacia diferentes participantes (tiendas físicas y virtuales, banca, proveedores) a través de redes heterogéneas en forma rápida, segura y eficiente.
El producto VTOL está formado por dos componentes:
- VTOL Server
- VTOL Client
4.1.1 VTOL Server
VTOL Server es una aplicación desarrollada íntegramente en el lenguaje de programación Java, que la hace independiente del sistema operativo a emplearse.
Posee una capa de persistencia que permite abstraerse del motor de base de datos a utilizar.
Hay diversos componentes de comunicación que permiten comunicar a la aplicación bajo diferentes protocolos de comunicación.
A su vez, existe una capa de interpretación que se encarga de interpretar los mensajes entrantes y salientes de la aplicación. Esta característica permite manejar diferentes protocolos, algunos operando bajo ciertos estándares y otros del carácter propietarios.
Una vez pasada la capa de interpretación, existe un módulo denominado VTOL Core. Este componente se encarga de realizar la auditoría de transacciones bajo lo que denominamos "tercer mensaje". Este protocolo permite tener sincronizado el punto de venta con VTOL de forma tal de evitar la pérdida de transacciones o la duplicidad de las mismas.
Por último, cada transacción es derivada por el VTOL Core al módulo crédito débito, el cual envía las autorizaciones financieras al centro autorizador para su aprobación.
Las transacciones son persistidas en la base de datos, respetando las normas de seguridad de la norma PCI para su posterior explotación, como ser reportes, cierres de lotes, conciliación de transacciones, monitoreos, etc.
El producto cuenta con una consola WEB de administración centralizada a través de la cual se puede: configurar la aplicación, obtener diversos reportes, monitorear el sistema, definir alertas, administrar la seguridad, acceder a la auditoría, etc. Esta consola de administración presenta un nivel de seguridad de acceso por usuario y contraseña.
A nivel de arquitectura, la aplicación está soportada sobre el servidor de aplicaciones JBOSS, el cual brinda diferentes servicios que son utilizados por VTOL, como ser por ejemplo la configuración de datasources.
4.1.2 VTOL Client
VTOL Client es el componente encargado de capturar los datos de las tarjetas a través del pinpad e iniciar el proceso de autorización contra VTOL Server.
Es una aplicación Java del tipo Stand Alone; es decir, no requiere de ningún servidor de aplicación para poder ejecutarse ni tampoco tiene una interfaz gráfica de usuario, que se encontrará configurada en cada máquina donde se ejecuta la aplicación de punto de venta.
Este componente expone una API de integración del tipo TCPIP bajo el protocolo llamado "protocolo VTOL". A través de esta API, las aplicaciones de punto de venta pueden iniciar una transacción de: venta, anulación, etc.
Arquitectura de VTOL Client
4.2 Acerca de este manual
En este manual encontrará toda la información necesaria para instalar el producto RS-VTOL CR/DB.
Se explicarán cada uno de los pasos de instalación, los requerimientos de hardware y software, las propiedades a ser configuradas.
4.3 Flujo de implementación
En este apartado se explicará la secuencia o los pasos para instalar de cero, configurar e iniciar VTOL Server:
- Verificar y cumplir con los pre-requisitos del sistema, tanto de software como de hardware (apartado 5. Pre-requisitos del sistema)
- Efectuar la instalación completa mediante el asistente gráfico de instalación (apartado 6.1.1 Instalación de cero de VTOL 3.8)
- Crear la base de datos y ejecutar los script de base de datos (apartado 7.1 Creación de la base de datos)
- Iniciar VTOL Server (apartado 9. Inicio de la aplicación VTOL Server)
- Acceder e iniciar sesión en la consola web de administración (apartado 10. Configuración)
- Configurar las propiedades y las variables iniciales que utilizará VTOL, como por ejemplo "VTOL Core Habilitado" (apartado 10.1 Configuración de variables del Sistema)
- Administrar la seguridad del usuario (apartado 10.2 Administración de usuarios para acceso administrativo WEB)
Una vez efectuado el flujo de implementación, dirigirse al documento "VTOL CD CL - Manual de usuario" para conocer cómo operar con el producto VTOL.
5. Pre-requisitos del Sistema
5.1 VTOL Server
A continuación, se detallarán los pre-requisitos para realizar la instalación de VTOL Server en el sistema.
5.1.1 Plataformas Soportadas
- Windows 32/64 bits
- Windows 7 o superior
- Windows Server 2012 R2 o superior
- Linux 32/64 bits
- Cent OS v7
- AIX
5.1.2 Requerimientos de Hardware
- Memoria RAM: 2GB como mínimo disponible para la aplicación
- CPU: cuádruple procesador de al menos 2.6 GHZ
- Capacidad de almacenamiento en Disco Rígido: 20GB o superior
- 1 placa de red de 100Mb o 2 placas de red de 100Mbits para instalación en clúster
5.1.3 Requerimientos de Software
- Java Virtual Machine (JDK) jdk1.8
- Link de descarga: http://www.oracle.com/technetwork/java/javase/downloads/index.html
- Servidor de aplicaciones WildFly 10.1.0 compatible con JBoss 7 EAP
- Motor de base de batos:
- MS SQL Server 2012 Service Pack 3 o superior
- Oracle 11.2 o superior
Advertencia: Es requerido que NAPSE efectúe un correcto dimensionamiento de los requerimientos del software en base a la cantidad de transacciones a procesar y la cantidad de usuarios concurrentes en la aplicación.
El software de base debe tener instalados todos los parches de seguridad que el fabricante haya liberado hasta el momento.
5.2 VTOL Client
A continuación, se detallarán los pre-requisitos para realizar la instalación de VTOL Client en el sistema.
5.2.1 Plataformas Soportadas
- Windows 32/64 bits
- Linux 32/64 bits
5.2.2 Requerimientos de Hardware
- Memoria RAM: 64MB disponibles
- CPU: 2 núcleos de 1.6 GHZ o superior
- Capacidad de almacenamiento en Disco Rígido: 150MB o superior
5.2.3 Requerimientos de Software
- Java Virtual Machine (JDK) 1.6.x (32/64 bits acorde al SO) o superior
- Conexión a VTOL Server por red TCP/IP
6. Instalación de VTOL Server
Existen diferentes escenarios al momento de instalar VTOL.
A continuación, se listan los distintos escenarios y posteriormente se explica en detalle cómo es cada uno de ellos.
Escenarios posibles:
- Instalación de cero de VTOL 3.8
Es el caso cuando se quiere instalar por primera vez VTOL y no existe ninguna instalación del mismo en el sistema - Migración de VTOL 3.7 Productivo a VTOL 3.8 Productivo
Es el caso cuando se encuentra instalada la versión 3.7 de VTOL en un entorno de producción y se desea cambiar a la versión 3.8 - Actualización de VTOL 3.8 Productivo
Es el caso cuando se encuentra instalada la versión 3.8 de VTOL en un entorno de producción y se desea ejecutar una actualización
6.1 Escenarios de instalación
6.1.1 Instalación de cero de VTOL 3.8
La instalación de cero se refiere a instalar VTOL por primera vez en el sistema. Dado que no existe una instalación previa, no existe información sensible de tarjetas en logs o en base de datos. Por lo tanto, este procedimiento, no constituye un riesgo de seguridad sobre la información sensible de las tarjetas que puede estar almacenada.
Se ofrecen dos escenarios para instalar de cero VTOL:
- la forma completa y recomendada (explicada en el punto "6.1.1.1 Instalación completa")
- reinstalación – solo componentes de VTOL (indicada en el punto "6.1.1.2 Reinstalación")
6.1.1.1 Instalación completa
La instalación completa de VTOL se realiza gracias al uso de un asistente gráfico de configuración. Esta forma de instalar VTOL es la recomendada por su facilidad.
Para ello se deben seguir los siguientes pasos:
- Verificar la existencia de la base de datos que usará la aplicación VTOL.
- Iniciar sesión en el sistema operativo donde se instalará la aplicación VTOL con un usuario con permisos de administrador.
- Iniciar el instalador de la aplicación VTOL ejecutando la siguiente sentencia en la línea de comandos:
java –jar INSTALADOR.jar
Por ejemplo:
java –jar rs-vtol-cd-ha-cl-installer-3.8.0.0-rc10-08-2017.jar
Importante: En caso de que el sistema operativo sea LINUX y no cuente con entorno gráfico, se debe ejecutar la siguiente sentencia por línea de comando:
export DISPLAY=:0.0
4. Se presentará la pantalla de bienvenida del instalador. Para pasar a la siguiente pantalla presionar el botón "Próxima".
5. Al pasar a la siguiente pantalla se mostrarán los términos de servicio y condiciones de uso de la aplicación para ser leídos. Oprimir el botón "Aceptar".
6. Se deberán aceptar los términos y condiciones y completar con el nombre completo y el correo electrónico para poder continuar con la instalación. Oprimir el botón "Próxima".
7. En la siguiente pantalla se deja seleccionada la opción "Complete Installation" y se pasa a la pantalla siguiente presionando el botón "Próxima".
8. A continuación, se deberá seleccionar el directorio de instalación de Wildfly. El mismo puede realizarse escribiendo manualmente la ruta o a través del botón "Seleccionar carpeta" que permitirá navegar la estructura de directorios.
Además, deberá ingresar el nombre del directorio en el cual se copiara la configuración de VTOL dentro de Wildfly (path "WILDFLY_HOME/") utilizando como plantilla la configuración provista por Wildfly en la carpeta "WILDFLY_HOME/default".
El sistema validará:
i. que exista el directorio “WILDFLY_HOME/default”
ii. que el directorio “WILDFLY_HOME/default” posea una estructura válida
Presionar "Próxima" para continuar los pasos de instalación.
9. Indicar el motor de base de datos que se utilizara y oprimir "Próxima".
10. Ingresar los datos vinculados con la base de datos a emplearse.
- Versión del motor de base de datos.
- Host de la base de datos.
- Nombre de la base de datos.
- Nombre de usuario para acceso a la base.
- Password del usuario.
Una vez completados los datos anteriores, presionar "Próxima".
11. Configuración de datos extras y cluster.
En este paso se configuran los datos para que VTOL pueda funcionar en la modalidad alta disponibilidad o cluster.
Si no desea utilizar la modalidad cluster, solo configure las siguientes propiedades y haga clic en "Próxima".
Propiedad | Descripción |
Cluster Partition Name | Nombre de la partición del cluster. El mismo debe ser único y distinto a otro cluster que esté en la red empresarial de lo contrario podrían entrar en conflicto llevando a un funcionamiento erróneo. Se recomienda utilizar el nombre lógico del server y la palabra partición. Por ejemplo: "MyServerPartition" |
Time Zone | Zona horaria en la cual se instalará la aplicación. Por ejemplo "GMT-03:00" |
Si desea utilizar la modalidad cluster, configure las siguientes propiedades y haga clic en "Próxima".
Propiedad | Descripción |
Cluster Node | Identificador del nodo dentro del cluster. Este no se tiene que repetir entre los integrantes del mismo cluster |
Cluster Node Description | Descripción del nodo del cluster. Esta descripción se visualizará en la consola de administración. |
Cluster Partition Name | Nombre de la partición del cluster. Mediante este valor se confecciona el cluster, por lo tanto, debe coincidir con aquellos nodos que conforman el cluster. |
Cluster Interface IP Address | IP que tiene asignada la placa de red que servirá como interface entre los nodos del cluster. |
Time Zone | Zona horaria en la cual se instalará la aplicación. Por ejemplo "GMT-03:00" |
12. Presionar "Install" para ejecutar el proceso de instalación.
13. La finalización de la instalación se informa mediante un mensaje de "Terminado". Oprimir "Aceptar".
Se podrá observar información detallada de la instalación presionando el botón "Enseñar detalles". Al hacer esto se mostrarán dos solapas:
- En la solapa "Salida" podrá observar el progreso de la instalación visualizando las tareas ejecutadas por el instalador
- En la solapa "Errores" se presentan las fallas que tuvieron lugar durante la instalación
14. Presionar el botón "Salir" para salir del instalador.
15. Dentro del directorio wildfly-10.1.0.Final se creó la carpeta con la nueva versión instalada de VTOL.
A continuación, lo que se debe realizar es ejecutar los scripts en la base de datos. Ver el apartado 7.1 Creación
6.1.1.2 Reinstalación
Esta instalación está pensada para reinstalaciones de VTOL Server donde no se quiere perder la configuración realizada previamente sobre el servidor de aplicaciones.
RS-VTOL CR/DB cuenta con un instalador gráfico que guía a través del proceso de reinstalación de la aplicación. Primero solicita al usuario el ingreso de los parámetros de configuración requeridos y luego efectúa la reinstalación del producto, la cual consiste en el armado de una estructura de directorios que contiene los componentes de la aplicación, como ser los scripts de base de datos, archivos de configuración, etc.
A continuación, se describen los pasos para realizar la reinstalación de la aplicación:
- Iniciar sesión en el sistema operativo donde se reinstalará la aplicación VTOL con un usuario con permisos de administrador.
- Iniciar el instalador de la aplicación VTOL ejecutando la siguiente sentencia en la línea de comandos:
java –jar INSTALADOR.jar
por ejemplo:
java –jar rs-vtol-cd-ha-cl-installer-3.8.0.0- rc10-08-2017.jar
export DISPLAY=:0.0
3. Se presentará la pantalla de bienvenida del instalador. Para pasar a la siguiente pantalla presionar el botón "Próxima".
4. Al pasar a la siguiente pantalla se mostrarán los términos de servicio y condiciones de uso de la aplicación para ser leídos. Oprimir el botón "Aceptar".
5. Se deberán aceptar los términos y condiciones y completar con el nombre completo y el correo electrónico para poder continuar con la instalación. Oprimir el botón "Próxima".
6. En la siguiente pantalla debe seleccionar la opción "Only VTOL Components" y presionar el botón "Próxima".
7. A continuación, se deberá seleccionar el directorio de instalación de Wildfly. El mismo puede realizarse escribiendo manualmente la ruta o a través del botón "Seleccionar carpeta" que permitirá navegar la estructura de directorios.
Además, en "'rsvtol' Server Configuration" deberá ingresar el nombre de la carpeta que aparece en la configuración del server Standalone.
Presionar "Próxima" para continuar los pasos de instalación.
8. Indicar el motor de base de datos que se utilizara y oprimir "Próxima".
9. Configuración de datos extras y cluster.
Si no desea utilizar la modalidad Clúster, haga clic en "Próxima", de lo contrario configure el resto de las propiedades:
- El identificador del nodo dentro del clúster
- La descripción del nodo del clúster. Esta descripción se visualizará en la consola de administración
- La dirección IP de la interfaz. IP que tiene asignada la placa de red que servirá como interface entre los nodos del clúster
- La zona horaria en la cual se está instalando la aplicación
10. Presionar "Install" para ejecutar el proceso de instalación.
11. La finalización de la instalación se informa mediante un mensaje de "Terminado". Oprimir "Aceptar".
Se podrá observar información detallada de la instalación presionando el botón "Enseñar detalles". Al hacer esto se mostrarán dos solapas:
- En la solapa "Salida" podrá observar el progreso de la instalación visualizando las tareas ejecutadas por el instalador
- En la solapa "Errores" se presentan las fallas que tuvieron lugar durante la instalación
12. Presionar el botón "Salir" para salir del instalador.
13. Dentro del directorio wildfly-10.1.0.Final se creó la carpeta con la nueva versión instalada de VTOL.
6.1.2 Migración de VTOL 3.7 Productivo a VTOL 3.8 Productivo
Cuando la instalación de VTOL 3.8 se haga sobre una instalación de VTOL 3.7, se deberán seguir los siguientes pasos:
- Detener la aplicación o servicio de VTOL
- Se debe verificar que se borre de forma segura los logs de VTOL 3.7
- Realizar una copia de seguridad de la base de datos utilizada por la aplicación VTOL. Es importante tener en cuenta que no se almacenan datos en texto plano. Los mismos son almacenados encriptados dentro de la misma base de datos
- Instalar VTOL 3.8 siguiendo los pasos indicados en ésta guía
- Iniciar en el paso "6.1.1 Instalación de cero de VTOL 3.8"
- Dado que la base de datos ya existe, no ejecutar el paso de creación de base de datos "7.1 Creación" dentro de "7 Configuración de la Base de Datos". En cambio, sí se debe ejecutar la actualización de la base de datos detallado en el paso "7.2 Actualización"
- Si la instalación fue exitosa:
- Realizar el borrado seguro de la instalación de VTOL 3.7
- Se deberá borrar el contenido entero de la copia de seguridad del punto 3, asegurándose la eliminación segura de cualquier dato sensible almacenado en el sistema de archivos
- Si la instalación no fue exitosa (rollback de la versión):
- Realizar el borrado seguro de la instalación de VTOL 3.8 recién instalada.
- Restaurar la base de datos con la copia de seguridad generada en el punto 3. La operatoria corresponde a una restauración general en MSSQL Server u Oracle, según corresponda. Luego, eliminar la copia de seguridad de forma segura
Importante: La actualización de versión trae consigo un cambio de seguridad con respecto a la registración de las contraseñas de usuarios de consola Web. Luego de la migración se debe tener en cuenta que:
- Los usuarios utilizados en la consola de administración serán bloqueados.
- La clave del Administrador de sistema será reiniciada a "suser123"
- El administrador del sistema deberá luego habilitar y cambiar la clave para que los demás usuarios puedan volver a loguearse. En ese instante el sistema solicitará el cambio de clave del usuario la cual deberá ser compatible con los requerimientos de PCI.
6.1.3 Actualización de VTOL 3.8 Productivo
Cuando la instalación de VTOL 3.8 se realice sobre una instalación anterior a VTOL 3.8 se deberán seguir los siguientes pasos:
- Detener la aplicación o servicio de VTOL
- Borrar de forma segura los logs de VTOL 3.8.
- Realizar una copia de seguridad de la instalación actual de VTOL 3.8
- Hacer una copia de seguridad de la siguiente carpeta:
{WILDFLY_HOME}/rsvtol
- Hacer una copia de seguridad de la siguiente carpeta:
- Realizar una copia de seguridad de la base de datos de VTOL
- Instalar VTOL 3.8 siguiendo los pasos indicados en esta guía:
- Comenzar en el paso "6.2 Re-instalación". Dado que la base de datos ya existe, no ejecutar el paso de creación de base de datos sino que se debe ejecutar la actualización detallada en el paso "7.2 Actualización".
- Si la instalación fue exitosa: realizar el borrado seguro de la copia de seguridad de la instalación de VTOL 3.8
- Se deberá borrar el contenido entero de las copias de seguridad de los puntos 3 y 4, asegurándose la eliminación segura de cualquier dato sensible almacenado en el sistema de archivos
- Si la instalación no fue exitosa (rollback de la versión):
- Realizar el borrado seguro de la instalación de VTOL 3.8 recién instalada
- Restaurar el contenido de la copia de seguridad y borrar tal copia de forma segura
- Restaurar la base de datos con la copia de seguridad generada en el punto 4. La operatoria corresponde a una restauración general en MSSQL Server u Oracle, según corresponda. Luego, eliminar la copia de seguridad de forma segura.
6.2 Componentes instalados
Finalizada la reinstalación se visualizarán los componentes dentro de la carpeta 'rsvtol' de la siguiente forma:
Carpeta | Descripción |
bin | Contiene los archivos de inicio y de detención de la aplicación como proceso de Windows y de Linux |
configuration | Esta carpeta contiene toda la configuración del Application Server adaptada para que la aplicación VTOL funcione correctamente |
deployments | En esta carpeta se encuentra el EAR de la aplicación |
dist | Posee dos carpetas importantes en su interior:
|
lib | Reservado para uso futuro para que puedan almacenarse librerías |
tmp | Carpeta de temporales del servidor de aplicaciones |
7. Configuración de la Base de Datos
7.1 Creación
Los scripts para creación e inicialización de la base de datos empleada por la aplicación se encuentran en la carpeta "scripts" dentro del directorio de instalación del producto.
Los scripts se encuentran separados en carpetas "core" y "cd-cl" según el motor de base de datos al que corresponden y deberán ser ejecutados en la secuencia que se indica a continuación.
Cada archivo contiene, como inicio de su nombre, un número que indica la secuencia en que debe ser corrido.
Primero se deben ejecutar los script de VTOL CORE, ubicados en:
{WILDFLY_HOME}\rsvtol\dist\scripts\core\nombreMotorBD
- Ejecutar los scripts:
- 1-CONSOLE-SCHEMA
- 2-CORE-SCHEMA
- 3-CORE-POPULATE
Por último se deben ejecutar los scripts del módulo Crédito Débito Chile, ubicados en
{WILDFLY_HOME}\rsvtol\dist\scripts\cd-cl\nombreMotorBD
- Ejecutar los scripts :
- 1-CD-CL-SCHEMA.SQL
- 2-CD-CL-POPULATE.SQL
Donde:
- {WILDFLY_HOME}
- es el directorio donde se instaló el Wildfly 10.1.0
- nombreMotorBD
- corresponde al nombre del motor de base de datos
- mssql – Motor de base de datos MS SQL Server
- oracle – Motor de base de datos Oracle
- corresponde al nombre del motor de base de datos
Cuando el motor de base de datos sea MSSQL, tiene que estar activo el isolation level “READ_COMMITTED_SNAPSHOT”. Para activarlo se debe ejecutar el siguiente comando:
ALTER DATABASE [nombre_bbdd] SET READ_COMMITTED_SNAPSHOT On;
Donde nombre_bbdd es el nombre de la base de datos.
Nota: Para que el cambio surja efecto, no debe haber conexiones activas salvo la indicada anteriormente.
7.2 Actualización
Cuando la instalación se trate de una actualización de versión y no una instalación de cero, es posible que se deba actualizar la base de datos pre-existente.
Para este caso existen scripts de actualización de la base de datos. Estos se identifican por el comienzo con INC en su nombre (Incremental). Por ejemplo: "INC-3.6.1.0-TO-3.6.1.1.sql".
Los mismos se encuentran en los siguientes directorios:
- Scripts correspondientes a VTOL CORE
{WILDFLY_HOME}\rsvtol\dist\scripts\core\nombreMotorBD
- Scripts correspondientes a Módulo Crédito Débito Chile
{WILDFLY_HOME}\rsvtol\dist\scripts\cd-cl\nombreMotorBD
8. Instalación de certificado para protocolo HTTPS
El monitoreo y la administración de la aplicación VTOL se hace por medio de una consola WEB. Por cuestiones de seguridad, el acceso a esta se hace por medio del protocolo seguro HTTPS (protocolo HTTP sobre canal encriptado). Para que este protocolo funcione correctamente hay que instalar un certificado válido.
A continuación se explica qué es un certificado digital, cómo se gestiona y cómo se instala.
8.1 Definición y Norma
HTTPS es la implementación segura de HTTP. Si bien existen varios protocolos y versiones solo algunos son seguros (no se ha podido demostrar lo contrario):
- SSLv3 (recomendado y por defecto en la aplicación)
- TLSv1
Por lo tanto se aconseja usar SSLv3.
Además es requerido como norma de seguridad la utilización de:
- Algoritmos de encriptación AES o RSA
- Algoritmos de Hashing: SHA-512
- Clave de encriptación mayor a 512 bits
8.2 Uso de certificados
La utilización de HTTPS implica el uso de certificados digitales.
Ilustración de un certificado digital
Un certificado digital está compuesto por:
- Datos del propietario del certificado
- Clave pública
- Clave privada
- Datos del certificado
La aplicación VTOL hace uso de los certificados Los certificados son documentos digitales que dan fe de la vinculación entre una clave pública y un individuo o entidad.mediante la utilización de un "keystore" de java. Un "keystore" es un almacén o base de datos de java, que almacena claves y certificados.
Los certificados pueden estar certificados por una entidad CA Autoridad Certificadora o Certification Authority. Ejemplo: Verisign, Trustwave habilitada o bien pueden estar auto-firmados, es decir, tener un CA propio.
Si se usa un certificado auto-firmado, el cliente WEB emitirá una alerta ya que no puede validar el certificado con una entidad CA válida.
8.3 Instalación de certificado
A continuación se detalla cual es la secuencia para instalar un certificado digital emitido por una CA en la aplicación VTOL.
En caso de instalar el certificado auto-firmado, ejecutar el "Paso 1" y luego continuar con el "Paso 4".
Paso 1
En este paso se creará un nuevo KeyStore con su clave privada y su certificado auto-firmado. El comando a utilizar es el siguiente:
keytool -genkey -alias vtol -keyalg RSA -sigalg "SHA1withRSA" -keystore synthesis.keystore -validity 90 -storepass changeit -keysize 1024
Este comando pedirá información para poder generar el certificado.
Finalizado este paso se habrá creado un archivo "synthesis.keystore" que corresponde al nuevo KeyStore que se usará en la aplicación.
Paso 2
Una vez creado el KeyStore hay que crear un CSR (Certificate Signing Request o Requerimiento de forma del certificado) para enviar al CA.
keytool -certreq -keyalg RSA -alias vtol -file certreq.csr -keystore synthesis.keystore -storepass changeit
Este comando generará un archivo llamado "certreq.csr" que será requerido por la CA.
Paso 3
Una vez que la CA generó el certificado digital hay que incorporarlo al KeyStore previamente creado.
Para ello ejecutar el siguiente comando:
keytool -import -alias vtol -keystore synthesis.keystore -storepass changeit -trustcacerts -file certificado.cer
Donde "certificado.cer" corresponde al nombre del certificado otorgado por la CA.
Paso 4
Ubicar el archivo "synthesis.keystore", correspondiente al nuevo KeyStore, dentro de:
{WILDFLY_HOME}/rsvtol/configuration
Luego abrir el archivo:
Jboss/rsvtol/configuration/standalone.xml
Y configurar:
<security-realm name="ApplicationRealm">
<server-identities>
<ssl>
<keystore path="synthesis.keystore" relative-to="jboss.server.config.dir" keystore-password="changeit" key-password="changeit" generate-self-signed-certificate-host="localhost"/>
</ssl>
</server-identities>
<authentication>
<local default-user="$local" allowed-users="*" skip-group-loading="true"/>
<properties path="application-users.properties" relative-to="jboss.server.config.dir"/>
</authentication>
<authorization>
<properties path="application-roles.properties" relative-to="jboss.server.config.dir"/>
</authorization>
</security-realm>
donde:
- changeit – corresponde a la contraseña utilizada en el paso 1
9. Inicio de la aplicación
Para iniciar RS VTOL CR/DB como proceso, se deben seguir los siguientes pasos:
- Iniciar sesión en el sistema operativo
- Ingresar a la carpeta WILDFLY_HOME\rsvtol\bin
- Ejecutar uno de los siguientes archivos según el sistema operativo:
- start.cmd (Windows)
- start.sh (Linux)
Donde WILDFLY_HOME corresponde a la ruta de instalación de Wildfly.
10. Configuración
En esta sección se presentan todas las variables de configuración de RS-VTOL CR/DB CL. Por cada variable se indica:
- Su nombre
- Tipo
- Descripción
- Si el sistema debe o no ser reiniciado para que la modificación tenga efecto.
Estas variables son configurables a través de la página de configuración presente en la consola de administración WEB del producto.
Para lograr el logueo en la consola de administración, se deberá utilizar el usuario por default que viene precargado en el sistema. Los datos de logueo son los siguientes:
- Nombre de usuario: suser
- Clave de acceso: suser123
Para acceder a la consola WEB referirse al "VTOLCR-DB-Manual de usuario" o bien acceder utilizando el siguiente enlace:
http://IP-SERVER:PORT/rs-console
Donde:
- IP-SERVER: corresponde a la dirección IP o nombre del server donde se está ejecutando el servidor VTOL
- PORT: corresponde al puerto del servidor web utilizado por VTOL
Al ingresar por primera vez a la consola de administración, se solicitara el cambio de la clave del usuario suser para que ya sea parametrizada por el administrador del sistema.
Una vez logueado en el sistema, se deberá ingresar en "Configuración" dentro del menú "Herramientas Administrativas", tal como se muestra en la siguiente figura:
10.1 Configuración de variables del Sistema
La primera variable a configurar es la que se lista a continuación. La misma permite continuar la carga del sistema en su totalidad. De encontrarse en False, algunos de los componentes del sistema no podrán operar.
Nombre variable o propiedad | Tipo | Descripción | ¿Requiere reiniciar? |
VTOL Core habilitado | True / false | De encontrarse en false, al iniciarse VTOL CR / DB no se levantarán las reglas de negocio pero sí la consola. Se emplea en los casos de actualización del sistema, cuando se incorporan nuevas propiedades de configuración a la aplicación. En este escenario la propiedad se encuentra en false y una vez que se terminaron de configurar las nuevas propiedades, se cambia su valor a true para que VTOL CR / DB levante por completo. | SI |
A continuación, se listan más propiedades disponibles para configurar en el sistema. Para más información de configuración referirse al "Manual de usuario" de la aplicación.
Nombre propiedad | Tipo | Descripción | ¿Requiere reiniciar? |
Dialecto de hibernate | Cadena de caracteres. | Idioma de SQL usado por hibernate para comunicarse a la base de datos. | SI |
Ruta del log de negocio de VTOL CR/DB | Cadena de caracteres | Ruta del archivo log en el cual se registran las acciones de negocio ejecutadas por el módulo VTOL CR/DB | NO |
Adiciona contenido en log de negocio de VTOL CR/DB | True / false | Si se encuentra en false (desactivado), al reiniciarse VTOL se sobrescribirá el archivo log activo. Si se encuentra en true (activado), se continuará la escritura en el archivo log activo sin sobrescribir los contenidos previos. Esta configuración aplica al archivo log que registra las acciones de negocio del módulo VTOL CR/DB. | NO |
Tamaño máximo del log de negocio de VTOL CR/DB | Entero | Tamaño máximo del archivo de logueo. Superado este tamaño se crea un nuevo archivo. Esta configuración aplica al archivo log que registra las acciones de negocio del módulo VTOL CR/DB. | NO |
Tamaño máximo de índice del log de negocio de VTOL CR/DB | Entero | Cantidad de archivos de logueo que se mantienen. Superada esta cantidad, el nuevo archivo generado sobrescribirá al más antiguo. Esta configuración aplica al archivo log que registra las acciones de negocio del módulo VTOL CR/DB. | NO |
Ruta del log de la consola | Cadena de caracteres | Ruta del archivo log en el cual se registran las acciones vinculadas a la consola del producto. | NO |
Adiciona contenido en log de la consola | True / false | Si se encuentra en false (desactivado), al reiniciarse VTOL se sobrescribirá el archivo log activo. Si se encuentra en true (activado), se continuará la escritura en el archivo log activo sin sobrescribir los contenidos previos. Esta configuración aplica al archivo log de la consola de VTOL. | NO |
Tamaño máximo del log de la consola | Entero | Tamaño máximo del archivo de logueo. Superado este tamaño se crea un nuevo archivo. Esta configuración aplica al archivo log de la consola de VTOL. | NO |
Tamaño máximo de índice del log de la consola | Entero | Cantidad de archivos de logueo que se mantienen. Superada esta cantidad, el nuevo archivo generado sobrescribirá al más antiguo. Esta configuración aplica al archivo log de la consola de VTOL. | NO |
Timeout para eco | Entero | Tiempo de espera máximo en milisegundos para la recepción de la respuesta de un mensaje de eco. | NO |
Timeout para autorización | Entero | Tiempo de espera máximo en milisegundos para la recepción de la respuesta de una transacción de autorización. | NO |
Depuración información de operación de VTOL CR/DB habilitada | True / false | Habilita (true)/ Deshabilita (false) la depuración de las transacciones de las tablas de operación de la aplicación. | NO |
Días conservación de información de operación de VTOL CR/DB | Entero | Cantidad de días que se desea mantener la información de transacciones en las tablas de operaciones antes de ser depuradas. | NO |
IP del CA XX[1] | Cadena de caracteres | Dirección IP del centro autorizador. | SI |
Puerto de comunicación CA XXX | Entero | Puerto del centro autorizador por el cual se establecerá la comunicación. | SI |
Generación de interfaz por fecha habilitada | True / false | Indica si las interfaces se generan o no por fecha. | NO |
VTOL Core habilitado | True / false | De encontrarse en false, al iniciarse VTOL CR / DB no se levantarán las reglas de negocio pero sí la consola. Se emplea en los casos de actualización del sistema, cuando se incorporan nuevas propiedades de configuración a la aplicación. En este escenario la propiedad se encuentra en false y una vez que se terminaron de configurar las nuevas propiedades, se cambia su valor a true para que VTOL CR / DB levante por completo. | SI |
Puerto de comunicación no encriptada POS - VTOL | Entero | Puerto para la comunicación sin encriptar entre el POS y VTOL CR / DB. | SI |
Comunicación no encriptada POS - VTOL habilitada | True / false | Indica si se encuentra habilitada la comunicación no encriptada entre el POS y VTOL CR / DB. | SI |
Puerto de comunicación encriptada POS - VTOL | Entero | Puerto para la comunicación encriptada entre el POS y VTOL CR / DB | SI |
Comunicación encriptada POS-VTOL habilitada | True / false | Indica si se encuentra habilitada la comunicación encriptada entre el POS y VTOL CR / DB. | SI |
Ruta del log del sistema | Cadena de caracteres | Ruta del archivo log en el cual se registra el estado del sistema. | NO |
Adiciona contenido en log del sistema | True / false | Si se encuentra en false (desactivado), al reiniciarse VTOL se sobrescribirá el archivo log activo. Si se encuentra en true (activado), se continuará la escritura en el archivo log activo sin sobrescribir los contenidos previos. Esta configuración aplica al archivo log del sistema. | NO |
Tamaño máximo del log del sistema | Entero | Tamaño máximo del archivo de logueo. Superado este tamaño se crea un nuevo archivo. Esta configuración aplica al archivo log del sistema. | NO |
Tamaño máximo de índice del log del sistema | Entero | Cantidad de archivos de logueo que se mantienen. Superada esta cantidad, el nuevo archivo generado sobrescribirá al más antiguo. Esta configuración aplica al archivo log del sistema. | NO |
Timeout de respuesta de transacción | Entero | Tiempo de espera máximo en milisegundos para la recepción de la respuesta de la transacción. Se refiere a la respuesta que envía el módulo al componente Core de VTOL. | NO |
Largo del código de caja | Entero | Longitud del código que identifica a una caja (punto de venta) en VTOL CR / DB. Tener en cuenta que si el valor de esta propiedad se modifica existiendo ya cajas cargadas en la base de datos nodos, VTOL CR / DB no será capaz de identificar a las mismas. Una vez definida no se recomienda cambiarla. | NO |
Largo del código de local | Entero | Longitud del código que identifica a un local en VTOL CR / DB. Tener en cuenta que si el valor de esta propiedad se modifica existiendo ya locales cargados en la base de datos nodos, VTOL CR / DB no será capaz de identificar a los mismos. Una vez definida no se recomienda cambiarla. | NO |
Código de local es numérico | True / false | Indica si el código de local es numérico (true) o alfanumérico (false) | NO |
Código de caja es numérico | True/ false | Indica si el código de caja es numérico (true) o alfanumérico (false) | NO |
Algoritmo de encriptación de la comunicación | Cadena de caracteres con los valores DES / DESede | Algoritmo de encriptación empleado en la comunicación POS - VTOL. Las dos opciones posibles son: DES y DESede | NO |
Clave algoritmo de encriptación de la comunicación | Cadena de caracteres. | Clave empleada para el algoritmo de encriptación de la comunicación POS - VTOL | NO |
Algoritmo de desencriptación de la comunicación | Cadena de caracteres con los valores DES / DESede | Algoritmo de desencriptación empleado en la comunicación POS - VTOL. Las dos opciones posibles son: DES y DESede | NO |
Clave algoritmo de desencriptación de comunicación | Cadena de caracteres. | Clave empleada para el algoritmo de desencriptación de la comunicación POS -VTOL | NO |
Umbral de inactividad de local | Numérico | Umbral, expresado en milisegundos, que indica el tiempo máximo tolerable sin que VTOL reciba transacciones de un local. Superado este umbral el local se considera inactivo. | NO |
Todos los números de comercio son requeridos | True/False | De encontrarse activado (true) indica que se requiere ingresar todos los números de comercio para cada local dado de alta. | NO |
MailManager Servidor SMTP | Cadena de caracteres | Dirección IP o nombre del servidor SMTP para envío de mails. | NO |
Tiempo entre envíos de Echos | Numérico | Tiempo que indica cada cuantos segundos se debe enviar un Echo. | NO |
Terminal Id. para el envío de Echos | Cadena de caracteres. | Identificador de Terminal asignado a VTOL para el envio de Echos. | NO |
Tiempo máximo de espera para la respuesta a un mensaje de Echo | Numérico | Tiempo máximo de espera en segundos para la respuesta a un mensaje de Echo. | NO |
Tiempo máximo de espera para la respuesta a un mensaje SPDH Financiero | Numérico | Tiempo máximo de espera en segundos para la respuesta a un mensaje SPDH Financiero. | NO |
Código de Transbank en el campo TPDU | Numérico | Código de origen/destino de Transbank en el campo TPDU. | NO |
SSL: Puerto de comunicación SSL/TLS POS-VTOL | Entero | Puerto para la comunicación SSL/TLS entre el POS y VTOL | SI |
SSL: Comunicación SSL/TLS POS – VTOL habilitada | True/False | Indica si se encuentra habilitada la comunicación SSL/TLS entre el POS y VTOL | SI |
SSL: Almacén de certificados del servidor | Cadena de caracteres | Ruta del archivo que contiene los certificados del servidor para la comunicación segura SSL/TLS entre el POS y VTOL. REQUERIDO | SI |
SSL: Contraseña del almacén de certificados del servidor | Cadena de caracteres | Contraseña de acceso al archivo que contiene los certificados del servidor para la comunicación segura SSL/TLS entre el POS y VTOL. REQUERIDO | SI |
SSL: Tipo de almacén de certificados del servidor | Cadena de caracteres | Indica el tipo de almacén de certificados del servidor. Por ejemplo: JKS. REQUERIDO | SI |
SSL: Algoritmo del manejador del almacén de certificados del servidor | Cadena de caracteres | Algoritmo del manejador del almacén de certificados del servidor. Por ejemplo: SunX509. REQUERIDO | SI |
SSL: Almacén de confianza del servidor | Cadena de caracteres | Ruta del archivo que contiene los certificados de confianza del servidor para la comunicación segura SSL/TLS entre POS y VTOL. Requerido si esta activa la validación cliente | |
SSL: Contraseña del almacén de confianza del servidor | Cadena de caracteres | Contraseña de acceso al archivo que contiene los certificados de confianza del servidor para la comunicación segura SSL/TLS entre POS y VTOL. Requerido si esta activa la validación cliente. | SI |
SSL: Tipo de almacén de confianza del servidor | Cadena de caracteres | Indica el tipo de almacén de certificados de confianza del servidor. Por ejemplo: JKS. Requerido si esta activa la validación cliente. | SI |
SSL: Algoritmo del manejador del almacén de confianza del servidor | Cadena de caracteres | Algoritmo del manejador del almacén de certificados de confianza del servidor. Por ejemplo: SunX509. | SI |
SSL: Protocolo SSL/TLS | Cadena de caracteres | Implementación de protocolo SSL/TLS. Nota: la versión la define el cliente (handshake). El server solo indica la máxima soportada. JAVA 8[TLSv1.2,TLSv1.1,TLSv1,SSLv3] JAVA 7[TLSv1.2,TLSv1.1,TLSv1,SSLv3] JAVA 6[TLS v1.1(from 111),TLSv1,SSLv3] | SI |
SSL: Paquetes de cifrados habilitados | Cadena de caracteres | Lista de paquetes de cifrados que estarán habilitados en la comunicación SSL/TLS. Vacío toma los soportados por la JVM. Lista separada por coma y espacio | SI |
SSL: Requiere autenticación del cliente | True/False | Indica si obliga al cliente a autenticarse/validarse con un certificado. De ser verdadero, el cliente deberá tener un certificado validado por una entidad certificante reconocida y cargada en el almacén de certificados (trustStore) del server | SI |
XX hace referencia al nombre del centro autorizador.
10.2 Administración de usuarios para acceso administrativo WEB
Para el acceso a la consola de administración vía WEB, se debe poseer un usuario y una contraseña válidos y otorgados por el administrador del sistema.
Entonces para poder crear cuentas del sistema se debe:
- Iniciar sesión en la consola de administración web.
- El usuario debe tener los siguientes permisos
- "Acceso a la aplicación"
- "Acceso a la consola de Administración de Usuarios, grupos y roles"
- "Creación, modificación y eliminación de usuarios, grupos y permisos"
- Referirse al capítulo 10. Acceso administrativo a VTOL
- El usuario debe tener los siguientes permisos
- Ir a la sección "Seguridad > Usuarios"
- Administrar las cuentas de usuarios
- A continuación se muestra una figura de la pantalla de administración de cuentas
Para más información sobre cómo realizar esta tarea, verificar los capítulos " usuarios" y "GRUPOS" del documento "VTOL-CORE-Manual de usuario.pdf".
Nota: El sistema por defecto está configurado siguiendo las mejoras prácticas de la normas PCI.
11. Recomendaciones
11.1 Auditoria
VTOL CR / DB, por razones de seguridad, provee auditoría de todas las acciones que se efectúan a través de la consola del producto. Por medio de esta funcionalidad es posible conocer qué operaciones fueron efectuadas, fecha y hora de su realización, así como también los usuarios que las realizaron.
Se sugiere a los correspondientes administradores activar la funcionalidad de logueo adecuada en el motor de base de datos / sistema operativo que permita conocer las acciones significativas que se realicen por medio de los mismos, con la finalidad de reforzar la seguridad de los datos manejados por VTOL.