CSC Liityntäpalvelimen liittäminen FI ympäristöön Liityntäpalvelimen versio 6.7.7 Pmuhonen 2/17/2016
Date Version Description 29.9.2015 0.1 Initial version 30.9.2015 0.2 Korjauksia 19.1.2016 0.3 Sertifikaattiohje uusittu 20.1.2016 0.4 PIN-koodin vaatimukset lisätty 17.2.2016 0.5 Tehty tuotantoon liittyvät muutokset Sisällys 1. Palvelimen liittäminen palveluväylään... 3 1.1 Palvelimen perusasetusten määrittely... 3 1.2. Avainten allekirjoituspyyntöjen luominen... 8 1.3. Allekirjoitettujen sertifikaattien importointi... 15
1. Palvelimen liittäminen palveluväylään Palveluväyläohjelmistojen asennuksen jälkeen liityntäpalvelin on vielä liitettävä palveluväyläinstanssin jäseneksi, testiympäristössä instanssi on FI. Tämä ohje käy läpi liittämisen eri vaiheet. 1.1 Palvelimen perusasetusten määrittely Ota selaimella yhteyttä hallintakäyttöliittymään, joka tässä tapauksessa on siis https://rhel7pvtest.csc.fi:4000 Hyväksy palvelimen sertifikaatti Antamalla linkin http://rhel7pvtest.csc.fi:4000, voit tarkastaa, että nginx toimii ja se vain odottelee taustapalveluiden (jetty) käynnistymistä. Mikäli näin käy, odottele vielä tovi
Palveluiden käynnistyttyä kirjaudu sisään antamillasi tunnuksella ja salasanalla Importoi Palveluväyläylläpidolta saamasi ns. konfiguraatioankkuri hakemalla se käyttöliittymään ja valitsemalla Import
Hyväksy ankkurin tuominen järjestelmään, valitse Confirm Täytä tiedot alla olevan mukaisesti ja valitse Submit: - Member Code: oman organisaatiosi Y-tunnus - Member Name: oman organisaatiosi nimi (järjestelmän pitäisi täydentää se automaattisesti) - jos automaattinen täydennys ei toimi, tarkasta että palvelimesi pystyy ottamaan yhteyttä keskuspalvelimille portissa TCP/80, yleensä syynä virheeseen on se, että palvelimeltasi ei ole sallittu ulospäin tehtävää yhteydenottoa keskuspalvelimelle - Security Server Code: palvelimen host-nimi - PIN: käyttäjän päättämä koodi, jonka pituus on vähintään 10. PIN-koodissa pitää olla merkkejä vähintään kolmesta luokasta: pienet kirjaimet, isot kirjaimet, numerot, erikoismerkit. PIN koodi täytyy säilyttää turvallisessa paikassa
Lopputilanne, mikäli asiat sujuivat oletetusti, valitse OK Onnistuneen asennuksen jälkeinen käyttöliittymänäkymä Huom! Kuvat on kaapattu FI-sandbox instanssissa tapahtuneesta asennuksesta, FI instanssissa (tuotantojärjestelmä) instanssinimi on FI
Valitse System Parameters, valitse Timestamping Services, valitse ADD Valitse ehdotettu, valitse OK
Tilanne onnistuneen TSA-asetusmuutoksen jälkeen. Tässä asennusesimerkissä on käytetty kehitysjärjestelmän aikaleimapalvelua, FI-ympäristössä aikaleimapalvelun tuottaa VRK. 1.2. Avainten allekirjoituspyyntöjen luominen Valitse Keys and Certificates, valitse ENTER PIN
Kirjoita rekisteröinnin yhteydessä aikana antamasi palvelimen PIN ja valitse OK Valitse GENERATE KEY
Jos Key-rivi ei ole aktiivinen, valitse se aktiiviseksi ja jatka valitsemalla GENERATE CERTIFICATE REQUEST
Ensimmäisenä luodaan allekirjoitusvarmennepyyntö (Sign certfificate request) Allekirjoitusvarmennepyynnössä tarvittavat kentät C=<country> (aina = FI) O=<organization> (= organisaation nimi tai ilman ääkkösiä) CN=<memberCode> (= organisaation Y-tunnus) serialnumber=<instanceidentifier/servercode/memberclass/> Täytä tiedot seuraavasti - Usage: Sign (alasvetovalikko) - Client: oletusarvo on oikein - Distinguished Name (tässä tapauksessa): - Valitse OK C=FI, O=Vaestorekisterikeskus, CN=0245437-2, serialnumber=fi/rhel7pvtest/gov/ Huom! Alla olevassa kuvassa Distinguished Name on muodostettu FI-sandbox ympäristössä, lisäksi se on muodostettu vanhan sertifikaattiformaatin mukaisesti. Näistäkin huolimatta täytä Distinguished Name kenttä ylläolevan esimerkin mukaisilla tiedoilla muuttaen niitä vastaamaan oman organisaatiosi tietoja.
Tallenna sertifikaattipyyntö, se lähetetään palveluväylän ylläpidon välityksellä osoitteella palveluvayla@palveluvayla.fi) CA:lle allekirjoittamista varten Valitse Token: softtoken-0, jatka valitsemalla GENERATE KEY
Valitse luomasi?-merkkiin päättyä uusi avainrivi ja jatka valitsemalla GENERATE CERTIFICATE REQUEST
Seuraavaksi luodaan autentikointivarmennepyyntö (Auth certificate request) Autentikointivarmennepyynnössä tarvittavat kentät C=<country> (aina = FI) O=<organization> (= organisaation nimi ilman ääkkösiä) CN=<commonName> (= palvelimen FQDN) serialnumber=<instanceidentifier/servercode/memberclass/> Täytä tiedot seuraavasti - Usage: Auth - Distinguished Name (tässä tapauksessa): C=FI, O=Vaestorekisterikeskus, CN=rhel7pvtest.csc.fi, serialnumber=fi/rhel7pvtest/gov/ Huom! Alla olevassa kuvassa Distinguished Name on muodostettu FI-sandbox ympäristössä, lisäksi se on muodostettu vanhan sertifikaattiformaatin mukaisesti. Näistäkin huolimetta täytä Distinguished Name kenttä ylläolevan esimerkin mukaisilla tiedoilla muuttaen niitä vastaamaan oman organisaatiosi tietoja. Tallenna sertifikaattipyyntö, se lähetetään palveluväylän ylläpidon välityksellä osoitteella palveluvayla@palveluvayla.fi) CA:lle allekirjoittamista varten
Lähetä sertifikaattipyynnöt Palveluväylän ylläpidolle, joka allekirjoituttaa ne CA:lla ja palauttaa allekirjoitetut avaimet importointia varten. 1.3. Allekirjoitettujen sertifikaattien importointi Allekirjoitetut sertifikaatit importoidaan palvelimelle seuraavasti. Valitse Keys and Certificates, valitse Request auth-päätteisen Key:n alta, jatka valitsemalla IMPORT CERTIFICATE
Hae saamasi *auth*.pem -tiedosto (tiedoston nimi ei siis ole alla olevan kaltainen), valitse OK Tilanne importoinnin jälkeen Valitse sign request ja klikkaa IMPORT CERTIFICATE
Hae *sign*.pem-tiedosto (tiedoston nimi ei siis ole alla olevan kaltainen), valitse OK
Importoinnin jälkeinen tilanne Valitse auth-keyn alla oleva sertifikaatti ja valitse ACTIVATE
Valitse REGISTER Anna palvelimen FQDN-nimi, valitse OK
Tässä vaiheessa näkymän pitäisi näyttää alla olevan kaltaiselta Kun Palveluväylän ylläpito on rekisteröinyt palvelimesi, muuttuu näkymä seuraavaksi: Liityntäpalvelimen liittäminen palveluväylään on nyt suoritettu