Om te werken, moet Mercator een geldige licentie hebben, m.a.w. gecertificeerd door de certificatenserver MercatorShield. Deze certificaten bevestigen de geldigheid van de Mercator-licenties en verhinderen de herinstallatie van het programma.
De MercatorShield-service installeren
MercatorShield bestaat in twee versies, één voor het klassieke .net framework (4.8) en de andere voor het .net Core framework (7.0). Deze twee versies kunnen licenties voor alle Mercators valideren, ongeacht de versie van het framework van deze Mercators. Er is slechts één installatie per server toegestaan. Voordat u een versie installeert, moet u, indien nodig, de andere versie verwijderen. Met de updatewizard kunt u niet van de ene versie naar de andere overschakelen.
Installeer de dienst MercatorShield op één enkele werkpost in uw netwerk (volgens afspraak op de SQL-server) : MercatorShieldSetupX64.msi
Na de installatie is het noodzakelijk om de exe bestanden te updaten. Ofwel via de updatewizard die beschikbaar is in het contextmenu van het MercatorShieldGui icon 
: Update Nakijken. Ofwel door deze procedure handmatig uit te voeren:
- In Windows Services Manager de MercatorShieldService service stoppen,
- MercatorShieldGui.exe afsluiten (het programma weergegeven door ,
- MercatorShieldService.exe downloaden,
- MercatorShieldGui.exe downloaden,
- Deze 2 exe vervangen,
- MercatorShieldService service opnieuw starten,
- MercatorShieldGui.exe opnieuw starten.
Installeer de dienst MercatorShield op één enkele werkpost in uw netwerk (volgens afspraak op de SQL-server). Daarvoor,
- Maak de map C:\Program Files\MercatorShield aan,
- Pak in deze map de inhoud van dit zipbestand MercatorShieldCore.zip uit,
- Start het programma StartGui.exe
- Als er niets gebeurt, gaat u naar de volgende stap,
- Als de installatie van de .net runtime wordt gevraagd, kies dan JA om door te gaan met de installatie,
- Uitvoeren als administrator _INSTALL_SERVICE.cmd,
- Start de Windows Services management console en controleer de correcte installatie van de MercatorShield service,
- Als u wilt dat MercatorShieldGui automatisch start, kopieert u een snelkoppeling naar dit uitvoerbare bestand in de map C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp.
Installeer de MercatorShield-service op een enkele Linux-machine in uw netwerk (volgens afspraak op de SQL-server). Om dit te doen, moet u de volgende stappen uitvoeren:
Installeer de .net 7.0-runtime als deze nog niet aanwezig is, evenals winzip:
sudo apt-get update
sudo apt-get install -y dotnet-runtime-7.0
sudo apt-get install unzip
Download MercatorShieldService en plaats deze in de gewenste map:
sudo mkdir /usr/local/mercatorshield
cd ~
wget https://www.mercator.eu/mercator/updates/MercatorShieldLinux.zip
unzip MercatorShieldLinux.zip
sudo cp MercatorShieldService /usr/local/mercatorshield/MercatorShieldService
Geef uitvoeringsrechten op MercatorShieldService:
sudo chmod u+x /usr/local/mercatorshield/MercatorShieldService
Start MercatorShieldService in consolemodus:
cd /usr/local/mercatorshield
sudo ./MercatorShieldService
Zorg ervoor dat er geen foutmeldingen zijn en dat de console zegt "/etc/systemd/system/mercatorshield.service created!". U kunt de console verlaten met de escape-toets.
Deze bestanden worden automatisch aangemaakt:
- MercatorShieldService.ini
- Certifs/MercatorShieldCA.cer
- /etc/systemd/system/mercatorshield.service
Systemd-configuratie bijwerken:
sudo systemctl daemon-reload
Start de service:
sudo systemctl start mercatorshield.service
Schakel automatisch opstarten van de service tijdens het opstarten in:
sudo systemctl enable mercatorshield.service
Op Linux is er geen MercatorShieldGui.
Mercator configureren
- Via het menu "Tools - Geavanceerde Tools - Mercatorshield" van een recent geüpdatete Mercator voert u "Installeer" uit. Aanvaard de standaardparameters of duid een van deze twee notaties aan (de standaardpoort is 5022):
- ip_adres:poort (bv. 192.168.2.130:5022)
- servernaam:poort (bv. mijn_server:5022).
- Klik rechts op het pictogram dat in uw takenbalk verschijnt en klik op automatisch een certificaat aanvragen (In de file-selector moet u het bestand MERCATOR.CONNECTION lokaliseren).
Zie ook deze informatie : hoe MercatorShield zo configureren dat de communicaties tussen Mercator en MercatorShieldService via SQL Server lopen ?
Volledige documentatie (Windows)
MercatorShield bestaat uit 2 componenten:
- MercatorShieldService.exe: IP-service waarmee de toelating vervat in een certificaat via het hele lokale netwerk kan worden verspreid;
- MercatorShieldGui.exe: "system tray"-applicatie waarmee de bovenvermelde dienst kan worden gemonitord en waarmee certificaten kunnen worden aangevraagd en getest.
Deze 2 uitvoeringsprogramma's moeten in een afzonderlijke directory van Mercator staan, idealiter in een lokale directory, op één enkele computer die deel uitmaakt van het lokale netwerk waarop Mercator draait. Om reden van standaardisering raden wij de installatie aan op dezelfde server als de SQL-server.
De applicatie MercatorShieldGui.exe wordt gebruikt door rechts te klikken op het respectieve pictogram in de system tray. De volgende menu's zijn beschikbaar:
- Service-informatie: om de status van de service MercatorShieldService te kennen, alsook de versiegegevens van deze componenten.
- Certificatenarchief: opent de directory met de MercatorShield-certificaten.
- Service starten: om de service MercatorShieldService op te starten.
- Service stoppen: om de service MercatorShieldService te beëindigen.
- Certificaat automatisch aanvragen: om een certificaat automatisch te downloaden. Het programma vraagt naar de locatie van het bestand Mercator.connection van de Mercator-versie waarvoor het certificaat wordt aangevraagd. Vervolgens wordt er via het internet verbinding gemaakt met een server bij INEO om het certificaat te downloaden, dat automatisch wordt opgeslagen in de subdirectory Certifs.
- Certificaat manueel aanvragen: indien de voorgaande methode niet kan worden gebruikt (geen of beperkte internetverbinding), kan het certificaat ook manueel worden aangevraagd. Het programma vraagt opnieuw naar de locatie van het bestand Mercator.connection van de Mercator-versie waarvoor het certificaat wordt aangevraagd. Vervolgens wordt er in de subdirectory Certifs een bestand aangemaakt met extensie .certrequest. Dit bestand bevat de certificaataanvraag (en niet het certificaat) en moet naar support@mercator.eu worden verzonden. Na verwerking door onze diensten ontvangt u het eigenlijke certificaat dat u in de subdirectory Certifs moet opslaan. De certrequest-bestanden kunnen na gebruik verwijderd worden.
- Certificaat testen: via deze functie kan de geldigheid van een certificaat worden getest.
- Sluiten: hierdoor wordt de applicatie MercatorShieldGui afgesloten. Dit heeft geen enkele impact op de service MercatorShieldService die perfect werkt, zelfs als MercatorShieldGui niet actief is.
Als functie Toegang van Mercator naar de SQL-database versleutelen met een certificaat wordt gebruikt moet het certificaat via MMC in het persoonlijke store van Windows worden geplaatst door "Lokale computer" te kiezen.
Volledige documentatie (Linux)
MercatorShieldGui bestaat niet in de Linux-versie en is niet nodig. Om een nieuw certificaat aan te vragen, gaat u eenvoudigweg naar het menu "Tools / Geavanceerde Tools/ MercatorShield / Certificaat Opvragen" in Mercator. Er is geen manuele aanvraagprocedure.
Om de service te starten:
sudo systemctl start mercatorshield.service
Om de service te stoppen:
sudo systemctl stop mercatorshield.service
Als functie Toegang van Mercator naar de SQL-database versleutelen met een certificaat wordt gebruikt moet u eerst het PFX-bestand uploaden naar de Linux-machine (bijvoorbeeld met WinSCP).
Vervolgens moet u deze opdracht uitvoeren (de path naar het PFX-bestand moet worden aangepast):
cd /usr/local/mercatorshield
sudo ./MercatorShieldService -loadpfx=/home/myuser/mypfx.pfx
MercatorShieldService vraagt naar het PFX-bestand wachtwoord en laadt vervolgens het certificaat.
Om te verifiëren dat MercatorShieldService operationeel is, moet u deze opdracht uitvoeren:
sudo systemctl status mercatorshield.service
Het resultaat moet bevatten:
- Active: active (running) since...
- TCP socket is OK !
Om MercatorShieldService te updaten:
sudo systemctl stop mercatorshield.service
cd ~
wget https://www.mercator.eu/mercator/updates/MercatorShieldLinux.zip
unzip MercatorShieldLinux.zip
sudo cp MercatorShieldService /usr/local/mercatorshield/MercatorShieldService
sudo systemctl start mercatorshield.service
Belangrijke opmerkingen
- MercatorShieldService moet slechts één keer per Mercator-licentie worden geïnstalleerd.
- MercatorShieldService kan meerdere certificaten verspreiden. Als u dus meerdere Mercator-licenties gebruikt op hetzelfde lokale netwerk, moet u slechts één keer MercatorShieldService installeren. Het volstaat om een certificaat per licentie aan te vragen.
- MercatorShieldService moet worden geïnstalleerd op hetzelfde lokale netwerk als het netwerk waarop alle Mercator-werkposten zijn aangesloten. Er mag niet worden gewerkt via een router.
- MercatorShieldService gebruikt standaard poort 5022. Deze poort moet geopend zijn op alle eventuele firewalls, zowel op de server als op alle clientposten.
- Deze standaardpoort kan worden gewijzigd in het bestand MercatorShieldService.ini, waarna de service opnieuw moet worden opgestart.
- In een multidossierconfiguratie krijgen enkel dossiers met een eigen licentie een certificaat (dossiers met vermelding in dossierlijst). Voor de andere dossiers geldt automatisch het certificaat van de "fiduciaire"-licentie (de licentie met de optie DOSSIERS=…).
- MercatorShieldService houdt rekening met een hardwareafdruk van de omgeving waarin de dienst draait. Hij kan dus niet worden verplaatst naar een andere werkpost, anders zouden alle bestaande certificaten ongeldig worden.
- Er mag geen certificaat worden opgesteld als het SQL-dossier nog niet werd gemigreerd naar de SQL-databank. De verandering van databanktype maakt het certificaat immers ongeldig.
- U moet dus in geen geval een certificaat aanvragen bij een tijdelijke installatie.
- Zorg ervoor dat de hoofddirectory en de DATA-directory die door de verschillende Mercator-versies worden gebruikt, als dusdanig kunnen worden herkend door de MercatorShield-server. Naar aanleiding hiervan vestigen wij uw aandacht op het feit dat de services de via een SUBST gecreëerde schijven niet herkennen (zie de opmerking verderop over de omzetting van directories).
- Als het certificaat een geldigheidsdatum vermeldt, is het niet mogelijk om in Mercator verrichtingen uit te voeren waarbij een datum wordt gebruikt die na deze geldigheidsdatum komt.
- Na configuratie van het hele systeem raden wij aan om rechts te klikken op het schildpictogram in het Mercator-lint om de geldigheid van de licentie te testen. Als het systeem "OK! " weergeeft, is de installatie correct uitgevoerd.
- De MercatorShield-server wordt vermeld in Tools / Opties / Overige.
Omzetting van directories (alleen Windows)
In enkele weinig voorkomende situaties kan het nodig zijn om de directories die door MercatorShieldService worden gelezen, om te zetten. Dat is mogelijk door de volgende regel of de twee volgende regels toe te voegen aan MercatorShieldService.ini.
- Changemaindir voor de hoofddirectory van Mercator,
- Changerepdata voor de gegevensdirectory van Mercator.
Elk van deze regels moet een formule bevatten in het volgende formaat:
Path of gedeeltelijk path dat te wijzigen is = Patch of gedeeltelijk path ter vervanging
Het is mogelijk om meerdere vervangregels te vermelden. Deze moeten van elkaar gescheiden worden door een ;.
De wijzigingen worden achtereenvolgens uitgevoerd in de volgorde waarin ze in de formule voorkomen.
Voorbeelden
changemaindir = m:\ = C:\DriveM\ ; n:\ = C:\DriveN\
changerepdata = m:\ = C:\DriveM\
Toepassing (maakt opeenvolgende omzettingen mogelijk)
PC3 is de server waarop MercatorShield geïnstalleerd is (in de directory \mercator\).
PC2 is de server waarop Mercator geïnstalleerd is (met een mapping H:\ naar PC3).
PC1 is een gebruikerspost van Mercator (met een mapping F:\ naar PC2 en zonder mapping naar PC3).
changemaindir = F:\=H:\; H:\=PC3:\mercator\
U moet dus overschakelen van PC1 naar PC2 (via F:\) en vervolgens doorgaan naar PC3 (via H:\).
Alleen voor installaties op basis van het klassieke .NET Framework:
Is het noodzakelijk dat MercatorShieldGui werkt in alle sessies in een Terminal Server-configuratie?
Zoals eerder al vermeld, is MercatorShieldGui geen service (MercatorShieldService is de service).
U hebt MercatorShieldGui dus helemaal niet nodig, deze component dient enkel om certificaten aan te vragen of om de staat van de service meteen te bekijken.
Om te vermijden dat deze toepassing automatisch zou opstarten wanneer u zich aanmeldt bij Mercator, moet u de registersleutel HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MercatorShieldGui verwijderen.
U kunt MercatorShieldGui.exe op eender welk ogenblik gericht uitvoeren om de functionaliteiten ervan te gebruiken; u vindt dit programma standaard in C:\Program Files\MercatorShield.
U kunt MercatorShieldGui ook op elk moment afsluiten door rechts te klikken op het respectieve pictogram en "Sluiten" te selecteren.