Инструменты пользователя
install-security-server-new
Различия
Здесь показаны различия между двумя версиями данной страницы.
| Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
|
install-security-server-new [2025/02/13 05:21] infra [2.1 Поддерживаемые платформы] |
install-security-server-new [2026/01/13 05:49] (текущий) infra |
||
|---|---|---|---|
| Строка 1: | Строка 1: | ||
| - | <note warning>Внимание! Данная инструкция рассматривает установку X-Road версии 7.2.2. Если Вы устанавливаете сервер безопасности с нуля, то строго рекомендуется устанавливать эту версию и выше.</note> | + | <note warning>Внимание! Данная инструкция рассматривает установку X-Road версии 7.2.2 на Ubuntu 22.04</note> |
| <note important>Внимание! Согласно пункту 3 ст. 10 главы 3 и ст. 36 главы 6 Требований к взаимодействию информационных систем в системе межведомственного электронного взаимодействия «Түндүк», участник обязан минимум 3 года обеспечить хранение лог-файлов. В связи с этим рекомендуется периодично производить резервную копию содержимого в директории /var/lib/xroad/ сервера безопасности в другое дисковое хранилище. После резервного копирования можно удалить старые файлы из директории /var/lib/xroad/ за определенный период, если дисковое пространство заполнилось и нет возможности увеличить его.</note> | <note important>Внимание! Согласно пункту 3 ст. 10 главы 3 и ст. 36 главы 6 Требований к взаимодействию информационных систем в системе межведомственного электронного взаимодействия «Түндүк», участник обязан минимум 3 года обеспечить хранение лог-файлов. В связи с этим рекомендуется периодично производить резервную копию содержимого в директории /var/lib/xroad/ сервера безопасности в другое дисковое хранилище. После резервного копирования можно удалить старые файлы из директории /var/lib/xroad/ за определенный период, если дисковое пространство заполнилось и нет возможности увеличить его.</note> | ||
| Строка 16: | Строка 16: | ||
| ==== 2.1 Поддерживаемые платформы ==== | ==== 2.1 Поддерживаемые платформы ==== | ||
| - | <note tip>Сервер Безопасности работает под управлением операционной системы Ubuntu Server 20.04 Long-Term Support (LTS) на 64 разрядной платформе. Дистрибутив Сервера Безопасности распространяется в пакетах формата .deb через официальное хранилище которое расположено по адресу https://deb.tunduk.kg</note> | + | <note tip>Сервер Безопасности работает под управлением операционной системы Ubuntu Server 22.04 Long-Term Support (LTS) на 64 разрядной платформе. Дистрибутив Сервера Безопасности распространяется в пакетах формата .deb через официальное хранилище которое расположено по адресу https://deb.tunduk.kg</note> |
| + | |||
| + | Программное обеспечение может быть развернуто как на физическом, так и на виртуализированном оборудовании, сервер безопасности должен находится на территории Кыргызстана. | ||
| + | |||
| + | <note warning>Сервер Безопасности должен устанавливаться отдельно и на сервере должны находится только пакеты связанные с XROAD. Сервер Безопасности по умолчанию работает с портами 80 и 443, пожалуйста, не устанавливайте рядом с Сервером Безопасности никакие веб-сервера.</note> | ||
| - | Программное обеспечение может быть развернуто как на физическом, так и на виртуализированном оборудовании. | ||
| - | <note warning>Сервер Безопасности должен устанавливаться отдельно и на сервере должны находится только пакеты связанные с XROAD</note> | ||
| ==== 2.2 Справочные данные ==== | ==== 2.2 Справочные данные ==== | ||
| - | <note warning>Внимание! Рекомендуется следовать инструкции и ставить на Ubuntu20.04 пакеты X-Road 7.2.2. </note> | + | <note warning>Внимание! Рекомендуется следовать инструкции и ставить на Ubuntu 22.04 пакеты X-Road 7.2.2. </note> |
| * ''Заметка:'' Информация в пустых ячейках должна быть определена до начала установка Сервера Безопасности, ответственным за установку программного обеспечения лицом. | * ''Заметка:'' Информация в пустых ячейках должна быть определена до начала установка Сервера Безопасности, ответственным за установку программного обеспечения лицом. | ||
| Строка 28: | Строка 30: | ||
| ^ Ref ^ ^ Explanation ^ | ^ Ref ^ ^ Explanation ^ | ||
| - | | 1.0 |Ubuntu 20.04, 64-bit 4 GB RAM, 100 GB free disk space | Минимальные требования | | + | | 1.0 |Ubuntu 22.04, 64-bit 4 GB RAM, 100 GB free disk space | Минимальные требования | |
| | 1.1 |https://deb.tunduk.kg |Хранилище пакетов X-Road| | | 1.1 |https://deb.tunduk.kg |Хранилище пакетов X-Road| | ||
| | 1.2 |https://deb.tunduk.kg/key.pub |GPG ключ хранилища | | | 1.2 |https://deb.tunduk.kg/key.pub |GPG ключ хранилища | | ||
| Строка 61: | Строка 63: | ||
| Требования к по и конфигурации: | Требования к по и конфигурации: | ||
| - | * При установке Ubuntu 20.04 необходимо использовать данный образ официальный образ | + | * При установке Ubuntu 22.04 необходимо использовать официальный образ |
| - | * Установленная и настроенная операционная система Ubuntu 20.04 LTS x86-64; | + | * Установленная и настроенная операционная система Ubuntu 22.04 LTS x86-64; |
| | | ||
| * Если сервер безопасности разделен от других сетей брандмауэром и/или NATом, необходимые сетевые соединения от и к Серверу Безопасности разрешены (справочные данные: 1.4; 1.5; 1.6; 1.7). Задействование вспомогательных сервисов необходимых для функционирования и управления операционной системой (такие как DNS, NTP и SSH) не входят в рамки данного руководства; | * Если сервер безопасности разделен от других сетей брандмауэром и/или NATом, необходимые сетевые соединения от и к Серверу Безопасности разрешены (справочные данные: 1.4; 1.5; 1.6; 1.7). Задействование вспомогательных сервисов необходимых для функционирования и управления операционной системой (такие как DNS, NTP и SSH) не входят в рамки данного руководства; | ||
| Строка 73: | Строка 75: | ||
| <code>echo "LC_ALL=en_US.UTF-8" | sudo tee -a /etc/environment</code> | <code>echo "LC_ALL=en_US.UTF-8" | sudo tee -a /etc/environment</code> | ||
| - | * Cоздать административного пользователя (пункт 1.3) выполнив команду и заменив <local_user> на любое другое имя | + | * Cоздать административного пользователя для доступа к вебморде Сервера Безопасности (пункт 1.3) выполнив команду и заменив <local_user> на любое другое имя |
| <code>sudo adduser <local_user> --shell=/usr/sbin/nologin --no-create-home</code> | <code>sudo adduser <local_user> --shell=/usr/sbin/nologin --no-create-home</code> | ||
| * Импортировать GPG ключ репозитория | * Импортировать GPG ключ репозитория | ||
| - | <code>wget -qO - https://deb.tunduk.kg/key.pub | sudo apt-key add - </code> | + | <code>wget -qO - https://deb.tunduk.kg/key.pub | sudo tee /etc/apt/keyrings/xroad.asc </code> |
| * Добавить репозиторий в список источников пакетов ОС | * Добавить репозиторий в список источников пакетов ОС | ||
| - | <code>echo "deb https://deb.tunduk.kg/ubuntu20.04-7.2.2 /" | sudo tee -a /etc/apt/sources.list.d/xroad.list</code> | + | <code>echo "deb [signed-by=/etc/apt/keyrings/xroad.asc] https://deb.tunduk.kg/ubuntu22.04-7.2.2 /" | sudo tee -a /etc/apt/sources.list.d/xroad.list</code> |
| * Произвести обновление обновление системы | * Произвести обновление обновление системы | ||
| <code>sudo apt-get update && sudo apt-get -y full-upgrade</code> | <code>sudo apt-get update && sudo apt-get -y full-upgrade</code> | ||
| Строка 100: | Строка 102: | ||
| sudo ufw allow out 123/udp | sudo ufw allow out 123/udp | ||
| </code> | </code> | ||
| - | Включение фаерволла | ||
| - | |||
| - | ''Заметка: если вы управляете сервером посредством ssh сессия может прерваться'' | ||
| - | <code>sudo ufw enable</code> | ||
| Разрешение удаленного подключения к интерфейсу администратора сервера безопасности. | Разрешение удаленного подключения к интерфейсу администратора сервера безопасности. | ||
| - | <code>sudo ufw allow from INTERNAL_IP to any port 4000 proto tcp</code> | + | <code>sudo ufw allow from ВАШ_IP to any port 4000 proto tcp</code> |
| - | <note tip>Опционально, добавьте подключение по ssh к серверу если такое требуется.</note> | + | Разрешение удаленного подключения к ssh порту сервера безопасности. |
| + | <code>sudo ufw allow from ВАШ_IP to any port 22 proto tcp</code> | ||
| + | |||
| + | Разрешение к выполнению запросов к http порту информационной системы сервера безопасности. | ||
| + | <code>sudo ufw allow from ВАШ_IP to any port 80 proto tcp</code> | ||
| + | |||
| + | Разрешение к выполнению запросов к https порту информационной системы сервера безопасности. | ||
| + | <code>sudo ufw allow from ВАШ_IP to any port 443 proto tcp</code> | ||
| + | |||
| + | Включение фаервола | ||
| + | ''Заметка: если вы управляете сервером посредством ssh сессия может прерваться, если вы не добавили разрешающее правило'' | ||
| + | <code>sudo ufw enable</code> | ||
| ==== 2.5 Установка программного обеспечения сервера безопасности ==== | ==== 2.5 Установка программного обеспечения сервера безопасности ==== | ||
| * Чтобы установить программное обеспечение сервера безопасности X-Road, выполните следующие действия. | * Чтобы установить программное обеспечение сервера безопасности X-Road, выполните следующие действия. | ||
| - | <code>sudo apt-get install net-tools xroad-securityserver xroad-addon-opmonitoring xroad-addon-hwtokens libccid pcscd pcsc-tools unzip </code> | + | <code>sudo apt-get install net-tools xroad-securityserver xroad-addon-opmonitoring</code> |
| - | <note tip>xroad-addon-hwtokens, libccid, pcscd, pcsc-tools - эти пакеты предоставляют PC/SC-драйвер для считывателей смарт-карт, подключаемых через USB, и различные инструменты командной строки для взаимодействия со смарт-картами. Не устанавливайте эти пакеты, если не планируете использовать RuToken. | ||
| - | </note> | ||
| === При первой установке пакетов система запросит следующую информацию. === | === При первой установке пакетов система запросит следующую информацию. === | ||
| - | * Имя учетной записи для пользователя, которому будут предоставлены права на выполнение всех действий в пользовательском интерфейсе (смотрите пункт: 1.3). | + | * Имя учетной записи для пользователя, которому будут предоставлены права на выполнение всех действий в пользовательском интерфейсе (смотрите пункт: 1.3). Которые вы задали командой <code>sudo adduser <local_user> --shell=/usr/sbin/nologin --no-create-home</code> |
| * Уникальное имя самоподписанного TLS сертификата (Subject DN) и его альтернативные имена (subjectAltName) (смотрите пункт: 1.8; 1.10). | * Уникальное имя самоподписанного TLS сертификата (Subject DN) и его альтернативные имена (subjectAltName) (смотрите пункт: 1.8; 1.10). | ||
| - | <note important>Этот сертификат используется для защиты сетевого соединения интерфейса пользователя. В качестве значений по умолчанию предлагаются имя хоста и IP-адреса, обнаруженные в операционной системе.</note> | + | <note important>Этот сертификат используется для защиты сетевого соединения интерфейса пользователя. В качестве значений по умолчанию предлагаются имя хоста и IP-адреса, обнаруженные в операционной системе. Можете нажать <enter> и оставить по умолчанию</note> |
| - | * Subject DN должен вводится в следующем формате: | + | * Можете нажать <enter> и оставить по умолчанию, Subject DN должен вводится в следующем формате: |
| <code>/CN=server.domain.tld</code> | <code>/CN=server.domain.tld</code> | ||
| - | * Все используемые IP-адреса и имена доменов должны быть введены в качестве альтернативных имен в формате: | + | * Можете нажать <enter> и оставить по умолчанию, Все используемые IP-адреса и имена доменов должны быть введены в качестве альтернативных имен в формате: |
| <code>IP:1.2.3.4,IP:4.3.2.1,DNS:servername,DNS:servername2.domain.tld</code> | <code>IP:1.2.3.4,IP:4.3.2.1,DNS:servername,DNS:servername2.domain.tld</code> | ||
| - | * Уникальное имя владельца сертификата TLS, используемого для обеспечения доступа информационных систем к точке доступа HTTPS (смотрите пункт: 1,8; 1.11). В качестве значений по умолчанию предлагаются имя и IP-адреса, обнаруженные в системе. | + | * Можете нажать <enter> и оставить по умолчанию, Уникальное имя владельца сертификата TLS, используемого для обеспечения доступа информационных систем к точке доступа HTTPS (смотрите пункт: 1,8; 1.11). В качестве значений по умолчанию предлагаются имя и IP-адреса, обнаруженные в системе. |
| * Subject DN должен вводится в следующем формате: | * Subject DN должен вводится в следующем формате: | ||
| <code>/CN=server.domain.tld</code> | <code>/CN=server.domain.tld</code> | ||
| Строка 134: | Строка 142: | ||
| <code>IP:1.2.3.4,IP:4.3.2.1,DNS:servername,DNS:servername2.domain.tld</code> | <code>IP:1.2.3.4,IP:4.3.2.1,DNS:servername,DNS:servername2.domain.tld</code> | ||
| - | |||
| - | ==== 2.6 Установить Поддержку аппаратных токенов (Smart-card, USB Token, Hardware Security Module) ==== | ||
| - | |||
| - | <note warning>ВНИМАНИЕ! | ||
| - | Данный раздел является ОПЦИОНАЛЬНЫМ. Можно использовать только SoftToken, и на нём выпустить дополнительно LABEL SIGN.</note> | ||
| - | |||
| - | <note warning>В данном разделе инструкция описана относительно использования Rutoken ЭЦП 2.0 | ||
| - | Для высоконагруженных и промышленных масштабов требуется использовать HSM оборудование так как | ||
| - | USB токены имеют ограниченные возможности и могут со временем не справляться с высокий нагрузкой.</note> | ||
| - | |||
| - | * Для установки Rutoken ЭЦП 2.0 произведите следующие действия | ||
| - | |||
| - | <code> sudo apt-get install opensc-pkcs11 opensc </code> | ||
| - | добавить в конец файла /etc/xroad/devices.ini следующие строки выполнив команду | ||
| - | <code>echo "[Rutoken] | ||
| - | library = /usr/lib/x86_64-linux-gnu/pkcs11/opensc-pkcs11.so" | sudo tee -a /etc/xroad/devices.ini</code> | ||
| - | |||
| - | |||
| - | Отформатировать токен | ||
| - | <code>sudo pkcs15-init --erase-card -p rutoken_ecp</code> | ||
| - | |||
| - | Задать Пин код администратора токена. (Сгенерируйте свой пин код) | ||
| - | <code>sudo pkcs15-init --create-pkcs15 --so-pin "Sheich0e" --so-puk ""</code> | ||
| - | |||
| - | Задать пин код пользователя токена используя пин администратора. (Сгенерируйте свой пин код) | ||
| - | <code>sudo pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "Xo7ahkup" --puk "" --so-pin "Sheich0e" --finalize</code> | ||
| - | |||
| - | <note warning>**Важно**: Надежно сохранить сгенерированные ПИНы | ||
| - | Если пин каким-то образом будет утерян, придётся перевыпускать сертификаты и покупать новый RuToken, если таковой имеется.</note> | ||
| == Установка сервера безопасности завершена == | == Установка сервера безопасности завершена == | ||
| - | Далее необходимо перезагрузить систему | + | Далее необходимо перезагрузить систему. |
| - | <code>sudo reboot</code> | + | <code>reboot</code> |
| ==== 2.7 Проверка сервера после установки ==== | ==== 2.7 Проверка сервера после установки ==== | ||
| Строка 199: | Строка 178: | ||
| <note warning> **Важно**: Надежно сохранить сгенерированные ПИНы | <note warning> **Важно**: Надежно сохранить сгенерированные ПИНы | ||
| - | Если пин каким-то образом будет утерян, придётся перевыпускать сертификаты.</note> | + | Если пин каким-то образом будет утерян, необходимо будет перевыпускать сертификаты.</note> |
| ==== 3.1 Предпосылки ==== | ==== 3.1 Предпосылки ==== | ||
| Строка 225: | Строка 204: | ||
| с помощью веб браузера (смотрите пункт: 1.8; 1.6). Чтобы войти, используйте имя пользователя заданного во время установки (смотрите пункт: 1.3). | с помощью веб браузера (смотрите пункт: 1.8; 1.6). Чтобы войти, используйте имя пользователя заданного во время установки (смотрите пункт: 1.3). | ||
| - | |||
| - | |||
| При первом входе в систему система запрашивает следующую информацию.. | При первом входе в систему система запрашивает следующую информацию.. | ||
| Файл привязки глобальной конфигурации(The global configuration anchor file) (смотрите пункт: 2.1). | Файл привязки глобальной конфигурации(The global configuration anchor file) (смотрите пункт: 2.1). | ||
| Проверьте значение хеша привязки с опубликованным значением. Файл привязки можно получить у администратора СМЭВ "Тундук" | Проверьте значение хеша привязки с опубликованным значением. Файл привязки можно получить у администратора СМЭВ "Тундук" | ||
| - | |||
| - | |||
| Если конфигурация успешно загружена, система запрашивает следующую информацию. | Если конфигурация успешно загружена, система запрашивает следующую информацию. | ||
| Строка 249: | Строка 224: | ||
| ==== 3.5 Генерация ключей и запросов на подписание сертификатов ==== | ==== 3.5 Генерация ключей и запросов на подписание сертификатов ==== | ||
| - | <note warning>Внимание. Создание ключей и генерация сертификатов доступна только с версии 7.2.2 и выше. Если Вы сгенерируете сертификаты версией ниже, они работать не будут!</note> | + | После после того как начальная конфигурация сервера была задана необходимо ввести пины программного токена. |
| - | + | ||
| - | После после того как начальная конфигурация сервера была задана необходимо ввести пины программного и аппаратного токенов (если устанавливали аппаратный токен). | + | |
| Вверху в разделе Keys and Certificates заходим в нужный нам Token и нажимаем Add key. | Вверху в разделе Keys and Certificates заходим в нужный нам Token и нажимаем Add key. | ||
| Строка 279: | Строка 252: | ||
| <note warning>Затем необходимо отправить два запроса (скачанных файла auth_csr_*.der и sign_csr_*.der) на подписание в Удостоверяющий Центр (на почту __**kuc@infocom.kg**__) и дождаться сертификатов от удостоверяющего центра.</note> | <note warning>Затем необходимо отправить два запроса (скачанных файла auth_csr_*.der и sign_csr_*.der) на подписание в Удостоверяющий Центр (на почту __**kuc@infocom.kg**__) и дождаться сертификатов от удостоверяющего центра.</note> | ||
| - | <note warning><color #ed1c24>**Внимательно прочитайте все условия и заключите соглашение с компанией инфоком**</color> - https://infocom.kg/ru/pki/</note> | + | <note warning><color #ed1c24>**Внимательно прочитайте все условия и заключите соглашение с компанией ГУ «Кызмат»**</color> - https://gukyzmat.gov.kg/pki</note> |
| - | <note tip>Совет! Чтобы каждый раз после перезагрузки сервера не вводить SoftToken Pin - рекомендуется к прочтению данная статья - [[мануал_security_server_автологин_на_softtoken| Autologin on SoftToken]]</note> | + | |
| + | Список документов для юридических лиц для получения ЭП для СМЭВ Тундук: | ||
| + | |||
| + | - Соглашение о присоединении к Регламенту УЦ ГУ «Кызмат». | ||
| + | - Доверенность Пользователя УЦ для представителей юридических лиц. | ||
| + | - Копия паспорта пользователя УЦ; | ||
| + | - Копия приказа о назначении на должность Уполномоченного лица (для юридических лиц); | ||
| + | - Копия приказа о назначении руководителя организации (для юридических лиц); | ||
| + | - Копия свидетельства о государственной регистрации/ перерегистрации юридического лица (для юридических лиц); | ||
| + | - Сопроводительное письмо в адрес ГУ "Кызмат". | ||
| + | |||
| + | |||
| + | <note tip>Совет! Чтобы каждый раз после перезагрузки сервера не вводить SoftToken Pin - рекомендуется к прочтению данная статья - [[autologin-softtoken-722-ubuntu2204|Автологин на SoftToken]]</note> | ||
| ==== 3.8 Импорт сертификатов и Регистрация ==== | ==== 3.8 Импорт сертификатов и Регистрация ==== | ||
| Строка 287: | Строка 272: | ||
| После получения от УЦ сертификатов их необходимо импортировать нажав на кнопку Import cert. Импортировать необходимо оба (2 auth и sign) сертификата на странице keys and certificates. Также рядом с сертификатом auth.cer необходимо нажать кнопку "register" после чего ввести dns-имя сервера или внешний айпи адрес. Статус обновится с "saved" на "registration in progress". | После получения от УЦ сертификатов их необходимо импортировать нажав на кнопку Import cert. Импортировать необходимо оба (2 auth и sign) сертификата на странице keys and certificates. Также рядом с сертификатом auth.cer необходимо нажать кнопку "register" после чего ввести dns-имя сервера или внешний айпи адрес. Статус обновится с "saved" на "registration in progress". | ||
| - | <note warning>Теперь когда горит стату "registration in progress" необходимо передать аутентификационный сертификат (auth.cer) сервера Администраторам центра электронного взаимодействия ГП Тундук.</note> | + | И дождаться подтверждения регистрации в системе - около 10-15 минут. |
| - | + | ||
| - | И дождаться подтверждения регистрации в системе. | + | |
| После того, как Центр электронного взаимодействия одобрит вашу регистрацию в системе установка сервера безопасности завершена. | После того, как Центр электронного взаимодействия одобрит вашу регистрацию в системе установка сервера безопасности завершена. | ||
| - | <note tip>После активации сертификатов со стороны ГП Тундук, не забудьте активировать этот сертификат у себя на стороне. Нажать на сертификат, далее кнопку "Activate"</note> | + | <note tip>После активации сертификатов со стороны ОАО «Тундук», не забудьте активировать этот сертификат у себя на стороне. Нажать на сертификат, далее кнопку "Activate"</note> |
| {{ :activate.png?nolink |}} | {{ :activate.png?nolink |}} | ||
| - | <note warning>Следующий важный шаг - регистрация подсистемы. [[registration-on-security-server|Регистрация клиента сервера безопасности]]</note> | + | <note warning>Следующий важный шаг - регистрация подсистемы. [[registration-on-security-server-722-ubuntu2204|Регистрация подсистемы (сабсистемы/subsystem) на сервере безопасности 7.2.2 Ubuntu 22.04]]</note> |
| Строка 304: | Строка 287: | ||
| ---- | ---- | ||
| - | Автор Даниил Горбенко | + | Автор Даниил Горбенко, Кирилл Захаров |
install-security-server-new.1739424083.txt.gz · Последние изменения: 2025/02/13 05:21 — infra
Инструменты страницы
