Erinevus lehekülje "X-tee v6 turvaserveri paigaldamine ja kasutamine" redaktsioonide vahel
| 10. rida: | 10. rida: | ||
Kindlasti tee endale ligipääs ja anna endale sudo õigused ning pane külge kõik IP aadressid ja võrgud, mis turvaserveril vajalikud. | Kindlasti tee endale ligipääs ja anna endale sudo õigused ning pane külge kõik IP aadressid ja võrgud, mis turvaserveril vajalikud. | ||
| + | |||
| + | == Ubuntu tulemüüri paigaldus == | ||
| + | Kirjatüki autor soovitab kasutada nt Firehol tarkvara, et turvaserveri ühendusi piirata. Fireholi paigaldamiseks kasuta käsku: | ||
| + | sudo apt-get install firehol | ||
| + | |||
| + | Fireholi seadistamist see kirjatükk ei käsitle. | ||
= Turvaserveri tarkvara paigaldus = | = Turvaserveri tarkvara paigaldus = | ||
| 35. rida: | 41. rida: | ||
deb http://ppa.launchpad.net/openjdk-r/ppa/ubuntu trusty main | deb http://ppa.launchpad.net/openjdk-r/ppa/ubuntu trusty main | ||
| + | === Lisa signeerimisvõti === | ||
| + | curl http://x-road.eu/packages/xroad_repo.gpg| sudo apt-key add - | ||
| + | sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 00A6F0A3C300EE8C | ||
| + | sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys EB9B1D8886F44E2A | ||
| + | |||
| + | == Turvaserveri tarkvara paigaldus == | ||
| + | sudo apt-get update | ||
| + | sudo apt-get install xroad-securityserver | ||
| + | |||
| + | Paigalduse käigus küsitakse nii IP-sid kui CN nimesid ''self-signed'' sertifikaadi jaoks. Kuna seda sertifikaati kasutatakse vaid veebiliidese jaoks, siis on võimalik siin ka soovi korral kasutada usaldatud ahelast tulnud sertifikaadi (Digicert, Comodo, Letsencrypt vmt pakkuja), aga võib vabalt jätta ka vaikesertifikaadi. | ||
| + | |||
| + | Pärast paigaldust veendu, et saad ligi aadressile https://SINUIP:4000, et turvaserverit edasi hallata. | ||
| + | |||
| + | |||
| + | = HSMi tugi = | ||
| + | Kirjatüki HSMi tugi on tehtud Utimaco SecurityServer Se Gen2 näitel. | ||
| + | |||
| + | Käesolev kirjatükk ei kata HSMi seadistamist ega konfigureerimist. | ||
| + | |||
| + | Utimaco jaoks on vaja paigaldada näidiskonfiguratsioonifail /etc/utimaco/ kausta. | ||
| + | sudo mkdir /etc/utimaco/ | ||
| + | Kopeeri sinna näidiskonfiguratsioon ja muuda ära CryptoServer sektsioonis IP | ||
| + | |||
| + | [CryptoServer] | ||
| + | # Device specifier (here: CryptoServer is CSLAN with IP address 192.168.0.1) | ||
| + | Device = 192.168.0.2 | ||
| + | |||
| + | Kui kasutad klasterdatud lahendust, siis veendu, et Device oleks kujul: | ||
| + | #Device = { 192.168.0.2 192.168.0.3 } | ||
| + | |||
| + | Klasterdamise juures tuleb määrata ka '''FallbackInterval''', mis määrab millisekundites aja, mis hetkel teise klastri HSMi liikme poole pöördutakse. Kõik liikmed on Device loetelu järjekorras, st mingit muud eelistust ei tehta. | ||
| + | # Configures load balancing mode ( == 0 ) or failover mode ( > 0 ) | ||
| + | FallbackInterval = 0 | ||
| + | |||
| + | = Lisatarkvara paigaldus = | ||
| + | Vastavalt soovidele ja vajadustele on mõistlik paigaldada ka lisatarkvara | ||
| + | |||
| + | Serveri koormuse jälgimine | ||
| + | sudo apt-get install htop | ||
| + | |||
| + | Xroad-monitor pakett paigaldab x-tee päringute ja koormuse jälgimiseks vajaliku tarkvara. | ||
| + | sudo apt-get install xroad-monitor | ||
| + | |||
| + | sudo apt-get install xroad-addon-hwtokens | ||
| + | |||
| + | Näiteks HSMi juures kasutusel olevatele kiipkaartide (''smart-card'') toe jaoks on vaja paigaldada opensc pakk: | ||
| + | sudo apt-get install opensc | ||
| + | = Andmejälgija ehk AJ paigaldus = | ||
= Lingid, allikad ja lisalugemist = | = Lingid, allikad ja lisalugemist = | ||
* https://www.ria.ee/ee/x-tee.html | * https://www.ria.ee/ee/x-tee.html | ||
* https://moodle.ria.ee/ | * https://moodle.ria.ee/ | ||
| + | * https://demo.sk.ee/upload_cert/index.php | ||
Redaktsioon: 10. mai 2017, kell 16:49
X-tee versioon 6 turvaserveri paigaldamise ja kasutamise juhend
Sisukord
X-tee keskkonnad
X-teel on kolm keskkonda või siis põhimagistraali ;) - arendus, test ja tootekeskkond. Paigaldusprotsess nendel on ühine, oluline on erinevus, et arendus ja test-keskkondasid on võimalik paigaldada ja kasutusele võtta rahakuluta, tootekeskkonna sertifikaatide eest tuleb SK-le maksta raha.
Ubuntu paigaldus
X-tee v6 töötab 2017. aasta mai seisuga Ubuntu 14.04 LTS 64-bitise versiooni peal. Rangelt soovituslik on valida viimane saadaolev "trusty" versioon, milleks täna on 16.04.5.
Ubuntu paigaldus on tavapärane, seda siin ei juhendis ei kaeta.
Kindlasti tee endale ligipääs ja anna endale sudo õigused ning pane külge kõik IP aadressid ja võrgud, mis turvaserveril vajalikud.
Ubuntu tulemüüri paigaldus
Kirjatüki autor soovitab kasutada nt Firehol tarkvara, et turvaserveri ühendusi piirata. Fireholi paigaldamiseks kasuta käsku:
sudo apt-get install firehol
Fireholi seadistamist see kirjatükk ei käsitle.
Turvaserveri tarkvara paigaldus
Kirjatüki autori seisukoht on, et ka test-keskkonnas võiks kasutada stabiilset repositooriumi - vastasel juhul võid sattuda hoopis X-tee koodi testijaks, mitte oma rakenduse testijaks. :) Loomulikult on test-repositooriumil oma koht ja kui keegi mõtleb, et seda võiks kasutada, siis selline võimalus on olemas.
Ettevalmistused turvaserveri tarkvara paigalduseks
Veebikasutaja
Veebikasutaja on kasutaja, kellele all hakkavad kõik vajalikud protsessid jooksma ja kellel on õigus veebiliidesesse sisse logida. Sobiv kasutajanimi vali ise.
Näiteks:
sudo adduser xtee
Repositooriumid
Lisa näiteks /etc/apt/sources.list.d/xroad.list faili järgnevad read, et siduda ennast X-tee repositooriumiga.
Vali vastavalt soovile kas toote (live) repo või testrepo. NB! Kui paigaldad test- või dev-x-tee turvaserverit, siis võid ka toote repot kasutada. Toote repos on stabiilne kood!
# x-road ametlik live repo deb http://x-road.eu/packages trusty main # x-road ametlik testrepo #deb http://x-road.eu/.test/packages trusty main deb http://ppa.launchpad.net/nginx/stable/ubuntu trusty main deb http://ppa.launchpad.net/openjdk-r/ppa/ubuntu trusty main
Lisa signeerimisvõti
curl http://x-road.eu/packages/xroad_repo.gpg%7C sudo apt-key add - sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 00A6F0A3C300EE8C sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys EB9B1D8886F44E2A
Turvaserveri tarkvara paigaldus
sudo apt-get update sudo apt-get install xroad-securityserver
Paigalduse käigus küsitakse nii IP-sid kui CN nimesid self-signed sertifikaadi jaoks. Kuna seda sertifikaati kasutatakse vaid veebiliidese jaoks, siis on võimalik siin ka soovi korral kasutada usaldatud ahelast tulnud sertifikaadi (Digicert, Comodo, Letsencrypt vmt pakkuja), aga võib vabalt jätta ka vaikesertifikaadi.
Pärast paigaldust veendu, et saad ligi aadressile https://SINUIP:4000, et turvaserverit edasi hallata.
HSMi tugi
Kirjatüki HSMi tugi on tehtud Utimaco SecurityServer Se Gen2 näitel.
Käesolev kirjatükk ei kata HSMi seadistamist ega konfigureerimist.
Utimaco jaoks on vaja paigaldada näidiskonfiguratsioonifail /etc/utimaco/ kausta.
sudo mkdir /etc/utimaco/
Kopeeri sinna näidiskonfiguratsioon ja muuda ära CryptoServer sektsioonis IP
[CryptoServer] # Device specifier (here: CryptoServer is CSLAN with IP address 192.168.0.1) Device = 192.168.0.2
Kui kasutad klasterdatud lahendust, siis veendu, et Device oleks kujul:
#Device = { 192.168.0.2 192.168.0.3 }
Klasterdamise juures tuleb määrata ka FallbackInterval, mis määrab millisekundites aja, mis hetkel teise klastri HSMi liikme poole pöördutakse. Kõik liikmed on Device loetelu järjekorras, st mingit muud eelistust ei tehta.
# Configures load balancing mode ( == 0 ) or failover mode ( > 0 ) FallbackInterval = 0
Lisatarkvara paigaldus
Vastavalt soovidele ja vajadustele on mõistlik paigaldada ka lisatarkvara
Serveri koormuse jälgimine
sudo apt-get install htop
Xroad-monitor pakett paigaldab x-tee päringute ja koormuse jälgimiseks vajaliku tarkvara.
sudo apt-get install xroad-monitor
sudo apt-get install xroad-addon-hwtokens
Näiteks HSMi juures kasutusel olevatele kiipkaartide (smart-card) toe jaoks on vaja paigaldada opensc pakk:
sudo apt-get install opensc
