Здесь показаны различия между двумя версиями данной страницы.
Следующая версия | Предыдущая версия | ||
upgrade_to_ubuntu_18.04 [2019/03/18 14:22] admin1 создано |
upgrade_to_ubuntu_18.04 [2019/03/19 06:24] (текущий) admin1 |
||
---|---|---|---|
Строка 6: | Строка 6: | ||
Перед началом обновления необходимо иметь следующую информацию о текущем сервере безопасности заполнив следующую таблицу: | Перед началом обновления необходимо иметь следующую информацию о текущем сервере безопасности заполнив следующую таблицу: | ||
+ | Таблица 1. | ||
^ № ^ Наименование параметра ^ значение ^ | ^ № ^ Наименование параметра ^ значение ^ | ||
|1| Security server Code | | | |1| Security server Code | | | ||
Строка 44: | Строка 45: | ||
* Сохраните всё содержимое директории **/var/lib/xroad/** на съемный носитель | * Сохраните всё содержимое директории **/var/lib/xroad/** на съемный носитель | ||
''Примечание: обеспечить хранение лога транзакций согласно принятой политики в организации'' | ''Примечание: обеспечить хранение лога транзакций согласно принятой политики в организации'' | ||
+ | |||
+ | |||
+ | ===== 5 Переустановка сервера безопасности ===== | ||
+ | |||
+ | * теперь можно переустановить ОС сервера безопасности | ||
+ | ''Примечание: данное руководство не описывает как устанавливать ОС Ubuntu 18.04 используйте [[https://help.ubuntu.com/lts/serverguide/index.html|официальную документацию]]'' | ||
+ | |||
+ | |||
+ | === установить ПО сервер безопасности === | ||
+ | Перед началом установки произвести предварительную настройку системы | ||
+ | * Глобально задать переменную окружения для установки локали системы | ||
+ | <code>echo "LC_ALL=en_US.UTF-8" >> /etc/environment</code> | ||
+ | |||
+ | * Cоздать административного пользователя (пункт 1.3) выполнив команду | ||
+ | <code>adduser admxroad --shell=/usr/sbin/nologin --no-create-home</code> | ||
+ | |||
+ | * Импортировать GPG ключ репозитория | ||
+ | <code>wget -qO - https://deb.ordo.gov.kg/key.pub | sudo apt-key add - </code> | ||
+ | * Добавить репозиторий в список источников пакетов ОС | ||
+ | <code>echo "deb https://deb.ordo.gov.kg/ubuntu18.04 /" | sudo tee -a /etc/apt/sources.list.d/xroad.list</code> | ||
+ | * Произвести обновление обновление системы | ||
+ | <code>sudo apt-get update && sudo apt-get -y dist-upgrade</code> | ||
+ | |||
+ | * Восстановить ранее сохраненные правила межсетевого экрана | ||
+ | |||
+ | Включение фаерволла | ||
+ | |||
+ | ''Заметка: если вы управляете сервером посредством ssh сессия может прерваться'' | ||
+ | <code>sudo ufw enable</code> | ||
+ | |||
+ | |||
+ | * Чтобы установить программное обеспечение сервера безопасности X-Road, выполните следующие действия. | ||
+ | <code>apt-get install xroad-securityserver xroad-addon-opmonitoring xroad-addon-hwtokens libccid pcscd pcsc-tools unzip net-tools </code> | ||
+ | |||
+ | === При первой установке пакетов система запросит следующую информацию. === | ||
+ | |||
+ | * Имя учетной записи для пользователя, которому будут предоставлены права на выполнение всех действий в пользовательском интерфейсе (смотрите пункт: 1.3). | ||
+ | * Уникальное имя самоподписанного TLS сертификата (Subject DN) и его альтернативные имена (subjectAltName) (смотрите пункт: 1.8; 1.10). Этот сертификат используется для защиты сетевого соединения интерфейса пользователя. В качестве значений по умолчанию предлагаются имя хоста и IP-адреса, обнаруженные в операционной системе. | ||
+ | * Subject DN должен вводится в следующем формате: | ||
+ | <code>/CN=server.domain.tld</code> | ||
+ | |||
+ | * Все используемые IP-адреса и имена доменов должны быть введены в качестве альтернативных имен в формате: | ||
+ | <code>IP:1.2.3.4,IP:4.3.2.1,DNS:servername,DNS:servername2.domain.tld</code> | ||
+ | |||
+ | * Уникальное имя владельца сертификата TLS, используемого для обеспечения доступа информационных систем к точке доступа HTTPS (смотрите пункт: 1,8; 1.11). В качестве значений по умолчанию предлагаются имя и IP-адреса, обнаруженные в системе. | ||
+ | * Subject DN должен вводится в следующем формате: | ||
+ | <code>/CN=server.domain.tld</code> | ||
+ | |||
+ | * Все используемые IP-адреса и имена доменов должны быть введены в качестве альтернативных имен в формате: | ||
+ | |||
+ | <code>IP:1.2.3.4,IP:4.3.2.1,DNS:servername,DNS:servername2.domain.tld</code> | ||
+ | |||
+ | |||
+ | |||
+ | == Установить Поддержку аппаратных токенов == | ||
+ | |||
+ | == Для установки JaCarta PKI произведите следующие действия == | ||
+ | |||
+ | Скачать драйвер | ||
+ | |||
+ | <code>cd /tmp && wget https://www.aladdin-rd.ru/support/downloads/279f1310-d83d-4858-ba13-ecdbe0d37530/get -O JaCarta.zip</code> | ||
+ | |||
+ | Распаковать архив | ||
+ | | ||
+ | <code>unzip JaCarta.zip</code> | ||
+ | |||
+ | перейти в директорию содержащую deb пакеты | ||
+ | |||
+ | <code>cd JaCarta_PKI_Linux/IDProtect\ Client\ 6.37.03/DEB/</code> | ||
+ | | ||
+ | и выполнить установку пакетов | ||
+ | |||
+ | <code>dpkg -i idprotectclient_637.03-0_amd64.deb idprotectclientlib_637.03-0_amd64.deb</code> | ||
+ | | ||
+ | добавить в конец файла /etc/xroad/devices.ini следующие строки выполнив команду | ||
+ | |||
+ | <code>echo "[JaCarta] | ||
+ | library = /lib64/libASEP11.so" | sudo tee -a /etc/xroad/devices.ini</code> | ||
+ | |||
+ | |||
+ | == Для установки Rutoken ЭЦП 2.0 произведите следующие действия == | ||
+ | |||
+ | <code> apt-get install opensc-pkcs11 opensc </code> | ||
+ | добавить в конец файла /etc/xroad/devices.ini следующие строки выполнив команду | ||
+ | |||
+ | <code>echo "[Rutoken] | ||
+ | library = /usr/lib/x86_64-linux-gnu/pkcs11/opensc-pkcs11.so" | sudo tee -a /etc/xroad/devices.ini</code> | ||
+ | |||
+ | |||
+ | == Установка сервера безопасности завершена == | ||
+ | Далее необходимо перезагрузить систему | ||
+ | |||
+ | <code>sudo reboot</code> | ||
+ | |||
+ | |||
+ | |||
+ | Установка выполнена успешно, если запущены системные службы и пользовательский интерфейс отвечает. | ||
+ | чтобы убедится что сервисы X-Road находятся в запущенном состоянии выполните в консоли (далее следует пример вывода): | ||
+ | |||
+ | |||
+ | <code>sudo systemctl list-units "xroad*"</code> | ||
+ | |||
+ | <code>UNIT LOAD ACTIVE SUB DESCRIPTION | ||
+ | xroad-confclient.service loaded active running X-Road confclient | ||
+ | xroad-jetty.service loaded active running X-Road Jetty server | ||
+ | xroad-monitor.service loaded active running X-Road Monitor | ||
+ | xroad-proxy.service loaded active running X-Road Proxy | ||
+ | xroad-signer.service loaded active running X-Road signer | ||
+ | </code> | ||
+ | |||
+ | Убедитесь что интерфейс пользователя сервера безопасности https://SECURITYSERVER:4000/ может быть открыт в веб браузере (смотрите пункт: 1.8; 1.6). | ||
+ | Для входа в интерфйс воспользуйтесь учетной записью пользователя, логин которого был выбран во время установки (смотрите пункт: 1.3). | ||
+ | Для запуска Веб интерфейса требуется некоторое время и вы можете увидеть ошибку "502 Bad Gateway". | ||
+ | |||
+ | ===== 6 Восстановление конфигурации сервера безопасности из резервной копии ===== | ||
+ | |||
+ | Теперь необходимо войти в интерфейс сервера безопасности. | ||
+ | |||
+ | {{:ss-login.png?400|}} | ||
+ | |||
+ | Далее импортируйте файл привязки глобальной конфигурации.Нажав кнопку **BROWSE** затем выберите файл привязки глобальной конфигурации и нажмите **IMPORT** | ||
+ | |||
+ | {{:ss-anchor-s.png|}} | ||
+ | |||
+ | В диалоговом окне подтвердите импорт глобальной конфигурации нажатием кнопки **CONFIRM** | ||
+ | |||
+ | {{:ss-anchror-confirm.png}} | ||
+ | |||
+ | Теперь необходимо ввести данные которые вы ранее собрали **смотрите таблица 1** | ||
+ | |||
+ | |||
+ | **''Примечание: все вводимые параметры должны строго соответствовать параметрам старого сервера безопасности''** | ||
+ | |||
+ | {{:ss-old-parameters.png|}} | ||
+ | |||
+ | Далее в диалоговом окне должно выйти предупреждение, нажать **CONTINUE** затем нажать **OK** | ||
+ | {{:ss-exixting-server-code-alert.png|}} | ||
+ | |||
+ | * Затем задаем Сервис Timestamp который будет использовать сервер | ||
+ | |||
+ | В левом меню в разделе CONFIGURATION => System Parameters =>Timestamping Services => ADD | ||
+ | Выбираем TSP | ||
+ | |||
+ | {{:ss-timestamp.png}} | ||
+ | |||
+ | |||
+ | После добавления Timestamp сервиса необходимо восстановить конфигурацию сервера безопасности из резервной копии. | ||
+ | В левом меню в разделе MANAGEMENT => Back Up and Restore нажать **UPLOAD BACKUP FILE** | ||
+ | {{:ss-upload-backup.png|}} | ||
+ | Нажать **BROWSE** и выбрать ранее сделанную резервную копию конфигурации, и нажать **OK** | ||
+ | |||
+ | И восстановить резервную копию конфигурации нажав кнопку **RESTORE** | ||
+ | {{:ss-restore-backup.png|}} | ||
+ | Подтвердить восстановление конфигурации нажав **CONFIRM** | ||
+ | {{:ss-restore-confirm.png|}} | ||
+ | После успешного восстановления конфигурации появится сообщение об успешном завершении восстановления. | ||
+ | {{:ss-restore-success.png|}} | ||
+ | |||
+ | Теперь осталось ввести пин коды ключевых носителей и сервер готов к работе. | ||
+ | На этом процедуры по миграции сервера безопасности завершены!!! | ||
+ |