Ametlik paigaldusjuhend inglise keeles: https://github.com/nordic-institute/misp2/blob/develop/docs/misp2_installation_manual_22.04.md

Ametlik Ubuntu 18.04 -> 22.04 uuendamise juhend (inglise keelne): https://nordic-institute.atlassian.net/wiki/spaces/XRDKB/pages/168460289/MISP2+Ubuntu+18.04+to+22.04+upgrade

NB! Puhtale Ubuntu 22.04 paigaldamisel

Paigaldades MISP2 puhtale Ubuntu 22.04 masinale tekib viga misp2 kasutaja loomisega andmebaasis:

Cannot add new user 'misp2'
If user does not exist in the database then create him by running:
/usr/lib/postgresql/14/bin/createuser -p 5432 -U postgres -P -A -D misp2

Lahenduseks on:

# eemaldada poolik misp2 andmebaas
sudo -iu postgres psql -c "drop database misp2db;"

# lisada baasi kasutaja käsitsi (kasutajale määratud parool kirjuta ülesse)
sudo /usr/lib/postgresql/14/bin/createuser -p 5432 -U postgres -P -D misp2

# taaskäivitada pooleli jäänud paigaldus
sudo apt install -f

CODE

MISP2 uuendamise sammud

Juhendis on kasutusel tomcat9 ja Ubuntu 22.04

Kohad, mis on märgistatud "NB!" märkega on vaja üle kontrollida iga kord peale uuendamist.

Soovitame teha MISP2 seadistustest esmalt koopia: /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/config.cfg

Repositooriumi lisamine ja uuendamine

wget -qO - https://artifactory.niis.org/api/gpg/key/public | apt-key add -
apt-add-repository "https://artifactory.niis.org/xroad-extensions-release-deb main"
apt update
# uuendab kogu tarkvara masinas
apt dist-upgrade
CODE


Lisasammud tomcat9 ja Java8 kasutamise tõttu

Due to a bug in Ubuntu 22.04 when running tomcat9 with JAVA8, please also run the following commands as a workaround:
sudo apt install libecj-java
sudo ln -s /usr/share/java/ecj.jar /var/lib/tomcat9/lib
sudo systemctl restart tomcat9
CODE


Administreerimise lehele lubamine (iga kord peale uuendamist)

# NB! skript lubatud IP-de määramiseks lehele /misp2/admin
/usr/xtee/app/configure_admin_interface_ip.sh
CODE

Alternatiivina võib muuta käsitsi faili /etc/apache2/sites-available/ssl.conf
rea 190 juures (Allow from väärtus)

    <Location "/*/admin/*">
        Order deny,allow
        Deny from all
        Allow from IP_address_or_all
    </Location>
CODE


Uue Mobiil-ID sertifikaadi lisamine (ainult, kui SK muutis seda)

# uue sertifikaadi allalaadmine
wget -O mid_sk_ee_2023.pem https://www.skidsolutions.eu/upload/files/mid_sk_ee_2023.pem.cer

# aliase nimi peab olema unikaalne, vajadusel muutke. 
# mobiil_id_truststore parool on kirjas /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/config.cfg
keytool -importcert -file mid_sk_ee_2023.pem -alias mid_sk_cert_2023 -noprompt -keystore /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.p12

# restart teenusele
service tomcat9 restart
CODE


Mobiil ID seadistamine

# Muutke /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/config.cfg faili sisu järgmiselt:
	auth.mobileID=true
	mobileID.rest.hostUrl = https://mid.sk.ee/mid-api või https://tsp.demo.sk.ee/mid-api
	mobileID.rest.relyingPartyUUID = SK_MID_UUID
	mobileID.rest.relyingPartyName = MID_DISPLAY_NAME
	mobileID.rest.pollingTimeoutSeconds = 60
	mobileID.rest.trustStore.password = TRUSTSTORE_PASS_default_secret
	mobileID.rest.trustStore.path = /mobiili_id_trust_store.p12


# NB! MID sertifikaadi import. Näide on toodangu Mobiil-ID sertifikaadiga. Vaikimisi on parooliks "secret"
	wget -O mid_sk_ee_2023.pem https://www.skidsolutions.eu/upload/files/mid_sk_ee_2023.pem.cer
	wget -O sk_esteid_2015_crt.pem https://www.sk.ee/upload/files/ESTEID-SK_2015.pem.crt
	wget -O sk_esteid_2016_crt.pem https://www.sk.ee/upload/files/EID-SK_2016.pem.crt
	keytool -importcert -file mid_sk_ee_2023.pem -alias mid_sk_cert_2023 -noprompt -keystore /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.jks
	keytool -importcert -file sk_esteid_2015_crt.pem -alias sk_esteid_2015 -noprompt -keystore /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.jks 
	keytool -importcert -file sk_esteid_2016_crt.pem -alias sk_esteid_2016 -noprompt -keystore /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.jks 

# NB! Konverteerime JKS keystore ümber PKCS12 formaati (eeldusel, et keystore on loodud esmakordselt):
	keytool -importkeystore -srckeystore /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.jks -destkeystore /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.p12 -srcstoretype JKS -deststoretype PKCS12 -srcstorepass secret -deststorepass secret

# Faili õigused paika
	chown tomcat9:tomcat9 /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.p12

# NB! Viimasena restartige MISP2
	service tomcat9 restart
CODE


ID kaardi seadistamine

Kui ID kaart enne uuendamist töötas, siis vaja iga kord peale uuendamist teha:

# NB! Failis /etc/apache2/sites-enabled/ssl.conf
# vaja sisse kommenteerida rida 164 ja eemaldada lõpust "1", peab jääma:

SSLCADNRequestPath /etc/apache2/ssl/client_ca/

# NB! taaskäivitus:
service apache2 restart
CODE


ID kaardi toe algusest peale seadistamine:

Käsud on kopeeritud juhendist: https://github.com/nordic-institute/misp2-web-app/blob/master/docs/misp2_installation_manual_18.04.md#57-configuring-support-for-the-estonian-id-card

sudo -i

cd /etc/apache2/ssl

wget -O sk_root_2011_crt.pem https://www.sk.ee/upload/files/EE_Certification_Centre_Root_CA.pem.crt
wget -O sk_root_2018_crt.pem https://c.sk.ee/EE-GovCA2018.pem.crt
wget -O sk_esteid_2011_crt.pem https://www.sk.ee/upload/files/ESTEID-SK_2011.pem.crt
wget -O sk_esteid_2015_crt.pem https://www.sk.ee/upload/files/ESTEID-SK_2015.pem.crt
wget -O sk_esteid_2018_crt.pem https://c.sk.ee/esteid2018.pem.crt
wget -O sk_esteid_2016_crt.pem https://www.sk.ee/upload/files/EID-SK_2016.pem.crt

mkdir client_ca
cp -v sk_esteid_2011_crt.pem sk_esteid_2015_crt.pem sk_esteid_2018_crt.pem client_ca/
openssl x509 -addtrust clientAuth -trustout -in sk_esteid_2011_crt.pem -out sk_esteid_2011_client_auth_trusted_crt.pem
openssl x509 -addtrust clientAuth -trustout -in sk_esteid_2015_crt.pem -out sk_esteid_2015_client_auth_trusted_crt.pem
openssl x509 -addtrust clientAuth -trustout -in sk_esteid_2018_crt.pem -out sk_esteid_2018_client_auth_trusted_crt.pem
openssl x509 -addtrust clientAuth -trustout -in sk_esteid_2016_crt.pem -out sk_esteid_2016_client_auth_trusted_crt.pem
rm sk_esteid_2011_crt.pem sk_esteid_2015_crt.pem sk_esteid_2018_crt.pem sk_esteid_2016_crt.pem

c_rehash client_ca/

openssl x509 -addreject clientAuth -trustout -in sk_root_2011_crt.pem -out sk_root_2011_CA_trusted_crt.pem
openssl x509 -addreject clientAuth -trustout -in sk_root_2018_crt.pem -out sk_root_2018_CA_trusted_crt.pem
rm sk_root_2011_crt.pem sk_root_2018_crt.pem

wget -O sk_esteid_ocsp.pem https://www.sk.ee/upload/files/SK_OCSP_RESPONDER_2011.pem.cer

./updatecrl.sh "norestart"
c_rehash ./

# Failis /etc/apache2/sites-enabled/ssl.conf vaja sisse kommenteerida rida 164 ja eemaldada lõpust "1", peab jääma:
SSLCADNRequestPath /etc/apache2/ssl/client_ca/

service apache2 restart
CODE


Versiooni 2.2.8 kasutajad peavad esmalt uuendama MISP2 tarkvara 2.5.0 peale. 

# Kirjuta ülesse, mis IP aadressitelt on hetkel lubatud külastada MISP2 admin lehte (Allow from...):
grep -A5 /admin /etc/apache2/sites-available/ssl.conf

# Lisa MISP2 repo ja NIISi pakkide võti: 
wget -qO - https://artifactory.niis.org/api/gpg/key/public | apt-key add -
apt-add-repository "https://artifactory.niis.org/xroad-extensions-release-deb main"
apt update

#Esmalt vaja uuendada misp2-base tarkvara (Vali "Yes", kui küsib sertifikaatide ja Apache2 uuendamise kohta) : 
apt-get install xtee-misp2-base

#Seejärel uuendada teised MISP2 komponendid: 
apt install xtee-misp2-postgresql xtee-misp2-application

#Kui vaja, siis käsitsi lisada tagasi admin liidese IP aadressid nagu need olid failis ssl.conf <Location "/*/admin/*"> ploki sees
CODE