Perusopas

Avaimien ja yhteyden muodostaminen

Nämä ohjeet sisältävät tietoa avainparin luontiin ja yhteyden muodostamiseksi PAS-palveluun. Ohjeita tarvitaan aineiston allekirjoittamisessa ja siirtämisessä pitkäaikaissäilytykseen silloin, kun organisaatio paketoi aineistonsa itse. Mikäli käytetään Fairdata PAS-palvelun Hallintaliittymää aineiston siirtoon, ei näitä ohjeita tarvita. Alla olevat ohjeet soveltuvat PAS-palveluiden virallisesti tukemille RHEL 9 ja AlmaLinux 9 -käyttöjärjestelmille.

Aluksi yhteyden luontia ja aineiston siirtoa testataan testiympäristössä ja vasta myöhemmin siirrytään tuotantoympäristöön. Ensin tulee luoda avainpari siirtopakettien allekirjoittamista varten sekä rekisteröidä ne. Kun tämän jälkeen yksi paketti on saatu allekirjoitettua ja yhteydenmuodostus testattua, voi kokeilla paketoida ja siirtää aineistoa testiympäristöön. Lopulta käyttöönottovaihe päätetään siirtymällä tuotantoympäristöön.

Huom! Mitään aineistoa ei viedä testiympäristöstä varsinaiseen pitkäaikaissäilytykseen.

Avainparin luonti ja siirtovalmistelu

Avaimien luonti tehdään vain kerran testipalvelimelle ja kerran tuotantopalvelimelle käyttöönottoa aloitettaessa. Avainpari luodaan siirtopakettien allekirjoitusta varten.

Avaimien luontiin tarvitset OpenSSL-sovelluksen. Sovellus on monesti asennettu valmiiksi tai se on saatavilla Linux-jakelun RPM-paketinhallinnasta.

1. Luo allekirjoitusavainpari seuraavasti:

   openssl req -x509 -nodes -days 365 -newkey rsa:8192 -keyout sip_sign_pas.pem -out sip_sign_pas.pem

   Komennon seurauksena kone kysyy joukon kysymyksiä, joihin tulee vastata oman organisaation tiedoilla.

2. Erota allekirjoituksen avainparitiedostoista julkinen avain seuraavasti:

   openssl x509 -in sip_sign_pas.pem -out sip_sign_pas_organization.pub
3. Lähetä luomasi julkinen pakettien allekirjoitusavain (sip_sign_pas_organization.pub) PAS-tuelle osoitteeseen: pas-support@csc.fi. Älä luovuta avainfraasia (passphrase) äläkä yksityisiä avaimia kenellekään. Julkisten avaimien lähettämisen yhteydessä tee myös seuraavat asiat:
   • Jos et ole ohjatussa käyttöönottoprosessissa tähän mennessä ilmoittanut, ilmoita PAS-palvelulle, mistä IP-osoitteesta paketteja siirretään testiympäristöön. Voit selvittää tämän organisaatiosi tietohallinnosta.
   • Kysy PAS-palvelusta tarvittavat tiedot palomuurien avaamiseksi omassa organisaatiossasi. Oman organisaatiosi tietohallinto tarvitsee nämä tiedot.

Siirtopakettien allekirjoittamisesta

Luo ensimmäisellä kerralla testisiirtopaketti ja allekirjoita se. Allekirjoittamiseen tarvitset joko allekirjoitustyökalun (dpres-signature) tai sitä käyttävän paketointityökalun (dpres-siptools-ng, dpres-siptools). Katso lisätietoja työkalujen asennuksesta. Ohjeet työkalujen käyttämiseksi löydät työkalujen README-tiedoista Githubista.

• Työkalujen asennusohjeet
• Allekirjoitustyökalun käyttöohje (allekirjoitustoiminto sisältyy myös paketointityökaluun)

Työkalu rajapintojen käyttöön

Lataa ja asenna työkalu PAS-palvelujen rajapintojen käyttöön (dpres-rest-api-client). Katso lisätietoja työkalujen asennuksesta. Työkalun avulla pääset lähettämään aineistoja PAS-palveluun, hallinnoimaan säilytettävia aineistoja, ja palauttamaan aineistot PAS-palvelun jakelusta.

Työkalun asennettua, luo ja täydennä työkalun konfiguraatiotiedosto. Ohjeet tästä, sekä työkalun käytöstä löytyvät työkalun README-tiedostosta. Konfiguraatiedostoon lisätään mm. aineistosi PAS-sopimustunnus, PAS-testipalvelimen osoite sekä kirjautumistiedot PAS-palveluun. Näistä saat lisätietoa siirtovalmistelun yhteydessä.

Siirtopakettien testaaminen

Kun edellä oleva prosessi on käyty läpi, voit kokeilla siirtopakettien muodostusta ja siirtoa allekirjoittamalla muodostamiasi siirtopaketteja (ks. luku "Siirtopakettien allekirjoittamisesta") sekä siirtämällä aineistoa PAS-testiympäristöön seuraavasti:

1. Lähetä siirtopaketti PAS-testiympäristöön asennetulla rajapintatyökalulla (lue käyttöohjeet):

   $ dpres-client upload siirtopaketti.tar

2. Edellinen komento palauttaa siirtotunnisteen. Seuraa vastaanoton valmistumista ja nouda validointiraportti:

   $ dpres-client get-report siirtotunniste

Siirtyminen testiympäristöstä tuotantoon

Tuotantoon siirtyessä sinun tulee edellä esitetyllä tavalla luoda uusi allekirjoitusavainpari sekä rekisteröidä se lähettämällä sen julkinen osa PAS-palveluun. Julkisten avaimien lähettämisen yhteydessä:

• Kerro PAS-palvelulle, mistä IP-osoitteesta paketteja siirretään tuotantoon. Voit selvittää tämän organisaatiosi tietohallinnosta. Tämä saattaa olla eri osoite kuin testaamisvaiheessa.
• Kysy PAS-palvelusta tarvittavat tiedot palomuurien avaamiseksi omassa organisaatiossasi. Oman organisaatiosi tietohallinto tarvitsee nämä tiedot, ja ne ovat eri tiedot kuin testaamisvaiheessa.
• Muokkaa PAS-palvelun rajapintatyökalun konfiguraatiotiedostoa, jossa korvaat viittaukset testiympäristöön tuotantoympäristön tiedoilla. Ohjeet konfiguraationtiedoston muokkaamiselle löytyvät täällä.

Tämän jälkeen voidaan siirtyä suoraan aineiston paketointiin ja siirtämiseen tuotannossa. Aineiston siirrossa palvelinosoitteena on yllä olevista ohjeista poiketen tuotantoympäristön osoite, eikä testiympäristön osoite. Kaikki tuotantoympäristöön viedyt oikein muodostetut siirtopaketit menevät todelliseen pitkäaikaissäilytykseen.