Turvaserveri paigaldamine
Süsteeminõuded
Ubuntu Server 20.04 või 22.04
Soovitavalt vähemalt 3 GB RAM ja 30 GB kõvaketast, kui logisid säilitatakse samas masinas.
Järgmiselt on kirjeldatud uue turvaserveri paigaldamiseks ja esmaseks seadistamiseks vajalikud sammud:
- Paigalda puhtale operatsioonisüsteemile Turvaserveri tarkvara paketid.
- Avage turvaserveri admin liides ning lisage soovitud konfiguratsiooni ankru XML fail. Konfiguratsiooni ankur määrab, millise X-tee keskkonna jaoks turvaserver seadistatakse.
- NB: Toodangu keskkonda registreeritava turvaserveri puhul paigaldage peale seadistamist ka HSM-i tugi.
- Peale ankru lisamist, seadistage turvaserveri parameetrid.
Et turvaserveriga saaks X-teel andmeidvahetada, tuleb turvaserveris sertifikaadid seadistada:
- Seadistage turvaserverile ajatempli teenus.
- Looge turvaserverile auth võti ja CSR.
- Loodud CSR-i alusel saate auth sertifikaadi tellida RIA XTSS portaalist või SK-lt.
- Looge turvaserverile sign võti ja CSR.
- NB: Toodangukeskkonna tuleb sign võti ja CSR luua HSM-i peale.
- HSM-i puudumisel saate sign CSR-iga SK-lt tellida sign sertifikaadi juba HSM-i peale lisatuna (valides "Soovin tellida ... sertifikaadi krüptopulgal").
- HSM-i olemasolul saate CSR-i alusel sign sertifikaadi tellida RIA XTSS portaalist või SK-lt.
- NB: Toodangukeskkonna tuleb sign võti ja CSR luua HSM-i peale.
- Importige turvaserverisse esmalt sign sertifikaat ja siis auth sertifikaat. Auth sertifikaadi registreerimiseks vajutage "Activate" ja "Register".
- Peale sertifikaadi registreerimist, lisage turvaserveris enda asutusele alamsüsteem ning registreerige see.
- NB: Kõik alamsüsteemid on vaja kirjeldada X-tee iseteenindusekeskkonnas.
NB: Kui on paigaldatud Eestile omane konfiguratsioon (pakett xroad-securityserver-ee), on kliendirakendustest ühendused vaikimisi piiratud localhostiga ja default väärtus on 127.0.0.1
Kliendirakenduste ühenduste lubamiseks välistest allikatest tuleb konfiguratsioonifailis /etc/xroad/conf.d/local.ini lisada rida:
[proxy]
connector-host = 0.0.0.0
Soovitame kindlasti üle vaadata ka turvaserveri võrgu konfiguratsiooni ja tulemüüri. Nende seadistamisel võite lähtuda kasutatud portide kirjeldusest ja selle all olevast võrgudiagrammist.
NB: Palume tagada, et turvaserveri pordid 80 ja 443 ei oleks välismaailmale avatud!
Küsimuste korral kirjutage meile: [email protected]