MISP2 uuendamine

Ametlik paigaldusjuhend inglise keeles: https://github.com/nordic-institute/misp2/blob/develop/docs/misp2_installation_manual_22.04.md

Ametlik Ubuntu 18.04 -> 22.04 uuendamise juhend (inglise keelne): https://nordic-institute.atlassian.net/wiki/spaces/XRDKB/pages/168460289/MISP2+Ubuntu+18.04+to+22.04+upgrade

NB! Puhtale Ubuntu 22.04 paigaldamisel

Paigaldades MISP2 puhtale Ubuntu 22.04 masinale tekib viga misp2 kasutaja loomisega andmebaasis:

^{Cannot add new user 'misp2'}
^{If user does not exist in the database then create him by running:}
^{/usr/lib/postgresql/14/bin/createuser -p 5432 -U postgres -P -A -D misp2}

Lahenduseks on:

CODE

# eemaldada poolik misp2 andmebaas
sudo -iu postgres psql -c "drop database misp2db;"

# lisada baasi kasutaja käsitsi (kasutajale määratud parool kirjuta ülesse)
sudo /usr/lib/postgresql/14/bin/createuser -p 5432 -U postgres -P -D misp2

# taaskäivitada pooleli jäänud paigaldus
sudo apt install -f

MISP2 uuendamise sammud

Juhendis on kasutusel tomcat9 ja Ubuntu 22.04

Kohad, mis on märgistatud "NB!" märkega on vaja üle kontrollida iga kord peale uuendamist.

Soovitame teha MISP2 seadistustest esmalt koopia: /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/config.cfg

Repositooriumi lisamine ja uuendamine

CODE

wget -qO - https://artifactory.niis.org/api/gpg/key/public | apt-key add -
apt-add-repository "https://artifactory.niis.org/xroad-extensions-release-deb main"
apt update
# uuendab kogu tarkvara masinas
apt dist-upgrade

Lisasammud tomcat9 ja Java8 kasutamise tõttu

CODE

Due to a bug in Ubuntu 22.04 when running tomcat9 with JAVA8, please also run the following commands as a workaround:
sudo apt install libecj-java
sudo ln -s /usr/share/java/ecj.jar /var/lib/tomcat9/lib
sudo systemctl restart tomcat9

Administreerimise lehele lubamine (iga kord peale uuendamist)

CODE

# NB! skript lubatud IP-de määramiseks lehele /misp2/admin
/usr/xtee/app/configure_admin_interface_ip.sh

Alternatiivina võib muuta käsitsi faili /etc/apache2/sites-available/ssl.conf
rea 190 juures (Allow from väärtus)

CODE

    <Location "/*/admin/*">
        Order deny,allow
        Deny from all
        Allow from IP_address_or_all
    </Location>

Uue Mobiil-ID sertifikaadi lisamine (ainult, kui SK muutis seda)

CODE

# uue Mobiil-ID vahesertifikaadi allalaadmine
wget -O sk_eid_2021e.pem https://c.sk.ee/EID_Q_2021E.pem.crt

# aliase nimi peab olema unikaalne, vajadusel muutke. 
# mobiil_id_truststore parool (vaikimisi on parooliks "secret") on kirjas /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/config.cfg
keytool -importcert -file sk_eid_2021e.pem -alias sk_eid_2021e -noprompt -keystore /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.jks

# restart teenusele
service tomcat9 restart

Mobiil ID seadistamine

CODE

# Muutke /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/config.cfg faili sisu järgmiselt:
	auth.mobileID=true
	mobileID.rest.hostUrl = https://mid.sk.ee/mid-api või https://tsp.demo.sk.ee/mid-api
	mobileID.rest.relyingPartyUUID = SK_MID_UUID
	mobileID.rest.relyingPartyName = MID_DISPLAY_NAME
	mobileID.rest.pollingTimeoutSeconds = 60
	mobileID.rest.trustStore.password = TRUSTSTORE_PASS_default_secret
	mobileID.rest.trustStore.path = /mobiili_id_trust_store.p12


# NB! MID sertifikaadi import. Näide on toodangu Mobiil-ID sertifikaadiga. Vaikimisi on parooliks "secret"
	wget -O mid_sk_ee_2024.pem https://c.sk.ee/mid.sk.ee_2024.pem.cer
	wget -O sk_esteid_2015_crt.pem https://www.sk.ee/upload/files/ESTEID-SK_2015.pem.crt
	wget -O sk_esteid_2016_crt.pem https://www.sk.ee/upload/files/EID-SK_2016.pem.crt
	wget -O sk_eid_2021e.pem https://c.sk.ee/EID_Q_2021E.pem.crt
	keytool -importcert -file mid_sk_ee_2024.pem -alias mid_sk_cert_2024 -noprompt -keystore /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.jks
	keytool -importcert -file sk_esteid_2015_crt.pem -alias sk_esteid_2015 -noprompt -keystore /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.jks 
	keytool -importcert -file sk_esteid_2016_crt.pem -alias sk_esteid_2016 -noprompt -keystore /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.jks 
    keytool -importcert -file sk_eid_2021e.pem -alias sk_eid_2021e -noprompt -keystore /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.jks

# NB! Konverteerime JKS keystore ümber PKCS12 formaati (eeldusel, et keystore on loodud esmakordselt):
	keytool -importkeystore -srckeystore /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.jks -destkeystore /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.p12 -srcstoretype JKS -deststoretype PKCS12 -srcstorepass secret -deststorepass secret

# Faili õigused paika
	chown tomcat9:tomcat9 /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.p12

# NB! Viimasena restartige MISP2
	service tomcat9 restart

ID kaardi seadistamine

Kui ID kaart enne uuendamist töötas, siis vaja iga kord peale uuendamist teha:

CODE

# NB! Failis /etc/apache2/sites-enabled/ssl.conf
# vaja sisse kommenteerida rida 164 ja eemaldada lõpust "1", peab jääma:

SSLCADNRequestPath /etc/apache2/ssl/client_ca/

# NB! taaskäivitus:
service apache2 restart

ID kaardi toe algusest peale seadistamine:

Käsud on kopeeritud juhendist: https://github.com/nordic-institute/misp2-web-app/blob/master/docs/misp2_installation_manual_18.04.md#57-configuring-support-for-the-estonian-id-card

CODE

sudo -i

cd /etc/apache2/ssl

wget -O sk_root_2011_crt.pem https://www.sk.ee/upload/files/EE_Certification_Centre_Root_CA.pem.crt
wget -O sk_root_2018_crt.pem https://c.sk.ee/EE-GovCA2018.pem.crt
wget -O sk_esteid_2011_crt.pem https://www.sk.ee/upload/files/ESTEID-SK_2011.pem.crt
wget -O sk_esteid_2015_crt.pem https://www.sk.ee/upload/files/ESTEID-SK_2015.pem.crt
wget -O sk_esteid_2018_crt.pem https://c.sk.ee/esteid2018.pem.crt
wget -O sk_esteid_2016_crt.pem https://www.sk.ee/upload/files/EID-SK_2016.pem.crt

mkdir client_ca
cp -v sk_esteid_2011_crt.pem sk_esteid_2015_crt.pem sk_esteid_2018_crt.pem client_ca/
openssl x509 -addtrust clientAuth -trustout -in sk_esteid_2011_crt.pem -out sk_esteid_2011_client_auth_trusted_crt.pem
openssl x509 -addtrust clientAuth -trustout -in sk_esteid_2015_crt.pem -out sk_esteid_2015_client_auth_trusted_crt.pem
openssl x509 -addtrust clientAuth -trustout -in sk_esteid_2018_crt.pem -out sk_esteid_2018_client_auth_trusted_crt.pem
openssl x509 -addtrust clientAuth -trustout -in sk_esteid_2016_crt.pem -out sk_esteid_2016_client_auth_trusted_crt.pem
rm sk_esteid_2011_crt.pem sk_esteid_2015_crt.pem sk_esteid_2018_crt.pem sk_esteid_2016_crt.pem

c_rehash client_ca/

openssl x509 -addreject clientAuth -trustout -in sk_root_2011_crt.pem -out sk_root_2011_CA_trusted_crt.pem
openssl x509 -addreject clientAuth -trustout -in sk_root_2018_crt.pem -out sk_root_2018_CA_trusted_crt.pem
rm sk_root_2011_crt.pem sk_root_2018_crt.pem

wget -O sk_esteid_ocsp.pem https://www.sk.ee/upload/files/SK_OCSP_RESPONDER_2011.pem.cer

./updatecrl.sh "norestart"
c_rehash ./

# Failis /etc/apache2/sites-enabled/ssl.conf vaja sisse kommenteerida rida 164 ja eemaldada lõpust "1", peab jääma:
SSLCADNRequestPath /etc/apache2/ssl/client_ca/

service apache2 restart

Versiooni 2.2.8 kasutajad peavad esmalt uuendama MISP2 tarkvara 2.5.0 peale.

CODE

# Kirjuta ülesse, mis IP aadressitelt on hetkel lubatud külastada MISP2 admin lehte (Allow from...):
grep -A5 /admin /etc/apache2/sites-available/ssl.conf

# Lisa MISP2 repo ja NIISi pakkide võti: 
wget -qO - https://artifactory.niis.org/api/gpg/key/public | apt-key add -
apt-add-repository "https://artifactory.niis.org/xroad-extensions-release-deb main"
apt update

#Esmalt vaja uuendada misp2-base tarkvara (Vali "Yes", kui küsib sertifikaatide ja Apache2 uuendamise kohta) : 
apt-get install xtee-misp2-base

#Seejärel uuendada teised MISP2 komponendid: 
apt install xtee-misp2-postgresql xtee-misp2-application

#Kui vaja, siis käsitsi lisada tagasi admin liidese IP aadressid nagu need olid failis ssl.conf <Location "/*/admin/*"> ploki sees