Suomi.fi-palveluväylä - Liityntäpalvelimen asentaminen kehitysympäristöön liityttäessä Yksilöintitunnus JPVT21 Versionro Mitä tehty Pvm / henkilö 0.1-0.6 Dokumentin luominen 27.8.15 / PM 1.0 Dokumentin muokkaus julkaistavaksi 11.9.15 / NP, AU 1. Johdanto 1.1 Liityntäpalvelimen asentaminen 1.2 Käsitteet 1.3 Yleistä 2. Ennen ohjelmistojen asennusta 3. Palvelimen asennuksessa käytetyt tiedot 3. Ohjelmistojen asennus 4. Palvelimen liittäminen Palveluun 4.1 Palvelimen perusasetusten muokkaaminen 4.2 Avainten allekirjoituspyyntöjen luominen 4.3 Allekirjoitettujen sertifikaattien tuonti 1. Johdanto 1.1 Liityntäpalvelimen asentaminen Tässä dokumentissa kuvataan liityntäpalvelimen asentaminen Suomi.fi-palveluväylään kehitysympäristöön liityttäessä. Liityntäpalvelimen versio 6.4-0-201505291153. 1.2 Käsitteet Asiakas on Palveluun liittyvä organisaatio Liityntäpalvelin (en = Security Server) on X-Road-ratkaisun keskeinen komponentti, jonka kautta tietolähteiden ja tietojärjestelmien liittäminen palveluväylään tapahtuu. Palvelu on Suomi.fi-palveluväylän kehitysympäristö TSA (Time Stamping Authority) eli Aikaleimapalvelu on X-Road-ratkaisusta erillinen luotetun tahon ylläpitämä komponentti, joka tarjoaa varmennetun aikaleimapalvelun palveluväylän kautta lähetettyjen sanomien aikaleimaamiseen. X-Road on Virossa kehitetty ja käytössä oleva ohjelmisto, joka toimii osana kansallisen palveluväylän teknistä ydintä. 1.3 Yleistä Lisätietoa kehitysjärjestelmästä FI-DEV Käytetyn X-Road ympäristön (instance) nimi: FI-DEV Member code: tarkennuksia
Käytettävä Y-tunnuksen kirjaamistapa: ilmoitettu Y-tunnus kirjataan Member codeksi ilman FI-etuliitettä, eli muodossa 0920632-0 Yksityishenkilöiden kohdalla käytetään Y-tunnuksen sijaan Member codena juoksevaa numerointia 0000001-0, 0000002-0 jne. Yksityishenkilön liittyessä liityntäilmoituksen Y-tunnuksen voi jättää tyhjäksi, palveluväylän ylläpito ilmoittaa käytetyn Member coden Yksityishenkilön Member name on merkkijono, jossa etunimi ja sukunimi on kirjoitettu yhteen, esim. MattiMeikäläinen Liittyvien jäsenten luokittelu, Member Classes GOV: valtionhallinnon laitokset COM: kaupalliset toimijat PRI: yksityishenkilöt Liityntäpalvelimen DNS-host-nimessä (käytä aina pieniä kirjaimia) täytyy olla mukana organisaation nimi tai virallinen lyhenne, esim. CSC:n ollessa kyseessä csclp01.csc.fi liityntäpalvelimen Server code on siis tässä tapauksessa: csclp01 Ilmoitettujen yhteyshenkilöiden rooli Järjestelmään tehtävät muutospyynnöt, esim. alijärjestelmien lisääminen, palomuurien porttiavaukset ym. on tehtävä liittymispyynnössä ilmoitettujen yhteyshenkilöiden välityksellä. Mikäli muutosten hallinta halutaan siirtää kolmannelle osapuolelle tai jo siirrettyyn muutosten hallintaan halutaan tehdä muutoksia, on vastaavan yhteyshenkilön ilmoitettava muutoksesta Palvelun ylläpidolle osoitteeseen palveluvayla@palveluvayla.fi 2. Ennen ohjelmistojen asennusta Ennen asennusta seuraavien tietojen olisi hyvä olla saatavilla, suluissa olevat ovat tässä asennuksessa käytettyjä arvoja X-Road ympäristö (instance): (FI-DEV) Palvelimen omistajan on oltava liitetty jäseneksi em. X-Road-ympäristöön (instance) seuraavin tiedoin Palvelimen omistajan Member class: (GOV) Palvelimen omistajan Member name (VRK) Palvelimen omistajan (Y-tunnus) Member code: (0245437-2) Palvelimen nimi: (pv6tvrklp01) Käytä liityntäpalvelimen nimen host-osassa omistavan organisaation nimeä tai lyhennettä, esim. vrklp01.csc.fi tai csclp01.csc.fi Palvelimen FQDN: (pv6tvrklp01.csc.fi) Server code: (pv6tvrklp01) Server PIN: (8 merkkiä (suositus) pitkä numerosarja) Palvelimen Sign-sertifikaatissa käytettävä Distinguished name (C=FI-DEV, O=GOV, CN=0245437-2), CN on organisaation Y-tunnus Auth-sertifikaatin distinguished name: (C=FI-DEV, CN= pv6tvrklp01), CN on asennettavan palvelimen nimi = server code Mikäli käytössä on NAT Palvelimen yksityinen IP: (10.10.20.29) IP:n on oltava muuttumaton Mikäli käytetään DHCP:tä, on palvelimen saatava aina sama yksityinen IP-osoite Palvelimen julkinen IP: (193.166.24.159) Osoitteen on oltava muuttumaton Mikäli käytössä on vain julkisia IP-osoitteita Palvelimen julkinen IP: (193.166.24.159) Osoitteen on oltava muuttumaton HUOM! Järjestelmä on merkkikokoriippuvainen (case-sensitive), käytä palvelimen nimissä aina pieniä kirjaimia!
3. Palvelimen asennuksessa käytetyt tiedot Palvelinkäyttöjärjestelmän tiedot Palvelinkäyttöjärjestelmä: Ubuntu 14.04 LTS 64-bit, palvelinversio X-Road-ympäristön (instance) tiedot X-Road-ympäristö (instance): FI-DEV Palvelimen omistajan Member class: GOV Organisaatio- ja palvelinkohtaista käytettyä vaihtuvaa tietoa Palvelimen omistajan Member name: VRK Palvelimen omistajan (Y-tunnus) Member code: 0245437-2 Palvelimen nimi: pv6tvrklp01 Käytä liityntäpalvelimen nimen host-osassa omistavan organisaation nimeä tai lyhennettä, esim. vrklp01.csc.fi tai csclp01.csc.fi Palvelimen FQDN: pv6tvrklp01.csc.fi Server code: pv6tvrklp01 Server PIN: xxxxxxxx Palvelimen Sign-sertifikaatissa käytettävä distinguished name (C=FI-DEV, O=GOV, CN=0245437-2), CN on organisaation Y-tunnus, O -parametrin arvo vaihtelee seuraavasti: julkishallinnolla: GOV kaupallisilla toimijoilla: COM Auth-sertifikaatin distinguished name: (C=FI-DEV, CN=pv6tvrklp01), CN on asennettavan palvelimen nimi, (=server code) Asennusympäristössä käytetään yksityisiä IP-osoitteita sekä osoitteenmuutosta (NAT) Palvelimen yksityinen IP: 10.10.20.29 osoitteen on oltava muuttumaton mikäli käytetään DHCP:tä, on palvelimen saatava aina sama osoite Palvelimen julkinen IP: 193.166.24.159 Palvelimen yksityinen IP on syytä laittaa /etc/hosts -tiedostoon, alla tämän palvelimen hosts-tiedoston kaksi ensimmäistä riviä 127.0.0.1 localhost 10.10.20.29 pv6tvrklp01 pv6tvrklp01.csc.fi Mikäli palvelin keskustelee organisaation tietojärjestelmiin yksityisillä IP-osoitteilla, edellä mainitut osoitteet myös on syytä luetella /etc/hosts -tiedostossa Muuta asennukseen liittyvää Helpoin tapa tehdä asennus - ainakin yksittäiselle koneelle - on kopioida tämän dokumentin komennot asennettavaan palvelimeen suoraan palvelimelle avatussa ssh-ikkunassa. Toki komennot voi myös kirjoittaa, mutta kirjoitusvirheen mahdollisuus kasvaa huomattavasti. Palvelun ylläpito suosittelee - lämpimästi - komentojen kopioimista. Otathan kuitenkin huomioon, että jotkin asetukset ovat palvelinkohtaisia; kaikkea ei voi kopioida ilman muutoksia. Ubuntun näppäimistöasetusten muuttaminen tarvittaessa: sudo apt-get install console-common sudo dpkg-reconfigure console-data OpenStack ympäristössä tarvittava static hostname -asetus: sudo nano /etc/cloud/cloud.cfg preserve hostname: true
3. Ohjelmistojen asennus Käyttöjärjestelmän asennuksen jälkeen päivitä järjestelmä. sudo apt-get update sudo apt-get upgrade Lisää /etc/hosts tiedostoon palvelimen privaatti-ip ja nimet sudo nano /etc/hosts 10.10.20.29 pv6tvrklp01 pv6tvrklp01.csc.fi Lisää ympäristömuuttuja tiedostoon /etc/environment sudo nano /etc/environment LC_ALL=en_US.UTF-8 Lisää X-Road-hallintakäyttäjä (valitse palvelimen X-Road pääkäyttäjän nimi) sudo adduser grandmaster (komento pyytää salasanaa, jota ei saisi unohtaa ja jota ei myöskään saisi tallentaa post-it-lapulle näytön kulmaan) Lisää X-Road-asennuksien tarvitsemat ohjelmistopakettien säilytyspaikat (ohjelmistorepot) tiedostoon /etc/apt/sources.list.d/xroad.list: sudo nano /etc/apt/sources.list.d/xroad.list deb http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-current/packages trusty main deb http://ppa.launchpad.net/nginx/stable/ubuntu trusty main deb http://ppa.launchpad.net/openjdk-r/ppa/ubuntu trusty main Lisää X-Road repon allakirjoitusavaimet trusted keys-listaan (kukin komento annetaan omana rivinään) curl http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-current/packages/ xroad_repo.gpg sudo apt-key add - sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 00A6F0A3C300EE8C sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys EB9B1D8886F44E2A Alla kuvakaappaus onnistuneista avainten asennuksista Asenna X-Road- ohjelmistot
sudo apt-get update sudo apt-get install xroad-proxy Asennus jatkuu tekstimuotoisena, seuraavina kuvakaappaukset asennuksen kulusta: Anna pääkäyttäjän tunnus Kirjoita palvelimen FQDN Lisää domain-nimi
Täydennä FQDN Täydennä FQDN
X-Road-ohjelmistojen asennuksen lopputilanne ssh-ikkunassa Tämän jälkeen siirrytään www-pohjaiseen konfiguraatio-osuuteen. 4. Palvelimen liittäminen Palveluun Palvelimen hallinta-url on tässä asennuksessa https://pv6tvrklp01.csc.fi:4000. Käytämme tässä palvelimen suoraa IP-osoitetta, koska palvelin ei ole listattuna julkisessa nimipalvelussa, hallinta-url on siis https://193.166.24.15 9:4000 Huom! Palvelimen www-käyttöliittymä käynnistyy asennuksen / uudelleenkäynnistyksen jälkeen kohtuullisen hitaasti, joten muutaman minuutin viive on normaalia.
4.1 Palvelimen perusasetusten muokkaaminen Ota selaimella yhteyttä hallinta-urliin, tässä tapauksessa siis https://193.166.24.159:4000 Hyväksy palvelimen sertifikaatti. Jos teet tämän kirjautumisen heti palvelimen asennuksen jälkeen, käynnistysviive voi olla joskus pitkäkin. Antamalla linkin http://193.166.24.159:4000, voi tarkastaa, että nginx on hengissä ja se vain odottelee taustapalveluiden (jetty) käynnistymistä. Mikäli näin tapahtuu, odota vielä hetki. Palveluiden käynnistyttyä kirjaudu sisään antamillasi tunnuksella ja salasanalla.
Tuo (import) Palvelun ylläpidolta saamasi ns. konfiguraatioankkuri hakemalla se käyttöliittymään ja painamalla Import. Hyväksy ankkurin tuominen järjestelmään, klikkaa Confirm.
Täytä tiedot alla olevan mukaisesti ja paina SUBMIT : Member code: oman organisaatiosi Y-tunnus Member Name: oman organisaatiosi nimi (järjestelmän pitäisi täydentää se automaattisesti) Security Server code: palvelimen nimi PIN: käyttäjän palvelimen päättämä koodi, 8 numeroa. PIN-koodi tulee säilyttää turvallisessa paikassa Jos asiat menivät kuten piti, voit painaa OK. Onnistuneen asennuksen jälkeinen käyttöliittymänäkymä näyttää seuraavalta:
Valitse System Parameters, klikkaa Timestamping Services, klikkaa ADD Valitse ehdotettu (tässä vielä Viron TSA) ja klikkaa OK Tilanne onnistuneen TSA-asetusmuutoksen jälkeen:
4.2 Avainten allekirjoituspyyntöjen luominen Valitse Keys and Certificates, valitse ENTER PIN Kirjoita antamasi palvelimen PIN ja valitse OK
Valitse GENERATE KEY Jos Key-rivi ei ole aktiivinen, valitse se aktiiviseksi ja jatka valitsemalla GENARATE CERTIFICATE REQUEST. Täytä tiedot seuraavasti Usage: Sign (alasvetovalikko)
Client: tässä tapauksessa oletusarvo on oikein Distinguished Name: C=FI-DEV,O=GOV,CN=0245437-2 (tähän tulee organisaatiosi Y-tunnus) O -parametrin arvo vaihtelee seuraavasti julkishallinnolla: GOV kaupallisilla toimijoilla: COM Valitse OK Tallenna sertifikaattipyyntö, se lähetetään Palvelun CA:n ylläpidolle allekirjoittamista varten. Valitse Token: softtoken-0, jatka valitsemalla GENERATE KEY
Valitse luomasi?-merkkiin päättyä avainrivi ja jatka valitsemalla GENARATE CERTIFICATE REQUEST Täytä tiedot seuraavasti: Usage: Auth Distinguished Name: C=FI-DEV, CN= pv6tvrklp01 (tähän tulee palvelimesi nimi)
Tallenna sertifikaattipyyntö, se lähetetään Palvelun CA:n ylläpidolle allekirjoittamista varten. Lähetä sertifikaattipyynnöt Palvelun ylläpidolle, joka allekirjoituttaa ne CA:lla ja palauttaa allekirjoitetut avaimet (pem-tiedostot) tuotaviksi (import). 4.3 Allekirjoitettujen sertifikaattien tuonti Allekirjoitetut sertifikaatit tuodaan palvelimelle seuraavasti: Valitse Keys and Certificates, valitse Request auth-päätteisen Key:n alta, jatka valitsemalla IMPORT CERTIFICATE Hae.pem-tiedosto, joka on nimetty palvelimen nimen mukaisesti, valitse OK.
Klikkaa auth-keyn alla oleva sertifikaatti aktiiviseksi, valitse ACTIVATE. Valitse sign request ja klikkaa IMPORT CERTIFICATE. Hae.pem-tiedosto, joka on nimetty organisaation Y-tunnuksen nimen mukaisesti, valitse OK.
Valitse auth-keyn alla oleva sertifikaatti ja klikkaa REGISTER. Anna palvelimen julkinen IP-osoite tai FQDN-nimi, klikkaa OK. Tässä vaiheessa näkymän pitäisi näyttää alla olevan kaltaiselta:
Kun Palvelun ylläpito on rekisteröinyt palvelimesi, muuttuu näkymä seuraavaksi: Nyt palvelin on valmis ja sovellusten liittäminen palvelimeen voi alkaa.