Knýt KT skipan í Heldina

Mælt verður til, at luttakarar seta seg í samband við Heldardepilin sum fyrsta stig í einari menningartilgongd. Orsøkin er at ávísir smálutir í menningini verða ávirkaðir av Heldini, og tað er best um hetta verður rætt frá byrjan. Send ein teldupost til heldin@talgildu.fo

Munur er á vevtænastuveitara og vevtænastubrúkara
Heldin ger mun á, um ein luttakari er vevtænastubrúkari ella vevtænastuveitari. Ein vevtænastuveitari hevur eina vevtænastu, sum vevtænastubrúkarin kallar. Dátur kunnu ferðast báðar vegir, hóast vit hava hesa uppdeilingina, tí ein vevtænastubrúkari kann bæði senda og móttaka dátur.

Krøvini til ein vevtænastuveitara eru hægri, tí hesin hevur eina vevtænastu, sum kann kallast av hinum luttakarunum. Tað vil siga, at tað er ikki vevtænastuveitarin sum byrjar eitt samskifti, tí hesin svarar bert uppá fyrispurningar. Hinvegin, so er tað vevtænastubrúkarin, sum byrjar samskifti, og ein vevtænastubrúkari er ongantíð partur í einum samskifti, sum hann ikki hevur sett í gongd. Tað ger at loyvini til atgongd vera sett upp hjá vevtænastuveitaranum, og hesin hevur ábyrgdina fyri at verja sínar dátur. Tað er eisini vevtænastuveitarin, sum definerar formatið fyri samskiftið og hvørjir parametrar skulu inn og hvat kemur út.

Í mun til versión 5 av Heldini har vevtænastubrúkarar og vevtænastuveitarar blivu tilmeldaðir í hvør sínari umsøkn, so er hetta nú broytt til at allar tilmeldingar til Heldina eru tilmeldingar av eini KT-Skipan. KT-Skipanin er tá ein vevtænastubrúkari, men sama KT Skipan kann gerast vevtænastuveitari seinni, við at knýta vevtænastu(r) til KT Skipanina.

Tilmeldingarmannagongdin og oyðublaðið fyri vevtænastuveitara og vevtænastubrúkara er tí tað sama.

Stig 1 Uppsetan av trygdarambætara
Fyrst skal ein Linux servari stovnast. Ubuntu 18.04 LTS og 20.04 LTS eru supporterað í løtuni, umframt RHEL 7.3 og 8 ella nýggjari (pr. Mai 2021).
Vanlig krøv til Linux, tvs. minimum 40GB disk 4 GB RAM, og 1 CPU core.
Tá Ubuntu er installerað, skal X-Road Security Server installerast sambært hesari vegleiðing:
https://github.com/nordic-institute/X-Road/blob/develop/doc/Manuals/ig-ss_x-road_v6_security_server_installation_guide.md
Eisini kann X-Road Security Server koyra á Red Hat Enterprise Linux (RHEL). Her verður installera eftir hesi vegleiðing:
https://github.com/nordic-institute/X-Road/blob/develop/doc/Manuals/ig-ss_x-road_v6_security_server_installation_guide_for_rhel.md
Legg til merkis at ístaðin fyri pakkan xroad-securityserver, so skal xroad-securityserver-fo installerast. Hesin inniheldur m.a. føroysku uppsetingina til lyklalongd til føroysku certifikatini.
Fyri at lætta um installatiónina tá talan er um at installera fleiri trygdarambætarar samstundis, so mæla vit til at Ansible verður brúkt. Ansible er eitt scripting amboð, sum automatiserar installeringina.
Meira um Ansible installatión á hesi síðuni.
Áðrenn arbeitt verður víðari við X-road, eru nøkur skeið sum eru áhugaverd at taka. Tú kanst finna hesi skeiðini her: https://x-road.thinkific.com/.
Public IP og DNS
Trygdarambætarin skal hava eina public ip og eitt DNS navn. Hetta verður sett upp áðrenn umsóknin til Heldina verður send inn. Sí stig 2 ísv. vegleiðing til umsóknina. DNS navn og public IP uppsetingin verður ikki lýst her, tí tað avhongur av internet og hýsingarveitara. Næsta punkt lýsir tó hvat er neyðugt at uppseta í firewall.
Trygdarambætarin skal eisini hava eina statiska interna IP-adressu og hetta verður uppsett við netplan á Ubuntu.
Uppseting av firewall
Inngangandi portur frá internetinum
Portur fyri ingangandi portur frá tí eksterna netinum til trygdarambætaran. Her skal port forward eisini gerast. Tað er eisini neyðugt at loyva hairpin fyrispurningar, so at trygdarambætarin kann samskifta við seg sjálvan á public ip.
TCP 5500 - Samskiftið millum trygdarambætarar.
TCP 5577 – Fyrispurningar av OCSP aftursvarum millum trygdarambætarar.
Útgangandi portur til internetið
Portur fyri útgangandi ambætarasambindingum til tað internetið.
TCP 5500 - Samskiftið millum trygdarambætarar.
TCP 5577 - Fyrispurningar av OCSP aftursvarum millum trygdarambætarar.
TCP 4001 – Samskifti við tann sentrala servaran.
TCP 80 – Niðurtøka av globalari uppsetan frá tí sentrala servaranum.
TCP 80,443 – Vanligastu OCSP og tíðarlog tænastur.
Inngangandi portur frá tí interna netinum
Portur fyri teimum inngangandi sambondunum frá tí interna netinum til trygdaranbætaran um trygdarambætarin er í DMZ ella í einari sonu fyri seg.
TCP 4000 – Brúkara interface og REST API viðger (lokala netið). Tað má ikki vera gjørligt at fáa samband gjøgnum internetið!
TCP 22 - Fyri SSH sambond.
TCP 80, 443 – Atgongdspunkt hjá kt-skipanum (í tí lokala netinum). Tað má ikki vera gjørligt at fáa samband til hesi portir frá internetinum. Um tað er opið til tað eitt eksternt net, so er IP filtrering stórliga viðmælt.
Útgangandi portur til tað internað netið
Portur fyri útgangandi sambond til tað interna netið frá trygdaranbætaranum.
TCP 80, 443, (møguliga brúk fyri fleiri td. 8080, 81, 82) – Hetta er til samskifti til lokalar KT skipanir sum hava endapunkt sum skulu á Heldina. Fyri nakrar hýsinga veitarar skulu IP-adressurnar hjá endapunktunum verða upplýstar í samband við umbøn av net.
TCP 2080 – Samskifti millum trygdarambætara og data eftirlit daemon (á localhost sum default).
Stig 2 Send umsøkn til Heldardepilin
Tá trygdarambætarin er stovnaður, og skipanin skal skrásetast í Heldini. Tað gert tú við at útfylla umsóknina, sum tú kanst finna í leinkinum Umsókn um knýti í Heldina V6.pdf, og senda hana til Heldardepilin á heldin@talgildu.fo. Tú kanst fara víðari, tá tú hevur fingið ein teldupost aftur frá Heldardepilinum um, at skrásetingin er gjørd.
Vegleiðing at fylla út umsóknarblaðið
Vel fyrst, um tað er íbinding í menningar-, test- ella rakstrarumhvørvinum. Ein trygdarambætari skal gerast til hvørt umhvørvi. Tvs. at tað skulu vera tríggir trygdarambætarar tilsamans.
Fyrst verður menningarumhvørvið stovnað. Menningarumhvørvið verður brúkt, meðan menningin av vevtænastuni er í gongd.
Hareftir verður test-umhvørvið stovnað. Test-umhvørvið verður brúkt, tá menningin er liðug. Tað er her, at tað verður testað, um tilgongdin til tilmeldingina av trygdarambætaranum riggar, sum hon skal og at samskiftið við t.d. Vanganum virkar sum tað skal, við testdata.
Og til seinast verður rakstrarumhvørvið stovnað. Rakstrarumhvørvið verður brúkt, sum tað endaliga umhvørvið, og tað er her knýtið millum vevtænastuna og t.d. Vangan verður gjørt.
Navn á stovni/virki
Grundleggjandi upplýsingar um stovnin/virkið, ið ynskir at knýta í Heldina sum tænastuveitari.
Heldarábyrgdari
Um stovnurin/virkið hevur ein innanhýsis Heldáarbyrgdara, skal hann vera nevndur her. Heldarábyrgdarin hevur somu heimildir sum stjórin, hvat viðvíkur Heldini.
Umsitari av trygdarambætara
Her verður upplýst, hvør er tekniskur kontaktpersónur í sambandi við hendan trygdarambætaran. KTL hevur bert heimild at samskifta við hendan persónin um uppseting oa. á trygdarambætaranum.
Navn á KT skipanini og árgangur
Hevur skipanin eitt navn, so verður tað skrivað her. Um ikki, so má skipanin navngevast. Hetta navnið verður alment og verður brúkt til at vísa til eina skipan.
Eyðmerking av skipan
Her velur ein sjálvur, hvat navn tykkara subsystem á trygdarambætaranum skal hava. Hetta subsystemið inniheldur vevtænasturnar sum hoyra til hesa ávísu skipanina.
Dátuflokking av KT skipanini
KT skipanin skal flokkast, sum ávíst í skjalinum Trygdarkrøv. Finn frágreiðingina av dátuflokking har ella á heimasíðuni hjá Gjaldstovuni HER. (https://www.talgildu.fo/heldin/styrandi-skjol/trygdarkrov/)
Lýsing av KT Skipan
Hetta skal vera ein stutt lýsing av, hvat vevtænastan ger, og hvørjar dátur verða fluttar. T.d. um tað er persónsupplýsingar, akfarsupplýsingar, virkislýsingar, o.s.fr.
Hostnavn á trygdarambætara
Hetta er navnið á virtuellu/fysisku telduni, sum koyrir trygdarambætaran. Hetta verður nýtt til at eyðmerkja telduna við einum trygdarambætara, um har eru tekniskir trupulleikar, og eisini tá fleiri luttakarar eru saman um ein trygdarambætara.
Trygdarambætara eyðmerking
Her velur ein sjálvur, hvat navn skal standa. Møguliga sama navn sum hostnavn. Hetta verður brúkt til íbindingina til Heldina.
DNS-Navn (FQDN)
Hetta er DNS-navnið, sum er stovnað til public IP-adressuna.
Dátuflokking av trygdarambætara
Trygdarambætarin skal dátuflokkast eftir vegleiðing í Trygdarskjalinum.
Slag av luttakara
Vel um luttakarin skal vera privatur (COM) ella almennur (GOV).
V-tal (Member code)
Hetta er V-tal hjá stovni/virki.
Stig 3 Sáttmáli við Heldardepilin og heldarábyrgdari útnevndur
Fyri at gerast luttakari í Heldini, er neyðugt at sáttmáli verður gjørdur við Heldardepilin. Sáttmálin kann takast niður í leinkinum niðanfyri og skal sendast til heldin@gjaldstovan.fo.
Sáttmáli um Heldina
Harumframt kann stjórin útpeika ein heldábyrgdara, sum síðani kann avgreiða og undirskriva samskifti mótvegis Heldardeplinum vegna luttakarin. Váttan um Heldábyrgdara kann takast niður HER (heldarábyrgdari.pdf) og skal sendast til heldin@gjaldstovan.fo.
Er eingin Heldábyrgdari útpeikaður, er neyðugt hjá stjóranum at undirskriva alt samskifti við Heldardepilin, t.e. tilmeldingar o.t.
Stig 4 Íbinding til Heldina
Rita inn á tín trygdarambætara á https://<ip.adressu>:4000. Undir Configuration Anchor skal ein anchor fíla importerast, alt eftir hvørjum umhvørvi tú ert í.
Trýst á Upload og innset røttu fíluna til umhvørvið.
Anchor fíla til Menningar umhvørvið (FO-DEV)
Hash (SHA-224): A5:34:23:37:C6:46:64:62:DE:B5:44:
F4:2D:8C:FB:DF:32:E2:A1:11:35:5A:16:69:06:ED:07:35
Dagfest: 2020-03-04 10:37:05
Anchor fíla til Test umhvørvið (FO-TST)
Hash (SHA-224): 39:F4:9C:9B:E8:F5:1C:9F:57:63:26:
D4:72:B2:C0:D1:D5:2E:49:99:53:F5:CF:EF:12:CA:37:21
Dagfest: 2020-10-20 12:57:05
Anchor fíla til Rakstrar umhvørvið (FO)
Hash (SHA-224): 98:C6:7B:1D:2E:75:08:DA:48:5B:33:
03:AC:EC:36:8C:36:E6:17:3B:C9:DC:8D:E3:71:25:99:06
Dagfest: 2020-11-03 10:31:52
Undir Owner Member skalt tú hyggja í umsóknina um skráseting av skipan í Heldina.
Member Class er har, tú hevur definerað Slag av luttakara í umsóknini - COM/Privat ella GOV/Alment.
Member Code er har, tú hevur definerað V-tal í umsóknini.
Security Server Code er har, tú hevur definerað Trygdarambætara eyðmerking í umsóknini.
“Token PIN” er ikki nakað ávíst virði, men er eitt loyniorð, sum verður valt av umsitaranum av servaranum. Loyniorðið kann innihalda bókstavir, tekn og tøl. Tað má goymast væl og ikki blíva burtur. Um tað verður burtur, so má uppsetingin gerast umaftur.
Loyniorðið skal brúkast av umsitaranum av servaranum, hvørja ferð servarin restartar. So hugsa um, hvar tú goymir hetta loyniorðið trygt men atkomiligt, eisini um tín telda krasjar ella blívur burtur.
Stig 5 Vel tíðarstempul tænastu
Fyri at ambætarin skal kunna senda umbønirnar til heldardepilin (Central Server), er neyðugt at hava eina tíðarstempultænastu tilknýttað á servaranum. Hetta verður gjørt soleiðis:
Navigera til SETTINGS -> SYSTEM PARAMETERS. Undir Timestamping Services trýst á “Add”.
Legg ”TimeStamp Signer RSA TSU1” inn:
Stig 6 Bílegg Servara- og Luttakara Sertifikatir
Fyri at tilmelda trygdarambætarin, skal eitt authentication certificate gerast. Certifikat-umbønin verður gjørd á trygdarambætaranum, og verður síðani send til CA at gera certifikatið.
Generera auth og sign lyklar á trygdarambætaranum.
Far inn á KEYS AND CERTIFICATES -> SIGN AND AUTH KEYS og logga inn við Token PIN og generera auth og sign key á hendan hátt:
Víðka “Token:softToken-0” og trýst á ”ADD KEY”.
Tú kanst velja at navngeva lykilin, men hetta er bert til tína egnu tilvísing. Virðið, tú skrivar, er bert fyri at eyðmerkja lykilin fyri tær sjálvum.
Fyrst skal ein authentication key til server certificate gerast.
Vel “AUTHENTICATION” í dropboksini við Usage. Í dropboksini, har tað stendur Certification Service, skal “Faroe Islands IssuingCA5v1” veljast. Vel altíð formatið .pem. (Hetta dømið er gjørt í test umhvørvinum)
Trýst á “genereate csr” og goym fíluna. Hon skal brúkast seinni.
Nú gera vit ein signing key á sama hátt sum áðrenn. Trýst aftur á “ADD KEY”.
Her er aftur ikki neyðugt at skriva nakað, men tú kanst velja at eyðmerkja lykilin.
Vel ”SIGNING” í Usage hesaferð. Client skal veljast aftrat, og hetta er tann luttakarin sum skal tilmeldast. Fyrstu ferð hetta verður gjørt, inniheldur dropboksin bert ein client, eigarin av trygdarambætaranum. Um talan er um fleiri luttakarar á sama servara (felags trygdarambætari), so er hetta luttakarin sum skal brúka servarin, og er hetta tí ikki altíð tann sami sum eigarin av trygdarambætaranum.
Trýst á ”generate csr” og goym fíluna.
Báðar fílurnar, sum tú hevur goymt, sum eita auth_csr_<auto genererað virði>.pem og sign_csr_< auto genererað virði >.pem, skulu sendast til Heldardepilin á Heldin@gjaldstovan.fo, fyri at timelda trygdarambætarin (server code) og luttakarin (member class + member code), og minst til at tilhoyrandi umsøkn til KT Skipanina eisini skal sendast.
Stig 7 Framleiðsla av Sertifikatum
Sertifikatmyndugleikin er eksternur, og verða sertifikatini framleidd umleið 2 ferðir um mánaðin. Tá sertifikatini eru framleidd og klár at levera til luttakarin, fær heldardepilin boð, og heldardepilin boðar luttakaranum frá, tá klárt er.
Stig 8 Heinta góðkend sertifikat til servarin
Tú hevur nú fingið tvey sertifikat frá Heldardepilinum, sum skulu implementerast í trygdarambætaran. Tað verður gjørt á henda hátt:
Trýst á ”IMPORT CERT.”:
Importera auth og sign sertifikatini, so at tað nú sær soleiðis út.
Trýst á ”register”, har auth sertifikatið er.
Auth sertifikatið skal registrerast við at skriva DNS navnið inn:
Nú er Status broytt til ”Registration in progress”.
Sig Heldardepilinum frá á heldin@gjaldstovan.fo, at tú hevur umbiðið skráseting av trygdarambætaranum.
Tá Heldardepilin hevur registrerað sertifikatið, skuldi Status verið broytt til ”Registered”:
Týst á sertifikatið og tryst “Activate”.
Stig 9 Skráset KT Skipan (Subsystem)
Luttakarin er tilmeldaður, tá certifikatini bæði hava fingið støðuna "Registered", men fyri at nýta eina vevtænastu (vevtænastubrúkari), ella at veita eina vevtænastu (vevtænastuveitari) er eisini neyðugt at skráseta KT Skipanina (subsystem) á trygdarambætaranum.
Hvør KT skipan er eitt subsystem undir einum stovni/fyritøku. Hvør luttakari kann hava fleiri subsystemir, alt eftir hvørjar tænastur hesin bjóðar á Heldini. Hesi subsystem kunnu vera á sama trygdarambætara ella á ymiskum. Tilmelding av luttakara (sertifikat) varð lýst í stig 6. Subsystemir til ein tilmeldaðan luttakara kunnu síðan leggjast aftrat uttan at gera nýggj sertifikatir.
Um fleiri luttakarar eru á sama trygdarambætara, so skal Sign key umbøn genererast og Sign sertifikat leggjast inn til allar luttakarar hvør sær, sum lýst í stig 6. Og tað er týdningarmikið at sami lykil kann ikki brúkast til ymiskar luttakarar, so tað er neyðugt at gera nýggjan lykil til hvønn luttakara (Add key).
KT Skipanin kann fáa loyvi at nýta vevtænastur hjá vevtænastuveitarum, og um tín stovnur/virki hevur vevtænastu ið skal á Heldina, kemur hon at liggja undir einum subsystem. Um ein onnur vevtænasta verður gjørd til eitt annað projekt, skal tað liggja í einum øðrum subsystem til hesa ávísu skipanina.
Subsystem verður lagt inn á hendan hátt:
Navigera til ”Clients”. Trýst á ”Add subsystem”.
Trýst á ”Select subsystem”.
Her verða tíni subsystem víst, alt eftir hvussu nógvar umsókninar, tú hevur gjørt. ”Subsystem code” hevur tú definerað í umsóknini um skráseting av skipan á Heldina í teiginum ”Eyðmerking av skipan”.
Trýst ”Add subsystem”.
*Legg til merkis at um Heldardepilin enn ikki hevur skrásett tína KT Skipan/Subsystem code, so er hon ikki enn í listanum. Tó ber til at skriva Subsystem Code í feltið, og fáa framt umbønina, áðrenn Heldardepilin hevur gjørt skrásetingina. Tað er týdningarmikið at Subsystem Code er júst hin sama á umsøknini sum á trygdarambætaranum, tí annars gerst umbønin óvirkin.
Trýst á ”Register”.
Nú er ”Status” broytt frá at vera ”Saved” til at vera ”Registration in progress”. Hav í huga at í menningarumhvørvinum kann tað taka nakrar minuttir, aðrenn subsysteið er lagt aftrat. Um umbønin um registrering ikki riggar fyrstuferð, royn so aftur eftir 10 min. Í test og rakstrarumhvørvinum er góðkenningin av KT Skipanum/Subsystem ikki sjálvvirkandi, og tá er neyðugt at boða Heldardepilinum frá á heldin@gjaldstovan.fo, at umbøn um registrering er umbiðin.
Tá registreringin er gjørd, verður ”Status” broytt til ”Registered”.
KT Skipanin kann nú brúkast sum vevtænastubrúkari. Um KT Skipanin eisini skal verða vevtænastuveitari, so sí stig 10
Stig 10 Skráset vevtænastu á KT Skipan
Trýst á KT Skipanina/Subsystemið og navigera til Services. Trýst á ”Add REST”.
Útfyll formularin. Gev tænastuni navn við at skriva inn í Service Code.
Útvíðka tænastuna og trýst á Service Code sum vit hava kallað ”HelloWorld.
Navigera til ”Endpoint” og trýst á ”Add endpoint”.
Her skulu funktiónirnar í vevtænastuni definerast. Skriva funktióninar inn og trýst á ”Add”.
Navigera til tabbing Service Parameters og trýst á ”Add Subjects”.
Trýst á ”Search”.
Vel rætta subsystemið og trýst á ”Add selected”.
Nú sært tú, at tú hevur givið Access Rights til subsystemið.
Minst til at virkja tænastuna við at flyta kontaktina til høgru.
Tú hevur nú uppset trygdarambætaran við tínum funktiónum frá vevtænastuni, og givið einum luttakara atgongd til vevtænastuna.

Snarslóðir