Suomi.fi-palveluväylä Liityntäpalvelimen asentaminen kehitysympäristöön liityttäessä (RHEL7) esuomi.fi/palveluntarjoajille/palveluvayla/ymparistot/kehitysymparisto/liityntapalvelimen-asentaminen-kehitysymparistoon-liityttaessa Sisältö [näytä] Suomi.fi-palveluväylä Liityntäpalvelimen asentaminen kehitysympäristöön liityttäessä (RHEL7) 1.Palvelimen asennus 1.1.RHEL7-käyttöjärjestelmän asennus 1.2. EPEL 1.3. Repot ja Avaimet 1.4. Asennus 1.5. Pääkäyttäjän lisäys 1.6. NTP 1.7. Tarkista onko /tmp hakemisto mahdollisesti mountattu noexec -vivulla 1.8. Käynnistys 2. Palvelimen liittäminen palveluväylään 2.1. Palvelimen perusasetusten määrittely 2.2. Avaimen allekirjoituspyyntöjen luominen 2.3. Allekirjoitettujen sertifikaattien syöttäminen Dokumentin tiedot 1.Palvelimen asennus 1.1.RHEL7-käyttöjärjestelmän asennus Asenna RHEL7 palvelinversio, minimal asennus https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/installation_guide/index.html 1.2. EPEL # sudo su - # yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm EPEL:istä haetaan seuraavat paketit: crudini, rlwrap ja nginx. 1.3. Repot ja Avaimet Määrittele käytettävä repo ja avaimet: 1/32
# yum-config-manager --add-repo http://www.nic.funet.fi/pub/csc/x-road/client/rhel7-dev-current/stable # rpm --import http://www.nic.funet.fi/pub/csc/x-road/client/rhel7-dev-current/palveluvayla-sign.gpg 1.4. Asennus Käynnistä asennus komennolla: # yum install xroad-securityserver-fi 1.5. Pääkäyttäjän lisäys Lisää hallintakäyttöliittymän pääkäyttäjä ja anna käyttäjälle salasana: # xroad-add-admin-user <paakayttajatunnus> 1.6. NTP Määrittele NTP-ohjelmiston asetukset: Palveluväylän liityntäpalvelimissa on käytettävä NTP-aikapalvelimia, joiden aikalähteenä on MIKESin tuottama Suomen virallinen aika. Lisätietoa aikapalvelimista saat omalta palveluntarjoaltasi. Konfiguroi vaatimusten mukaiset ntp-palvelimet tiedostoon: # vi /etc/ntp/step-tickers Määrittelyn jälkeen käynnistä aikapalvelu uudelleen komennolla: # systemctl restart ntpd.service 1.7. Tarkista onko /tmp hakemisto mahdollisesti mountattu noexec -vivulla HUOM! Tämä tarkistus koskee liityntäpalvelin versioita 6.7.12 ja sitä vanhempia versioita. Uudemmissa liityntäpalvelinten versioissa tätä ei tarvitse tarkistaa. Jos /tmp hakemisto on mountattu noexec -vivulla niin tällöin admin UI ei käynnisty koska /tmp hakemistoa käytetään sen toiminnoissa. Tarkistus tehdään mount komennon avulla: mount Tarkista saatavasta tulosteesta esiintyykö siinä tunnisteet /tmp ja noexec : /dev/loop0 on /tmp type ext3 (rw,noexec,nosuid,nodev) Jos esiintyy, kuten esimerkkitulosteessa yllä, niin tällöin vaaditaan X-Road konfiguraatiotiedoston muokkausta. Konfiguroi seuraavat muutokset: 1. Avaa tiedosto: /etc/xroad/services/local.conf 2. Lisää sinne seuraava rivi: (oletuksena ko. tiedoston pitäisi olla tyhjä) 2/32
XROAD_PARAMS= -Djna.tmpdir=/var/lib/xroad $XROAD_PARAMS 3. Tallenna tiedosto 1.8. Käynnistys Käynnistä liityntäpalvelin aennuksen päätteeksi komennolla: # systemctl start xroad-proxy 2. Palvelimen liittäminen palveluväylään Palveluväyläohjelmistojen asennuksen jälkeen liityntäpalvelin on vielä liitettävä palveluväyläinstanssin jäseneksi, kehitysympäristössä instanssi on FI-DEV. Tämä ohje käy läpi liittämisen eri vaiheet. 2.1. Palvelimen perusasetusten määrittely Ota selaimella yhteyttä hallintakäyttöliittymään, joka tässä tapauksessa on siis https://rhel7pvtest.csc.fi:4000 Hyväksy palvelimen sertifikaatti: Antamalla linkin http://rhel7pvtest.csc.fi:4000, voit tarkastaa, että nginx toimii ja se vain odottelee taustapalveluiden (jetty) käynnistymistä. Mikäli näin käy, odottele vielä tovi. 3/32
Palveluiden käynnistyttyä kirjaudu sisään antamillasi tunnuksella ja salasanalla. 4/32
Importoi palveluväylän ylläpidolta saamasi ns. konfiguraatioankkuri hakemalla se käyttöliittymään ja valitsemalla Import. 5/32
Hyväksy ankkurin tuominen järjestelmään. Valitse Confirm. 6/32
Täytä tiedot alla olevan mukaisesti ja valitse Submit: Member Code: oman organisaatiosi Y-tunnus Member Name: oman organisaatiosi nimi (järjestelmän pitäisi täydentää se automaattisesti) Jos automaattinen täydennys ei toimi, tarkista, että palvelimesi pystyy ottamaan yhteyttä keskuspalvelimille portissa TCP/80. Yleensä syynä virheeseen on se, että palvelimeltasi ei ole sallittu ulospäin tehtävää yhteydenottoa keskuspalvelimelle. Security Server Code: palvelimen host-nimi PIN: käyttäjän päättämä koodi, jonka pituus on vähintään 10. PIN-koodissa pitää olla merkkejä vähintään kolmesta luokasta: pienet kirjaimet, isot kirjaimet, numerot, erikoismerkit. PIN koodi täytyy säilyttää turvallisessa paikassa 7/32
Lopputilanne, mikäli asiat sujuivat oletetusti. Valitse OK. 8/32
Onnistuneen asennuksen jälkeinen käyttöliittymänäkymä: Huom! Kuvat on kaapattu FI-sandbox-instanssissa tapahtuneesta asennuksesta, FI-DEV-instanssissa instanssinimi on luonnollisesti FI-DEV. 9/32
Valitse System Parameters. Valitse Timestamping Services. Valitse ADD. 10/32
Valitse ehdotettu; valitse OK. 11/32
Tilanne onnistuneen TSA-asetusmuutoksen jälkeen. Tässä asennusesimerkissä on käytetty kehitysjärjestelmän aikaleimapalvelua, FI-DEV-ympäristössä aikaleimapalvelun tuottaa VRK. 12/32
2.2. Avaimen allekirjoituspyyntöjen luominen Valitse Keys and Certificates. Valitse ENTER PIN. 13/32
Kirjoita rekisteröinnin yhteydessä aikana antamasi palvelimen PIN. Valitse OK. 14/32
Valitse GENERATE KEY. 15/32
Jos Key-rivi ei ole aktiivinen, valitse se aktiiviseksi ja jatka valitsemalla GENERATE CERTIFICATE REQUEST. 16/32
Ensimmäisenä luodaan allekirjoitusvarmennepyyntö (Sign certfificate request). Täytä tiedot seuraavasti: Usage: Sign (alasvetovalikko) Client: tässä tapauksessa oletusarvo on oikein Distinguished Name: C=FI-DEV,O=GOV,CN=0245437-2 (tähän tulee organisaatiosi Y-tunnus) O -parametrin arvo vaihtelee seuraavasti: julkishallinnolla: GOV kaupallisilla toimijoilla: COM Valitse OK. 17/32
Tallenna sertifikaattipyyntö. Se lähetetään palveluväylän ylläpidon välityksellä osoitteella palveluvayla@palveluvayla.fi CA:lle allekirjoittamista varten. Valitse Token: softtoken-0. Jatka valitsemalla GENERATE KEY. 18/32
Valitse luomasi?-merkkiin päättyä uusi avainrivi ja jatka valitsemalla GENERATE CERTIFICATE REQUEST. 19/32
Seuraavaksi luodaan autentikointivarmennepyyntö (Auth certificate request). Täytä tiedot seuraavasti: Usage: Auth Distinguished Name: C=FI-DEV, CN= pv6tvrklp01 (tähän tulee palvelimesi nimi) 20/32
Tallenna sertifikaattipyyntö. Se lähetetään palveluväylän ylläpidon välityksellä osoitteella palveluvayla@palveluvayla.fi CA:lle allekirjoittamista varten. Lähetä sertifikaattipyynnöt palveluväylän ylläpidolle, joka allekirjoituttaa ne CA:lla ja palauttaa allekirjoitetut avaimet importointia varten. 21/32
2.3. Allekirjoitettujen sertifikaattien syöttäminen Allekirjoitetut sertifikaatit importoidaan palvelimelle seuraavasti: Valitse Keys and Certificates. Valitse Request auth-päätteisen Key:n alta, jatka valitsemalla IMPORT CERTIFICATE. Hae saamasi *auth*.pem -tiedosto. Huom! Tiedoston nimi ei ole alla olevan kaltainen. Valitse OK. 22/32
Tilanne importoinnin jälkeen: 23/32
Valitse sign request ja napsauta IMPORT CERTIFICATE. 24/32
Hae *sign*.pem-tiedosto (tiedoston nimi ei siis ole alla olevan kaltainen). Valitse OK. 25/32
Importoinnin jälkeinen tilanne: 26/32
Valitse auth-keyn alla oleva sertifikaatti. Valitse ACTIVATE. 27/32
Valitse REGISTER. 28/32
Anna palvelimen FQDN-nimi. Valitse OK. 29/32
Tässä vaiheessa näkymän pitäisi näyttää alla olevan kaltaiselta: 30/32
Kun Palveluväylän ylläpito on rekisteröinyt palvelimesi, muuttuu näkymä seuraavanlaiseksi: 31/32
Liityntäpalvelimen liittäminen palveluväylään on nyt suoritettu. Dokumentin tiedot Versionro Mitä tehty Pvm/henkilö 1.0 Dokumentti luotu 27.05.16 / NP 1.1 Dokumenttia päivitetty 08.06.16 / HH Yksilöintitunnus: JTO21 32/32