CSC Liityntäpalvelimen asentaminen Liityntäpalvelimen versio 6.1-3-201502021259 Pmuhonen 2/12/2015
Date Version Description 12.02.2015 0.1 Initial version Sisällys 1. Ennen ohjelmistojen asennusta... 3 2. Palvelimen asennuksessa käytetyt tiedot... 3 3. Ohjelmistojen asennus... 5 4. Palvelimen liittäminen palveluväylään... 10 4.1 Palvelimen perusasetusten muokkaaminen... 10 4.2. Avainten allekirjoituspyyntöjen luominen... 15 4.3. Allekirjoitettujen sertifikaattien importointi... 21
Liityntäpalvelimen asentaminen 1. Ennen ohjelmistojen asennusta Ennen asennusta seuraavien tietojen olisi hyvä olla saatavilla, suluissa olevat ovat tässä asennuksessa käytettyjä arvoja - X-road instanssi: (FI-DEV) - Palvelimen omistajan on oltava liitetty jäseneksi em. X-road instanssiin seuraavin tiedoin Palvelimen omistajan Member class: (GOV) Palvelimen omistajan Member name (VRK) Palvelimen omistajan (Y-tunnus) Member code: (0245437-2) - Palvelimen nimi: (pv6tvrklp01) - Palvelimen FQDN: (pv6tvrklp01.csc.fi) - Server code: (pv6tvrklp01) - Server PIN: (8 merkkiä (suositus) pitkä numerosarja) - Palvelimen Sign-sertifikaatissa käytettävä distinguished name - (C=FI-DEV, O=GOV, CN=0245437-2) CN on organisaation Y-tunnus - Auth-sertifikaatin distinguished name: - (C=FIDEV, CN= pv6tvrklp01) CN on asennettavan palvelimen nimi, =server code - Mikäli käytössä on NAT - Palvelimen yksityinen IP: (10.10.20.29) IP:n on oltava muuttumaton mikäli käytetään DHCP:tä, on palvelimen saatava aina sama yksityinen IP-osoite - Palvelimen julkinen IP: (193.166.24.159) Osoitteen on oltava muuttumaton - Mikäli käytössä on vain julkisia IP-osoitteita - Palvelimen julkinen IP: (193.166.24.159) Osoitteen on oltava muuttumaton HUOM! Järjestelmä on Case-sensitive, käytä palvelimen nimissä aina pieniä kirjaimia! 2. Palvelimen asennuksessa käytetyt tiedot Palvelinkäyttöjärjestelmän tiedot - Palvelinkäyttöjärjestelmä: Ubuntu 14.04 LTS 64-bit, palvelinversio X-road-instanssin tiedot
- X-road instanssi: FI-DEV - Palvelimen omistajan Member class: GOV Organisaatio- ja palvelinkohtaista käytettyä vaihtuvaa tietoa - Palvelimen omistajan Member name: VRK - Palvelimen omistajan (Y-tunnus) Member code: 0245437-2 - Palvelimen nimi: pv6tvrklp01 - Palvelimen FQDN: pv6tvrklp01.csc.fi - Server code: pv6tvrklp01 - Server PIN: xxxxxxxx - Palvelimen Sign-sertifikaatissa käytettävä distinguished name - C=FI-DEV, O=GOV, CN=0245437-2 CN on organisaation Y-tunnus - Auth-sertifikaatin distinguished name: - C=FIDEV, CN= pv6tvrklp01 CN on asennettavan palvelimen nimi, (=server code) - asennusympäristössä käytetään yksityisiä IP-osoitteita sekä osoitteenmuutosta (NAT) - Palvelimen yksityinen IP: 10.10.20.29 osoitteen on oltava muuttumaton mikäli käytetään DHCP:tä, on palvelimen saatava aina sama osoite - Palvelimen julkinen IP: 193.166.24.159 - Palvelimen privaatti-ip on syytä laittaa /etc/hosts -tiedostoon, alla tämän palvelimen hoststiedoston 2 ensimmäistä riviä - 127.0.0.1 localhost - 10.10.20.29 pv6tvrklp01 pv6tvrklp01.csc.fi - - Mikäli palvelin keskustelee organisaation tietojärjestelmiin yksityisillä IP-osoitteilla, em. osoitteet myös on syytä luetella /etc/hosts tiedostossa Muuta asennukseen liittyvää Helpoin tapa tehdä asennus ainakin yksittäiselle koneelle - on kopioida tämän dokumentin komennot asennettavaan palvelimeen suoraan palvelimelle avatussa ssh-ikkunassa. Toki komennot voi myös kirjoittaa, mutta kirjoitusvireen mahdollisuus kasvaa huomattavasti. Palveluväylän ylläpito suosittelee lämpimästi - komentojen kopioimista. Otathan kuitenkin huomioon, että jotkin asetukset ovat palvelinkohtaisia, kaikkea ei voi kopioida ilman muutoksia Ubuntun näppäimistöasetusten muuttaminen tarvittaessa: sudo apt-get install console-common sudo dpkg-reconfigure console-data OpenStack ympäristössä tarvittava static hostname -asetus:
sudo nano /etc/cloud/cloud.cfg 3. Ohjelmistojen asennus preserve hostname: true Käyttöjärjestelmän asennuksen jälkeen päivitä järjestelmä sudo apt-get update sudo apt-get upgrade Lisää /etc/hosts tiedostoon palvelimen privaatti-ip ja nimet sudo nano /etc/hosts 10.10.20.29 pv6tvrklp01 pv6tvrklp01.csc.fi Lisää ympäristömuuttuja tiedostoon /etc/environment sudo nano /etc/environment LC_ALL=en_US.UTF-8 Lisää xroad-hallintakäyttäjä (valitse palvelimen X-road pääkäyttäjän nimi) sudo adduser grandmaster - (komento pyytää salasanaa, jota ei saisi unohtaa ja jota ei myöskään saisi tallentaa postit-lapulle näytön kulmaan :) Lisää Xroad-asennuksen tarvitsemat ohjelmistorepot tiedostoon /etc/apt/sources.list.d/xroad.list : sudo nano /etc/apt/sources.list.d/xroad.list deb http://x-road.eu/.test/xroad6/packages trusty main deb http://ppa.launchpad.net/nginx/stable/ubuntu trusty main deb http://ppa.launchpad.net/openjdk-r/ppa/ubuntu trusty main Lisää X-Road repon allakirjoitusavaimet trusted keys listaan (kukin komento annetaan omana rivinään) curl http://x-road.eu/.test/xroad6/xroad_repo.gpg sudo apt-key add - sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 00A6F0A3C300EE8C sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys EB9B1D8886F44E2A
Alla kuvakaappaus onnistuneista avainten asennuksista Asenna X-road- ohjelmistot sudo apt-get update sudo apt-get install xroad-proxy Asennus jatkuu tekstimuotoisena, seuraavina kuvakaappaukset asennuksen kulusta Anna pääkäyttäjän tunnus
Kirjoita palvelimen FQDN Lisää domain-nimi
Täydennä FQDN Täydennä FQDN
X-road-ohjelmistojne asennuksen lopputilanne ssh-ikkunassa Tämän jälkeen siirrytään www-pohjaiseen konfiguraatio-osuuteen
4. Palvelimen liittäminen palveluväylään Palvelimen Hallintaurl on tässä asennuksessa https://pv6tvrklp01.csc.fi:4000. Käytämme tässä palvelimen suoraa IP-osoitetta, koska palvelin ei ole listattuna julkisessa nimipalvelussa, hallintaurl onsiis https://193.166.24.159:4000 Huom! Palvelimen www-käyttöliittymä käynnistyy asennuksen/bootin jälkeen kohtuullisen hitaasti, joten muutaman minuutin viive on normaalia 4.1 Palvelimen perusasetusten muokkaaminen Ota selaimella yhteyttä hallintaurliin, tässä tapuksessa siis https://193.166.24.159:4000 Hyväksy palvelimen sertifikaatti, jos teet tämän kirjautumisen heti palvelimen asennuksen jälkeen, käynnistysviive voi olla joskus pitkäkin Antamalla linkin http://193.166.24.159:4000, voi tarkastaa, että nginx on hengissä ja se vain odottelee taustapalveluiden (jetty) käynnistymistä. Mikäli näin käy, odottele vielä tovi
Palveluiden käynnistyttyä kirjaudu sisään antamillasi tunnuksella ja salasanalla Importoi Palveluväyläylläpidolta saamasi ns. konfiguraatioankkuri hakemalla se käyttöliittymään ja painamalla Import
Hyväksy ankkurin tuominen järjestelmään, klikkaa Confirm Täytä tiedot alla olevan mukaisesti ja paina Submit: - Member code: oman organisaatiosi Y-tunnus - Member Name: oman organisaatiosi nimi (järjestelmän pitäisi täydentää se automaattisesti) - Security Server code: palvelimen nimi - PIN: käyttäjän palvelimen päättämä koodi, 8 numeroa. PIN koodi täytyy säilyttää turvallisessa paikassa
Jos asiat menivät kuin piti, voit painaa OK Onnistuneen setupin jälkeinen käyttöliittymänäkymä
Valitse System Parameters, klikkaa Timestamping Services, klikkaa ADD Valitse ehdotettu (tässä vielä Viron TSA) ja klikkaa OK
Tilanne onnistuneen TSA-asetusmuutoksen jälkeen 4.2. Avainten allekirjoituspyyntöjen luominen Valitse Keys and Certificates, valitse ENTER PIN
Kirjoita antamasi palvelimen PIN ja valitse OK Valitse GENERATE KEY
Jos Key-rivi ei ole aktiivinen, valitse se aktiiviseksi ja jatka valitsemalla GENARATE CERTIFICATE REQUEST Täytä tiedot seuraavasti - Usage: Sign (alasvetovalikko) - Client: tässä tapauksessa oletusarvo on oikein - Distinguished Name: C=FI-DEV,O=GOV,CN=0245437-2 (tähän tulee organisaatiosi Y-tunnus) - Valitse OK
Tallenna sertifikaattipyyntö, se lähetetään palveluväylän CA:n ylläpidolle allekirjoittamista varten Valitse Token: softtoken-0, jatka valitsemalla GENERATE KEY
Valitse luomasi?-merkkiin päättyä avainrivi ja jatka valitsemalla GENARATE CERTIFICATE REQUEST Täytä tiedot seuraavasti: - Usage: Auth - Distinguished Name: C=FI-DEV, CN= pv6tvrklp01 (tähän tulee palvelimesi nimi)
Tallenna sertifikaattipyyntö, se lähetetään palveluväylän CA:n ylläpidolle allekirjoittamista varten Lähetä sertifikaattipyynnöt Palveluväylän ylläpidolle, joka allekirjoituttaa ne CA:lla ja palauttaa allekirjoitetut avaimet (pem-tiedostot) importoitaviksi.
4.3. Allekirjoitettujen sertifikaattien importointi Allekirjoitetut sertifikaatit importoidaan palvelimelle seuraavasti. Valitse Keys and Certificates, valitse Request auth-päätteisen Key:n alta, jatka valitsemalla IMPORT CERTIFICATE Hae.pem-tiedosto, joka on nimetty palvelimen nimen mukaisesti, valitse OK
Klikkaa auth-keyn alla oleva sertifikaatti aktiiviseksi, valitse ACTIVATE Valitse sign request ja klikkaa IMPORT CERTIFICATE
Hae.pem-tiedosto, joka on nimetty organisaation Y-tunnuksen nimen mukaisesti, valitse OK Valitse auth-keyn alla oleva sertifikaatti ja klikkaa REGISTER
Anna palvelimen julkinen IP-osoite tai FQDN-nimi, klikkaa OK Tässä vaiheessa näkymän pitäisi näyttää alla olevan kaltaiselta
Kun Palveluväylän ylläpito on rekisteröinyt palvelimesi, muuttuu näkymä seuraavaksi: Nyt palvelin on valmis ja sovellusten liittäminen palvelimeen voi alkaa