Perusopas

Avaimien ja yhteyden muodostaminen

Nämä ohjeet sisältävät tietoa avainparien luontiin ja yhteyden muodostamiseksi PAS-palveluun. Ohjeita tarvitaan aineiston allekirjoittamisessa ja siirtämisessä pitkäaikaissäilytykseen silloin, kun organisaatio paketoi aineistonsa itse. Mikäli käytetään Fairdata PAS-palvelun Hallintaliittymää aineiston siirtoon, ei näitä ohjeita tarvita. Alla olevat ohjeet soveltuvat PAS-palveluiden virallisesti tukemille RHEL 9 ja AlmaLinux 9 -käyttöjärjestelmille.

Aluksi yhteyden luontia ja aineiston siirtoa testataan testiympäristössä ja vasta myöhemmin siirrytään tuotantoympäristöön. Ensin tulee luoda avainparit kirjautumista ja allekirjoittamista varten sekä rekisteröidä ne. Kun tämän jälkeen yksi paketti on saatu allekirjoitettua ja yhteydenmuodostus testattua, voit kokeilla paketoida ja siirtää aineistoa testiympäristöön. Lopulta käyttöönottovaihe päätetään siirtymällä tuotantoympäristöön.

Huom! Mitään aineistoa ei viedä testiympäristöstä varsinaiseen pitkäaikaissäilytykseen.

Avainparien luonti ja siirtovalmistelu

Avaiminen luonti tehdään vain kerran testipalvelimelle ja kerran tuotantopalvelimelle käyttöönottoa aloitettaessa. Avainpareja on kaksi erilaista: 1) RSA-avainpari, jolla muodostetaan yhteys PAS-palveluun ja 2) avainpari siirtopakettien allekirjoitusta varten.

Avaimien luontiin tarvitset OpenSSL-sovelluksen ja OpenSSH-sovelluksen. Sovellukset on monesti asennettu valmiiksi tai ne on saatavilla Linux-jakelun RPM-paketinhallinnasta.

1. Luo RSA-avainpari terminaalissa seuraavasti:

   ssh-keygen -b 8192 -t rsa -f ./id_rsa_pastesti_organization

   Komennon seurauksena kone kysyy avainfraasia (passphrase), jonka tulee olla vähintään 12 merkkiä pitkä ja sisältää numeroita. Komento tekee yksityisen avaimen tiedostoon ./id_rsa_pastesti_organization ja julkisen avaimen tiedostoon ./id_rsa_pastesti_organization.pub.

2. Siirrä syntyneet RSA-avaintiedostot ./id_rsa_pastesti_organization ja ./id_rsa_pastesti_organization.pub käyttäjän koneen kotihakemistossa olevaan ~/.ssh/-hakemistoon ja poista tiedostot oletushakemistosta:

   mv ./id_rsa_pastesti_organization* ~/.ssh/

   Tarvittaessa luo hakemisto ~/.ssh ennen edellistä komentoa:

   mkdir ~/.ssh

3. Suojaa tiedostot muuttamalla käyttöoikeudet:

   chmod 600 ~/.ssh/id_rsa_pastesti_organization*

4. Luo allekirjoitusavainpari seuraavasti:

   openssl req -x509 -nodes -days 365 -newkey rsa:8192 -keyout sip_sign_pas.pem -out sip_sign_pas.pem

   Komennon seurauksena kone kysyy joukon kysymyksiä, joihin tulee vastata oman organisaation tiedoilla.

5. Erota allekirjoituksen avainparitiedostoista julkinen avain seuraavasti:

   openssl x509 -in sip_sign_pas.pem -out sip_sign_pas_organization.pub
6. Lähetä luomasi RSA-avainparin julkinen avain (id_rsa_pastesti_organization.pub) sekä julkinen pakettien allekirjoitusavain (sip_sign_pas_organization.pub) PAS-tuelle osoitteeseen: pas-support@csc.fi. Älä luovuta avainfraasia (passphrase) äläkä yksityisiä avaimia kenellekään. Julkisten avaimien lähettämisen yhteydessä tee myös seuraavat asiat:
   • Jos et ole ohjatussa käyttöönottoprosessissa tähän mennessä ilmoittanut, ilmoita PAS-palvelulle, mistä IP-osoitteesta paketteja siirretään testiympäristöön. Voit selvittää tämän organisaatiosi tietohallinnosta.
   • Kysy PAS-palvelusta tarvittavat tiedot palomuurien avaamiseksi omassa organisaatiossasi. Oman organisaatiosi tietohallinto tarvitsee nämä tiedot.

7. RSA-avaimen avainfraasin voi tarvittaessa vaihtaa komennolla:

   cd ~/.ssh/
ssh-keygen -f id_rsa_pastesti_organization -p

Siirtopakettien allekirjoittamisesta

Ensimmäisellä kerralla luo testisiirtopaketti ja allekirjoita se. Allekirjoittamiseen tarvitset joko allekirjoitustyökalun (dpres-signature) tai sitä käyttävän paketointityökalun (dpres-siptools-ng, dpres-siptools). Katso lisätietoja työkalujen asennuksesta. Ohjeet työkalujen käyttämiseksi löydät työkalujen README-tiedoista Githubista.

• Työkalujen asennusohjeet
• Allekirjoitustyökalun käyttöohje (allekirjoitustoiminto sisältyy myös paketointityökaluun)

Yhteyden testaaminen

Kun julkiset avaimet on rekisteröity PAS-palvelussa, saat siitä ilmoituksen. Saat viimeistään tässä yhteydessä myös tunnuksen PAS-palveluun. Testaa tunnuksen ja yhteyden toimivuus näiden ohjeiden avulla.

1. Aja terminaalissa seuraavat komennot, mutta vaihda palvelinosoite testiympäristön osoitteeksi:

   uname -a > yhteystesti.txt 2>&1
ping -c 4 palvelinosoite >> yhteystesti.txt 2>&1
traceroute palvelinosoite >> yhteystesti.txt 2>&1
traceroute -p 22 palvelinosoite >> yhteystesti.txt 2>&1
sftp -vv -oIdentityFile=~/.ssh/id_rsa_pastesti_organization \
tunnus@palvelinosoite:transfer >> yhteystesti.txt 2>&1

   Toiseksi viimeisen rivin jälkeen kehotteeksi tulee pelkkä nuoli, johon viimeinen rivi kirjoitetaan. Viimeinen komento vaatii luodun avainfraasin (passphrase).

   Hakemistoon, jossa komentoja ajetaan, syntyy yhteystesti.txt-tiedosto. Joidenkin komentojen ajo saattaa kestää hieman pidempään, eivätkä komennot tulosta näytölle mitään, koska tuloste menee koneella yhteystesti.txt-tiedostoon.

   Yhteyden onnistuessa kone jää viimeisen komennon jälkeen odottamaan käyttäjältä syötettä tulostamatta mitään. Kirjoita quit poistuaksesi takaisin kehotteeseen.

2. Kirjaudu testiympäristöön hyödyntäen luomaasi avainparia ja avainfraasia (passphrase) seuraavasti:

   sftp -oIdentityFile=~/.ssh/id_rsa_pastesti_organization tunnus@palvelinosoite:transfer

3. Siirrä siirtopaketti SFTP-komentorivillä seuraavasti:

   put sip-filename.zip
4. Kohdatessasi yhteysongelmia edellä, varmista vielä organisaatiosi tietohallinnosta, että organisaatiosi palvelimesta on palomuurit asetettu oikein ja kokeile sen jälkeen yhteyden testaamista uudelleen. Jos ongelmia edelleen ilmenee, lähetä luomasi yhteystesti.txt-tiedosto PAS-tukeen osoitteeseen: pas-support@csc.fi.
5. Kun siirrät aineistoa myöhemmin, noudata kohtia 2-3.

6. Oletusasetukset voi tarvittaessa tallentaa käyttäjän koneen kotihakemiston ~/.ssh/config-tiedostoon:

   Host palvelinosoite
User tunnus
IdentityFile ~/.ssh/id_rsa_pastesti_organization

Siirtopakettien testaaminen

Kun edellä oleva prosessi on käyty läpi, voit kokeilla siirtopakettien muodostusta ja siirtoa allekirjoittamalla muodostamiasi siirtopaketteja (ks. luku "Siirtopakettien allekirjoittamisesta") sekä siirtämällä aineistoa PAS-testiympäristöön seuraavasti:

1. Kirjaudu testiympäristöön hyödyntäen luomaasi avainparia ja avainfraasia (passphrase) seuraavasti:

   sftp -oIdentityFile=~/.ssh/id_rsa_pastesti_organization tunnus@palvelinosoite:transfer

2. Siirrä siirtopaketti SFTP-komentorivillä seuraavasti:

   put sip-filename.zip

Siirtyminen testiympäristöstä tuotantoon

Tuotantoon siirtyessä sinun tulee edellä esitetyllä tavalla luoda uudet RSA-avaimet ja uudet allekirjoitusavaimet sekä rekisteröidä ne lähettämällä niiden julkiset osat PAS-palveluun. Julkisten avaimien lähettämisen yhteydessä:

• Kerro PAS-palvelulle, mistä IP-osoitteesta paketteja siirretään tuotantoon. Voit selvittää tämän organisaatiosi tietohallinnosta. Tämä saattaa olla eri osoite kuin testaamisvaiheessa.
• Kysy PAS-palvelusta tarvittavat tiedot palomuurien avaamiseksi omassa organisaatiossasi. Oman organisaatiosi tietohallinto tarvitsee nämä tiedot, ja ne ovat eri tiedot kuin testaamisvaiheessa.

Tämän jälkeen voidaan siirtyä suoraan aineiston paketointiin ja siirtämiseen tuotannossa. Aineiston siirrossa palvelinosoitteena on yllä olevista ohjeista poiketen tuotantoympäristön osoite, eikä testiympäristön osoite. Kaikki tuotantoympäristöön viedyt oikein muodostetut siirtopaketit menevät todelliseen pitkäaikaissäilytykseen.

Lisätietoja

• OpenSSL-ohjelmisto
• OpenSSH-ohjelmisto