Turvaserveri paigaldamine

Süsteeminõuded

Ubuntu Server 20.04, 22.04 või 24.04
Soovitavalt vähemalt 3 GB RAM ja 30 GB kõvaketast, kui logisid säilitatakse samas masinas.  

Järgmiselt on kirjeldatud uue turvaserveri paigaldamiseks ja esmaseks seadistamiseks vajalikud sammud:

• Paigalda puhtale operatsioonisüsteemile Turvaserveri tarkvara paketid.

• Avage turvaserveri admin liides ning lisage soovitud konfiguratsiooni ankru XML fail.  Konfiguratsiooni ankur määrab, millise X-tee keskkonna jaoks turvaserver seadistatakse.

  • NB: Toodangu keskkonda registreeritava turvaserveri puhul paigaldage peale seadistamist ka HSM-i tugi.

• Peale ankru lisamist, seadistage turvaserveri parameetrid.

Et turvaserveriga saaks X-teel andmeidvahetada, tuleb turvaserveris sertifikaadid seadistada:

• Seadistage turvaserverile ajatempli teenus.

• Looge turvaserverile auth võti ja CSR.

  • Loodud CSR-i alusel saate auth sertifikaadi tellida RIA X-tee iseteenindusest (http://www.x-tee.ee) või SK ID Solutionsilt (https://portal.skidsolutions.eu/)

• Looge turvaserverile sign võti ja CSR.

  • NB: Toodangukeskkonnas on soovituslik sign võti ja CSR luua HSM-i peale. Samuti on võimalus luua sign võti ja CSR turvaserveri oma tarkvaralise tokeni peale nagu auth sertifikaat.

    • HSM-i puudumisel saate sign CSR-iga SK ID Solutionsi'lt tellida sign sertifikaadi juba HSM-i peale lisatuna.

    • HSM-i olemasolul saate CSR-i alusel sign sertifikaadi tellida RIA X-tee iseteenindusest (http://www.x-tee.ee) või või SK ID Solutionsilt (https://portal.skidsolutions.eu/)

• Importige turvaserverisse esmalt sign sertifikaat ja siis auth sertifikaat. Auth sertifikaadi registreerimiseks vajutage "Activate" ja "Register".

• Peale sertifikaadi registreerimist, lisage turvaserveris enda asutusele alamsüsteem ning registreerige see.

  • NB: Kõik alamsüsteemid on vaja kirjeldada X-tee iseteenindusekeskkonnas.

NB: Kui on paigaldatud Eestile omane konfiguratsioon (pakett xroad-securityserver-ee), on kliendirakendustest ühendused vaikimisi piiratud localhostiga ja default väärtus on 127.0.0.1 
Kliendirakenduste ühenduste lubamiseks välistest allikatest tuleb konfiguratsioonifailis /etc/xroad/conf.d/local.ini lisada rida:

[proxy]
connector-host = 0.0.0.0

Soovitame kindlasti üle vaadata ka turvaserveri võrgu konfiguratsiooni ja tulemüüri. Nende seadistamisel võite lähtuda kasutatud portide kirjeldusest ja selle all olevast võrgudiagrammist.

NB: Palume tagada, et turvaserveri pordid 80 ja 443 ei oleks välismaailmale avatud!

Küsimuste korral kirjutage meile: help@ria.ee