Security server v6 installation requirements

CSC Security server v6 installation requirements Security server version 6.4-0-201505291153 Pekka Muhonen 8/12/2015

Date Version Description 18.12.2014 0.1 Initial version 10.02.2015 0.2 Major changes 19.02.2015 0.3 Fixes 04.03.2015 0.4 Tarkennus lp:n nimeämisestä 12.8.2015 0.5 Versiomuutos -> 6.4 27.8.2015 0.6 Lautausoitteen muutos Contents 1. Purpose of this document... 3 2. Software version information... 3 3. Server hardware requirements... 3 4. Networking requirements... 3 5. Information you should have available before starting installation... 4 6. Other installation information... 6 7. All other connections should be blocked... 6

1. Purpose of this document This document lists technical requirements for X-road v6 Security Server (liityntäpalvelin) 2. Software version information - Security server version: Security server version o FI-DEV environment: 6.4-0-201505291153 - OS version: Ubuntu 14.04 LTS Server install 3. Server requirements - Physical or virtual server - 2 cores - 2-4 GB memory (in production 4GB) - 40GB hard disk (in production, more is probably needed ) - 1 network interface - one foot configuration preferred - Additional network interface for BU if needed - NTP configured 4. Networking requirements 4.1. Inbound ports From your own internal networks - management network IPs: TCP 22, 4000 - Information systems (adapter server, web server) connections: TCP 80,443 From Internet - Communication from Central Servers security server (86.50.27.68): TCP 5500, 5577 - communication from other allowed security servers: TCP 5500, 5577 4.2. Outbound ports (in case outbound ports are blocked) - Global Config fetch from Central Server: 86.50.27.139: TCP 80, 4001 - communication to Central Server s security server 86.50.27.68: TCP 5500, 5577 - communication to other allowed security servers: TCP 5500, 5577 - CA service: 193.166.25.16, 86.50.28.71: TCP 80, 443 - TSA service: 213.35.160.21, 86.50.28.69: TCP 80, 443 - X-road software download: 193.166.3.3: TCP 80

- Other software download: ppa.launchpad.net, keyserver.ubuntu.com: TCP: 80 - communication to other allowed security servers: TCP 5500, 5577 - DNS servers: TCP 53 - NTP servers: UDP 123 - Information system (adapter server, web server) connection: TCP 80,443 4.3. How to check if particular port is open/closed to the target host In console of your Security server give a command telnet target host port, for example telnet www.csc.fi 80 If you get Connected to port in question is open, if you only see trying or unable to connect, that port is not open to the target host Keep in mind that your own network may have restrictions for outbound traffic 5. Information you should have available before starting installation (in Finnish) Alla olevat tiedot täytyy tallentaa oman organisaatiosi tietoturvakäytäntöjä noudattaen Käytä liityntäpalvelimen nimen host-osassa omistavan organisaation nimeä tai lyhennettä, esim. vrklp01.csc.fi tai csclp01.csc.fi - Palvelimen käyttöjärjestelmän pääkäyttäjän (root -tason tunnus) tiedot Käyttäjätunnus Salasana - Palvelimen Palveluväylä-hallintakäyttäjä (käyttäjä, jolla on oikeudet muuttaa palvelimen Palveluväyläasetuksia www-käyttöliittymässä) Käyttäjätunnus Salasana - Palveluväylään rekisteröity, palvelimen omistajan Member name: - Saat tämän Palveluväylän ylläpidolta pyydettyäsi organisaatiosi liittämistä Palveluväylään - Palvelimen omistajan (Y-tunnus) Member code: - Palvelimen nimi: esim. pv6tvrklp01 - Palvelimen FQDN: esim. pv6tvrklp01.csc.fi - Palvelimella on oltava nimi julkisessa nimipalvelussa - Server code: esim. pv6tvrklp01 (sama kuin palvelimen FQDN:n host-osuus) - Server PIN (päättämäsi 8 merkkiä pitkä numero): - Säilytä varmassa tallessa niin että itsekin löydät sen - Palvelimen Sign-sertifikaatissa käytettävä distinguished name

- C=FI-DEV, O=GOV, CN= - CN on organisaation Y-tunnus - Auth-sertifikaatin distinguished name: - C=FIDEV, CN= - CN on asennettavan palvelimen nimi, (=server code), esim. pv6tvrklp01 - Mikäli asennusympäristössä käytetään yksityisiä IP-osoitteita sekä osoitteenmuutosta (NAT) - Palvelimen yksityinen (IPv4) IP: - osoitteen on oltava kiinteä - mikäli käytetään DHCP:tä, on palvelimen saatava aina sama osoite - Palvelimen julkinen (IPv4) IP:

- Palvelimen yksityinen-ip on syytä laittaa /etc/hosts -tiedostoon, alla esimerkkipalvelimen hosts-tiedoston 2 ensimmäistä riviä 127.0.0.1 localhost 10.10.10.11 pv6tvrklp01 pv6tvrklp01.csc.fi - - Mikäli käytössä on vain julkisia IP-osoitteita - Palvelimen julkinen (IPv4) IP: - Osoitteen on oltava kiinteä 6. Other installation information Other installation manuals will be available in http://www.palveluväylä.fi/... Note! Security server should be protected from all unneeded network access. In other words: security server should be accessible only from other systems like - other security servers (and only from those you are directly granting access) - adapter servers connected to that particular security server - Information systems linked - management systems - Certificate authority, CA - Time stamp authority, TSA - All other connections should be blocked