Suomi.fi-palveluväylä –
Liityntäpalvelimen liittäminen testi- tai tuotantoympäristöön

Print Friendly, PDF & Email


Tämän ohjeen avulla liitetään liityntäpalvelin palveluväylän testi-tai tuotantoympäristön jäseneksi.

HUOM! Tämä ohje soveltuu liityntäpalvelimen versioille 6.9.x ja sitä uudemmille. Vanhempien versioiden ohjeet löytyvät PDF-muodossa seuraavista linkeistä:

Liityntäpalvelimen liittäminen testiympäristöön

Liityntäpalvelimen liittäminen tuotantoympäristöön


Katso Youtube videot liityntäpalvelimen konfiguroinnista täältä ja liityntäpalvelimen varmenteiden hallinnasta täältä. Videoilla käydään alla olevan ohjeen kohdat yksitellen läpi.


1 Palvelimen liittäminen Suomi.fi-palveluväylän testi- tai tuotantoympäristöön

Palveluväyläohjelmistojen asennuksen jälkeen liityntäpalvelin on vielä liitettävä palveluväyläinstanssin jäseneksi. Tämä ohje käy läpi liittämisen eri vaiheet. Ohjeen kuvat on otettu testiympäristöstä, joten instanssina näkyy FI-TEST. Tuotantoympäristössä vastaavissa paikoissa tulee näkyä instanssitunnus FI. Liittäminen molempiin ympäristöihin onnistuu seuraamalla tätä ohjetta. Kun ohjeistuksessa puhutaan liityntäympäristöstä, tarkoitetaan juuri valittua FI-TEST tai FI ympäristöä.

Palvelimen liittämiseen tarvitaan liityntäympäristön konfiguraatioankkuri, jonka saat palveluväylän ylläpidolta.

Ennen palvelimen asennuksen jatkamista, tarkista vielä, että liityntäpalvelin on liityntäympäristönsä ohjeistuksen mukainen:

Palvelinasennukseen ja varmennehakemuksiin liittyvää tietoa

1.1 Palvelimen perusasetusten määrittely

Ota selaimella yhteyttä hallintakäyttöliittymään, joka löytyy osoitteesta

https://{hostname}:4000

jossa {hostname} on asennetun liityntäpalvelimen hostname.

Selain vaatii vielä palvelimen sertifikaatin hyväksymistä erikseen (sivu voi näyttää erilaiselta käytettävästä selaimesta riippuen, kuvassa käytössä Google Chrome):

Mikäli palvelin on juuri asennettu, palveluiden käynnistyminen voi vielä olla kesken. Tällöin osoitteesta saattaa palautua nginx-virhesivu. Hallintakäyttöliittymä nousee ylös hetken odottelun jälkeen.

Palveluiden käynnistyttyä kirjaudu sisään asennuksessa määrittämälläsi tunnuksella ja salasanalla.

Tuo (Import) palveluväylän ylläpidolta saamasi konfiguraatioankkuri hakemalla se käyttöliittymään ja valitsemalla Import.

Hyväksy ankkurin tuominen järjestelmään; valitse Confirm.

Täytä tiedot alla olevan mukaisesti ja valitse Submit:

  • Member code: oman organisaatiosi Y-tunnus
  • Member Name: oman organisaatiosi nimi (järjestelmän pitäisi täydentää se automaattisesti)
    • Jos automaattinen täydennys ei toimi, tarkista, että palvelimesi pystyy ottamaan yhteyttä keskuspalvelimille portissa TCP/80. Yleensä syynä virheeseen on se, että palvelimeltasi ei ole sallittu ulospäin tehtävää yhteydenottoa keskuspalvelimelle.
  • Security Server code: palvelimen yksilöivä tunnus, tyypillisesti palvelimen nimen host-osa
  • PIN: käyttäjän palvelimen päättämä koodi, jonka pituus on vähintään 10 merkkiä. PIN-koodissa pitää olla merkkejä vähintään kolmesta luokasta: pienet kirjaimet, isot kirjaimet, numerot, erikoismerkit. PIN-koodi täytyy säilyttää turvallisessa paikassa.

Lopputilanne, mikäli asiat sujuivat oletetusti. Valitse OK.

Onnistuneen asennuksen jälkeinen käyttöliittymänäkymä:

Valitse vasemman reunan navigaatiovalikosta System Parameters.  Valitse Add kohdasta Timestamping Services.

Valitse TSA-palvelu ja jatka painamalla OK. Kuvassa käytetään paikallista TSA-palvelua, käytä käyttöliittymän ehdottamaa liityntäympäristön TSA-palvelua.

Tilanne onnistuneen TSA-asetusmuutoksen jälkeen. Valitsemasi TSA-palvelu on lisätty liityntäpalvelimen käyttöön.

1.2. Allekirjoitus- ja autentikointivarmenteiden allekijoituspyyntöjen luominen

Valitse navigaatiovalikosta Keys and Certificates ja taulukon Token -riviltä Enter PIN.

Kirjoita rekisteröinnin yhteydessä antamasi palvelimen PIN ja valitse OK.

Valitse Generate Key.

Syötä avaimen nimeksi jokin käyttötarkoitusta vastaava kuvaus, jotta luodun avaimen erottaa avainhallintasivun taulukosta helposti.

Jos Key-rivi ei ole aktiivinen, valitse se aktiiviseksi ja jatka valitsemalla Generate CSR.

Ensimmäisenä luodaan allekirjoitusvarmennepyyntö (Sign certfificate request).

Täytä tiedot seuraavan ohjeen mukaisesti::

  • Usage: Sign (varmista että alasvetovalikosta valittuna)
  • Client: tarkista, että valinta on oikein (valittuna oikea organisaatio Y-tunnuksen perusteella)
  • Certification Service: käytä VRK:n tuottamaa varmennepalvelua G3
    • Pudotusvalikkoon tulee automaattisesti näkyviin kaksi varmennepalvelua: G2 ja G3
      • Huom! Alla olevat kuvat ovat FI-TEST ympäristöstä. FI (Tuotanto) ympäristössä on vastaava valinta. Kummassakin ympäristössä valinta on siis G3.
  • CSR Format:  PEM

Valitse OK.

Syötä avautuvaan dialogiin aiemmin lisäämäsi liityntäpalvelimen omistavan organisaation nimi ja jatka painamalla OK.

Ota selaimen lataama varmennepyyntö talteen.

Luo uusi avain Keys and Certificates -näkymässä valitsemalla palvelimen Token ja painamalla Generate Key -nappia.

Anna luotavalle avaimelle sen käyttötarkoitusta kuvaava nimi ja paina OK.

Valitse luomasi avain ja jatka painamalla Generate CSR.

Seuraavaksi luodaan autentikointivarmennepyyntö:

Täytä tiedot kenttiin seuraavan ohjeen mukaisesti:

  • Usage: Auth
  • Certification Service: käytä VRK:n tuottamaa varmennepalvelua G3
    • Pudotusvalikkoon tulee automaattisesti näkyviin kaksi varmennepalvelua: G2 ja G3
      • Huom! Alla olevat kuvat ovat FI-TEST ympäristöstä. FI (Tuotanto) ympäristössä on vastaava valinta. Kummassakin ympäristössä valinta on siis G3.
  • CSR Format: PEM

Valitse OK.

Täytä avautuvaan dialogiin liityntäpalvelun omistajaorganisaation nimi ja palvelimen FQDN-nimi. Jatka painamalla OK.

Ota selaimen lataama allekirjoituspyyntö talteen.

Allekirjoituspyyntöjen käsittely

Sekä allekirjoitusvarmenteen, että autentikointivarmenteen allekirjoituspyynnöt tulee lähettää allekirjoitettavaksi palveluväylän ylläpidolle.

Mikäli liityntäympäristön vaaditut varmennehakemukset on toimitettu hyväksyttävästi, voi varmennepyynnöt lähettää osoitteeseen

palveluvayla@palveluvayla.fi.

Palveluväylän ylläpito palauttaa allekirjoitetut varmenteet, joiden asentaminen on ohjeistettu seuraavassa kappaleessa.

1.3. Allekirjoitettujen varmenteiden asennus

Allekirjoitetut varmenteet asennetaan liityntäpalvelimelle seuraavasti:

Keys and Certificates -näkymässä valitse luomasi autentikaatiovarmenteen allekirjoitusavain. Paina Import Certificate -nappia.

Paina Browse -nappia ja hae palveluväylän ylläpidolta saamasi allekirjoitettu autentikaatiovarmenne. Varmennetiedosto on luonnollisesti eri niminen kuin kuvassa.

Tämän jälkeen valitse OK.

Tilanne allekirjoitetun varmenteen asentamisen jälkeen:

Valitse luomasi allekirjoitusavain ja paina Import Certificate -nappia.

Paina Browse -nappia ja hae palveluväylän ylläpidolta saamasi allekirjoitettu autentikaatiovarmenne. Varmennetiedosto on luonnollisesti eri niminen kuin kuvassa.

Tämän jälkeen valitse OK.

Tilanne allekirjoitetun varmenteen asentamisen jälkeen:

Valitse asentamasi autentikaatiovarmenne ja paina Activate -nappia.

Valitse Register.

Anna palvelimen FQDN-nimi ja valitse OK.

Tässä vaiheessa näkymän pitäisi näyttää alla olevan kaltaiselta:

Kun palveluväylän ylläpito on rekisteröinyt palvelimesi, muuttuu näkymä seuraavaksi:

Liityntäpalvelimen liittäminen palveluväylään on nyt suoritettu.

Print Friendly, PDF & Email

VersioMitä tehty / muutettuPvm/
henkilö
1.0Dokumentti julkaistu. Testi- (FI-TEST) ja tuotantoympäristön (FI) ohje yhdistetty.20.01.2017 / HH
1.1Lisätty lukuun 1.2 tarkempi kuvaus & kuvankaappaukset ’Certification Service’ kentän oikeasta valinnasta.08.06.17 / HH
1.2.Lisätty linkit Youtuben konfigurointi- ja varmenteiden hallintavideoihin.21.12.17 / HH

Yksilöintitunnus: 12345