Knýt KT skipan í Heldina

Í vegleiðingini niðanfyri síggja tit, hvussu tit knýta tykkara KT skipan í Heldina.

Mælt verður til, at luttakarar seta seg í samband við Talgildu Føroyar sum fyrsta stig í einari menningartilgongd. Orsøkin er at ávísir smálutir í menningini verða ávirkaðir av Heldini, og tað er best, um hetta verður rætt frá byrjan. Send ein teldupost til heldin@talgildu.fo.

  • Les um Vevtænastubrúkarar og vevtænastuveitarar

    Munur er á vevtænastuveitara og vevtænastubrúkara
    Heldin ger mun á, um ein luttakari er vevtænastubrúkari ella vevtænastuveitari. Ein vevtænastuveitari hevur eina vevtænastu, sum vevtænastubrúkarin kallar. Dátur kunnu ferðast báðar vegir, hóast vit hava hesa uppdeilingina, tí ein vevtænastubrúkari kann bæði senda og móttaka dátur.

    Krøvini til ein vevtænastuveitara eru hægri, tí hesin hevur eina vevtænastu, sum kann kallast av hinum luttakarunum. Tað vil siga, at tað er ikki vevtænastuveitarin sum byrjar eitt samskifti, tí hesin svarar bert uppá fyrispurningar. Hinvegin, so er tað vevtænastubrúkarin, sum byrjar samskifti, og ein vevtænastubrúkari er ongantíð partur í einum samskifti, sum hann ikki hevur sett í gongd. Tað ger at loyvini til atgongd vera sett upp hjá vevtænastuveitaranum, og hesin hevur ábyrgdina fyri at verja sínar dátur. Tað er eisini vevtænastuveitarin, sum definerar formatið fyri samskiftið og hvørjir parametrar skulu inn og hvat kemur út.

    Í mun til versión 5 av Heldini har vevtænastubrúkarar og vevtænastuveitarar blivu tilmeldaðir í hvør sínari umsøkn, so er hetta nú broytt til at allar tilmeldingar til Heldina eru tilmeldingar av eini KT-Skipan. KT-Skipanin er tá ein vevtænastubrúkari, men sama KT Skipan kann gerast vevtænastuveitari seinni, við at knýta vevtænastu(r) til KT Skipanina. 

    Tilmeldingarmannagongdin og oyðublaðið fyri vevtænastuveitara og vevtænastubrúkara er tí tað sama. 

  • Stig 1 Skráset luttakara á heldin.fo

    Áðrenn tit byrja at brúka Heldina, skulu tit skráseta tykkum sum luttakara í Heldarumsitingini á www.heldin.fo

    Tað er stjórin, ið ger fyrstu skráseting. Aftaná kann stjórin útnevna starvsfólk at avgreiða viðurskifti um Heldina vegna luttakaran.

    Soleiðis skrásetur stjórin luttakaran á heldin.fo:

    1. Far til www.heldin.fo
    2. Trýst á ”Are you joining Heldin?”
    3. Rita inn við Samleikanum  
    4. Skriva V-talið hjá stovni/virki í ovasta teigin
    5. Vel hvat slag av luttakara, talan er um (Governmental ella Commercial)
    6. Vel leiklut (Stjóri ella Manager skal gera fyrstu skráseting av luttakaranum)
    7. Trýst á “Submit membership request”. Umsókn verður send Talgildu Føroyum at góðkenna.
    8. Tit verða skrásett sum luttakarar á Heldini.

    Um sáttmáli um Heldina ikki er gjørdur við Talgildu Føroyar frammanundan, verður hetta avgreitt í skrásetingartilgongdini. 

  • Stig 2 Útnevn Heldarábyrgdara og tekniskan persón

    Stjórin kann útnevna Heldarábyrgdara, ið fær heimild at avgreiða viðurskifti fyri luttakaran á heldin.fo. Somuleiðis kann tekniskur persónur útnevnast á heldin.fo. Tekniskur persónur kann gera umsóknir á heldin.fo, men hesar skulu góðkennast av Heldarábyrgdara, áðrenn tær verða sendar til viðgerðar. 
    Heldarábyrgdarin er tann, ið Talgildu Føroyar samskifta við um Heldina og senda rakstrarkunning o.a. til.
    Skráseting av Heldarábyrgdara verður gjørd í tveimum. Fyrst skal viðkomandi biðja um at gerast Heldarábyrgdari, og síðan skal umbønin góðkennast av stjóranum. 

    Heldarábyrgdari umbiður at gerast Heldarábyrgdari:

    • Rita inn á www.heldin.fo við Samleikanum
    • Trýst á “Request access to another member”
    • Skriva V-tal hjá luttakaranum í ovasta teigin
    • Vel hvønn leiklut, tú skalt hava (Heldarábyrgdari er “Delegate”)
    • Trýst á “Submit membership request”. Ein umbøn verður send stjóranum til góðkenningar

    Stjórin góðkennir umbøn frá Heldarábyrgdara:

    1.  Rita inn á www.heldin.fo við Samleikanum
    2. Vel tín luttakara úr listanum “Members that I’m allowed to access”
    3. Góðkenn umbøn frá Heldarábyrgdara, ið liggur ovarlaga á síðuni

    Heldarábyrgdarin kann nú avgreiða viðurskiftir fyri luttakaran heldin.fo.
    Skráseting av tekniskum persóni verður gjørd á sama hátt sum við Heldarábyrgdara, men tá skal “Tech” veljast sum leiklutur í umbønini. Heldarábyrgdarin kann góðkenna tekniska persónin.

  • Stig 3 Uppsetan av trygdarambætara

    Fyrst skal ein Linux servari stovnast. Ubuntu 20.04 LTS og 22.04 LTS eru supporterað í løtuni, umframt RHEL 7 og 8 (pr. oktober 2023).
    Vanlig krøv til Linux, tvs. minimum 40GB disk 4 GB RAM, og 1 CPU core.
    Tá Ubuntu er installerað, skal X-Road Security Server installerast sambært vegleiðing í leinkinum niðanfyri:

    https://github.com/nordic-institute/X-Road/blob/develop/doc/Manuals/ig-ss_x-road_v6_security_server_installation_guide.md 

    Eisini kann X-Road Security Server koyra á Red Hat Enterprise Linux (RHEL). Her verður installerað eftir vegleiðingini í leinkinum niðanfyri:
    https://github.com/nordic-institute/X-Road/blob/develop/doc/Manuals/ig-ss_x-road_v6_security_server_installation_guide_for_rhel.md

    Leggið til merkis, at ístaðin fyri pakkan xroad-securityserver, so skal xroad-securityserver-fo installerast. Hesin inniheldur m.a. føroysku uppsetingina til lyklalongd til føroysku sertifikatini.
    Vit mæla til at brúka Ansible, tá ið fleiri trygdarambætarar verða installeraðir samstundis. Ansible er eitt scripting amboð, sum automatiserar installeringina.
    Les meira um Ansible installatión her.

    Áðrenn arbeitt verður víðari við X-road, eru nøkur skeið, sum eru áhugaverd at taka. Tú kanst finna hesi skeiðini her í leinkinum niðanfyri: 
    https://x-road.thinkific.com/

    Public IP og DNS
    Trygdarambætarin skal hava eitt public ip og eitt DNS navn. Hetta verður sett upp, áðrenn umsóknin til Heldina verður send inn. Sí stig 2 ísv. vegleiðing til umsóknina. DNS navn og public IP uppsetingin verða ikki lýst her, tí tað er treytað av internet og hýsingarveitara. Næsta stig lýsir tó, hvat er neyðugt at uppseta í firewall.
    Trygdarambætarin skal eisini hava eina statiska interna IP-adressu, og hetta verður uppsett við netplan á Ubuntu.
    Uppseting av firewall

    Inngangandi portur frá internetinum
    Portur fyri ingangandi portur frá tí eksterna netinum til trygdarambætaran. Her skal port forward eisini gerast. Tað er eisini neyðugt at loyva hairpin fyrispurningar, so at trygdarambætarin kann samskifta við seg sjálvan á public ip.

    • TCP 5500 - Samskiftið millum trygdarambætarar.
    • TCP 5577 – Fyrispurningar av OCSP aftursvarum millum trygdarambætarar.

    Útgangandi portur til internetið
    Portur fyri útgangandi ambætarasambindingum til tað internetið.

    • TCP 5500 - Samskiftið millum trygdarambætarar.
    • TCP 5577 - Fyrispurningar av OCSP aftursvarum millum trygdarambætarar.
    • TCP 4001 – Samskifti við tann sentrala servaran.
    • TCP 80 – Niðurtøka av globalari uppsetan frá tí sentrala servaranum.
    • TCP 8080, 8443 – Vanligastu OCSP og tíðarlog tænastur.

    Inngangandi portur frá interna netinum

    Portur fyri teimum inngangandi sambondunum frá tí interna netinum til trygdaranbætaran um trygdarambætarin er í DMZ ella í einari sonu fyri seg.

    • TCP 4000 – Brúkara interface og REST API viðger (lokala netið). Tað má ikki vera gjørligt at fáa samband gjøgnum internetið.
    • TCP 22 - Fyri SSH sambond.
    • TCP 8080, 8443 – Atgongdspunkt hjá kt-skipanum (í tí lokala netinum). Tað má ikki vera gjørligt at fáa samband til hesi portir frá internetinum. Um tað er opið til tað eitt eksternt net, so er IP filtrering stórliga viðmælt.
       
      Á trygdarambætarum við x-Road útgávu eldrið enn 7.4.0 verða portur 80 og 443 brúkt.

    Útgangandi portur til tað interna netið
    Portur fyri útgangandi sambond til tað interna netið frá trygdaranbætaranum.

    • TCP 80, 443, (møguliga brúk fyri fleiri td. 8080, 81, 82) – Hetta er til samskifti til lokalar KT skipanir, sum hava endapunkt, sum skulu á Heldina. Fyri nakrar hýsingaveitarar skulu IP-adressurnar hjá endapunktunum verða upplýstar í samband við umbøn av net.
    • TCP 2080 – Samskifti millum trygdarambætara og data eftirlit daemon (á localhost sum default).
  • Stig 4 Knýt í Heldina

    Rita inn á tín trygdarambætara á https://<ip.adressu>:4000 Undir Configuration Anchor skal ein anchor fíla importerast, alt eftir hvørjum umhvørvi tú ert í.
    Trýst á Upload og innset røttu fíluna til umhvørvið.

    Anchor fíla til Menningar umhvørvið (FO-DEV)

    Hash (SHA-224): A5:34:23:37:C6:46:64:62:DE:B5:44:
    F4:2D:8C:FB:DF:32:E2:A1:11:35:5A:16:69:06:ED:07:35

    Dagfest: 2020-03-04 10:37:05

    Anchor fíla til Test umhvørvið (FO-TST)

    Hash (SHA-224): 39:F4:9C:9B:E8:F5:1C:9F:57:63:26:
    D4:72:B2:C0:D1:D5:2E:49:99:53:F5:CF:EF:12:CA:37:21
    Dagfest: 2020-10-20 12:57:05
    Anchor fíla til Rakstrar umhvørvið (FO)  
    Hash (SHA-224): 98:C6:7B:1D:2E:75:08:DA:48:5B:33:
    03:AC:EC:36:8C:36:E6:17:3B:C9:DC:8D:E3:71:25:99:06

    Dagfest: 2020-11-03 10:31:52

    Undir Owner Member skalt tú hyggja í umsóknina um skráseting av skipan í Heldina.
    Í Member Class lýsa tit Slag av luttakara í umsóknini - COM/Privat ella GOV/Alment.
    Í Member Code lýsa tit V-tal í umsóknini.
    Í Security Server Code lýsa tit Trygdarambætara eyðmerking í umsóknini.

    “Token PIN” er ikki nakað ávíst virði. Tað er eitt loyniorð, sum verður valt av umsitaranum av servaranum. Loyniorðið kann innihalda bókstavir, tekn og tøl. Tað má goymast væl og ikki blíva burtur. Um tað verður burtur, má uppsetingin gerast av nýggjum.
    Loyniorðið skal brúkast av umsitaranum av servaranum, hvørjaferð servarin verður endurbyrjaður. So hugsa um, hvar tú goymir hetta loyniorðið trygt, men atkomiligt. Eisini um tín telda krasjar ella blívur burtur.

  • Stig 5 Vel tíðarstempultænastu

    Fyri at ambætarin skal kunna senda umbønirnar til Heldardepilin (Central Server), er neyðugt at hava eina tíðarstempultænastu knýtt til  servaran. Hetta verður gjørt soleiðis:
    Far til SETTINGS -> SYSTEM PARAMETERS. Undir Timestamping Services trýst á “Add”.

    Legg ”TimeStamp Signer RSA TSU1” inn:

    Billedforhåndsvisning

  • Stig 6 Skráset trygdarambætara á heldin.fo
    1. Rita inn á www.heldin.fo við Samleikanum
    2. Vel tín luttakara úr listanum “Members that I’m allowed to access”
    3. Vel “Security Servers” og síðan “Create a new security server”
    4. Fyll út upplýsingarnar um servarar, og trýst á “Save”

    Soleiðis skal servaraskrásetingin útfyllast: 
    Vel umhvørvi:
    FO-DEV = Menningarumhvørvið
    FO-TST = Testumhvørvið
    FO = Produktiónsumhvørvið
    Server Host Name: 
    Hetta er navnið á telduni (eisini virtuellum), sum koyrir trygdarambætaran. Hetta verður brúkt til at eyðmerkja eina teldu, um  tekniskir trupulleikar eru, og tá ið fleiri luttakarar eru saman um ein trygdarambætara.
    DNS name:
    Hetta er DNS-navnið, sum er stovnað til public IP-adressuna. 
    Security Server Code:
    Her velja tit, hvat navn skal standa. Møguliga sama navn sum hostnavn. Hetta verður brúkt til knýtið við Heldina.
    Server Internal IP: 
    Interna IP adressan er einans til egið brúk.
    Server Hosting Physical Location:
    Hvar verður servarin hýstur?
    Server Notes:
    Hetta eru notur til egið brúk.

     

  • Stig 7 Bílegg servara- og luttakarasertifikatir

    Fyri at melda trygdarambætarin til skal eitt authentication certificate gerast. Sertifikat-umbønin verður gjørd á trygdarambætaranum, og verður síðani send til okkara umvegis heldin.fo
    Sostatt skal hetta stigið gerast í tveimum.

    1. Generera CSR fílu á trygdarambætaranum
    2. Send inn CSR fílu umvegis heldin.fo

    Generera auth og sign lyklar á trygdarambætaranum.
    Far inn á KEYS AND CERTIFICATES -> SIGN AND AUTH KEYS og rita inn við Token PIN og generera auth og sign key á hendan hátt:
    Víðka “Token:softToken-0” og trýst á ”ADD KEY”.

    Tú kanst geva lyklinum navn, men hetta er bara til egna tilvísing. Virðið, tú skrivar, er bara fyri at eyðmerkja lykilin fyri tær sjálvum.

    Fyrst skal ein authentication key til server certificate gerast.
    Vel “AUTHENTICATION” í dropboksini við Usage. Í dropboksini, har tað stendur Certification Service, skal “Faroe Islands IssuingCA5v1” veljast. Vel altíð formatið .pem. (Hetta dømið er gjørt í test umhvørvinum)

    Trýst á “genereate csr” og goym fíluna. Hon skal brúkast seinni.
    Nú gera vit ein signing key á sama hátt sum áðrenn. Trýst aftur á “ADD KEY”.

    Her er heldur ikki neyðugt at skriva nakað, men tú kanst velja at eyðmerkja lykilin.

    Vel ”SIGNING” í Usage hesaferð. Client skal veljast aftrat, og hetta er tann luttakarin sum skal meldast til. Fyrstu ferð hetta verður gjørt inniheldur dropboksin bert ein client, eigarin av trygdarambætaranum. Um talan er um fleiri luttakarar á sama servara (felags trygdarambætari), so er hetta luttakarin, sum skal brúka servarin. Hetta tí ikki altíð tann sami, sum eigarin av trygdarambætaranum.

    Trýst á ”generate csr” og goym fíluna.

    Báðar fílurnar, sum tú hevur goymt, sum eita auth_csr_<auto genererað virði>.pem og sign_csr_< auto genererað virði >.pem, skulu sendast til Heldardepilin umvegis heldin.fo, fyri at melda trygdarambætarin (server code) og luttakarin (member class + member code) til.
    Send inn CSR fílu umvegis heldin.fo

    1. Rita inn á www.heldin.fo við Samleikanum
    2. Vel viðkomandi luttakara úr listanum “Members that I’m allowed to access”
    3. Vel síðani viðkomandi servara úr “Security Servers” yvirlitinum
    4. Vel “Certificate Signing Requests (CSR) og trýst á “New Certificate Signing Request”
    5. Legg upp CSR fílu og trýst á “Next”
    6. Trýst á “Submit”. Umbøn um nýtt sertifikat er nú send til Talgildu Føroyar.

     

    Tað er ymiskt, hvussu langa tíð tað tekur at framleiða sertifikatini, alt eftir hvat umhvørvi talan er um. Luttakarin fær boð, tá sertifikatini eru klár.

  • Stig 8 Tak sertifikatir niður til servaran

    Soleiðis heintar tú sertifikatini á heldin.fo:

    1. Rita inn á heldin.fo við Samleikanum
    2. Vel viðkomandi luttakara úr listanum “Members that I’m allowed to access”
    3. Vel síðani viðkomandi servara úr “Security Servers” yvirlitinum
    4. Vel ”Certificates” og tú eigur at síggja sertifikatini, sum eru framleidd
    5. Tak niður sertifikatini

    Soleiðis innlesur tú sertifkatini á servaran:
    Tú hevur nú fingið tvey sertifikat frá Heldardepilinum, sum skulu implementerast í trygdarambætaran. Tað verður gjørt soleiðis:
    Trýst á ”IMPORT CERT.”:

    Importera auth og sign sertifikatini, so at tað nú sær soleiðis út.

    Trýst á ”register”, har auth sertifikatið er.
    Auth sertifikatið skal skrásetast við at skriva DNS navnið inn:

    Nú er Status broytt til ”Registration in progress”.

    Sig Talgildu Føroyum frá á heldin@gjaldstovan.fo, at tú hevur umbiðið skráseting av trygdarambætaranum.
    Tá Talgildu Føroyar hevur skrásett sertifikatið, skuldi Status verið broytt til ”Registered”:

    Týst á sertifikatið og tryst “Activate”.

  • Stig 9 Skráset KT skipan

    Luttakarin er tilmeldaður, tá sertifikatini bæði hava fingið støðuna "Registered". Fyri at brúka eina vevtænastu (vevtænastubrúkari), ella at veita eina vevtænastu (vevtænastuveitari) er eisini neyðugt at skráseta KT Skipanina (subsystem) á trygdarambætaranum.
    Hvør KT skipan er eitt subsystem undir einum stovni/fyritøku. Hvør luttakari kann hava fleiri subsystemir, alt eftir hvørjar tænastur hesin bjóðar á Heldini. Hesi subsystem kunnu vera á sama trygdarambætara ella á ymiskum. Tilmelding av luttakara (sertifikat) varð lýst í stig 7. Subsystemir til ein tilmeldaðan luttakara kunnu síðan leggjast aftrat uttan at gera nýggj sertifikatir.
    Um fleiri luttakarar eru á sama trygdarambætara, so skal Sign key umbøn genererast og Sign sertifikat leggjast inn til allar luttakarar hvør sær, sum lýst í stig 7. Og tað er týdningarmikið at sami lykil kann ikki brúkast til ymiskar luttakarar, so tað er neyðugt at gera nýggjan lykil til hvønn luttakara (Add key).
    KT Skipanin kann fáa loyvi at nýta vevtænastur hjá vevtænastuveitarum, og um tín stovnur/virki hevur vevtænastu, ið skal á Heldina, kemur hon at liggja undir einum subsystem. Um ein onnur vevtænasta verður gjørd til eitt annað projekt, skal tað liggja í einum øðrum subsystem til hesa ávísu skipanina.
    KT skipanin fyrst skrásetast servaranum sjálvum og síðani á heldin.fo.

    KT skipan (subsystem) verða sjálvvirkandi góðkend í menningarumhvørvinum. Tá er ikki neyðugt á skráseta á heldin.fo.

    Soleiðis skrásetur tú KT skipan á servaranum:
    Far til ”Clients”. Trýst á ”Add subsystem”.

    Trýst á "Select subsystem".

    Her verða tíni subsystem víst, alt eftir hvussu nógvar umsókninar, tú hevur gjørt. ”Subsystem code” hevur tú definerað í umsóknini um skráseting av skipan á Heldina í teiginum ”Eyðmerking av skipan”.

    Trýst á "Add subsystem"

    *Legg til merkis at um Talgildu Føroyar enn ikki hevur skrásett tína KT Skipan/Subsystem code, so er hon ikki við á listanum. Tó ber til at skriva Subsystem Code í feltið, og fáa framt umbønina, áðrenn Talgildu Føroyar hava gjørt skrásetingina. Tað er týdningarmikið at Subsystem Code er júst hin sama á umsóknini sum á trygdarambætaranum, tí annars gerst umbønin óvirkin.

    Trýst á "Register".

    Nú er ”Status” broytt frá at vera ”Saved” til at vera ”Registration in progress”. Hav í huga, at í menningarumhvørvinum kann tað taka nakrar minuttir, aðrenn subsystemið er lagt aftrat. Um umbønin um registrering ikki riggar fyrstu ferð, royn so aftur eftir 10 min. Í test og rakstrarumhvørvinum er góðkenningin av KT Skipanum/Subsystem ikki sjálvvirkandi, og tá er neyðugt at boða Talgildu Føroyum frá á heldin@gjaldstovan.fo, at umbøn um registrering er umbiðin.

    Tá skrásetingin er gjørd, verður ”Status” broytt til ”Registered”.

    KT Skipanin kann nú brúkast sum vevtænastubrúkari. Far til stig 11, um KT Skipanin eisini skal verða vevtænastuveitari.

    Soleiðis skrásetur tú KT skipan á heldin.fo

    1. Rita inn á www.heldin.fo við Samleikanum
    2. Vel viðkomandi luttakara úr listanum “Members that I’m allowed to access”
    3. Vel “Subsystems” og  trýst síðani á “Add client/subsystems”
    4. Fyll út umsókn, og trýst á “Submit Request” 

    *Heldarábyrgdari skal góðkenna umbøn um nýtt Subsystem, áðrenn hon verður send til Talgildu Føroyar. 

  • Stig 10 Skráset vevtænastu á KT Skipan

    Trýst á KT Skipanina/Subsystemið og navigera til Services. Trýst á ”Add REST”.

    Útfyll formularin. Gev tænastuni navn við at skriva inn í Service Code.

    Útvíðka tænastuna og trýst á Service Code sum vit hava kallað ”HelloWorld.

    Navigera til ”Endpoint” og trýst á ”Add endpoint”.

    Her skulu funktiónirnar í vevtænastuni definerast. Skriva funktióninar inn og trýst á ”Add”.

    Navigera til tabbing Service Parameters og trýst á ”Add Subjects”.

    Trýst á ”Search”.

    Vel rætta subsystemið og trýst á ”Add selected”.

    Nú sært tú, at tú hevur givið Access Rights til subsystemið.

    Minst til at virkja tænastuna við at flyta kontaktina til høgru.

    Tú hevur nú uppset trygdarambætaran við tínum funktiónum frá vevtænastuni, og givið einum luttakara atgongd til vevtænastuna.

Share

Samband

Skriva til heldin@talgildu.fo