QR-CERT Appliance jest specjalnie przygotowanym obrazem maszyny wirtualnej zawierającym zainstalowane, skonfigurowane i w pełni gotowe do wydawania certyfikatów środowisko QR-CERT Serwer. Konfiguracja udostępnionej maszyny wirtualnej pozwala na przetestowanie wszystkich funkcjonalności oferowanych przez system QR-CERT w wersji Standard.

QR-CERT Appliance daje możliwość utworzenia własnej infrastruktury PKI na podstawie szablonów wykorzystanych w wersji demonstracyjnej.

QR-CERT Appliance zawiera zainstalowane, skonfigurowane i gotowe do użycia moduły:

  • LOGSERVER:
  • Moduł gromadzący dane do audytu z bieżącej pracy systemu.
  • CA-ENGINE:
    • Urząd RootCA z wydanym głównym certyfikatem oraz kluczem prywatnym zdeponowanym w softHSM.
    • Profil listy CRL oraz polityka wydawania pełnej listy CRL.
    • Profil certyfikatu oraz skonfigurowana polityka wydawania certyfikatów dla uwierzytelniania osób.
    • Profil certyfikatu oraz skonfigurowana polityka wydawania certyfikatów dla serwera SSL.
  • CAO-GATEWAY:
    • Moduł umożliwiający zarządzanie obiektami PKI z poziomu aplikacji QR-CERT Operator.
  • CA-PUBLISHER:
    • Usługa gotowa do publikowania list CRL do lokalnego systemu plików.
  • OCSP-SERVER:
    • Usługa gotowa do udzielania odpowiedzi na zapytanie o status certyfikatu.
  • TSA-SERVER:
    • Usługa gotowa do wydawania znaczników czasu.

 

Plik obrazu QR-CERT Appliance jest dostępny do pobrania tutaj.

Obraz QR-CERT Appliance (plik w formacie OVA) można uruchomić m.in. na następujących środowiskach wirtualizacji:

  • KVM,
  • Oracle VirtualBox,
  • VMware ESXi/Player.

 

QR-CERT Appliance został przygotowany w oparciu o system operacyjny CentOS 7 i bazę danych PostgreSQL 9.6. Nowo utworzona z obrazu QR-CERT Appliance maszyna wirtualna posiada zainstalowaną świeżą instalację oprogramowania QR-CERT Serwer gotową do wykorzystania w celach demonstracyjnych lub produkcyjnych.


Domyślne hasło użytkownika root w systemie QR-CERT Appliance to: malkom.

Oracle VirtualBox

Po pobraniu pliku obrazu QR-CERT Appliance należy zaimportować go do aplikacji Oracle VirtualBox. Po jej uruchomieniu należy wybrać z menu File polecenie Import Appliance, pojawi się okno jak na rysunku poniżej. W polu Appliance to import należy podać lokalizację pobranego pliku obrazu QR-CERT Appliance. Na liście Appliance Settings należy odszukać pozycję Network Adapter i wybrać kartę sieciową dostępną na posiadanym komputerze.

Rysunek:Okno importu maszyny wirtualnej

 

Następnie należy kliknąć przycisk Import i poczekać na zakończenie procedury importu maszyny wirtualnej. Po prawidłowym zaimportowaniu obrazu QR-CERT Appliance należy uruchomić utworzoną maszynę wirtualną i wykonać konfigurację karty sieciowej, tak aby umożliwić połączenia sieciowe do serwera QR-CERT Appliance.

Konfiguracja karty sieciowej

Domyślnie w systemie QR-CERT Appliance jest włączone pozyskiwanie adresu IP do DHCP. Jeśli maszyna wirtualna jest uruchamiana w środowisku sieciowym w którym działa serwer DHCP, wtedy adres IP zostanie przydzielony automatycznie.

Zalecane jest skonfigurowanie stałego adresu IP dla serwera QR-CERT Appliance.

Aby nadać stały adres IP serwerowi QR-CERT Appliance, należy po zalogowaniu się jako użytkownik root wykonać w systemie poniższe polecenia:

# nmcli con mod enp0s3 ipv4.method manual ipv4.addr 10.10.10.1/16
# nmcli con mod enp0s3 ipv4.gateway 10.10.1.1
# systemctl restart network.service

Gdzie:

  • 10.10.10.1/16 - adres IP i maska podsieci serwera QR-CERT Appliance (należy podać wartości właściwe dla własnej sieci),
  • 10.10.1.1 - adres IP serwera gateway (należy podać wartość właściwą dla własnej sieci).

Konfiguracja strefy czasowej

CentOS

Domyślnie w systemie QR-CERT Appliance ustawiona jest strefa czasowa America/New_York (EST UTC-0500/EDT UTC-0400).

Zalecane jest skonfigurowanie strefy czasowej właściwej dla własnego kraju.

Aby zmienić strefę czasową systemu operacyjnego, należy po zalogowaniu się jako użytkownik root wykonać w systemie poniższe polecenia:

# timedatectl set-timezone Europe/Warsaw
# timedatectl
...
Time zone: Europe/Warsaw (CEST, +0200)
...

Powyższy przykład pokazuje jak ustawić strefę czasową Europe/Warsaw (CEST UTC+0200). Listę wszystkich dostępnych stref czasowych można pobrać poleceniem:

# timedatectl list-timezones

PostgreSQL

Domyślnie w bazie danych QR-CERT Appliance ustawiona jest strefa czasowa US/Eastern (EST UTC-0500/EDT UTC-0400).

Zalecane jest ustawienie dla bazy danych tej samej strefy czasowej co w systemie operacyjnym.

Aby zmienić strefę czasową bazy danych, należy po zalogowaniu się jako użytkownik root wykonać w systemie poniższe polecenia:

# vi /var/opt/pgsql/data/mca/9.6/postgresql.conf
...
timezone = 'Europe/Warsaw'
log_timezone = 'Europe/Warsaw'
...

# systemctl restart pgsql-mca

Powyższy przykład pokazuje jak ustawić strefę czasową Europe/Warsaw (CEST UTC+0200). Listę wszystkich dostępnych stref czasowych bazy danych można pobrać poleceniem:

# module load pg/9.6.2
# psql -p 5441 -U postgres
postgres=# SELECT * FROM pg_timezone_names;
               name               | abbrev | utc_offset | is_dst
----------------------------------+--------+------------+--------
...
 Europe/Warsaw                    | CEST   | 02:00:00   | t
...

Wybór trybu pracy

QR-CERT Appliance może być wykorzystany zarówno do celów demonstracyjnych jak i produkcyjnych. W zależności od wybranego przeznaczenia, należy zainstalować konfigurację demonstracyjną lub wykonać instalację instancji produkcyjnej.

Instalacja konfiguracji demonstracyjnej

Jeżeli QR-CERT Appliance ma służyć do celów demonstracyjnych należy po uruchomieniu maszyny wirtualnej zalogować się do systemu QR-CERT Appliance jako użytkownik root i wykonać poniższe polecenia:

# su - mca
$ cd /opt/mca/demo
$ ./demo-setup.sh
Home directory:   /opt/mca
Shared directory: /var/opt/mca
Backup directory: /var/opt/mca/backup

Warning! All current data and configuration will be replaced with sample data.
Do you want to proceed? [yes/no]: yes
Installing sample configuration...
Backing up current data...
...
OK
Importing sample data...
DROP DATABASE
CREATE DATABASE
OK

Backup file: /var/opt/mca/backup/mca-backup-20170221110005.tar.gz
Done
    
^D (CRTL+D)

# systemctl enable mca.service
# systemctl start mca.service

# ps -fu mca
UID        PID  PPID  C STIME TTY          TIME CMD
mca       2593     1  0 08:33 ?        00:00:00 /opt/mca/bin/logserver -config /opt/mca/etc/mca.conf
mca       2597     1  0 08:33 ?        00:00:05 /opt/mca/bin/ca-engine -config /opt/mca/etc/mca.conf
mca       2598     1  0 08:33 ?        00:00:00 /opt/mca/bin/cao-gateway -config /opt/mca/etc/mca.conf
mca       2599     1  0 08:33 ?        00:00:03 /opt/mca/bin/publisher -config /opt/mca/etc/mca.conf
mca       2638     1  0 08:33 ?        00:00:00 /opt/mca/bin/ocsp -config /opt/mca/etc/mca.conf
mca       2639     1  0 08:33 ?        00:00:00 /opt/mca/bin/tsa -config /opt/mca/etc/mca.conf


Wykonanie komendy ps -fu mca jest opcjonalne i ma na celu tylko zweryfikowanie poprawności uruchomienia usług. W czasie poprawnego startu powinno zostać uruchomionych sześć usług.

Do tak przygotowanej instancji demonstracyjnej można się zalogować z aplikacji klienta QR-CERT Operator.

Istotne jest, aby w czasie instalacji aplikacji QR-CERT Operator wybrać komponent Konfiguracja QR-CERT Appliance, dzięki któremu po instalacji będzie możliwość połączenia się z serwerem QR-CERT Appliance w roli Administratora VSPACE oraz Operatora VSPACE.

Demonstracyjna usługa OCSP dostępna jest pod adresem:

http://<hostname>:4542

Demonstracyjna usługa TSA dostępna jest pod adresem:

http://<hostname>:4552/tsa

Gdzie:

  • <hostname> - nazwa hosta lub adres IP nadany serwerowi QR-CERT Appliance.

Instalacja instancji produkcyjnej

Jeżeli QR-CERT Appliance ma służyć do celów produkcyjnych należy wykonać kolejno procedury:

Po wykonaniu powyższych procedur należy zalogować się do systemu QR-CERT Appliance jako użytkownik root i wykonać poniższe polecenie:

# systemctl enable mca.service

Polecenie to zapewni automatyczny start modułów QR-CERT Serwer przy uruchamianiu maszyny wirtualnej.

 





Szukaj w dokumentacji