Настройка платежных систем
Настройка платежных систем во многом зависит от того как предоставляет связь со своими терминалами сам оператор платежной системы. Как правило если используются терминалы городских платежей, то используется защищенное SSL-соединение и вам нужно включить и настроить для связи с терминалами SSL WEB-сервер как показано ниже. Если для проведения платежей используются веб-сайты в интернете, то как часто в таких случаях нужно настраивать именно http сервер на Carbon Billing. Предварительно обязательно уточните у вашего оператора платежных систем по какому именно протоколу связи он предоставляет подключение к своим терминалам оплаты перед настройкой Carbon Billing.
SSL WEB-сервер для платежей имеет несколько параметров, значения которых описаны ниже.
Включить SSL WEB-сервер для платежей - Если оператор платежной системы осуществляет работу с терминалами оплаты по SSL, то нужно включить именно SSL WEB-сервер.
IP-адрес для подключения по HTTPS - адрес для подключения терминалов или сайтов платежных систем для проведения платежа клиенту в БД Carbon Billing.
Порт для подключения по HTTPS - по умолчанию используется порт 1443. Если есть необходимость изменить этот порт, то по возможности указывайте порты выше 1024.
Разрешенные адреса клиентов для SSL WEB-сервера - если не указано, то доступ будет открыт всем.
Домен для сертификата серверного SSL - укажите здесь ваш публичный домен или отдельно зарегистрированный для сервера платежей на Carbon Billing домен. Опция не обязательна и позволяет обратится к SSL- WEB-серверу по доменному имени вместо IP-адреса.
Требовать и проверять клиентский сертификат - Обязательно отметить если настраиваете веб-интерфейс кассира. Если настраиваете работу с платежной системой, то уточните необходимость проверки клиентского сертификата у оператора платежной системы.
Создать клиентский сертификат - Будет создан клиентский сертификат, который нужно будет предоставить оператору платежной системы. Сертификат с суффиксом .pfx будет доступен на сервере в каталоге /var/lib/usrcert и будет иметь имя файла равное CN-имени, указанном вами при создании сертификата. Скачать файл сертификата с сервера можно программой winscp.
В случае настройки HTTP WEB-сервера для платежей.
Включить HTTP-сервер для платежей - Если оператор платежной системы осуществляет работу с терминалами оплаты по открытому http-соединению, то включите именно HTTP-сервер.
IP-адрес для подключения по HTTP - Адрес веб-сервера для подключения к нему терминалов или серверов платежей.
Порт для подключения по HTTP - по умолчанию используется порт 1444. Если есть необходимость изменить этот порт, то по возможности указывайте порты выше 1024.
Разрешенные адреса клиентов для HTTP-сервера - если не указано, то доступ будет открыт всем.
Настройка синхронизации с платежными системами ОСМП подробно описана в статье "Синхронизация с платёжными системами".
Если вы пользуетесь услугами операторов платежных систем, указанных ниже на этой вкладке, то включите соответствующие им пункты меню. В будущем эти флажки будут устанавливать специфичные настройки системы, необходимые для каждого из используемых вами операторов. Если ваш оператор не входит в число перечисленных ниже, то не включайте ни один из них.
При настройке системы платежей Robokassa не забудьте указать секретный пароль, необходимый для организации соединения между терминалом и сервером.
Критичность параметра subjectAltName ssl-сертификатов
При генерации ssl-сертификатов для сервера, например для https-сервера платежей, используется расширение subjectAltName. Исторически по дефолту это расширение в сертификате помечается как критическое, что может привести к проблемам при интеграции биллинга с некоторыми платежными системами.
При генерации клиентских сертификатов subjectAltName не задается.
Критичность параметра отменяется опцией в локальной консоли "Конфигурирование сервера - Дополнительные настройки - Настройки для разработчиков - Не делать SSL параметр AltName критичным".
После включения этой опции все вновь созданные серверные сертификаты будут генерироваться с некритичным расширением subjectAltName. Старый сертификат для https-сервера платежей придется перегенерировать вручную следующим образом:
1. Перемонтируем в rw раздел, на котором лежит конфиг (для этого должен быть включен режим удаленного помощника):
mount -o rw,remount /mnt/bk_disc/
2. Открываем редактором файл /etc/ics/ics.conf и комментируем строку с MHTTPD_F_CERT .
3. Перезапускаем https-сервер платежей:
/etc/init.d/mhttpd_F restart
Смена сертификата у https-сервера платежей никак не затрагивает сгенерированные ранее клиентские сертификаты для кассиров или платежных систем.
Настройка приема платежей по http без шифрования
Не рекомендуется использовать платежи без шифрования, для однопроходных систем.
При необходимости производить прием платежей от платежных систем по незащищенному протоколу http необходимо произвести следующие настройки:
1) Включить http сервер для приема платежей.
2) Указать IP адрес, на котором должен работать прием запросов. Этот адрес должен принадлежать одному из интерфейсов Carbon Billing:
Затем указать порт, на котором будет принимать запросы запросы сервер.
3) Сделать список IP адресов, с которых будут приниматься запросы. Это очень важный шаг поскольку http не подразумевает авторизацию платежной системы через сертификат:
По умолчанию с HTTP могут работать протоколы платежной системы Робокасса и Уникасса. Если необходимо, к примеру, принимать запросы на http по протоколу ОСМП то необходимо сделать следующее:
1) Загрузить сервер в режиме уд. помощника и подключиться по ssh под пользователем root.
2) Выполнить следующие команды:
mount -o rw,remount /mnt/ro_disc chattr -i -R /var/www/fiscal/htdocs/http/ cp /var/www/fiscal/htdocs/osmp.php /var/www/fiscal/htdocs/http/osmp.php chown mhttpd_F:mhttpd_F /var/www/fiscal/htdocs/http/osmp.php
Нужно отредактировать строку в скрипте:
mcedit /var/www/fiscal/htdocs/http/osmp.php
строку:
include '../include/class_page.php';
заменяем на:
include '../../include/class_page.php';
Сохраняем файл и выходим из редактора.
После мягкой перезагрузки модуль приема платежей по протокол ОСМП будет доступен по адресу http://1.1.1.1:1444/osmp.php с IP-адреса 2.2.2.2.
Доступ при отрицательном балансе
Может быть реализован двумя способами:
- Через редактор правил и сетей тарифа;
- Через [файл доп.настроек ics_tune.sh]