MISP2 uuendamine

NB! NIIS-i hooldusarendus MISP2 tarkvarale lõppes 31.12.2025 ning see ei ole NIIS-i poolt enam toetatud tarkvara.

Paigaldusjuhend inglise keeles: https://github.com/nordic-institute/misp2/blob/develop/docs/misp2_installation_manual_22.04.md

Ubuntu 18.04 -> 22.04 uuendamise juhend (inglise keelne): https://nordic-institute.atlassian.net/wiki/spaces/XRDKB/pages/168460289/MISP2+Ubuntu+18.04+to+22.04+upgrade

NB! Puhtale Ubuntu 22.04 paigaldamisel

Paigaldades MISP2 puhtale Ubuntu 22.04 masinale tekib viga misp2 kasutaja loomisega andmebaasis:

^{Cannot add new user 'misp2'}
^{If user does not exist in the database then create him by running:}
^{/usr/lib/postgresql/14/bin/createuser -p 5432 -U postgres -P -A -D misp2}

Lahenduseks on:

CODE

# eemaldada poolik misp2 andmebaas
sudo -iu postgres psql -c "drop database misp2db;"

# lisada baasi kasutaja käsitsi (kasutajale määratud parool kirjuta ülesse)
sudo /usr/lib/postgresql/14/bin/createuser -p 5432 -U postgres -P -D misp2

# taaskäivitada pooleli jäänud paigaldus
sudo apt install -f

MISP2 uuendamise sammud

Juhendis on kasutusel tomcat9 ja Ubuntu 22.04

Kohad, mis on märgistatud "NB!" märkega on vaja üle kontrollida iga kord peale uuendamist.

Soovitame teha MISP2 seadistustest esmalt koopia: /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/config.cfg

Kui kasutate mobiilID autentimist, siis soovitame varundada ka /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.p12

Kui peale uuendamist täheldate keystore vigu seoses “mobiili_id_trust_store.p12” failiga, siis on vaja see fail asendada varundatud koopiaga. Kui varukoopiat ei ole, siis saab selle faili luua uuesti “Mobiil ID seadistamine” alampeatüki sammudega.

Repositooriumi lisamine ja uuendamine

CODE

wget -qO - https://artifactory.niis.org/api/gpg/key/public | apt-key add -
apt-add-repository "https://artifactory.niis.org/xroad-extensions-release-deb main"
apt update
# uuendab kogu tarkvara masinas
apt dist-upgrade

Lisasammud tomcat9 ja Java8 kasutamise tõttu

CODE

Due to a bug in Ubuntu 22.04 when running tomcat9 with JAVA8, please also run the following commands as a workaround:
sudo apt install libecj-java
sudo ln -s /usr/share/java/ecj.jar /var/lib/tomcat9/lib
sudo systemctl restart tomcat9

Administreerimise lehele lubamine (iga kord peale uuendamist)

CODE

# NB! skript lubatud IP-de määramiseks lehele /misp2/admin
/usr/xtee/app/configure_admin_interface_ip.sh

Alternatiivina võib muuta käsitsi faili /etc/apache2/sites-available/ssl.conf
rea 190 juures (Allow from väärtus)

CODE

    <Location "/*/admin/*">
        Order deny,allow
        Deny from all
        Allow from IP_address_or_all
    </Location>

Uue Mobiil-ID sertifikaadi lisamine (ainult, kui SK muutis seda)

CODE

# uue Mobiil-ID vahesertifikaadi allalaadmine
wget -O sk_eid_2025.pem https://c.sk.ee/mid_sk_ee_2025.pem.cer

# aliase nimi peab olema unikaalne, vajadusel muutke. 
# mobiil_id_truststore parool (vaikimisi on parooliks "secret") on kirjas /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/config.cfg
keytool -importcert -file sk_eid_2025.pem -alias sk_eid_2025 -noprompt -keystore /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.jks

# restart teenusele
service tomcat9 restart

Mobiil ID seadistamine

CODE

# Muutke /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/config.cfg faili sisu järgmiselt:
	auth.mobileID=true
	mobileID.rest.hostUrl = https://mid.sk.ee/mid-api või https://tsp.demo.sk.ee/mid-api
	mobileID.rest.relyingPartyUUID = SK_MID_UUID
	mobileID.rest.relyingPartyName = MID_DISPLAY_NAME
	mobileID.rest.pollingTimeoutSeconds = 60
	mobileID.rest.trustStore.password = TRUSTSTORE_PASS_default_secret
	mobileID.rest.trustStore.path = /mobiili_id_trust_store.p12


# NB! MID sertifikaadi import. Näide on toodangu Mobiil-ID sertifikaadiga. Vaikimisi on parooliks "secret"
	wget -O mid_sk_ee_2024.pem https://c.sk.ee/mid.sk.ee_2024.pem.cer
	wget -O sk_esteid_2015_crt.pem https://www.sk.ee/upload/files/ESTEID-SK_2015.pem.crt
	wget -O sk_esteid_2016_crt.pem https://www.sk.ee/upload/files/EID-SK_2016.pem.crt
	wget -O sk_eid_2021e.pem https://c.sk.ee/EID_Q_2021E.pem.crt
	keytool -importcert -file mid_sk_ee_2024.pem -alias mid_sk_cert_2024 -noprompt -keystore /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.jks
	keytool -importcert -file sk_esteid_2015_crt.pem -alias sk_esteid_2015 -noprompt -keystore /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.jks 
	keytool -importcert -file sk_esteid_2016_crt.pem -alias sk_esteid_2016 -noprompt -keystore /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.jks 
    keytool -importcert -file sk_eid_2025.pem -alias sk_eid_2025 -noprompt -keystore /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.jks

# NB! Konverteerime JKS keystore ümber PKCS12 formaati (eeldusel, et keystore on loodud esmakordselt):
	keytool -importkeystore -srckeystore /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.jks -destkeystore /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.p12 -srcstoretype JKS -deststoretype PKCS12 -srcstorepass secret -deststorepass secret

# Faili õigused paika
	chown tomcat9:tomcat9 /var/lib/tomcat9/webapps/misp2/WEB-INF/classes/mobiili_id_trust_store.p12

# NB! Viimasena restartige MISP2
	service tomcat9 restart

ID kaardi seadistamine

NB! Uuemad ID kaardid, mis on väljastatud alates novembrist 2025 ei tööta NIIS’i repositooriumist paigaldatud MISP2 versiooniga. Soovitame kasutada mõne teise nt Aktors OÜ poolt pakutavat MISP2 lahendust. NIIS’i MISP2 poolt pakutav ametlik tugi lõppes 2025 aasta lõpuga.

Alternatiivselt on võimalik lisada ise uue ID kaardi väljastaja sertifikaatide OID väärtused lähtekoodi (link) ja ise kompileerida MISP2-st uuem versioon (https://github.com/nordic-institute/misp2/tree/develop/web-app ). Zetese OID väärtused saab siit: (https://repository.eidpki.ee/repository/ ) ja sertifikaadid (https://repository.eidpki.ee/crt/ ). Viimased vaja lisada sarnaselt SK sertifikaatidega Apache usaldusahelasse.

Kui ID kaart enne uuendamist töötas, siis vaja iga kord peale uuendamist teha:

CODE

# NB! Failis /etc/apache2/sites-enabled/ssl.conf
# vaja sisse kommenteerida rida 164 ja eemaldada lõpust "1", peab jääma:

SSLCADNRequestPath /etc/apache2/ssl/client_ca/

# NB! taaskäivitus:
service apache2 restart

ID kaardi toe algusest peale seadistamine:

Käsud on kopeeritud juhendist: https://github.com/nordic-institute/misp2-web-app/blob/master/docs/misp2_installation_manual_18.04.md#57-configuring-support-for-the-estonian-id-card

CODE

sudo -i

cd /etc/apache2/ssl

wget -O sk_root_2011_crt.pem https://www.sk.ee/upload/files/EE_Certification_Centre_Root_CA.pem.crt
wget -O sk_root_2018_crt.pem https://c.sk.ee/EE-GovCA2018.pem.crt
wget -O sk_esteid_2011_crt.pem https://www.sk.ee/upload/files/ESTEID-SK_2011.pem.crt
wget -O sk_esteid_2015_crt.pem https://www.sk.ee/upload/files/ESTEID-SK_2015.pem.crt
wget -O sk_esteid_2018_crt.pem https://c.sk.ee/esteid2018.pem.crt
wget -O sk_esteid_2016_crt.pem https://www.sk.ee/upload/files/EID-SK_2016.pem.crt
wget -O EEGovCA2025.crt https://crt.eidpki.ee/EEGovCA2025.crt
wget -O ESTEID2025.crt https://crt.eidpki.ee/ESTEID2025.crt

mkdir client_ca
cp -v sk_esteid_2011_crt.pem sk_esteid_2015_crt.pem sk_esteid_2018_crt.pem sk_esteid_2016_crt.pem ESTEID2025.crt client_ca/
openssl x509 -addtrust clientAuth -trustout -in sk_esteid_2011_crt.pem -out sk_esteid_2011_client_auth_trusted_crt.pem
openssl x509 -addtrust clientAuth -trustout -in sk_esteid_2015_crt.pem -out sk_esteid_2015_client_auth_trusted_crt.pem
openssl x509 -addtrust clientAuth -trustout -in sk_esteid_2018_crt.pem -out sk_esteid_2018_client_auth_trusted_crt.pem
openssl x509 -addtrust clientAuth -trustout -in sk_esteid_2016_crt.pem -out sk_esteid_2016_client_auth_trusted_crt.pem
openssl x509 -addtrust clientAuth -trustout -in ESTEID2025.crt -out ESTEID2025_client_auth_trusted_crt
rm sk_esteid_2011_crt.pem sk_esteid_2015_crt.pem sk_esteid_2018_crt.pem sk_esteid_2016_crt.pem ESTEID2025.crt

c_rehash client_ca/

openssl x509 -addreject clientAuth -trustout -in sk_root_2011_crt.pem -out sk_root_2011_CA_trusted_crt.pem
openssl x509 -addreject clientAuth -trustout -in sk_root_2018_crt.pem -out sk_root_2018_CA_trusted_crt.pem
openssl x509 -addreject clientAuth -trustout -in EEGovCA2025.crt -out EEGovCA2025_CA_trusted_crt

rm sk_root_2011_crt.pem sk_root_2018_crt.pem EEGovCA2025.crt

wget -O sk_esteid_ocsp.pem https://www.sk.ee/upload/files/SK_OCSP_RESPONDER_2011.pem.cer

./updatecrl.sh "norestart"
c_rehash ./

# Failis /etc/apache2/sites-enabled/ssl.conf vaja sisse kommenteerida rida 164 ja eemaldada lõpust "1", peab jääma:
SSLCADNRequestPath /etc/apache2/ssl/client_ca/

service apache2 restart

Versiooni 2.2.8 kasutajad peavad esmalt uuendama MISP2 tarkvara 2.5.0 peale.

CODE

# Kirjuta ülesse, mis IP aadressitelt on hetkel lubatud külastada MISP2 admin lehte (Allow from...):
grep -A5 /admin /etc/apache2/sites-available/ssl.conf

# Lisa MISP2 repo ja NIISi pakkide võti: 
wget -qO - https://artifactory.niis.org/api/gpg/key/public | apt-key add -
apt-add-repository "https://artifactory.niis.org/xroad-extensions-release-deb main"
apt update

#Esmalt vaja uuendada misp2-base tarkvara (Vali "Yes", kui küsib sertifikaatide ja Apache2 uuendamise kohta) : 
apt-get install xtee-misp2-base

#Seejärel uuendada teised MISP2 komponendid: 
apt install xtee-misp2-postgresql xtee-misp2-application

#Kui vaja, siis käsitsi lisada tagasi admin liidese IP aadressid nagu need olid failis ssl.conf <Location "/*/admin/*"> ploki sees