• 07/02/2022 à 10:16

X-Road: Guide d’installation du serveur de sécurité pour Ubuntu

Guide d’installation du serveur de sécurité X-Road pour système d’exploitation Ubuntu. Vous trouvez-ici toutes étapes à faire pour mettre un place un serveur de sécurité X-Road jusqu’à la mise en marche du serveur.

1. Préparation du système d’exploitation

Ajouter un nouvel utilisateur à utiliser comme administrateur du système X-Road.

$ sudo adduser new-username

Assurer que les paquets locales et software-properties-common sont présents.

$ sudo apt-get install locales \
software-properties-common

Définir la locale du système d’exploitation.
Ajouter la ligne suivante au fichier /etc/environment : LC_ALL=en_US.UTF-8 ou LC_ALL=fr_FR.UTF-8
Assurer que la locale est générée :

$ sudo locale-gen en_US.UTF-8

2. Configuration du dépôt de paquets

Ajouter la clé de signature du dépôt X-Road à la liste des clés de confiance.

$ curl https://devtools.digital.gov.mg/xroad-packages/KEY.gpg | sudo apt-key add -

Ajouter le dépôt de paquets X-Road 

$ sudo apt-add-repository -y "deb https://devtools.digital.gov.mg/xroad-packages ./"

Ajouter un dépôt de paquets pour une distribution Java alternative. AdoptOpenJDK est une distribution Java 8 open-source qui est prise en charge jusqu’en mai 2026.

$ curl https://adoptopenjdk.jfrog.io/adoptopenjdk/api/gpg/key/public | sudo apt-key add -
$ sudo apt-add-repository -y "deb https://adoptopenjdk.jfrog.io/adoptopenjdk/deb $(lsb_release -sc) main"

3. Configuration de la base de donnéeqs à distance

Le serveur central peut utiliser un serveur de base de données distant. Pour éviter l’installation d’un serveur PostgreSQL local par défaut. Il est nécessaire d’installer le paquet xroad-database-remote.

$ sudo apt install xroad-database-remote

Le programme d’installation se charge de créer la base de données et les utilisateurs, mais il faut d’abord créer un fichier de configuration contenant les informations d’identification de l’administrateur de la base de données.

$ sudo touch /etc/xroad.properties
$ sudo chown root:root /etc/xroad.properties
$ sudo chmod 600 /etc/xroad.properties
$ sudo nano /etc/xroad.properties

postgres.connection.password = < db password >
postgres.connection.user = < db superuser name >

4. Installation des paquets

Mittre à jour les métadonnées du dépôt de paquets local:

$ sudo apt update

Installer l’environnement d’exécution Java et définissez-le comme l’environnement par défaut.

$ sudo apt install adoptopenjdk-8-hotspot-jre
$ sudo update-java-alternatives -s adoptopenjdk-8-hotspot-jre-amd64

Installer les paquets du serveur central.

$ sudo apt-get update
$ sudo apt-get install xroad-securityserver-mg

Lors de la première installation du serveur central, le système demande les informations suivantes. Le nom du compte de l’utilisateur unix qui aura le droit d’effectuer toutes les activités dans l’interface utilisateur.

Configuration de X-Road proxy

Configuration de X-Road proxy

URL du serveur de base de données.

Configuration de X-Road proxy

Configuration de X-Road proxy

Si les migrations de la base de données doivent être ignorées et traitées manuellement.

Le nom distinctif du propriétaire du certificat TLS auto-signé de l’interface utilisateur (subjectDN) et Les noms alternatifs (subjectAltName).

Configuration de X-Road proxy

Configuration de X-Road proxy

Configuration de X-Road proxy

Configuration de X-Road proxy

Ce certificat est utilisé pour sécuriser les connexions à l’interface utilisateur. Le nom et les adresses IP détectés par le système d’exploitation sont suggérés comme valeurs par défaut.

Identification du certificat TLS utilisé pour sécuriser le point d’accès HTTPS utilisé pour fournir des services de gestion. Le nom et les adresses IP détectés à partir du système d’exploitation sont proposés comme valeurs par défaut.

Configuration de X-Road proxy ul API

Configuration de X-Road proxy ul API

Configuration de X-Road proxy ul API

Configuration de X-Road proxy ul API

Le nom distinctif doit être saisi dans le format :  /CN=server.domain.tld. Toutes les adresses IP et tous les noms de domaine utilisés doivent être saisis comme noms alternatifs dans le format : IP:1.2.3.4,IP:4.3.2.1,DNS:servername,DNS:servername2.domain.tl

5. Contrôles après installation

L’installation est réussie si les services du système sont démarrés et si l’interface utilisateur répond. Assurer à partir de la ligne de commande, que les services X-Road sont en état running.

$ sudo systemctl list-units "xroad*"

Assurer que l’interface utilisateur du serveur central à l’adresse https://SECURITYSERVER:4000/ peut être ouverte dans un navigateur Web. Pour se connecter, utiliser le nom de compte choisi lors de l’installation. Pendant le démarrage de l’interface utilisateur, le navigateur Web peut afficher l’erreur “502 Bad Gateway”.

Auteur : UGD - Equipe technique