Suomi.fi-palveluväylä –
Uuden palvelun lisääminen liityntäpalvelimelle

Print Friendly, PDF & Email


Tämän ohjeen avulla lisätään uusi palvelu liityntäpalvelimelle.

HUOM! Tämä ohje soveltuu liityntäpalvelimen versioille 6.9.x ja sitä uudemmille. Vanhempien versioiden ohjeet löytyvät PDF-muodossa seuraavasta linkistä:

Uuden palvelun lisääminen liityntäpalvelimelle


Katso Youtube video palvelun lisäämisestä liityntäpalvelimelle täältä. Videolla käydään alla olevan ohjeen kohdat yksitellen läpi.


Uuden palvelun lisääminen tapahtuu liityntäpalvelimen hallintakäyttöliittymän kautta. Palvelun lisääminen tehdään ilmoittamalla palvelun rajapintakuvauksen sisältämän WSDL-kuvauksen URL-osoite liityntäpalvelimelle. Yksi WSDL-kuvaus voi sisältää yhden tai useamman palvelun rajapintakuvauksen. Liityntäpalvelimelle voidaan lisätä useita eri WSDL-kuvauksia.

Liityntäpalvelimen hallintakäyttöliittymän osoite on https://{host}:4000/, jossa host-korvataan oman liityntäpalvelimen host-nimellä.

WSDL-kuvauksen lisääminen

1. Kirjaudu sisälle liityntäpalvelimen hallintakäyttöliittymään. Kirjautumisen jälkeen näytölle avautuu listaus liityntäpalvelimelle lisätyistä alijärjestelmistä (subsystem).

2. Valitse listauksesta alijärjestelmä, jonka alle haluat uuden palvelun lisätä. Klikkaa oikeassa reunassa olevaa Services-painiketta TAI vaihtoehtoisesti sen oikealla puolella olevaa Internal Servers -painiketta, jos liityntäpalvelin tulee kutsumaan liitettävää palvelua HTTPS-protokollaa käyttäen.

3. Services -välilehti näyttää listauksen alijärjestelmään liitetyistä WSDL-kuvauksista. Yksittäinen WSDL-kuvaus voi sisältää yhden tai useamman palvelun rajapintakuvauksen. WSDL-kuvauksen sisältämät palvelut näytetään listauksena kyseisen WSDL-kuvauksen alapuolella. Klikkaa Add WSDL -painiketta lisätäksesi uuden WSDL-kuvauksen.

 

4. Add WSDL -ikkuna avautuu. Kopioi WSDL-kuvauksen URL-osoite URL -kenttään ja klikkaa OK -painiketta.

5. WSDL-kuvaus on lisätty valitun alijärjestelmän palvelut näyttävään listaukseen ja se on oletuksena passiviisessa tilassa. Valitse WSDL-kuvaus klikkaamalla kerran sen URL-osoitetta ja klikkaa tämän jälkeen Enable -painiketta. Klikkaamalla WSDL-tekstin edessä olevaa plus-merkkiä avautuu rivin alapuolelle listaus WSDL:n sisältämistä palveluista.

6. WSDL-kuvaus on nyt aktivoitu. Kuvaukseen liittyvien palveluiden käyttöoikeuksien määritteleminen tapahtuu valitsemalla ensin haluttu palvelu ja sen jälkeen klikkaamalla Access Rights -painiketta.

7. Avautuvassa ikkunassa on listaus alijärjestelmistä, joilla on oikeudet valitun palvelun käyttöön. Lisätäksesi uuden käyttöoikeuden klikkaa Add Subjects -painiketta.

8. Klikkaa Search-painiketta, jonka jälkeen näet listauksen kaikista palveluväylään liittyneistä organisaatioista ja niiden alijärjestelmistä. Valitse listauksesta alijärjestelmä, jolle käyttöoikeus annetaan ja klikkaa Add Selected to ACL -painiketta.

HUOM! Käyttöoikeuksien antaminen tulee tehdä aina alijärjestelmätasolla, ei koskaan organisaatiotasolla.

9. Valitulla alijärjestelmällä on nyt oikeudet palvelun käyttöön. Sulje ikkuna klikkaamalla Close -painiketta.

10. Valitun palvelun nimen perässä suluissa oleva numero on kasvanut yhdellä uuden käyttöoikeuden lisäämisen myötä. Mikäli numero on nolla, ei yhdelläkään alijärjestelmällä vielä ole oikeuksia palvelun käyttöön. Numeron päivittyminen saattaa vaatia Services -välilehden avaamisen uudelleen.

11. Palvelun URL-osoitteen vieressä näkyvä lukkosymboli ilmaisee käyttääkö liityntäpalvelin palvelun kutsumisessa HTTP-protokollaa (avoin lukko, harmaa), HTTPS-protokollaa ilman varmenteen verifiointia (suljettu lukko, keltainen) vai HTTPS-protokollaa varmenteen verifioinilla (suljettu lukko, vihreä).

12. Yksittäisen palvelun asetuksia pääsee muokkaamaan valitsemalla muokattavan palvelun ja klikkaamalla Edit -painiketta. Edit Service Parameters -ikkunan kautta on mahdollista muokata palvelun URL-osoitetta ja palvelukutsujen aikakatkaisun rajaa sekä määritellä verifioidaanko palvelun varmenne käytettäessä HTTPS-yhteyttä. Service URL -parametrin arvo luetaan oletusarvoisesti WSDL-kuvauksesta.

2 Palvelun yhteysasetukset

1. Liityntäpalvelin voi kutsua liitettävää palvelua käyttäen HTTP tai HTTPS -protokollaa. Jos käytetään HTTPS -protokollaa ja halutaan verifioida liitettävän palvelun varmenne, on varmenteen oltava liityntäpalvelimen tiedossa. Varmenne lisätään Internal Servers -välilehdeltä kohdasta Internal TLS Certificates. Jos varmennetta ei verifioida, kelpaa liityntäpalvelimelle mikä hyvänsä varmenne, myös ns. self-signed. Jos liitettävä palvelu vaatii TLS -asiakasvarmennetta, lähettää liityntäpalvelin oman sisäisen varmenteensa (tarvittaessa ladattavissa kohdasta Security Server Certificate -> Export).

HTTPS-protokollaa käytettäessä liitettävän palvelun varmenne on lisättävä liityntäpalvelimelle lisäksi myös käyttöjärjestelmätasolla erillisen ohjeen mukaisesti. Lisäys on tehtävä myös siinä tapauksessa, että varmennetta ei verifioida. Mikäli varmennetta ei lisätä liityntäpalvelimelle käyttöjärjestelmätasolla, ei liityntäpalvelin kykene hakemaan liitettävän palvelun WSDL-kuvausta. Varsinaiset palvelukutsut ja WSDL-kuvauksen haku on toteutettu eri tavoilla, jonka vuoksi varmenteen lisääminen joudutaan tällä hetkellä tekemään kahteen kertaan.

Jos liitettävä palvelu vaatii TLS asiakasvarmennetta, lähettää liityntäpalvelin oman sisäisen varmenteensa (tarvittaessa ladattavissa kohdasta Security Server Certificate -> Export).

Liityntäpalvelimen ja liitettävän palvelun välisessä liikenteessä on oletuksena sallittu TLS 1.2 ja seuraavat PFS Cipher Suitet:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256*
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256*
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384*
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384*
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

(*) ei käytössä RHEL:ssä jos käytetään OpenJDK:ta.

Liityntäpalvelimen komentoriviltä voi alla olevan komennon avulla varmistaa, että liitettävä palvelu tukee liityntäpalvelimen edellyttämiä salausasetuksia.
openssl s_client -tls1_2 -cipher ’EDH+aRSA+AES:!SHA’ -connect

Mikäli liityntäpalvelin ei oletuksena salli tarvittavan Cipher Suiten tai protokollan käyttöä, voi uudet salausasetukset konfiguroida tiedostoon

 /etc/xroad/conf.d/local.ini.

Tiedostoon lisätyt arvot ylikirjoittavat muissa tiedostoissa määritellyt arvot, joten ne ovat aina ensisijaisesti käytössä. local.ini muutokset säilyvät myös liityntäpalvelimen päivityksen yli, sillä tiedostoa ei korvata päivitysasennuksessa. Jos haluat palauttaa käyttöön oletusarvon, poista itse määrittelemäsi asetus local.ini -tiedostosta.

Tehdyt muutokset saa käyttöön käynnistämällä xroad-proxy palvelun uudelleen.

Esimerkiksi IIS-palvelinten tapauksessa liityntäpalvelinten salausasetuksia on jouduttu laajentamaan seuraaviksi:

#local.ini
[proxy]
client-tls-protocols=TLSv1.1,TLSv1.2
client-tls-ciphers=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA

VersioMitä tehty / muutettuPvm/
henkilö
1.0Dokumentti julkaistu eSuomessa29.01.16 / NP
1.1Dokumentaatiota päivitetty17.06.16 / HH
1.2Ohjeet päivitetty versiolle 6.9.x20.01.17 / HH
1.3Lisätty linkki Youtuben ohjevideoon.21.12.2017 / HH

Yksilöintitunnus: 12345