Suomi.fi-palveluväylä-
Palvelinasennukseen ja varmennehakemuksiin liittyvää tietoa

Print Friendly, PDF & Email
 


Tällä sivulla kerrotaan tietoa liittyen palvelinasennuksiin ja varmennehakemuksiin. Kehitys-, testi- ja tuotantoympäristöt on käsitelty omina kohtinaan jos niiden välillä on eroavaisuuksia.


1. Käsitteet

Asiakas on Suomi.fi-palveluväylä Palveluun liittyvä organisaatio

FQDN (En. fully qualified domain nameon tietyn Internetissä olevan tietokoneen tai palvelimen täydellinen toimialuenimi. Esimerkiksi palvelin.vrk.fi

Liityntäpalvelin (en = Security Server) on X-Road-ratkaisun keskeinen komponentti, jonka kautta tietolähteiden ja tietojärjestelmien liittäminen palveluväylään tapahtuu.

Palvelu on Suomi.fi-palveluväylän kehitysympäristö

TSA (Time Stamping Authority) eli Aikaleimapalvelu on X-Road-ratkaisusta erillinen luotetun tahon ylläpitämä komponentti, joka tarjoaa varmennetun aikaleimapalvelun palveluväylän kautta lähetettyjen sanomien aikaleimaamiseen.

Ympäristö on Suomi.fi-palveluväylän käyttöympäristö. Suomessa käytössä olevat ympäristöt ovat kehitys- (FI-DEV), testi- (FI-TEST) ja tuotantoympäristö (FI). Lisätietoa ympäristöistä löytyy täältä.

X-Road on Virossa kehitetty ja käytössä oleva ohjelmisto, joka toimii osana kansallisen palveluväylän teknistä ydintä.

2. Tietoa ympäristöistä

 

2.1 Kehitysympäristö

Käytetyn X-Road ympäristön (instance) nimi: FI-DEV

Member code-tarkennuksia:

Käytettävä Y-tunnuksen kirjaamistapa: ilmoitettu Y-tunnus kirjataan Member codeksi ilman FI-etuliitettä, eli muodossa 0920632-0

Yksityishenkilöiden kohdalla käytetään Y-tunnuksen sijaan Member codena juoksevaa numerointia 0000001-0, 0000002-0 jne.

  • Yksityishenkilön liittyessä liityntäilmoituksen Y-tunnuksen voi jättää tyhjäksi, palveluväylän ylläpito ilmoittaa käytetyn Member coden
  • Yksityishenkilön Member name on merkkijono, jossa etunimi ja sukunimi on kirjoitettu yhteen, esim. MattiMeikäläinen

Liittyvien jäsenten luokittelu, Member Classes

  • GOV: valtionhallinnon laitokset
  • COM: kaupalliset toimijat
  • PRI: yksityishenkilöt

Liityntäpalvelimen DNS-host-nimessä (käytä aina pieniä kirjaimia) täytyy olla mukana organisaation nimi tai virallinen lyhenne, esim. CSC:n ollessa kyseessä

  • csclp01.csc.fi
  • liityntäpalvelimen Server code on siis tässä tapauksessa: csclp01

Ilmoitettujen yhteyshenkilöiden rooli

  • Järjestelmään tehtävät muutospyynnöt, esim. alijärjestelmien lisääminen, palomuurien porttiavaukset ym. on tehtävä liittymispyynnössä ilmoitettujen yhteyshenkilöiden välityksellä.
  • Mikäli muutosten hallinta halutaan siirtää kolmannelle osapuolelle tai jo siirrettyyn muutosten hallintaan halutaan tehdä muutoksia, on vastaavan yhteyshenkilön ilmoitettava muutoksesta Palvelun ylläpidolle osoitteeseen palveluvayla@palveluvayla.fi

2.2 Testi- ja tuotantoympäristöt

Palveluväylän testiympäristön käytetyn palveluväyläinstanssin (instanceIdentifier) nimi on FI-TEST.
Palveluväylän tuotantoympäristön käytetyn palveluväyläinstanssin nimi on FI.

Huomioi Member code:en liittyvä tarkennus Y-tunnuksen kirjaamistavasta: ilmoitettu Y-tunnus kirjataan Member codeksi muodossa 0920632-0

Huom! Mikäli liittyvällä organisaatiolla ei ole Y-tunnusta, antaa palveluväylän ylläpito organisaatiolle Member code:na käytettävän tunnisteen.

Liittyvien jäsenten luokittelu, Member Classes:

GOV: valtionhallinnon laitokset
COM: kaupalliset toimijat
MUN: kunnat
EDU: opetus- ja koulutussektori
ORG: voittoa tavoittelemattomat organisaatiot, esim. yhdistykset ja säätiöt

Liityntäpalvelimen nimeämisestä:

  • Liityntäpalvelimen DNS-hostnimessä (käytä aina pieniä kirjaimia) täytyy olla mukana organisaation nimi tai virallinen lyhenne, esim. CSC:n ollessa kyseessä
  • csclp01.csc.fi, liityntäpalvelimen Server code on siis tässä tapauksessa: csclp01

Ennen asennusta seuraavien tietojen on oltava saatavilla, suluissa olevat ovat ohjeasennuksessa käytettyjä arvoja:

  • Palvelimen omistajan Member class: (GOV)
  • Palvelimen omistajan Member name: (VRK)
  • Palvelimen omistajan (Y-tunnus) Member code: (0245437-2)
  • Palvelimen nimi: vrklptest01

Käytä palvelimen nimessä aina pieniä kirjaimia.

Esimerkki testiympäristön nimeämisestä:

Palvelimen FQDN: vrklptest.csc.fi
Server Code: (vrklptest)

Esimerkki tuotantoympäristön nimeämisestä:

Palvelimen FQDN: (vrklpprod01.csc.fi)
Server Code: (vrklpprod01)

Server PIN:

  • vähintään 10 merkkiä pitkä merkkijono, jonka täytyy sisältää merkkejä vähintään kolmesta luokasta: pienet kirjaimet, isot kirjaimet, numerot, erikoismerkit
  • Laita PIN numero hyvään talteen: jos PIN hukkuu niin liityntäpalvelimen asennus täytyy tehdä uudestaan jotta PIN voidaan vaihtaa.

Mikäli käytössä on NAT:

  • Palvelimen yksityinen IP
    • IP:n on oltava muuttumaton
    • Mikäli käytetään DHCP:tä, on palvelimen saatava aina sama yksityinen IP-osoite
  • Palvelimen julkinen IP
    • Osoitteen on oltava muuttumaton

Mikäli käytössä on vain julkisia IP-osoitteita

  • Osoitteen on oltava muuttumaton

3. Sertifikaattien hakemisessa ja sertifikaattien luomisessa tarvittavaa tietoa

 

3.1 Palvelimen allekirjoitusvarmenteeseen (Sign-sertifikaatti) tarvittavat tiedot

Allekirjoitusvarmenteessa tarvittavat kentät:

C=<country> (aina = FI)
O=<organization>  (= organisaation nimi ilman ääkkösiä tai FI-DEV ympäristössä yksityishenkilön nimi ilman ääkkösiä)
CN=<memberCode>  (= organisaation Y-tunnus)
serialNumber=<instanceIdentifier/serverCode/memberClass/>

FI-DEV-instanssissa (kehitysympäristö)

Allekirjoitusvarmenne-esimerkki, kun organisaationa on yksityishenkilö (Matti Meikäläinen) ja palvelimen FQDN on vrklpdev01.oma.fi

C=FI
O=MattiMeikalainen
CN=0000001-0 (palveluväylän ylläpito täyttää automaattisesti yksityishenkilöillä. Organisaatioilla tähän tulee Y-tunnus)
serialNumber=FI-DEV/vrklpdev01/PRI/

Liityntäpalvelimen allekirjoitusvarmenteen luomisessa käytettävän Distinguished Name-kentän esimerkkisisältö ylläolevilla tiedoilla

C=FI, O=MattiMeikalainen, CN=0000001-0, serialNumber=FI-DEV/vrklpdev01/PRI

FI-TEST-instanssissa (testiympäristö)

Allekirjoitusvarmenne-esimerkki, kun organisaatio on Väestörekisterikeskus, Y-tunnus on 0245437-2 ja palvelimen FQDN on vrklptest01.csc.fi

C=FI
O=Vaestorekisterikeskus
CN=0245437-2
serialNumber=FI-TEST/vrklptest01/GOV/

Liityntäpalvelimen allekirjoitusvarmenteen luomisessa käytettävän Distinguished Name-kentän esimerkkisisältö ylläolevilla tiedoilla

C=FI, O=Vaestorekisterikeskus, CN=0245437-2, serialNumber=FI-TEST/vrklptest01/GOV

FI-instanssissa (tuotantoympäristö)

Allekirjoitusvarmenne-esimerkki, kun organisaatio on Väestörekisterikeskus, Y-tunnus on 0245437-2 ja palvelimen FQDN on vrklpprod01.csc.fi

C=FI
O=Vaestorekisterikeskus
CN=0245437-2
serialNumber=FI/vrklpprod01/GOV/

Liityntäpalvelimen allekirjoitusvarmenteen luomisessa käytettävän Distinguished Name-kentän esimerkkisisältö ylläolevilla tiedoilla

C=FI, O=Vaestorekisterikeskus, CN=0245437-2, serialNumber=FI/vrklpprod01/GOV

3.2 Palvelimen autentikointivarmenteeseen (Auth-sertifikaatti) tarvittavat tiedot

C=<country>  (aina = FI)
O=<organization>  (= organisaation nimi ilman ääkkösiä tai FI-DEV ympäristössä yksityishenkilön nimi ilman ääkkösiä)
CN=<commonName> (= palvelimen FQDN)
serialNumber=<instanceIdentifier/serverCode/memberClass/>

FI-DEV-instanssissa (kehitysympäristö)

Autentikointivarmenne-esimerkki, kun organisaationa on yksityishenkilö (Matti Meikäläinen) ja palvelimen FQDN on vrklpdev01.oma.fi

C=FI
O=MattiMeikalainen
CN=vrklpdev01.oma.fi
serialNumber=FI-DEV/vrklpdev01/PRI/

Liityntäpalvelimen autentikointivarmenteen luomisessa käytettävän Distinguished Name-kentän esimerkkisisältö ylläolevilla tiedoilla:

C=FI, O=MattiMeikalainen, CN=vrklpdev01.oma.fi, serialNumber=FI-DEV/vrklpdev01/PRI

FI-TEST-instanssissa (testiympäristö)

Autentikointivarmenne-esimerkki, kun organisaatio on Väestörekisterikeskus, Y-tunnus on 0245437-2 ja palvelimen FQDN on vrklptest01.csc.fi

C=FI
O=Vaestorekisterikeskus
CN=vrklptest01.csc.fi
serialNumber=FI-TEST/vrklptest01/GOV/

Liityntäpalvelimen autentikointivarmenteen luomisessä käytettävän Distinguished Name-kentän esimerkkisisältö ylläolevilla tiedoilla

C=FI,O=Vaestorekisterikeskus, CN=vrklptest01.csc.fi, serialNumber=FI-TEST/vrklptest01/GOV/

FI-instanssissa (tuotantoympäristö)

Autentikointivarmenne-esimerkki, kun organisaatio on Väestörekisterikeskus, Y-tunnus on 0245437-2 ja palvelimen FQDN on vrklpprod01.csc.fi

C=FI
O=Vaestorekisterikeskus
CN=vrklpprod01.csc.fi
serialNumber=FI/vrklpprod01/GOV/

Liityntäpalvelimen autentikointivarmenteen luomisessa käytettävän Distinguished Name-kentän esimerkkisisältö ylläolevilla tiedoilla

C=FI,O=Vaestorekisterikeskus, CN=vrklpprod01.csc.fi, serialNumber=FI/vrklpprod01/GOV/

3. Testi- ja tuotantoympäristön palvelinasennukset

Tuetut palvelinkäyttöjärjestelmät:

  • Ubuntu 14.04 LTS 64-bit, palvelinversio
  • Red Hat Enterprise Linux 7 (RHEL7)

Huomioi liityntäpalvelimiin liittyvät tekniset suositukset ja vaatimukset:

Palveluväyläohjelmiston asennusohjeet Ubuntu ja Red Hat Enterprise Linux (RHEL) löytyvät täältä:

4. Kehitysympäristö: huomioi nämä ennen ohjelmistojen palvelinasennusta

Ennen asennusta seuraavien tietojen olisi hyvä olla saatavilla, suluissa olevat ovat tässä asennuksessa käytettyjä esimerkki arvoja.

Tuetut palvelinkäyttöjärjestelmät:

  • Ubuntu 14.04 LTS 64-bit, palvelinversio
  • Red Hat Enterprise Linux 7 (RHEL7)

X-Road ympäristö (instance): (FI-DEV)

  • Palvelimen omistajan on oltava liitetty jäseneksi em. X-Road-ympäristöön (instance) seuraavin tiedoin
  • Palvelimen omistajan Member class: (GOV)
  • Palvelimen omistajan Member name (VRK)
  • Palvelimen omistajan (Y-tunnus) Member code: (0245437-2)

Palvelimen nimi: (pv6tvrklp01)

Käytä liityntäpalvelimen nimen host-osassa omistavan organisaation nimeä tai lyhennettä, esim. vrklp01.csc.fi tai csclp01.csc.fi

HUOM! Järjestelmä on merkkikokoriippuvainen (case-sensitive), käytä palvelimen nimissä aina pieniä kirjaimia!

Palvelimen FQDN: (pv6tvrklp01.csc.fi)

Server code: (pv6tvrklp01)

Server PIN:

  • vähintään 10 merkkiä pitkä merkkijono, jonka täytyy sisältää merkkejä vähintään kolmesta luokasta: pienet kirjaimet, isot kirjaimet, numerot, erikoismerkit
  • Laita PIN numero hyvään talteen: jos PIN hukkuu niin liityntäpalvelimen asennus täytyy tehdä uudestaan jotta PIN voidaan vaihtaa.

Mikäli käytössä on NAT

  • Palvelimen yksityinen IP: (10.10.20.29)
    • IP:n on oltava muuttumaton
    • Mikäli käytetään DHCP:tä, on palvelimen saatava aina sama yksityinen IP-osoite
  • Palvelimen julkinen IP: (193.166.24.159)
    • Osoitteen on oltava muuttumaton

Mikäli käytössä on vain julkisia IP-osoitteita

  • Palvelimen julkinen IP: (193.166.24.159)
  • Osoitteen on oltava muuttumaton

Palvelimen yksityinen IP on syytä laittaa /etc/hosts -tiedostoon, alla tämän palvelimen hosts-tiedoston kaksi ensimmäistä riviä

  • 127.0.0.1 localhost
  • 10.10.20.29 pv6tvrklp01 pv6tvrklp01.csc.fi

Mikäli palvelin keskustelee organisaation tietojärjestelmiin yksityisillä IP-osoitteilla, edellä mainitut osoitteet myös on syytä luetella /etc/hosts -tiedostossa

 

Muuta asennukseen liittyvää kehitysympäristössä

Helpoin tapa tehdä asennus – ainakin yksittäiselle koneelle – on kopioida tämän dokumentin komennot asennettavaan palvelimeen suoraan palvelimelle avatussa ssh-ikkunassa. Toki komennot voi myös kirjoittaa, mutta kirjoitusvirheen mahdollisuus kasvaa huomattavasti. Palvelun ylläpito suosittelee – lämpimästi – komentojen kopioimista. Otathan kuitenkin huomioon, että jotkin asetukset ovat palvelinkohtaisia; kaikkea ei voi kopioida ilman muutoksia.

Ubuntun näppäimistöasetusten muuttaminen tarvittaessa:

sudo apt-get install console-common
sudo dpkg-reconfigure console-data

OpenStack –ympäristössä tarvittava static hostname -asetus:

sudo nano /etc/cloud/cloud.cfg

preserve hostname: true

 


 Dokumentin tiedot

Versionro Mitä tehty Pvm/henkilö
 1.0 Dokumentti julkaistu eSuomessa 25.01.16 / PM, NP
 1.1 Dokumenttia päivitetty  22.09.16 / NP
 1.2 Testi- ja tuotantodokumentit yhdistetty  02.01.17 / NP
 1.3 Kehitysympäristön dokumentti yhdistetty.  07.04.17 / HH

Yksilöintitunnus: JTO21