Fyrst skal ein Linux servari stovnast. Ubuntu 18.04 LTS og 20.04 LTS eru supporterað í løtuni, umframt RHEL 7.3 og 8 ella nýggjari (pr. Mai 2021).
Vanlig krøv til Linux, tvs. minimum 40GB disk 4 GB RAM, og 1 CPU core.
Tá Ubuntu er installerað, skal X-Road Security Server installerast sambært hesari vegleiðing:
Eisini kann X-Road Security Server koyra á Red Hat Enterprise Linux (RHEL). Her verður installera eftir hesi vegleiðing:
Legg til merkis at ístaðin fyri pakkan xroad-securityserver, so skal xroad-securityserver-fo installerast. Hesin inniheldur m.a. føroysku uppsetingina til lyklalongd til føroysku certifikatini.
Fyri at lætta um installatiónina tá talan er um at installera fleiri trygdarambætarar samstundis, so mæla vit til at Ansible verður brúkt. Ansible er eitt scripting amboð, sum automatiserar installeringina.
Meira um Ansible installatión á hesi síðuni.
Áðrenn arbeitt verður víðari við X-road, eru nøkur skeið sum eru áhugaverd at taka. Tú kanst finna hesi skeiðini her: https://x-road.thinkific.com/.
Public IP og DNS
Trygdarambætarin skal hava eina public ip og eitt DNS navn. Hetta verður sett upp áðrenn umsóknin til Heldina verður send inn. Sí stig 2 ísv. vegleiðing til umsóknina. DNS navn og public IP uppsetingin verður ikki lýst her, tí tað avhongur av internet og hýsingarveitara. Næsta punkt lýsir tó hvat er neyðugt at uppseta í firewall.
Trygdarambætarin skal eisini hava eina statiska interna IP-adressu og hetta verður uppsett við netplan á Ubuntu.
Uppseting av firewall
Inngangandi portur frá internetinum
Portur fyri ingangandi portur frá tí eksterna netinum til trygdarambætaran. Her skal port forward eisini gerast. Tað er eisini neyðugt at loyva hairpin fyrispurningar, so at trygdarambætarin kann samskifta við seg sjálvan á public ip.
TCP 5500 - Samskiftið millum trygdarambætarar.
TCP 5577 – Fyrispurningar av OCSP aftursvarum millum trygdarambætarar.
Útgangandi portur til internetið
Portur fyri útgangandi ambætarasambindingum til tað internetið.
TCP 5500 - Samskiftið millum trygdarambætarar.
TCP 5577 - Fyrispurningar av OCSP aftursvarum millum trygdarambætarar.
TCP 4001 – Samskifti við tann sentrala servaran.
TCP 80 – Niðurtøka av globalari uppsetan frá tí sentrala servaranum.
TCP 80,443 – Vanligastu OCSP og tíðarlog tænastur.
Inngangandi portur frá tí interna netinum
Portur fyri teimum inngangandi sambondunum frá tí interna netinum til trygdaranbætaran um trygdarambætarin er í DMZ ella í einari sonu fyri seg.
TCP 4000 – Brúkara interface og REST API viðger (lokala netið). Tað má ikki vera gjørligt at fáa samband gjøgnum internetið!
TCP 22 - Fyri SSH sambond.
TCP 80, 443 – Atgongdspunkt hjá kt-skipanum (í tí lokala netinum). Tað má ikki vera gjørligt at fáa samband til hesi portir frá internetinum. Um tað er opið til tað eitt eksternt net, so er IP filtrering stórliga viðmælt.
Útgangandi portur til tað internað netið
Portur fyri útgangandi sambond til tað interna netið frá trygdaranbætaranum.
TCP 80, 443, (møguliga brúk fyri fleiri td. 8080, 81, 82) – Hetta er til samskifti til lokalar KT skipanir sum hava endapunkt sum skulu á Heldina. Fyri nakrar hýsinga veitarar skulu IP-adressurnar hjá endapunktunum verða upplýstar í samband við umbøn av net.
TCP 2080 – Samskifti millum trygdarambætara og data eftirlit daemon (á localhost sum default).