Anslutning av anslutningsservern till test- eller produktionsmiljön

I den här artikeln redogör vi för hur man efter installationen ansluter en anslutningsserver till Suomi.fi-informationsledens test- eller produktionsmiljö.

Efter att anslutningsserverprogrammen har installerats ska anslutningsservern ytterligare anslutas som instansmedlem, dvs. till en miljö i Informationsleden. Bilderna i denna anvisning är tagna från testmiljön, och därför visas FI-TEST som instans. I produktionsmiljön visas instansbeteckningen FI på motsvarande ställen. Enligt samma anvisning kan du ansluta en server till endera miljön. När det i anvisningarna talas om anslutningsmiljö avses alltså antingen miljön FI-TEST eller miljön FI.

Denna anvisning gäller också för utvecklingsmiljön. I utvecklingsmiljön används dock olika OCSP- och TSA-servrar och certifikattypen är inte G5R eller G2R.

Med hjälp av anvisningarna i artikeln kan du ansluta anslutningsservern till test - eller produktionsmiljön med den senaste versionen av Informationsledens X-Road. På sidan Versionsuppdateringar kan du kontrollera den version som används i Informationsleden.

Bekanta dig med videoserien som presenterar Informationsledens anslutningsprocess. I videorna går man tillsammans med exemplen igenom åtgärder som hänför sig till Informationsledens anslutningsprocess och testningen av den.

• Anvisningsvideor om andra skeden i Informationsledens anslutningsprocess (YouTube video på finska, textning på svenska)Öppnas i ett nytt fönster.. Obs! Videorna visar en gammal version av programvaran, men processen är fortfarande densamma.

Artikelns innehåll

1. Hur du inleder konfigurationen 
2. Hur du lägger till en TSA-server
3. Hur du skapar en begäran om signerings- och autentiseringscertifikat
4. Hur du installerar signeringscertifikat

Att observera då servern ska anslutas till test- eller produktionsmiljön

För att ansluta servern behövs ett konfigurationsankare (eng. configuration anchor) som fås från Informationsledens underhållsansvariga.

Innan du fortsätter med installationen, kontrollera att anslutningsservern följer anvisningarna för anslutningsmiljön.

Observera att du måste öppna de nödvändiga portarna på din server innan du definierar anslutningsservern. Läs mer om brandväggsöppningar i anvisningarna för teknisk ibruktagning i punkt 2. Öppna brändvägger.

Serverns inställningar

Du kan automatisera definitionen av anslutningsservern genom att använda automatiska administrationsskript (X-road Toolkit). Läs mer om hur anslutningsservern definieras med X-Road Toolkit.

Om du vill definiera anslutningsservern via det grafiska användargränssnittet, kontakta administrationsgränssnittet via webbläsaren på adressen

https://{hostname}:4000

där {hostname} är host-namnet på den installerade anslutningsservern.

Webbläsaren kräver att servercertifikatet ska godkännas separat. Sidan kan se annorlunda ut beroende på vilken webbläsare som används. På bilden är webbläsaren Google Chrome.

Bild: Godkännande av servercertifikat

Visa större bilden

Om servern har installerats alldeles nyss kan det hända att tjänsterna fortfarande håller på att startas. Administrationsgränssnittet öppnas efter en liten stund.

1. Hur du inleder konfigurationen

När tjänsterna har startat, logga in med användarnamnet och lösenordet som du definierade i samband med installationen av anslutningsserverprogrammet.

Bild: Logga in i administrationsgränssnittet

Visa större bilden

Lägg till konfigurationsankaret som du fick av Informationsledens undehållsansvariga i systemet. Välj Upload, sök konfigurationsankare och välj Continue för att fortsätta.

Bild: Importera konfigurationsankaret till systemet

Visa större bilden

Bekräfta importen av konfigurationsankaret genom att välja Confirm.

Om importen av konfigurationsankaret misslyckas, kontrollera att anslutningsservern får kontakt med centralservern i port TCP/80. En vanlig orsak till felet är att det inte är tillåtet att servern tar kontakt utåt till centralservern. Kontrollera anvisningarna som du tidigare fått från Informationsledens underhållsansvariga. Vid behov kontakta palveluvayla@palveluvayla.fiÖppnas i ett nytt fönster..

Bild: Bekräfta importen av ett konfigurationsankare

Visa större bilden

Fyll i följande uppgifter i det fönster som öppnas och välj Continue:

• Member Name: din organisations namn (systemet bör fylla i fältet automatiskt när rätt FO-nummer har angetts i fältet Member code). Obs! Om den automatiska ifyllningen inte fungerar efter att FO-numret har angetts i fältet Member code, kontakta palveluvayla@palveluvayla.fiÖppnas i ett nytt fönster.
• Member Class: identifieringskod för en enskild organisation, som ska vara unik åtminstone inom den valda organisationstypen (till exempel GOV: institutioner inom statsförvaltningen, COM: kommersiella aktörer)
• Member Code: din organisations FO-nummer
• Security Server Code: beteckning som identifierar anslutningsservern, vanligtvis host-delen av namnet.

Bild: Fyll i uppgifterna

Visa större bilden

Ange den PIN-kod (lösenordet) som installatören av anslutningsservern bestämt och vars längd är minst 10 tecken. PIN-koden ska innehålla tecken ur minst tre av följande kategorier: små bokstäver, stora bokstäver, siffror och specialtecken. Förvara PIN-koden på en säker plats.

Välj därefter Submit.

Bild: Ange PIN-koden

Visa större bilden

Om allt har gått rätt till borde vyn se ut så här. Den medlem som lagts till borde synas i "Saved"-läget.

Bild: Vy efter en lyckad installation

Visa större bilden

2. Hur du lägger till en TSA-tjänst

Välj System Parameters i navigeringsmenyn. I menyn som öppnas väljer du Add under Timestamping Services.

Bild: Sidan System Parameters

Visa större bilden

Välj TSA-tjänsten med Add-knappen. I nästa vyn väljs en lokal TSA-tjänst. Välj den TSA-tjänst för anslutningsmiljön som gränssnittet föreslår.

Obs! Vy i bilden nedan motsvarar konfigurationsfasen i utvecklingsmiljön (FI-DEV). Om du ansluter till testmiljön (FI-TEST) eller produktionsmiljön (FI), avviker vyn något från bilden när det gäller TSA-serveralternativen. I detta fall kan du välja vilket som helst av de fyra alternativen (till exempel DVV TSA 1).

Bild: Val av TSA-tjänst

Visa större bilden

Följande bild visar läget efter en lyckad ändring av TSA-inställningarna. TSA-tjänsten du valde har lagts till och kan användas av anslutningsservern.

Bild: Vy efter lyckad ändring av TSA-inställningar

Visa större bilden

3. Skapa en begäran om signerings- och autentiseringscertifikat

Välj Keys and Certificates i navigeringsmenyn och logga in med knappen Log in i Token-raden.

Bild: Sidan Keys and Certificates

Visa större bilden

Mata in serverns PIN-kod, som du angav i samband med registreringen, och logga in.

Bild: Här ska PIN-koden anges

Visa större bilden

3.1 Begäran om signeringscertifikat

Börja med att skapa en begäran om signeringscertifikat. Börja med att skapa nyckeln med knappen Add Key.

Bild: Första steget för att skapa en nyckel

Visa större bilden

Ge nyckeln ett namn som beskriver ändamålet. På det sättet är det enkelt att hitta nyckeln i tabellen på nyckeladministrationssidan. Gå vidare med knappen Next.

Bild: Namnge nyckel

Visa större bilden

Fyll i uppgifterna i begäran så här:

• Usage: Kontrollera att alternativet SIGNING är valt i rullgardinsmenyn.
• Client: Kontrollera att rätt organisation är vald i rullgardinsmenyn på basis av FO-numret.
• Certification Service: Använd certifikattjänsten som produceras av Myndigheten för digitalisering och befolkningsdata: i produktionsmiljön (FI) G5R och i testmiljön (FI-TEST) G2R.
• CSR Format: Välj PEM.

Gå vidare med knappen Continue.

Bild: Fyll i uppgifter i begäran om signeringscertifikat

Visa större bilden

I fönstret som öppnas matar du in FQDN-namnet (SAN) på den anslutningsservern som du tiditager lagt till och organisationen (O) som äger anslutningsservern. Klicka sedan på Generate CSR-knappen. Kontrollera att du matat in organisationens namn korrekt. Om namnet är felaktigt blir begäran om signeringscertifikat felaktig.

Bild: Här anger du namnet på anslutningsservern och organisationen

Visa större bilden

Spara begäran om signeringscertifikat som webbläsaren har laddat ner.

3.2 Begäran om autentiseringscertifikat

Nästa steg är att skapa en begäran om autentiseringscertifikat. Börja med att skapa en ny nyckel i fönstret Keys and Certificates: välj serverns Token och klicka på knappen Add Key.

Bild: Skapa en ny nyckel

Visa större bilden

Ge den nya nyckeln ett namn som beskriver användningsändamålet och välj Next.

Bild: Namnge den nya nyckeln

Visa större bilden

Fyll i uppgifterna i begäran så här:

• Usage: Kontrollera att alternativet AUTHENTICATION är valt i rullgardinsmenyn.
• Certification Service: Använd certifikattjänsten G5R som produceras av Myndigheten för digitalisering och befolkningsdata:i produktionsmiljön (FI) G5R och i testmiljön (FI-TEST) G2R.
• CSR Format: Välj PEM.

Gå vidare med knappen Continue.

Bild: Fyll i uppgifterna i begäran om autentiseringscertifikat

Visa större bilden

I fönstret som öppnas skriver du in namnet på den organisation (O) som äger anslutningsservern du lade till tidigare, samt serverns FQDN-namn (CN). Obs! Mata in namnet på anslutningsservern också i fältet Subject Alternative Name (SAN). Kontrollera att du matat in organisationens namn korrekt. Om uppgifterna är felaktiga blir begäran om autentiseringscertifikat felaktig.

Välj därefter Generate CSR.

Bild: Här anger du organisationens namn och serverns FQDN-namn och fyller i fältet SAN

Visa större bilden

Spara begäran om autentiseringscertifikat som webbläsaren har laddat ner.

3.3 Handläggningen av certifikatbegäran

Skicka de signerings- och autentiseringscertifikatbegäranden som du har skapat till Informationsledens underhållet för granskning till adressen palveluvayla@palveluvayla.fi Öppnas i ett nytt fönster.innan du gör de egentliga certifikatansökningarna i Myndigheten för digitalisering och befolkningsdatas (MDB) e-tjänst.

1. Rubricera meddelandet

Använd följande rubrik i meddelandet: ”Certifikatbegäranden för granskning”

2. Skriv meddelandets innehåll

Ange i meddelandet åtminstone följande uppgifter:

• namnet på den anslutande organisationen eller innehavaren av anslutningsservern
• anslutningsserverns FQDN
• bifoga de CSR-filer som du har skapat

3. Vänta på underhållets granskning

Informationsledens underhållet granskar certifikatbegärandena. När uppgifterna är korrekta får du anvisningar om hur du går vidare till nästa steg.

4. Gå vidare till den egentliga certifikatansökan i MDB:s e‑tjänst

Logga in i MDB:s e‑tjänst och fyll i certifikatansökningarna. Närmare anvisningar för ansökan finns här:

• Ansökan om Informationsledens certifikat i e-tjänster

5. Fortsätt med installationen av certifikaten

När du har tagit emot de signerade certifikaten från MDB kan du fortsätta med installationen av certifikaten från nästa steg i denna anvisning, 4. Installeringen av signerade certifikat.

4. Installeringen av signerade certifikat

Börja installeringen av de signerade certifikaten på anslutningsservern genom att gå till sidan Keys and Certificates. Lokalisera autentiseringscertifikatet du skapat på sidan och välj Import Cert. Importera ett signerat autentiseringscertifikat från MDB.

Bild: Importering av autentiseringscertifikat

Visa större bilden

Efter att det undertecknade autentiseringscertifikatet har installerats syns det i certifikatets Status-kolumn texten "Saved".

Bild: Vy efter installation av signerat autentiseringscertifikat

Visa större bilden

Upprepa de tidigare skedena för att importera signeringscertifikatet. Välj Import Cert. och importera signeringscertifikatet du fått från MDB.

Efter att signeringscertifikatet har installerats syns det i Status-kolumnen en grön cirkel och texten "Registered". Det är då korrekt installerat.

Bild: Vy efter installationen av ett signerat signeringscertifikat

Visa större bilden

Autentiseringscertifikatet måste också registreras separat. Börja med att välja Register.

Mata in serverns FQDN-namn och välj Add.

Bild: Här ska serverns FQDN-namn anges

Visa större bilden

Vid autentiseringscertifikatet borde det nu stå som "Status: Registration in progress". Informationsledens underhållsansvariga ska ännu godkänna registreringsbegäran.

Bild: Vy efter att FQDN-namnet har angetts

Visa större bilden

När Informationsledens underhållsansvariga har godkänt registreringen av din server borde det även i autentiseringscertifikatets Status-kolumn synas en grön cirkel och texten "Registered".

För att aktivera autentiseringscertifikatet klickar du fortfarande på nummerserien under ”Server Authentication Key” (markerad på bilden).

Bild: Vyn efter att servern har registrerats

Visa större bilden

Efter du har klickat nummerserien under ”Server Authentication Key” öppnas följande fönstret. Fortsätt genom att trycka på Activate.

Bild: Aktivera autentiseringscertifikatet genom att trycka på Activate

Visa större bilden

Autentiseringscertifikatets OCSP-status ändras till ”Good” inom cirka 10-30 minuter, varefter anslutningsservern är klar att användas.

Bild: Vy efter en lyckad aktivering av autentiseringscertifikatet

Visa större bilden

Nu har anslutningsservern anslutits till Informationsleden.