Perusopas

Avaimien ja yhteyden muodostaminen

Nämä ohjeet sisältävät tietoa avainparin luontiin ja yhteyden muodostamiseksi PAS-palveluun. Ohjeita tarvitaan aineiston allekirjoittamisessa ja siirtämisessä pitkäaikaissäilytykseen silloin, kun organisaatio paketoi aineistonsa itse. Mikäli käytetään Fairdata PAS-palvelun Hallintaliittymää aineiston siirtoon, ei näitä ohjeita tarvita. Alla olevat ohjeet soveltuvat PAS-palveluiden virallisesti tukemille RHEL 9 ja AlmaLinux 9 -käyttöjärjestelmille.

Aluksi yhteyden luontia ja aineiston siirtoa testataan testiympäristössä ja vasta myöhemmin siirrytään tuotantoympäristöön. Ensin tulee luoda avainpari siirtopakettien allekirjoittamista varten sekä rekisteröidä ne. Kun tämän jälkeen yksi paketti on saatu allekirjoitettua ja yhteydenmuodostus testattua, voi kokeilla paketoida ja siirtää aineistoa testiympäristöön. Lopulta käyttöönottovaihe päätetään siirtymällä tuotantoympäristöön.

Huom! Mitään aineistoa ei viedä testiympäristöstä varsinaiseen pitkäaikaissäilytykseen.

Avainparin luonti ja siirtovalmistelu

Avaimien luonti tehdään vain kerran testipalvelimelle ja kerran tuotantopalvelimelle käyttöönottoa aloitettaessa. Avainpari luodaan siirtopakettien allekirjoitusta varten.

Avaimien luontiin tarvitset OpenSSL-sovelluksen. Sovellus on monesti asennettu valmiiksi tai se on saatavilla Linux-jakelun RPM-paketinhallinnasta.

1. Luo allekirjoitusavainpari seuraavasti:

   openssl req -x509 -nodes -days 365 -newkey rsa:8192 -keyout sip_sign_pas.pem -out sip_sign_pas.pem

   Komennon seurauksena kone kysyy joukon kysymyksiä, joihin tulee vastata oman organisaation tiedoilla.

2. Erota allekirjoituksen avainparitiedostoista julkinen avain seuraavasti:

   openssl x509 -in sip_sign_pas.pem -out sip_sign_pas_organization.pub
3. Lähetä luomasi julkinen pakettien allekirjoitusavain (sip_sign_pas_organization.pub) PAS-tuelle osoitteeseen: pas-support@csc.fi. Älä luovuta avainfraasia (passphrase) äläkä yksityisiä avaimia kenellekään. Julkisten avaimien lähettämisen yhteydessä tee myös seuraavat asiat:
   • Jos et ole ohjatussa käyttöönottoprosessissa tähän mennessä ilmoittanut, ilmoita PAS-palvelulle, mistä IP-osoitteesta paketteja siirretään testiympäristöön. Voit selvittää tämän organisaatiosi tietohallinnosta.
   • Kysy PAS-palvelusta tarvittavat tiedot palomuurien avaamiseksi omassa organisaatiossasi. Oman organisaatiosi tietohallinto tarvitsee nämä tiedot.

Siirtopakettien allekirjoittamisesta

Luo ensimmäisellä kerralla testisiirtopaketti ja allekirjoita se. Allekirjoittamiseen tarvitset joko allekirjoitustyökalun (dpres-signature) tai sitä käyttävän paketointityökalun (dpres-siptools-ng, dpres-siptools). Katso lisätietoja työkalujen asennuksesta. Ohjeet työkalujen käyttämiseksi löydät työkalujen README-tiedoista Githubista.

• Työkalujen asennusohjeet
• Allekirjoitustyökalun käyttöohje (allekirjoitustoiminto sisältyy myös paketointityökaluun)

Työkalu rajapintojen käyttöön

Lataa ja asenna työkalu PAS-palvelujen rajapintojen käyttöön (dpres-rest-api-client). Katso lisätietoja työkalujen asennuksesta. Työkalun avulla pääset lähettämään aineistoja PAS-palveluun, hallinnoimaan säilytettävia aineistoja, ja palauttamaan aineistot PAS-palvelun jakelusta.

Työkalun asennettua, luo ja täydennä työkalun konfiguraatiotiedosto. Ohjeet tästä, sekä työkalun käytöstä löytyvät työkalun README-tiedostosta. Konfiguraatiedostoon lisätään mm. aineistosi PAS-sopimustunnus, PAS-testipalvelimen osoite sekä kirjautumistiedot PAS-palveluun. Näistä saat lisätietoa siirtovalmistelun yhteydessä.

Siirtopakettien testaaminen

Kun edellä oleva prosessi on käyty läpi, voit kokeilla siirtopakettien muodostusta ja siirtoa allekirjoittamalla muodostamiasi siirtopaketteja (ks. luku "Siirtopakettien allekirjoittamisesta") sekä siirtämällä aineistoa PAS-testiympäristöön seuraavasti:

1. Lähetä siirtopaketti PAS-testiympäristöön asennetulla rajapintatyökalulla (lue käyttöohjeet):

   $ dpres-client upload siirtopaketti.tar

2. Edellinen komento palauttaa siirtotunnisteen. Seuraa vastaanoton valmistumista ja nouda validointiraportti:

   $ dpres-client get-report siirtotunniste

Siirtyminen testiympäristöstä tuotantoon

Tuotantoon siirtyessä sinun tulee edellä esitetyllä tavalla luoda uusi allekirjoitusavainpari sekä rekisteröidä se lähettämällä sen julkinen osa PAS-palveluun. Julkisten avaimien lähettämisen yhteydessä:

• Kerro PAS-palvelulle, mistä IP-osoitteesta paketteja siirretään tuotantoon. Voit selvittää tämän organisaatiosi tietohallinnosta. Tämä saattaa olla eri osoite kuin testaamisvaiheessa.
• Kysy PAS-palvelusta tarvittavat tiedot palomuurien avaamiseksi omassa organisaatiossasi. Oman organisaatiosi tietohallinto tarvitsee nämä tiedot, ja ne ovat eri tiedot kuin testaamisvaiheessa.
• Muokkaa PAS-palvelun rajapintatyökalun konfiguraatiotiedostoa, jossa korvaat viittaukset testiympäristöön tuotantoympäristön tiedoilla. Ohjeet konfiguraationtiedoston muokkaamiselle löytyvät täällä.

Tämän jälkeen voidaan siirtyä suoraan aineiston paketointiin ja siirtämiseen tuotannossa. Aineiston siirrossa palvelinosoitteena on yllä olevista ohjeista poiketen tuotantoympäristön osoite, eikä testiympäristön osoite. Kaikki tuotantoympäristöön viedyt oikein muodostetut siirtopaketit menevät todelliseen pitkäaikaissäilytykseen.

Käytöstä poistuva SFTP-siirtotapa

PAS-palveluiden rajapinnoissa on aiemmin ollut käytössä SFTP-protokolla siirtopakettien siirtämiseksi. Pääsääntöisesti tätä tapaa ei enää uusiin käyttöönottoihin tarjota, ja se on poistumassa kokonaan käytöstä edellä kuvatun tavan myötä. SFTP-siirtotapaan liittyvä ohje on vielä kuvattu alle siirtymäkauden tarpeisiin.

Avainparin luonti ja siirtovalmistelu

SFTP-yhteyden muodostamiseksi PAS-palveluun tarvitaan RSA-avainpari, joka luodaan vain kerran testipalvelimelle ja kerran tuotantopalvelimelle käyttöönottoa aloitettaessa.

Avaimien luontiin tarvitset OpenSSH-sovelluksen. Tämä on monesti asennettu valmiiksi tai se on saatavilla Linux-jakelun RPM-paketinhallinnasta.

1. Luo RSA-avainpari terminaalissa seuraavasti:

   ssh-keygen -b 8192 -t rsa -f ~/.ssh/id_rsa_pastesti_organization

   Komennon seurauksena kone kysyy avainfraasia (passphrase), jonka tulee olla vähintään 12 merkkiä pitkä, ja sisältää kirjaimia ja numeroita. Komento tekee yksityisen avaimen tiedostoon id_rsa_pastesti_organization ja julkisen avaimen tiedostoon id_rsa_pastesti_organization.pub, ja ne sijaitsevat käyttäjän kotihakemiston alla ~/.ssh/-piilohakemistossa. On tärkeää, että tiedostot ovat nimenomaan tässä hakemistossa.

2. Lähetä luomasi RSA-avainparin julkinen avain (id_rsa_pastesti_organization.pub) PAS-tuelle osoitteeseen: pas-support@csc.fi. Älä luovuta avainfraasia (passphrase) äläkä yksityistä avainta kenellekään. Julkisen avaimen lähettämisen yhteydessä tee myös seuraavat asiat:
   • Jos et ole ohjatussa käyttöönottoprosessissa tähän mennessä ilmoittanut, ilmoita PAS-palvelulle, mistä IP-osoitteesta paketteja siirretään testiympäristöön. Voit selvittää tämän organisaatiosi tietohallinnosta.
   • Kysy PAS-palvelusta tarvittavat tiedot palomuurien avaamiseksi omassa organisaatiossasi. Oman organisaatiosi tietohallinto tarvitsee nämä tiedot.

3. RSA-avaimen avainfraasin voi tarvittaessa vaihtaa komennolla:

   ssh-keygen -f ~/.ssh/id_rsa_pastesti_organization -p

SFTP-yhteyden testaaminen

Kun julkinen avain on rekisteröity PAS-palvelussa, saat siitä ilmoituksen. Saat viimeistään tässä yhteydessä myös tunnuksen PAS-palveluun. Testaa tunnuksen ja yhteyden toimivuus testiympäristöön näiden ohjeiden avulla.

1. Aja terminaalissa seuraavat komennot, mutta vaihda palvelinosoite testiympäristön osoitteeksi:

   uname -a > yhteystesti.txt 2>&1
ping -c 4 palvelinosoite >> yhteystesti.txt 2>&1
traceroute palvelinosoite >> yhteystesti.txt 2>&1
traceroute -p 22 palvelinosoite >> yhteystesti.txt 2>&1
sftp -vv -oIdentityFile=~/.ssh/id_rsa_pastesti_organization \
tunnus@palvelinosoite:transfer >> yhteystesti.txt 2>&1

   Toiseksi viimeisen rivin jälkeen kehotteeksi tulee pelkkä nuoli, johon viimeinen rivi kirjoitetaan. Viimeinen komento vaatii luodun avainfraasin (passphrase).

   Hakemistoon, jossa komentoja ajetaan, syntyy yhteystesti.txt-tiedosto. Joidenkin komentojen ajo saattaa kestää hieman pidempään, eivätkä komennot tulosta näytölle mitään, koska tuloste menee koneella yhteystesti.txt-tiedostoon.

   Yhteyden onnistuessa kone jää viimeisen komennon jälkeen odottamaan käyttäjältä syötettä tulostamatta mitään. Kirjoita quit poistuaksesi takaisin kehotteeseen.

2. Kirjaudu testiympäristöön hyödyntäen luomaasi avainparia ja avainfraasia (passphrase) seuraavasti:

   sftp -oIdentityFile=~/.ssh/id_rsa_pastesti_organization tunnus@palvelinosoite:transfer

3. Siirrä siirtopaketti SFTP-komentorivillä seuraavasti:

   put sip-filename.zip
    
4. Kohdatessasi yhteysongelmia edellä, varmista vielä organisaatiosi tietohallinnosta, että organisaatiosi palvelimesta on palomuurit asetettu oikein ja kokeile sen jälkeen yhteyden testaamista uudelleen. Jos ongelmia edelleen ilmenee, lähetä luomasi yhteystesti.txt-tiedosto PAS-tukeen osoitteeseen: pas-support@csc.fi.
    
5. Kun siirrät aineistoa myöhemmin PAS-palveluun, noudata kohtia 2-3.

6. Oletusasetukset voi tarvittaessa tallentaa käyttäjän koneen kotihakemiston ~/.ssh/config-tiedostoon:

   Host palvelinosoite
User tunnus
IdentityFile ~/.ssh/id_rsa_pastesti_organization

Siirtopakettien testaaminen

Kun edellä oleva prosessi on käyty läpi, voit kokeilla siirtopakettien muodostusta ja siirtoa allekirjoittamalla muodostamiasi siirtopaketteja sekä siirtämällä aineistoa PAS-testiympäristöön seuraavasti:

1. Kirjaudu testiympäristöön hyödyntäen luomaasi avainparia ja avainfraasia (passphrase) seuraavasti:

   sftp -oIdentityFile=~/.ssh/id_rsa_pastesti_organization tunnus@palvelinosoite:transfer

2. Siirrä siirtopaketti SFTP-komentorivillä seuraavasti:

   put sip-filename.zip