Инструменты пользователя
upgrade_to_ubuntu_18.04
Различия
Здесь показаны различия между двумя версиями данной страницы.
| Следующая версия | Предыдущая версия | ||
|
upgrade_to_ubuntu_18.04 [2019/03/18 14:22] admin1 создано |
upgrade_to_ubuntu_18.04 [2019/03/19 06:24] (текущий) admin1 |
||
|---|---|---|---|
| Строка 6: | Строка 6: | ||
| Перед началом обновления необходимо иметь следующую информацию о текущем сервере безопасности заполнив следующую таблицу: | Перед началом обновления необходимо иметь следующую информацию о текущем сервере безопасности заполнив следующую таблицу: | ||
| + | Таблица 1. | ||
| ^ № ^ Наименование параметра ^ значение ^ | ^ № ^ Наименование параметра ^ значение ^ | ||
| |1| Security server Code | | | |1| Security server Code | | | ||
| Строка 44: | Строка 45: | ||
| * Сохраните всё содержимое директории **/var/lib/xroad/** на съемный носитель | * Сохраните всё содержимое директории **/var/lib/xroad/** на съемный носитель | ||
| ''Примечание: обеспечить хранение лога транзакций согласно принятой политики в организации'' | ''Примечание: обеспечить хранение лога транзакций согласно принятой политики в организации'' | ||
| + | |||
| + | |||
| + | ===== 5 Переустановка сервера безопасности ===== | ||
| + | |||
| + | * теперь можно переустановить ОС сервера безопасности | ||
| + | ''Примечание: данное руководство не описывает как устанавливать ОС Ubuntu 18.04 используйте [[https://help.ubuntu.com/lts/serverguide/index.html|официальную документацию]]'' | ||
| + | |||
| + | |||
| + | === установить ПО сервер безопасности === | ||
| + | Перед началом установки произвести предварительную настройку системы | ||
| + | * Глобально задать переменную окружения для установки локали системы | ||
| + | <code>echo "LC_ALL=en_US.UTF-8" >> /etc/environment</code> | ||
| + | |||
| + | * Cоздать административного пользователя (пункт 1.3) выполнив команду | ||
| + | <code>adduser admxroad --shell=/usr/sbin/nologin --no-create-home</code> | ||
| + | |||
| + | * Импортировать GPG ключ репозитория | ||
| + | <code>wget -qO - https://deb.ordo.gov.kg/key.pub | sudo apt-key add - </code> | ||
| + | * Добавить репозиторий в список источников пакетов ОС | ||
| + | <code>echo "deb https://deb.ordo.gov.kg/ubuntu18.04 /" | sudo tee -a /etc/apt/sources.list.d/xroad.list</code> | ||
| + | * Произвести обновление обновление системы | ||
| + | <code>sudo apt-get update && sudo apt-get -y dist-upgrade</code> | ||
| + | |||
| + | * Восстановить ранее сохраненные правила межсетевого экрана | ||
| + | |||
| + | Включение фаерволла | ||
| + | |||
| + | ''Заметка: если вы управляете сервером посредством ssh сессия может прерваться'' | ||
| + | <code>sudo ufw enable</code> | ||
| + | |||
| + | |||
| + | * Чтобы установить программное обеспечение сервера безопасности X-Road, выполните следующие действия. | ||
| + | <code>apt-get install xroad-securityserver xroad-addon-opmonitoring xroad-addon-hwtokens libccid pcscd pcsc-tools unzip net-tools </code> | ||
| + | |||
| + | === При первой установке пакетов система запросит следующую информацию. === | ||
| + | |||
| + | * Имя учетной записи для пользователя, которому будут предоставлены права на выполнение всех действий в пользовательском интерфейсе (смотрите пункт: 1.3). | ||
| + | * Уникальное имя самоподписанного TLS сертификата (Subject DN) и его альтернативные имена (subjectAltName) (смотрите пункт: 1.8; 1.10). Этот сертификат используется для защиты сетевого соединения интерфейса пользователя. В качестве значений по умолчанию предлагаются имя хоста и IP-адреса, обнаруженные в операционной системе. | ||
| + | * Subject DN должен вводится в следующем формате: | ||
| + | <code>/CN=server.domain.tld</code> | ||
| + | |||
| + | * Все используемые IP-адреса и имена доменов должны быть введены в качестве альтернативных имен в формате: | ||
| + | <code>IP:1.2.3.4,IP:4.3.2.1,DNS:servername,DNS:servername2.domain.tld</code> | ||
| + | |||
| + | * Уникальное имя владельца сертификата TLS, используемого для обеспечения доступа информационных систем к точке доступа HTTPS (смотрите пункт: 1,8; 1.11). В качестве значений по умолчанию предлагаются имя и IP-адреса, обнаруженные в системе. | ||
| + | * Subject DN должен вводится в следующем формате: | ||
| + | <code>/CN=server.domain.tld</code> | ||
| + | |||
| + | * Все используемые IP-адреса и имена доменов должны быть введены в качестве альтернативных имен в формате: | ||
| + | |||
| + | <code>IP:1.2.3.4,IP:4.3.2.1,DNS:servername,DNS:servername2.domain.tld</code> | ||
| + | |||
| + | |||
| + | |||
| + | == Установить Поддержку аппаратных токенов == | ||
| + | |||
| + | == Для установки JaCarta PKI произведите следующие действия == | ||
| + | |||
| + | Скачать драйвер | ||
| + | |||
| + | <code>cd /tmp && wget https://www.aladdin-rd.ru/support/downloads/279f1310-d83d-4858-ba13-ecdbe0d37530/get -O JaCarta.zip</code> | ||
| + | |||
| + | Распаковать архив | ||
| + | | ||
| + | <code>unzip JaCarta.zip</code> | ||
| + | |||
| + | перейти в директорию содержащую deb пакеты | ||
| + | |||
| + | <code>cd JaCarta_PKI_Linux/IDProtect\ Client\ 6.37.03/DEB/</code> | ||
| + | | ||
| + | и выполнить установку пакетов | ||
| + | |||
| + | <code>dpkg -i idprotectclient_637.03-0_amd64.deb idprotectclientlib_637.03-0_amd64.deb</code> | ||
| + | | ||
| + | добавить в конец файла /etc/xroad/devices.ini следующие строки выполнив команду | ||
| + | |||
| + | <code>echo "[JaCarta] | ||
| + | library = /lib64/libASEP11.so" | sudo tee -a /etc/xroad/devices.ini</code> | ||
| + | |||
| + | |||
| + | == Для установки Rutoken ЭЦП 2.0 произведите следующие действия == | ||
| + | |||
| + | <code> apt-get install opensc-pkcs11 opensc </code> | ||
| + | добавить в конец файла /etc/xroad/devices.ini следующие строки выполнив команду | ||
| + | |||
| + | <code>echo "[Rutoken] | ||
| + | library = /usr/lib/x86_64-linux-gnu/pkcs11/opensc-pkcs11.so" | sudo tee -a /etc/xroad/devices.ini</code> | ||
| + | |||
| + | |||
| + | == Установка сервера безопасности завершена == | ||
| + | Далее необходимо перезагрузить систему | ||
| + | |||
| + | <code>sudo reboot</code> | ||
| + | |||
| + | |||
| + | |||
| + | Установка выполнена успешно, если запущены системные службы и пользовательский интерфейс отвечает. | ||
| + | чтобы убедится что сервисы X-Road находятся в запущенном состоянии выполните в консоли (далее следует пример вывода): | ||
| + | |||
| + | |||
| + | <code>sudo systemctl list-units "xroad*"</code> | ||
| + | |||
| + | <code>UNIT LOAD ACTIVE SUB DESCRIPTION | ||
| + | xroad-confclient.service loaded active running X-Road confclient | ||
| + | xroad-jetty.service loaded active running X-Road Jetty server | ||
| + | xroad-monitor.service loaded active running X-Road Monitor | ||
| + | xroad-proxy.service loaded active running X-Road Proxy | ||
| + | xroad-signer.service loaded active running X-Road signer | ||
| + | </code> | ||
| + | |||
| + | Убедитесь что интерфейс пользователя сервера безопасности https://SECURITYSERVER:4000/ может быть открыт в веб браузере (смотрите пункт: 1.8; 1.6). | ||
| + | Для входа в интерфйс воспользуйтесь учетной записью пользователя, логин которого был выбран во время установки (смотрите пункт: 1.3). | ||
| + | Для запуска Веб интерфейса требуется некоторое время и вы можете увидеть ошибку "502 Bad Gateway". | ||
| + | |||
| + | ===== 6 Восстановление конфигурации сервера безопасности из резервной копии ===== | ||
| + | |||
| + | Теперь необходимо войти в интерфейс сервера безопасности. | ||
| + | |||
| + | {{:ss-login.png?400|}} | ||
| + | |||
| + | Далее импортируйте файл привязки глобальной конфигурации.Нажав кнопку **BROWSE** затем выберите файл привязки глобальной конфигурации и нажмите **IMPORT** | ||
| + | |||
| + | {{:ss-anchor-s.png|}} | ||
| + | |||
| + | В диалоговом окне подтвердите импорт глобальной конфигурации нажатием кнопки **CONFIRM** | ||
| + | |||
| + | {{:ss-anchror-confirm.png}} | ||
| + | |||
| + | Теперь необходимо ввести данные которые вы ранее собрали **смотрите таблица 1** | ||
| + | |||
| + | |||
| + | **''Примечание: все вводимые параметры должны строго соответствовать параметрам старого сервера безопасности''** | ||
| + | |||
| + | {{:ss-old-parameters.png|}} | ||
| + | |||
| + | Далее в диалоговом окне должно выйти предупреждение, нажать **CONTINUE** затем нажать **OK** | ||
| + | {{:ss-exixting-server-code-alert.png|}} | ||
| + | |||
| + | * Затем задаем Сервис Timestamp который будет использовать сервер | ||
| + | |||
| + | В левом меню в разделе CONFIGURATION => System Parameters =>Timestamping Services => ADD | ||
| + | Выбираем TSP | ||
| + | |||
| + | {{:ss-timestamp.png}} | ||
| + | |||
| + | |||
| + | После добавления Timestamp сервиса необходимо восстановить конфигурацию сервера безопасности из резервной копии. | ||
| + | В левом меню в разделе MANAGEMENT => Back Up and Restore нажать **UPLOAD BACKUP FILE** | ||
| + | {{:ss-upload-backup.png|}} | ||
| + | Нажать **BROWSE** и выбрать ранее сделанную резервную копию конфигурации, и нажать **OK** | ||
| + | |||
| + | И восстановить резервную копию конфигурации нажав кнопку **RESTORE** | ||
| + | {{:ss-restore-backup.png|}} | ||
| + | Подтвердить восстановление конфигурации нажав **CONFIRM** | ||
| + | {{:ss-restore-confirm.png|}} | ||
| + | После успешного восстановления конфигурации появится сообщение об успешном завершении восстановления. | ||
| + | {{:ss-restore-success.png|}} | ||
| + | |||
| + | Теперь осталось ввести пин коды ключевых носителей и сервер готов к работе. | ||
| + | На этом процедуры по миграции сервера безопасности завершены!!! | ||
| + | |||
upgrade_to_ubuntu_18.04.1552918979.txt.gz · Последние изменения: 2019/03/18 14:22 — admin1
Инструменты страницы
