6.1. Встановлення шлюзу безпечного обміну за допомогою скрипта автоматизації

6.1.1. ДодаванняЗавантаження репозиторіюскрипта завтоматизації пакетами системи «Трембіта»встановлення

~~Для~~Скрипт ~~додавання~~автоматизації ~~репозиторію~~встановлення зпризначений пакетами системи «Трембіта» необхідно закоментувати всі вже існуючі рядки у файлі /etc/apt/sources.list (вставляючи символ «#» на початку кожного рядку) та додати наступний рядок в кінці файлу:

deb https://project-repo.trembita.gov.ua:8081/repository/ss-1.12.6/ bionic main

~~Швидко це можна зробити за допомогою послідовного~~для виконання наступних двох команд, перша з яких додає символ коментування «#» до кожного непустого рядку, а друга – додає новий рядок з посиланням на репозиторій в кінець даного файлу:

sudo sed -i 's/^[A-Za-z0-9]/#&/' /etc/apt/sources.list
echo 'deb https://project-repo.trembita.gov.ua:8081/repository/ss-1.12.6/ bionic main' | sudo tee -a /etc/apt/sources.list

Перевірити результат виконання команд можна за допомогою текстового редактора nano, відкривши файл на редагування за допомогою наступної команди:

sudo nano /etc/apt/sources.list

~~Примітка.~~ Для виходу з редактору використовується комбінація клавіш «Ctrl+X». Якщо були внесені зміни, то потрібно натиснути клавішу «Y» для їх збереження або «N» для відміни.

6.1.2. Додавання GPG ключа для репозиторію

~~Для встановлення~~інсталяції програмного забезпечення зшлюзу ~~репозиторію~~безпечного ~~системи «Трембіта» потрібно завантажити та додати в систему GPG ключ даного репозиторію.~~обміну.

~~Для~~Скрипт ~~цього~~автоматизованого ~~Адміністратору~~встановлення ~~локальних~~можна ~~компонентів~~завантажити ~~(системному~~за ~~адміністратору)~~посиланням https://portal.trembita.gov.ua/media/website-media/trembita_installation1_12_6.zip. Після завантаження необхідно ~~виконати~~розархівувати ~~наступну~~завантажений ~~команду:~~архів до домашньої директорії

sudo wget -O - https:(/home/project-repo.trembita.gov.ua:8081//public-keys/public.key.txt | sudo apt-key add -

<username~~Якщо команда виконана успішно, буде виведено повідомлення «ОК»~~>).

Це

можна

6.1.3. Налаштування локалі

Якщо локалі «en_US.utf8» немає в системі, Адміністратору локальних компонентів (системному адміністратору) необхідно згенерувати їїзробити за допомогою послідовного виконання наступних команд:

sudowget locale-genhttps://portal.trembita.gov.ua/media/website-media/trembita_installation1_12_6.zip
en_US.UTF-8unzip sudotrembita_installation.zip

~~dpkg-reconfigure~~

~~locales~~Примітка. Якщо утиліта Unzip не встановлена, її необхідно встановити за допомогою виконання наступної команди:

apt install unzip

Після розархівування в домашній директорії з’являться файли, необхідні для встановлення ШБО.

6.1.2. Запуск та робота скрипта автоматизації встановлення для тестового середовища

Для запуску скрипта необхідно:

1. Перейти до відповідної віртуальної машини, де буде здійснюватися встановлення ШБО.

2. Виконати наступну команду:

sudo -s

3. Ввести пароль користувача root для підтвердження адміністративних повноважень у системі.

4. Перейти в директорію /home/<username> за допомогою виконання наступної команди:

cd /home/<username>

де <username> – ім’я користувача з роллю Адміністратор локальних компонентів (системний адміністратор).

5. Послідовно виконати наступні команди:

sudo chmod +x install_standalone_ss.sh
./install_standalone_ss.sh

Важливо! Результат роботи скрипта відмінити неможливо, тому перед його виконанням необхідно зробити резервну копію (снапшот) віртуальної машини, на якій буде запущено скрипт.

Після запуску скрипта на виконання користувачеві буде відображено наступне повідомлення: «Цей сценарій встановить шлюз безпечного обміну версії 1.12.6, будь ласка, переконайтеся, що ця машина має доступ до мережі Інтернет. Щоб почати натисніть клавішу ENTER.».

В ході інсталяції буде запропоновано виконати деякі налаштування вручну, зокрема, наступні:

1. Налаштування локалей. У ~~наступному~~ діалоговому вікні необхідно знайти запис «en_US.UTF-8 UTF-8», ~~встановити відповідну~~поставити позначку ~~шляхом~~за ~~натискання~~допомогою ~~кнопки~~клавіші ~~[SPACE]~~«SPACE» (зазвичай позначку встановлено за замовчуванням) та натиснути на ~~кнопку~~клавішу ~~[ENTER]~~«ENTER»:

2. У діалоговому вікні «Default locale for a system environment» потрібно обрати «en_US.UTF-8» та ~~перезайти~~натиснути вна ~~обліковий~~клавішу ~~запис користувача (наприклад, закривши поточну та ініціювавши нову сесію SSH).~~«ENTER»:

В операційній системі ШБО має бути встановлена локаль «en_US.UTF-8». Для встановлення даної локалі необхідно виконати наступну команду:

echo 'LC_ALL=en_US.UTF-8' | sudo tee -a /etc/environment

~~та перезавантажити змінні оточення за допомогою виконання наступної команди:~~

. /etc/environment

~~Важливо!~~ ~~Варто звернути увагу на наявність пробілу після першої крапки у команді вище.~~

6.1.4. Встановлення пакету uxp-securityserver-ua та залежностей

Для встановлення ПЗ UXP Security Server для шлюзу безпечного обміну використовується команда «apt». Перед встановленням потрібно оновити список доступних пакетів з репозиторію системи «Трембіта».

~~Для~~ встановлення зазначеного програмного забезпечення Адміністратору локальних компонентів (системному адміністраторові) необхідно послідовно виконати наступні команди:

sudo apt update
sudo apt install -y uxp-securityserver-ua libc6=2.27-3ubuntu1.6

~~Під~~3. ~~час~~Ввести ~~встановлення~~логін ~~необхідно ввести ім’я~~для облікового запису ~~(логін)~~ Адміністратора ~~вебсервісів,~~вебсервісів. ~~що буде адмініструвати функціонал шлюзу безпечного обміну, наприклад, uxpadmin:~~

Цей користувач зможе авторизуватися в вебінтерфейсі ~~адміністрування~~ШБО. ~~шлюзу~~

~~безпечного~~

Примітка. ~~обміну.~~За замовчуванням встановлено логін «uxpadmin», але за бажання його можна змінити.

Для підтвердження дії необхідно натиснути на клавішу «ENTER»:

4. Встановити пароль для облікового запису Адміністратора вебсервісів. Для підтвердження дії необхідно натиснути на клавішу «ENTER»:

Для перевірки стану виконання встановлених компонентів ПЗ UXP Security Server після завершення ~~інсталяції~~роботи ~~ШБО~~скрипта ~~потрібно~~необхідно виконати наступну команду:

sudo systemctl list-units | grep "uxp"

Список сервісів UXP, які мають бути активними (active/running):

uxp-confclient.service
uxp-jetty.service
uxp-monitor.service
uxp-proxy.service
uxp-signer.service

6.1.5.3. Можливі помилки під час виконання скрипта

Під час роботи скрипта можуть статися помилки. Нижче наведено приклади таких помилок та шляхи їх виправлення:

Текст помилки	Шляхи виправлення
Здається, Ви використовуєте неправильну версію операційної системи. Версія операційної системи зараз ХХ.ХХ, а повинна бути 18.04.	Версія операційної системи відрізняється від Ubuntu 18.04, встановлення не може бути продовжене. Необхідно встановити операційну систему Ubuntu Server 18.04.4 LTS 64bit
Будь ласка, виконайте цей скрипт з правами суперкористувача, тобто root. Для цього перед запуском скрипту виконайте команду sudo -s.	Команда повинна запускатися з привілеями sudo чи від імені користувача root

6.1.4. Додавання додаткового облікового запису Адміністратора вебсервісів

Важливо! В разі, якщо виникає необхідність роботи з вебінтерфейсом ШБО у декількох співробітників Учасника системи «Трембіта», кожен з них обов'язково повинен мати власний обліковий запис!

Шлюз безпечного обміну використовує локальних користувачів і групи операційної системи для контролю доступу до вебінтерфейсу адміністрування шлюзу безпечного обміну.

Обліковий запис, що використовується для входу в вебінтерфейс адміністрування шлюзу безпечного обміну – це обліковий запис Адміністратора вебсервісів (за замовчуванням з логіном uxpadmin).

Для створення додаткового Адміністратора вебсервісів, Адміністратору локальних компонентів (системному адміністраторові) необхідно:

1. Послідовно виконати наступні команди:

sudo useradd -M -N <username>
sudo chsh -s /bin/false <username>
sudo passwd <username>

де <username> - логін створюваного користувача латиницею.

2. Ввести пароль нового користувача двічі.

6.1.6.5 Додавання додаткового облікового запису Відповідального за управління ключами

В випадку, коли локальні компоненти системи «Трембіта» адмініструє Оператор, уповноваженому співробітнику Суб’єкта електронної взаємодії, що відповідає за встановлення інформаційної взаємодії та управління особистими ключами електронної печатки (Відповідальному за управління ключами), потрібно надати доступ до функціоналу ШБО.

Для цього потрібно створити обліковий запис Відповідального за управління ключами, який буде використовуватись для входу в вебінтерфейс адміністрування шлюзу безпечного обміну, шляхом послідовного виконання наступних команд:

sudo useradd -M -N <security-officer>
sudo adduser <security-officer> uxp-security-officer
sudo chsh -s /bin/false <security-officer>
sudo passwd <security-officer>

де <security-officer> - логін створюваного користувача латиницею.

Після виконання цих команд необхідно ввести пароль нового користувача двічі.