Spuštění aplikace revize.kamsy.cz

Poslední kroky, aby aplikace běžela na webu pod HTTPS. Aplikace už běží na serveru a je otestovaná. Vaše část je teď malá: jedna změna DNS u Webglobe a předání čtyř klíčů. Zbytek (HTTPS certifikát, nasazení) dělá Petr na serveru.

Server: 167.233.22.168 Doména: revize.kamsy.cz

Pořadí: nejdřív se domluvte s Petrem, ať je server připravený; pak krok 1 (DNS), krok 2 (klíče) kdykoliv. Po změně DNS napište Petrovi.

ℹ️ Doména kamsy.cz je vedená u Webglobe — necháváme ji tam, aplikaci jen nasměrujeme na nový server. HTTPS certifikát si server vyřídí sám (Let's Encrypt, zdarma, automatické obnovení). Cloudflare se tu nepoužívá.

DNS u Webglobe nasměrovat `protokoly` na nový server

Doména teď míří na starý server (81.31.37.22). Přesměrujte subdoménu protokoly na nový (167.233.22.168). Ostatní záznamy nechte být — smlouvy.kamsy.cz, e-mail (MX) i hlavní web zůstávají beze změny.

Přihlaste se do Webglobe (administrace, kde spravujete doménu kamsy.cz) → správa DNS záznamů.
Najděte A záznam pro protokoly
- pokud existuje: upravte jeho IPv4 na 167.233.22.168
- pokud neexistuje: přidejte — Typ A, host protokoly, IP 167.233.22.168, TTL nízké (např. 300 s)
Uložte. (Je-li tam AAAA pro protokoly se starou IPv6, smažte ho.)

⚠️ Až poté, co vám Petr potvrdí, že je server připravený (otevřené porty + nachystaný web server). Server si totiž HTTPS certifikát vyžádá sám, ale až když na něj doména míří. Jakmile DNS přepnete, napište Petrovi.

Reálné přístupové klíče 4 hodnoty: Turnstile + Telegram (Fakturoid hotový)

Aplikace teď běží s testovacími klíči pro Turnstile a Telegram — fungují pro test, ale ostře potřebují vaše reálné hodnoty. Pošlete je Petrovi bezpečnou cestou (sdílený záznam v password manageru / Bitwarden Send / onetimesecret.com — ne běžným e-mailem ani v chatu), nebo je vygenerujte společně.

Které z těch hodnot jsou citlivé (chovejte se k nim jako k heslu): TURNSTILE_SECRET_KEY, TELEGRAM_BOT_TOKEN. Zbylé tajné nejsou — ale pošlete prosím vše jedním bezpečným kanálem, ať se to nemíchá.

2a. Fakturoid — ✅ hotovo, nic neděláte

Použili jsme stejné přístupy k Fakturoidu, které už máte ve službě „smlouvy" (stejný Fakturoid účet). Klíče jsou už nasazené na serveru a ověřené. Tenhle bod můžete přeskočit. Kochy z Fakturoidu jen čte — zápis je v aplikaci zablokovaný na úrovni kódu.

2b. Cloudflare Turnstile — ochrana přihlášení proti botům

Turnstile funguje nezávisle na tom, kde má doména DNS. Stačí bezplatný Cloudflare účet (doménu do něj přidávat nemusíte). dash.cloudflare.com → Turnstile → Add Site → hostname revize.kamsy.cz:

`TURNSTILE_SITE_KEY`	není tajné
`TURNSTILE_SECRET_KEY`	citlivé

2c. Telegram — upozornění při selhání zálohy (volitelné, doporučené)

Vytvořte bota přes @BotFather → dostanete TELEGRAM_BOT_TOKEN citlivé
TELEGRAM_CHAT_ID není tajné = kam má bot psát. Jak ho zjistit:
1. Napište svému novému botovi v Telegramu libovolnou zprávu (např. „ahoj").
2. V prohlížeči otevřete (vložte svůj token):
  https://api.telegram.org/bot<TOKEN>/getUpdates
3. V odpovědi najděte "chat":{"id": …} — to číslo je TELEGRAM_CHAT_ID (u skupin bývá záporné, to je v pořádku).
Nejde to? Nevadí — pošlete Petrovi token a chat-id dohledá s vámi.

Bez 2c zálohy běží dál, jen nepřijde upozornění, kdyby selhaly.

🔒 Po předání: jakmile vám Petr potvrdí, že klíče má a nainstaloval je, smažte sdílený záznam / odkaz, kterým jste je posílali. Žádný spěch — aplikace mezitím dál běží na testovacích klíčích, takže nic nespadne, dokud Petr ty reálné nevloží.

Co dělá Petr na serveru (mimo vaše účty)

Před krokem 1: otevře na serveru porty 80/443 a nachystá web server (Caddy) tak, aby si po nasměrování DNS sám vyžádal HTTPS certifikát od Let's Encrypt (zdarma, automatické obnovení).
Po kroku 1 (DNS): ověří, že certifikát naskočil a https://revize.kamsy.cz jede.
Po kroku 2 (klíče): vloží reálné klíče (Turnstile + Telegram) na server a restartuje aplikaci. Fakturoid je už nasazený.
Vytvoří reálné uživatelské účty KAMSY (vy si nastavíte heslo + 2FA při prvním přihlášení).

🔒 Jak si sami ověříte, že to běží

Otevřete v prohlížeči https://revize.kamsy.cz — má naskočit přihlašovací stránka a v adresním řádku zámeček (platné HTTPS), bez varování o certifikátu. To je signál, že DNS i certifikát dopadly. Přihlášení reálným účtem pak ověří krok 2.

Po těchto krocích je aplikace live ✅