CSC Liityntäpalvelimen asentaminen Liityntäpalvelimen versio 6.4-0-201505291153 Pmuhonen 8/27/2015
Date Version Description 12.02.2015 0.1 Initial version 04.03.2015 0.2 Korjauksia 11.03.2015 0.3 Korjauksia kirjoitusvirheisiin FIDEV > FI-DEV 23.3.2015 0.4 Lisätty kappale: Yleistä 12.8.2015 0.5 muutettu polut ja versio versioon 6.4 27.8.2015 0.6 Muutettu apt-polut käyttämään currentlinkkiä Sisällys 1. Yleistä... 3 2. Ennen ohjelmistojen asennusta... 3 3. Palvelimen asennuksessa käytetyt tiedot... 4 4. Ohjelmistojen asennus... 5 5. Palvelimen liittäminen palveluväylään... 11 5.1 Palvelimen perusasetusten muokkaaminen... 11 5.2. Avainten allekirjoituspyyntöjen luominen... 16 5.3. Allekirjoitettujen sertifikaattien importointi... 22
Liityntäpalvelimen asentaminen 1. Yleistä Lisätietoa kehitysjärjestelmästä FI-DEV - käytetyn X-road instanssin nimi: FI-DEV - Member code: tarkennuksia käytettävä Y-tunnuksen kirjaamistapa: ilmoitettu Y-tunnus kirjataan Member codeksi ilman FI-etuliitettä, eli muodossa 0920632-0 yksityishenkilöiden kohdalla käytämme Y-tunnuksen sijaan Member codena juoksevaa numerointia 0000001-0, 0000002-0 jne. yksityishenkilön liittyessä liityntäilmoituksen Y-tunnuksen voi jättää tyhjäksi, palveluväylän ylläpito ilmoittaa käytetyn Member coden yksityishenkilön Member name on merkkijono, jossa etunimi ja sukunimi on kirjoitettu yhteen, esim. MattiMeikäläinen - liittyvien jäsenten luokittelu, Member Classes GOV: valtionhallinnon laitokset COM: kaupalliset toimijat PRI: yksityishenkilöt - liityntäpalvelimen DNS-hostnimessä (käytä aina pieniä kirjaimia) täytyy olla mukana organisaation nimi tai virallinen lyhenne, esim. CSC:n ollessa kyseessä csclp01.csc.fi liityntäpalvelimen Server code on siis tässä tapauksessa: csclp01 - ilmoitettujen yhteyshenkilöiden rooli järjestelmään tehtävät muutospyynnöt, esim. alijärjestelmien lisääminen, palomuurien porttiavaukset ym. on tehtävä liittymispyynnössä ilmoitettujen yhteyshenkilöiden välityksellä. Mikäli muutosten hallinta halutaan siirtää kolmannelle osapuolelle tai jo siirrettyyn muutosten hallintaan halutaan tehdä muutoksia, on vastaavan yhteyshenkilön ilmoitettava muutoksesta palveluväylän ylläpidolle osoitteeseen palveluvayla@palveluvayla.fi 2. Ennen ohjelmistojen asennusta Ennen asennusta seuraavien tietojen olisi hyvä olla saatavilla, suluissa olevat ovat tässä asennuksessa käytettyjä arvoja - X-road instanssi: (FI-DEV) - Palvelimen omistajan on oltava liitetty jäseneksi em. X-road instanssiin seuraavin tiedoin Palvelimen omistajan Member class: (GOV)
Palvelimen omistajan Member name (VRK) Palvelimen omistajan (Y-tunnus) Member code: (0245437-2) - Palvelimen nimi: (pv6tvrklp01) Käytä liityntäpalvelimen nimen host-osassa omistavan organisaation nimeä tai lyhennettä, esim. vrklp01.csc.fi tai csclp01.csc.fi - Palvelimen FQDN: (pv6tvrklp01.csc.fi) - Server code: (pv6tvrklp01) - Server PIN: (8 merkkiä (suositus) pitkä numerosarja) - Palvelimen Sign-sertifikaatissa käytettävä distinguished name - (C=FI-DEV, O=GOV, CN=0245437-2) CN on organisaation Y-tunnus - Auth-sertifikaatin distinguished name: - (C=FI-DEV, CN= pv6tvrklp01) CN on asennettavan palvelimen nimi, =server code - Mikäli käytössä on NAT - Palvelimen yksityinen IP: (10.10.20.29) IP:n on oltava muuttumaton mikäli käytetään DHCP:tä, on palvelimen saatava aina sama yksityinen IP-osoite - Palvelimen julkinen IP: (193.166.24.159) Osoitteen on oltava muuttumaton - Mikäli käytössä on vain julkisia IP-osoitteita - Palvelimen julkinen IP: (193.166.24.159) Osoitteen on oltava muuttumaton HUOM! Järjestelmä on Case-sensitive, käytä palvelimen nimissä aina pieniä kirjaimia! 3. Palvelimen asennuksessa käytetyt tiedot Palvelinkäyttöjärjestelmän tiedot - Palvelinkäyttöjärjestelmä: Ubuntu 14.04 LTS 64-bit, palvelinversio X-road-instanssin tiedot - X-road instanssi: FI-DEV - Palvelimen omistajan Member class: GOV Organisaatio- ja palvelinkohtaista käytettyä vaihtuvaa tietoa - Palvelimen omistajan Member name: VRK - Palvelimen omistajan (Y-tunnus) Member code: 0245437-2 - Palvelimen nimi: pv6tvrklp01 Käytä liityntäpalvelimen nimen host-osassa omistavan organisaation nimeä tai lyhennettä, esim. vrklp01.csc.fi tai csclp01.csc.fi - Palvelimen FQDN: pv6tvrklp01.csc.fi
- Server code: pv6tvrklp01 - Server PIN: xxxxxxxx - Palvelimen Sign-sertifikaatissa käytettävä distinguished name - C=FI-DEV, O=GOV, CN=0245437-2 CN on organisaation Y-tunnus O -parametrin arvo vaihtelee seuraavasti o julkishallinnolla: GOV o kaupallisilla toimijoilla: COM - Auth-sertifikaatin distinguished name: - C=FI-DEV, CN=pv6tvrklp01 CN on asennettavan palvelimen nimi, (=server code) - asennusympäristössä käytetään yksityisiä IP-osoitteita sekä osoitteenmuutosta (NAT) - Palvelimen yksityinen IP: 10.10.20.29 osoitteen on oltava muuttumaton mikäli käytetään DHCP:tä, on palvelimen saatava aina sama osoite - Palvelimen julkinen IP: 193.166.24.159 - Palvelimen privaatti-ip on syytä laittaa /etc/hosts -tiedostoon, alla tämän palvelimen hoststiedoston 2 ensimmäistä riviä - 127.0.0.1 localhost - 10.10.20.29 pv6tvrklp01 pv6tvrklp01.csc.fi - Mikäli palvelin keskustelee organisaation tietojärjestelmiin yksityisillä IP-osoitteilla, em. osoitteet myös on syytä luetella /etc/hosts tiedostossa Muuta asennukseen liittyvää Helpoin tapa tehdä asennus ainakin yksittäiselle koneelle - on kopioida tämän dokumentin komennot asennettavaan palvelimeen suoraan palvelimelle avatussa ssh-ikkunassa. Toki komennot voi myös kirjoittaa, mutta kirjoitusvireen mahdollisuus kasvaa huomattavasti. Palveluväylän ylläpito suosittelee lämpimästi - komentojen kopioimista. Otathan kuitenkin huomioon, että jotkin asetukset ovat palvelinkohtaisia, kaikkea ei voi kopioida ilman muutoksia Ubuntun näppäimistöasetusten muuttaminen tarvittaessa: sudo apt-get install console-common sudo dpkg-reconfigure console-data OpenStack ympäristössä tarvittava static hostname -asetus: sudo nano /etc/cloud/cloud.cfg 4. Ohjelmistojen asennus preserve hostname: true
Käyttöjärjestelmän asennuksen jälkeen päivitä järjestelmä sudo apt-get update sudo apt-get upgrade Lisää /etc/hosts tiedostoon palvelimen privaatti-ip ja nimet sudo nano /etc/hosts 10.10.20.29 pv6tvrklp01 pv6tvrklp01.csc.fi Lisää ympäristömuuttuja tiedostoon /etc/environment sudo nano /etc/environment LC_ALL=en_US.UTF-8 Lisää xroad-hallintakäyttäjä (valitse palvelimen X-road pääkäyttäjän nimi) sudo adduser grandmaster - (komento pyytää salasanaa, jota ei saisi unohtaa ja jota ei myöskään saisi tallentaa postit-lapulle näytön kulmaan :) Lisää Xroad-asennuksen tarvitsemat ohjelmistorepot tiedostoon /etc/apt/sources.list.d/xroad.list : sudo nano /etc/apt/sources.list.d/xroad.list deb http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-current/packages trusty main deb http://ppa.launchpad.net/nginx/stable/ubuntu trusty main deb http://ppa.launchpad.net/openjdk-r/ppa/ubuntu trusty main Lisää X-Road repon allakirjoitusavaimet trusted keys listaan (kukin komento annetaan omana rivinään) curl http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-current/packages/xroad_repo.gpg sudo apt-key add - sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 00A6F0A3C300EE8C sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys EB9B1D8886F44E2A Alla kuvakaappaus onnistuneista avainten asennuksista
Asenna X-road- ohjelmistot sudo apt-get update sudo apt-get install xroad-proxy Asennus jatkuu tekstimuotoisena, seuraavina kuvakaappaukset asennuksen kulusta Anna pääkäyttäjän tunnus Kirjoita palvelimen FQDN
Lisää domain-nimi
Täydennä FQDN Täydennä FQDN
X-road-ohjelmistojne asennuksen lopputilanne ssh-ikkunassa Tämän jälkeen siirrytään www-pohjaiseen konfiguraatio-osuuteen
5. Palvelimen liittäminen palveluväylään Palvelimen hallintaurl on tässä asennuksessa https://pv6tvrklp01.csc.fi:4000. Käytämme tässä palvelimen suoraa IP-osoitetta, koska palvelin ei ole listattuna julkisessa nimipalvelussa, hallintaurl onsiis https://193.166.24.159:4000 Huom! Palvelimen www-käyttöliittymä käynnistyy asennuksen/bootin jälkeen kohtuullisen hitaasti, joten muutaman minuutin viive on normaalia 5.1 Palvelimen perusasetusten muokkaaminen Ota selaimella yhteyttä hallintaurliin, tässä tapuksessa siis https://193.166.24.159:4000 Hyväksy palvelimen sertifikaatti, jos teet tämän kirjautumisen heti palvelimen asennuksen jälkeen, käynnistysviive voi olla joskus pitkäkin Antamalla linkin http://193.166.24.159:4000, voi tarkastaa, että nginx on hengissä ja se vain odottelee taustapalveluiden (jetty) käynnistymistä. Mikäli näin käy, odottele vielä tovi
Palveluiden käynnistyttyä kirjaudu sisään antamillasi tunnuksella ja salasanalla Importoi Palveluväyläylläpidolta saamasi ns. konfiguraatioankkuri hakemalla se käyttöliittymään ja painamalla Import
Hyväksy ankkurin tuominen järjestelmään, klikkaa Confirm Täytä tiedot alla olevan mukaisesti ja paina Submit: - Member code: oman organisaatiosi Y-tunnus - Member Name: oman organisaatiosi nimi (järjestelmän pitäisi täydentää se automaattisesti) - Security Server code: palvelimen nimi - PIN: käyttäjän palvelimen päättämä koodi, 8 numeroa. PIN koodi täytyy säilyttää turvallisessa paikassa
Jos asiat menivät kuin piti, voit painaa OK Onnistuneen setupin jälkeinen käyttöliittymänäkymä
Valitse System Parameters, klikkaa Timestamping Services, klikkaa ADD Valitse ehdotettu (tässä vielä Viron TSA) ja klikkaa OK
Tilanne onnistuneen TSA-asetusmuutoksen jälkeen 5.2. Avainten allekirjoituspyyntöjen luominen Valitse Keys and Certificates, valitse ENTER PIN
Kirjoita antamasi palvelimen PIN ja valitse OK Valitse GENERATE KEY
Jos Key-rivi ei ole aktiivinen, valitse se aktiiviseksi ja jatka valitsemalla GENARATE CERTIFICATE REQUEST Täytä tiedot seuraavasti - Usage: Sign (alasvetovalikko) - Client: tässä tapauksessa oletusarvo on oikein - Distinguished Name: C=FI-DEV,O=GOV,CN=0245437-2 (tähän tulee organisaatiosi Y-tunnus) O -parametrin arvo vaihtelee seuraavasti - Valitse OK julkishallinnolla: GOV kaupallisilla toimijoilla: COM
Tallenna sertifikaattipyyntö, se lähetetään palveluväylän CA:n ylläpidolle allekirjoittamista varten Valitse Token: softtoken-0, jatka valitsemalla GENERATE KEY
Valitse luomasi?-merkkiin päättyä avainrivi ja jatka valitsemalla GENARATE CERTIFICATE REQUEST Täytä tiedot seuraavasti: - Usage: Auth - Distinguished Name: C=FI-DEV, CN= pv6tvrklp01 (tähän tulee palvelimesi nimi)
Tallenna sertifikaattipyyntö, se lähetetään palveluväylän CA:n ylläpidolle allekirjoittamista varten Lähetä sertifikaattipyynnöt Palveluväylän ylläpidolle, joka allekirjoituttaa ne CA:lla ja palauttaa allekirjoitetut avaimet (pem-tiedostot) importoitaviksi.
5.3. Allekirjoitettujen sertifikaattien importointi Allekirjoitetut sertifikaatit importoidaan palvelimelle seuraavasti. Valitse Keys and Certificates, valitse Request auth-päätteisen Key:n alta, jatka valitsemalla IMPORT CERTIFICATE Hae.pem-tiedosto, joka on nimetty palvelimen nimen mukaisesti, valitse OK
Klikkaa auth-keyn alla oleva sertifikaatti aktiiviseksi, valitse ACTIVATE Valitse sign request ja klikkaa IMPORT CERTIFICATE
Hae.pem-tiedosto, joka on nimetty organisaation Y-tunnuksen nimen mukaisesti, valitse OK Valitse auth-keyn alla oleva sertifikaatti ja klikkaa REGISTER
Anna palvelimen julkinen IP-osoite tai FQDN-nimi, klikkaa OK Tässä vaiheessa näkymän pitäisi näyttää alla olevan kaltaiselta
Kun Palveluväylän ylläpito on rekisteröinyt palvelimesi, muuttuu näkymä seuraavaksi: Nyt palvelin on valmis ja sovellusten liittäminen palvelimeen voi alkaa