Automatizovaná konverze z moci úřední

Pro konvertování dokumentů z moci úřední mezi elektronickou a listinnou podobou je k dispozici metoda webové služby ConvertToDigital, využívající API rozhraní poskytované CzechPOINT.

Konverze z moci úřední je určena pro Orgány Veřejné Moci (OVM). Žádosti o zřízení musí jít z datové schránky OVM. Vývojář aplikace musí vyvíjet pro OVM, který pro daného vývojáře zažádá o zřízení přístupu do odpovídajícího prostředí CzechPOINT, viz dokumentace a postupy na adrese: https://www.czechpoint.cz/public/vyvojari/ke-stazeni/.

Na základě Oznámení o ukončení KzMÚ API1 a jeho náhradě aplikačním rozhraním pro automatizovanou konverzi odborem eGovernmentu Ministerstva vnitra ČR ze dne 8.1.2022 (Č. j. MV- 6001-89/EG-2020) je od verze LTD 2.1.8146.0429 možné využívat novou verzi rozhraní označovaného jako KzMÚ API3 a nahradit tak ukončenou službu Autorizované konverze z listinné podoby do elektronické za Automatizovanou konverzi z listinné podoby do elektronické.

Služba Autorizované konverze z elektronické do listinné podoby je na základě Oznámení o ukončení KzMÚ API1 ve směru z elektronické do listinné podoby odborem eGovernmentu Ministerstva vnitra ČR ze dne 5.5.2022 (Č. j. MV- 6001-136/EG-2020) ukončena k 30.6.2022 bez náhrady. Tento typ konverze je možné využít jen přes webové rozhraní aplikace Czech POINT. Adresa produkčního prostředí: https://www.czechpoint.cz/czechpoint/.

Konfigurační požadavky

Pro funkčnost automatizované konverze z moci úřední je třeba provést základní konfiguraci URL adresy endpointu služeb CzechPOINT, vůči které se provádí autentizace oprávněného uživatele, analýza dokumentu a získávání časového razítka pro finalizaci konverze. Následující klíče je třeba zapsat do konfiguračního souboru webové služby Web.config (uvedené adresy jsou platné pro produkční prostředí):

  <add key="kzmu_use_automatized_le" value="true" />
  <add key="kzmu_automatized_le_url"
       value="https://cert.czechpoint.cz:443/konverze/ws/1.0/automat/kzmu/le" />
  <add key="kzmu_seal_cert_id" value="CertificateID:alias" />
  <add key="kzmu_seal_cert_pin" value="heslo_k_peceti" />

Testovací prostředí pro klienty je na url https://(www./cert.)edu.czechpoint.cz.

Autentizace uživatele (systému) probíhá na základě osobního certifikátu oprávněného uživatele. Tento certifikát musí být nahrán na odpovídajícím prostředí CzechPOINT a zároveň musí být přístupný pro LTD server v PFX/P12 souboru. Do konfiguračního souboru webové služby Web.config se pomocí následující klíčů zapisuje cesta k PFX souboru a heslo:

<add key="kzmu_clerk_cert_path" value="cesta_k_souboru.pfx"/>
<add key="kzmu_clerk_cert_pass" value="heslo_k_certifikatu"/>

Popis konfiguračních klíčů:

kzmu_use_automatized_le

Přepíná konverzi ze staré na novou. Výchozí hodnota je false (použije se Autorizovaná konverze z moci úřední).

kzmu_automatized_le_url

Adresa služby nového rozhraní KzMU API (viz dokumentace). Výchozí hodnota je prázdná.

kzmu_seal_cert_id (volitelný)

Identifikátor kvalifikovaného certifikátu elektronické pečeti, viz kapitola Konverze souboru do PDF či PDF/A. V případě služby Vzdáleného pečetění (HSM WS) použít prefix HStore. Pokud není tento klíč uveden, použije se výchozí certifikát této služby (HStore:0-0-0-0-0).

kzmu_seal_cert_pin (volitelný)

Heslo pro přístup k privátnímu klíči kvalifikovaného certifikátu elektronické pečeti, viz Konverze souboru do PDF či PDF/A (ConvertFileEx.Options.Signature.PrivateKeyPIN).

kzmu_seal_auth_CertPath (volitelný)

Cesta k přihlašovacímu certifikátu ke službě „Vzdáleného pečetění“ (HSM WS), který byl použit v žádosti o vydání pečeti např. přes aplikaci Sofa.

kzmu_seal_auth_CertPass (volitelný)

Heslo k přihlašovacímu certifikátu ke službě „Vzdáleného pečetění“ (HSM WS), viz kzmu_seal_auth_CertPath.

kzmu_automatized_clerk_cert_path (volitelný)

Cesta k PFX/P12 souboru s certifikátem pro přihlášení ke službě „Automatizované konverze“ CzechPOINT (KzMU API 3), ve formátu PFX/P12.

  • Tento certifikát musí mít organizaci registrovaný jako AIS pro JIP v CzP  Správa dat.

  • Pokud není nastaven, použije se výchozí (kzmu_clerk_cert_path).

kzmu_automatized_clerk_cert_pass (volitelný)

Heslo pro přístup k privátnímu klíči přihlašovacího certifikátu ke službě „Automatizované konverze“ (KzMU API 3).

Pokud není nastaven, použije se výchozí (kzmu_clerk_cert_pass).

Přihlašovací certifikát ke službě „Vzdáleného pečetění“ (HSM WS) vydává ERA operátor Software602 a.s. při žádosti o kvalifikovaný certifikát pro elektronickou pečeť. Jedná se o komerční serverový certifikát od vystavitele PostSignum Public CA.

Známé problémy

ConvertToDigital [web] - END, result: PRN_CR_INVALID_INPUT, 'Unable to get signing certificate: Chyba odeslání požadavku na adresu https://rsm.secusign.eu/default.asmx: 12002 (The operation timed out);

  • Zkontrolovat, že je z LTD serveru prostup na adresu HSM služby (https://rsm.secusign.eu/default.asmx). To lze provést těmito způsoby:

    • Na LTD serveru nainstalovat ve Web.config uvedený kzmu_automatized_clerk_cert_path.

    • Spustit browser, přejít na https://rsm.secusign.eu/default.asmx a zvolit instalovaný certifikát.

      • Pokud se zobrazí seznam metod (HSMWebService) = prostup je.

      • Může být ale definovaný pomocí proxy nastavení v browseru. Je třeba se podívat do Nastavení připojení k internetu, tj. inetcpl.cpl  Připojení  Nastavení místní sítě  Server proxy, zda je nastavena nějaká IP adresa/doménové jméno a port.

      • Pokud se nezobrazí seznam metod (HSMWebService) = prostup není.

    • Případně lze použít utilitu curl s jednoduchým voláním:

      curl.exe -v https://rsm.secusign.eu/default.asmx > response.html

  • Zjistit u klienta, zda je k přístupu do internetu nutná proxy.

    Pokud ano, pak je třeba do Engine.config nastavit klíč Proxy_URL s adresou proxy serveru, popř. také Proxy_User a Proxy_pass (pokud je proxy server autentizovaný).