Installation des Edge Gateway-Servers¶

Erste Systemeinstellungen¶

Wenn die Edge Gateway Cluster-Appliance zum ersten Mal gestartet wird, erscheint ein Initial-Machine-Konfigurations-Assistenten. Dieser Assistenten ermöglicht es Ihnen, die systemspezifische Konfiguration sowie die spezifischen für die Verwendung von ** cyber**-Elementen Cleanroom zu initialisieren.

Systemeinstellungen¶

Netzwerkeinstellungen¶

Nach der Anwendung der Systemeinstellungen wechselt der Assistenten zu den Netzwerkinstellungen der Maschine.

Das erste Panel fordert Sie auf, zwischen einer statischen Konfiguration und einer dynamischen Konfiguration über DHCP zu wählen:

Empfehlung

Es wird empfohlen, eine statische Konfiguration für die Netzwerkeinstellungen des Geräts zu verwenden, insbesondere für die Funktion des direkten Zugriffs.
DHCP kann auch verwendet werden, wenn die IP-Adresse auf DHCP-Server-Ebene festgelegt ist.

Ist die statische Konfiguration gewählt, wird der Assistenten nach folgenden Netzwerkeinstellungen fragen:

Tipp

Es können mehrere DNS-Server eingegeben werden (maximal 3) durch Abtrennung mit Leerzeichen.

Finalisierung der Anfangseinstellungen¶

Das Menü der ersten Konfiguration fordert Sie nun auf, mit dem Pairing-Mechanismus Edge Gateway fortzufahren.
Für diese Dokumentation wird sie nicht verwendet, daher ist es notwendig, das Erscheinen dieses Menüs beim Einloggen zu deaktivieren und die automatische Verbindung zu root zu deaktivieren.

Um dies zu tun, müssen Sie zunächst das Menü der Anfangskonfiguration verlassen, entweder durch Auswahl der Schaltfläche Cancel oder durch Verwendung der Tastenkombination ctrl+c.
Dann führen Sie die folgenden Befehle aus:

sed -i '/gateway-setup/d' /root/.bashrc
sed -i 's/^NAutoVTs/#NAutoVTs/' /etc/systemd/logind.conf
rm -r /etc/systemd/system/getty@tty1.service.d/
systemctl daemon-reload

Einstellungen, die spezifisch für cyberElemente Cleanroom sind¶

Nach der Anwendung der Netzwerkeinstellungen müssen die Instanzen Edge Gateway und HTML5 Gateway noch mit den Mediation Controllers verbunden werden.
Dazu wird eine erste Edge Gateway und HTML5-Gateway-Instanz mit der MASTER Mediation Controller verbunden, während sich die zweiten Instanzen mit der SLAVE Mediation Controller verbinden.

Warning

Wenn die Edge Gateway-Anlage nicht im LAN liegt und die Adressen RIP_MED_SSL_MASTER und RIP_MED_SSL_SLAVE daher nicht zugänglich sind (auch mit NAT).
Dann müssen Sie nur die erste Instanz von Edge Gateway und HTML5 Gateway konfigurieren, die für die Verbindung mit VIP_MED_SSL eingerichtet wird.

In diesem Zusammenhang kann die Standalone-Virtual-Appliance verwendet werden. Die Cluster-Virtual-Appliance ist mit zwei Instanzen vorkonfiguriert, während ihr Standalone-Partner mit einer einzigen Instanz vorkonfiguriert ist.

Bevor Sie mit den folgenden Anweisungen fortfahren, stellen Sie sicher, dass Sie die folgenden Gegenstände haben:

Zertifikat für Edge Gateway und HTML5-Gateways, die angeschlossen werden sollen
Zertifikat für den Registrierungsdienst
Ein SSH-Client (unter Windows kann das PuTTY-Tool verwendet werden)
Ein SCP-Client (unter Windows können die WinSCP oder FileZilla-Tools verwendet werden)

Übertragen Sie die Zertifikate in das /tmp/-Verzeichnis der Maschine.

Verbindung von Rand-Gateways¶

Die Zertifikatsdatei aus der Edge Gateway in die Verzeichnisse /etc/ipdiva/gateway/ssl/ und /etc/ipdiva/gateway-slave/ssl/ kopieren, was mit Befehlen wie root erfolgen kann (<CERT_NAME> durch den Namen des Zertifikats für die Edge Gateway ersetzen):

cp /tmp/<CERT_NAME> /etc/ipdiva/gateway/ssl/
mv /tmp/<CERT_NAME> /etc/ipdiva/gateway-slave/ssl/

Die Edge Gateway-Instanzen so konfigurieren, dass sie sich mit den Mediation Controllers verbinden können.
Die Konfigurationen unterscheiden sich je nach dem zu kontaktierenden Mediation Controller.

Anschluss an die Mediation ControllerMASTER Anschluss an die Mediation ControllerSLAVE

Bearbeiten Sie die /etc/ipdiva/gateway/gateway.xml-Datei und vervollständigen Sie sie mit den folgenden Informationen (einige Abschnitte wurden weggelassen und sind mit […] gekennzeichnet):

<gateway>
    <server>_FILL_ME_WITH_SERVER_ADDRESS_::ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
</gateway>

Folgende Elemente sind zu ersetzen:

_FILL_ME_WITH_SERVER_ADDRESS_:: muss durch die Adresse RIP_MED_SSL_MASTER, das Zeichen : und den Abhöranschluss des SSL-Routers ersetzt werden, der normalerweise auf 443 eingestellt ist
keyfile.pem: muss durch den Namen der Zertifikatsdatei ersetzt werden
PASSWORD: muss durch das Zertifikatspasswort ersetzt werden

Beispiel

Bereichsverteilung der folgenden Angaben:

RIP_MED_SSL_MASTER ist gleich: 10.0.10.11
SSL Router-Listening-Port: 443
Name der Zertifikatsdatei: edge-gateway.p12
Passwort für das Zertifikat: Str0ngP@ssw0rd

Die /etc/ipdiva/gateway/gateway.xml Die Datei wäre wie folgt konfiguriert:

<gateway>
    <server>10.0.10.11:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway/ssl/edge-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
</gateway>

Vollständige Datei

<gateway>
        <server>10.0.10.11:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>
        <periodic-licence-check>false</periodic-licence-check>
        <session>
           <sslconf name="default">
              <ca-dir>/etc/ssl/certs</ca-dir>
              <verify-cert>true</verify-cert>
           </sslconf>
        </session>
        <ssl>
                <cert>/etc/ipdiva/gateway/ssl/edge-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/gateway/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>
        <webaccess>
                <proxy></proxy>
                <useragent>true</useragent>
                <autoauth>true</autoauth>
                <forceauth>false</forceauth>
                <forcebasic>false</forcebasic>
                <persistentbasicauth>true</persistentbasicauth>
                <cache-date>Thu, 14 Dec 2006 09:28:00 GMT</cache-date>
                <reverse-proxy>
                        <headers>
                                <x-forwarded-for enabled='false'/>
                                <x-forwarded-host enabled='false'/>
                        </headers>
                </reverse-proxy>
                <davenport compatibilityMode="false">127.0.0.1:8070</davenport>
        </webaccess>
        <rpc-listen>127.0.0.1:9080</rpc-listen>
        <network-id></network-id>
        <services>/etc/ipdiva/gateway/services.xml</services>
        <compression>zlib</compression>
        <vlan>
                <prefixe></prefixe>
        </vlan>

        <openvpn>
                <ssl>
                        <cert>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/allInOne.pem</cert>
                        <ca-file>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/tmp-ca.crt</ca-file>
                        <version>tls1</version>
                </ssl>
                <client-ov>
                        <ip-type>V4</ip-type>
                        <dev-type>tun</dev-type>
                        <link-mtu>1507</link-mtu>
                        <tun-mtu>1500</tun-mtu>
                        <proto>TCPv4_CLIENT</proto>
                        <cipher>[null-cipher]</cipher>
                        <auth>[null-digest]</auth>
                        <keysize>0</keysize>
                        <key-method>2</key-method>
                        <tls-type>tls-client</tls-type>
                </client-ov>
        </openvpn>
    <useoldprotocol>false</useoldprotocol>
    <rate>0</rate>
</gateway>

Schließlich starten Sie die Edge Gateway Instanz, um die neuen Einstellungen zu laden und verbinden Sie sie mit der MASTER Mediation Controller:

1	`/usr/local/ipdiva/gateway/bin/start`

Bearbeiten Sie die /etc/ipdiva/gateway-slave/gateway.xml-Datei und vervollständigen Sie sie mit den folgenden Informationen (einige Abschnitte wurden weggelassen und sind mit […] gekennzeichnet):

<gateway>
    <server>@SERVER@:@SERVERPORT@:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway-slave/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:@RPC_PORT@</rpc-listen>
[…]
</gateway>

Folgende Elemente sind zu ersetzen:

@SERVER@: muss durch die Adresse RIP_MED_SSL_SLAVE ersetzt werden
@SERVERPORT@: muss durch den Abhöranschluss des SSL-Routers ersetzt werden, der normalerweise auf 443 eingestellt ist
keyfile.pem: muss durch den Namen der Zertifikatsdatei ersetzt werden
PASSWORD: muss durch das Zertifikatspasswort ersetzt werden
@RPC_PORT@: muss durch einen verfügbaren TCP-Anschluss auf dem Gerät ersetzt werden; in der Regel wird 9081 verwendet

Beispiel

Bereichsverteilung der folgenden Angaben:

RIP_MED_SSL_SLAVE ist gleich: 10.0.10.13
SSL Router-Listening-Port: 443
Name der Zertifikatsdatei: edge-gateway.p12
Passwort für das Zertifikat: Str0ngP@ssw0rd
Verfügbare RPC-Anschlussstelle: 9081

Die /etc/ipdiva/gateway-slave/gateway.xml Die Datei wäre wie folgt konfiguriert:

<gateway>
    <server>10.0.10.13:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway-slave/ssl/edge-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:9081</rpc-listen>
[…]
</gateway>

Vollständige Datei

<gateway>
        <server>10.0.10.13:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>
        <periodic-licence-check>false</periodic-licence-check>
        <session>
           <sslconf name="default">
              <ca-dir>/etc/ssl/certs</ca-dir>
              <verify-cert>true</verify-cert>
           </sslconf>
        </session>
        <ssl>
                <cert>/etc/ipdiva/gateway-slave/ssl/edge-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/gateway-slave/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>
        <webaccess>
                <proxy></proxy>
                <useragent>true</useragent>
                <autoauth>true</autoauth>
                <forceauth>false</forceauth>
                <forcebasic>false</forcebasic>
                <persistentbasicauth>true</persistentbasicauth>
                <cache-date>Thu, 14 Dec 2006 09:28:00 GMT</cache-date>
                <reverse-proxy>
                        <headers>
                                <x-forwarded-for enabled='false'/>
                                <x-forwarded-host enabled='false'/>
                        </headers>
                </reverse-proxy>
                <davenport compatibilityMode="false">127.0.0.1:8070</davenport>
        </webaccess>
        <rpc-listen>127.0.0.1:9081</rpc-listen>
        <network-id></network-id>
        <services>/etc/ipdiva/gateway-slave/services.xml</services>
        <compression>zlib</compression>
        <vlan>
                <prefixe></prefixe>
        </vlan>

        <openvpn>
                <ssl>
                        <cert>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/allInOne.pem</cert>
                        <ca-file>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/tmp-ca.crt</ca-file>
                        <version>tls1</version>
                </ssl>
                <client-ov>
                        <ip-type>V4</ip-type>
                        <dev-type>tun</dev-type>
                        <link-mtu>1507</link-mtu>
                        <tun-mtu>1500</tun-mtu>
                        <proto>TCPv4_CLIENT</proto>
                        <cipher>[null-cipher]</cipher>
                        <auth>[null-digest]</auth>
                        <keysize>0</keysize>
                        <key-method>2</key-method>
                        <tls-type>tls-client</tls-type>
                </client-ov>
        </openvpn>
    <useoldprotocol>false</useoldprotocol>
    <rate>0</rate>
</gateway>

Schließlich starten Sie die Edge Gateway Instanz, um die neuen Einstellungen zu laden und verbinden Sie sie mit der SLAVE Mediation Controller:

1	`/usr/local/ipdiva/gateway-slave/bin/start`

Konfiguration des Aufzeichnungsdienstes¶

Das Zertifikat für den Aufzeichnungsdienst wird mit einem ähnlichen Befehl in das Verzeichnis /etc/ipdiva/careserver/ verschoben (<CERT_NAME> durch den Namen des beabsichtigten Zertifikats ersetzt):

1	`mv /tmp/<CERT_NAME> /etc/ipdiva/careserver/`

Als nächstes konfigurieren Sie den Dienst, indem Sie die folgende Datei ändern: /etc/ipdiva/careserver/careserver.xml. Die Dateikonfiguration sollte ungefähr so aussehen (im folgenden Abschnitt werden viele Zeilen der mit […] gekennzeichneten Datei weggelassen):

<?xml version="1.0" ?><careserver>

    <listen>0.0.0.0:8443</listen>
[…]
    <ssl>
        <cert>/etc/ipdiva/careserver/recording_service.p12</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
    <xmlrpc-connect>
        <element>http://127.0.0.1:9080</element>
        <element>http://127.0.0.1:9081</element>
    </xmlrpc-connect>
[…]
</careserver>

Führen Sie die folgenden Änderungen vor:

Ändern Sie die IP-Adress des Aufzeichnungsdienstes auf 0.0.0.0 (er hört auf allen verfügbaren IP-Adressen)
Ersatz recording_service.p12 durch den Namen des Zertifikats für den Aufzeichnungsdienst
Ersatz PASSWORD durch das Passwort für das Zertifikat des Aufzeichnungsdienstes
Fügen Sie die Zeile <element>http://127.0.0.1:9081</element> hinzu

Beispiel

Bereichsverteilung der folgenden Angaben:

Name der Zertifikatsdatei: fqdn.edge-gateway.local.p12
Passwort für das Zertifikat: Str0ngP@ssw0rd

Die Akte /etc/ipdiva/careserver/careserver.xml wäre wie folgt konfiguriert:

<?xml version="1.0" ?><careserver>

    <listen>0.0.0.0:8443</listen>
[…]
    <ssl>
        <cert>/etc/ipdiva/careserver/fqdn.edge-gateway.local.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
    <xmlrpc-connect>
        <element>http://127.0.0.1:9080</element>
        <element>http://127.0.0.1:9081</element>
    </xmlrpc-connect>
[…]
</careserver>

Vollständige Datei

<?xml version="1.0" ?><careserver>

    <listen>0.0.0.0:8443</listen>


    <archivesdirectory>/var/lib/ipdiva/carerecord/archives</archivesdirectory>
    <recordingdirectory>/var/lib/ipdiva/carerecord/recording</recordingdirectory>
    <ssl>
        <cert>/etc/ipdiva/careserver/fqdn.edge-gateway.local.p12</cert>
        <password>Str0ngP@ssw0rd</password>
        <ca-dir>/etc/ipdiva/gateway/ssl/ca</ca-dir>
        <min-version>tls1.2</min-version>
        <max-version/>
        <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
        <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
        <verify-cert>true</verify-cert>
        <no-fail-if-no-peer-cert>true</no-fail-if-no-peer-cert>
    </ssl>
    <gopsize>10</gopsize>
        <webgopsize>5</webgopsize>
    <webfakeframespersec>2</webfakeframespersec>
        <webhlslistsize>20</webhlslistsize>
    <webcaptureinterval>10000</webcaptureinterval>
    <webcapturetimeout>30000</webcapturetimeout>
    <captureinterval>250</captureinterval>
    <hlslistsize>20</hlslistsize>
    <xmlrpc-connect>
        <element>http://127.0.0.1:9080</element>
        <element>http://127.0.0.1:9081</element>
    </xmlrpc-connect>
</careserver>

Validieren Sie die neuen Einstellungen, indem Sie den Aufzeichnungsdienst neu starten:

1	`systemctl restart ipdivacarerecord`

Verbindung von HTML5-Gateway-Instanzen¶

Wenn die HTML5-Gateway-Instanz konfiguriert werden muss, führen Sie den folgenden Befehl auf dem Edge Gateway-Server als root aus, um den automatischen Start der Instanz zu aktivieren:

1	`chmod +x /etc/ipdiva/services/50html5gateway*`

Kopieren Sie die Zertifikatsdatei vom HTML5-Gateway in die Verzeichnisse /etc/ipdiva/html5gateway/ssl/ und /etc/ipdiva/html5gateway-slave/ssl/, was mit Befehlen wie root erfolgen kann (ersetzen Sie <CERT_NAME> durch den Namen des Zertifikats für das HTML5-Gateway):

cp /tmp/<CERT_NAME> /etc/ipdiva/html5gateway/ssl/
mv /tmp/<CERT_NAME> /etc/ipdiva/html5gateway-slave/ssl/

Konfiguration der HTML5-Gateway-Instanzen, damit sie eine Verbindung zu den Mediation Controllers herstellen können.
Die Konfigurationen unterscheiden sich je nach dem zu kontaktierenden Mediation Controller.

Anschluss an die Mediation ControllerMASTER Anschluss an die Mediation ControllerSLAVE

Bearbeiten Sie die /etc/ipdiva/html5gateway/html5gateway.xml-Datei und vervollständigen Sie sie mit den folgenden Informationen (einige Abschnitte wurden weggelassen und sind mit […] gekennzeichnet):

<gateway>
    <server>_FILL_ME_WITH_SERVER_ADDRESS_::ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
</gateway>

Folgende Elemente sind zu ersetzen:

_FILL_ME_WITH_SERVER_ADDRESS_:: muss durch die Adresse RIP_MED_SSL_MASTER, das Zeichen : und den Abhöranschluss des SSL-Routers ersetzt werden, der normalerweise auf 443 eingestellt ist
keyfile.pem: muss durch den Namen der Zertifikatsdatei ersetzt werden
PASSWORD: muss durch das Zertifikatspasswort ersetzt werden

Beispiel

Bereichsverteilung der folgenden Angaben:

RIP_MED_SSL_MASTER ist gleich: 10.0.10.11
SSL Router-Listening-Port: 443
Name der Zertifikatsdatei: html5-gateway.p12
Passwort für das Zertifikat: Str0ngP@ssw0rd

Die Akte /etc/ipdiva/html5gateway/html5gateway.xml wäre wie folgt konfiguriert:

<gateway>
    <server>10.0.10.11:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway/ssl/html5-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
</gateway>

Vollständige Datei

<gateway>
        <server>10.0.10.11:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>

        <ssl>
                <cert>/etc/ipdiva/html5gateway/ssl/html5-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/html5gateway/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>

        <rpc-listen>127.0.0.1:9088</rpc-listen>
        <network-id></network-id>
        <compression>zlib</compression>

 </gateway>

Schließlich starten Sie die HTML5 Gateway-Instanz neu, um die neuen Einstellungen zu laden und verbinden Sie sie mit der MASTER Mediation Controller:

1	`/usr/local/ipdiva/html5gateway/bin/start`

Bearbeiten Sie die /etc/ipdiva/html5gateway-slave/html5gateway.xml-Datei und vervollständigen Sie sie mit den folgenden Informationen (einige Abschnitte wurden weggelassen und sind mit […] gekennzeichnet):

<gateway>
    <server>@SERVER@:@SERVERPORT@:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway-slave/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:@RPC_PORT@</rpc-listen>
[…]
</gateway>

Folgende Elemente sind zu ersetzen:

@SERVER@: muss durch die Adresse RIP_MED_SSL_SLAVE ersetzt werden
@SERVERPORT@: muss durch den Abhöranschluss des SSL-Routers ersetzt werden, der normalerweise auf 443 eingestellt ist
keyfile.pem: muss durch den Namen der Zertifikatsdatei ersetzt werden
PASSWORD: muss durch das Zertifikatspasswort ersetzt werden
@RPC_PORT@: muss durch einen verfügbaren TCP-Anschluss auf dem Gerät ersetzt werden; in der Regel wird 9089 verwendet

Beispiel

Bereichsverteilung der folgenden Angaben:

RIP_MED_SSL_SLAVE ist gleich: 10.0.10.13
SSL Router-Listening-Port: 443
Name der Zertifikatsdatei: html5-gateway.p12
Passwort für das Zertifikat: Str0ngP@ssw0rd
Verfügbare RPC-Anschlussstelle: 9089

Die /etc/ipdiva/html5gateway-slave/html5gateway.xml Die Datei wäre wie folgt konfiguriert:

<gateway>
    <server>10.0.10.13:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway-slave/ssl/html5-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:9089</rpc-listen>
[…]
</gateway>

Vollständige Datei

<gateway>
        <server>10.0.10.13:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>

        <ssl>
                <cert>/etc/ipdiva/html5gateway-slave/ssl/html5-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/html5gateway-slave/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>

        <rpc-listen>127.0.0.1:9089</rpc-listen>
        <network-id></network-id>
        <compression>zlib</compression>

 </gateway>

Schließlich starten Sie die HTML5 Gateway-Instanz neu, um die neuen Einstellungen zu laden und verbinden Sie sie mit der SLAVE Mediation Controller:

1	`/usr/local/ipdiva/html5gateway-slave/bin/start`

Konfigurationen vor dem Anschluss von HTML5-Gateways¶

Damit HTML5-Anwendungen funktionieren, müssen zusätzliche Konfigurationen durchgeführt werden auf den Servern der Mediation Controllers. Melden Sie sich bei der MASTER und SLAVE Vermittlungskontrollstellen Server als root.

Erstellen oder ändern der /etc/ipdiva/httpd/commonParameters.extra.conf-Datei, um einen Abschnitt zu erstellen, der dem folgenden entspricht:

<Location /URL_HTML5/>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway GW_NAME|
        RequestHeader set X-IPdiva-Orgname ORGANIZATION_NAME
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass http://127.0.0.1:9016/systanciaHTML5-6.0/ flushpackets=on
</Location>

<Location /URL_HTML5/websocket-tunnel>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway GW_NAME|
        RequestHeader set X-IPdiva-Orgname ORGANIZATION_NAME
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass ws://127.0.0.1:9016/systanciaHTML5-6.0/websocket-tunnel
</Location>

In welcher Hinsicht:

URL_HTML5 muss durch den Inhalt des URL-Feldes des HTML5-Gateways ersetzt werden, das in der Verwaltungskonsole konfiguriert ist, wenn das HTML5-Gateway deklariert (für einen Cluster sind dies in der Regel HTML5-1 und HTML5-2).
GW_NAME muss durch den Namen eines Edge Gateway ersetzt werden, der sich auf demselben Server wie das HTML5-Gateway befindet. Das Pipekarakter am Ende der Zeile ** muss ** bleiben.
ORGANIZATION_NAME muss durch den Namen der Organisation ersetzt werden, mit der die vorherige Edge Gateway verbunden ist.

Beispiel

Für eine Plattform mit folgenden Einstellungen:

Name der Organisation: my-organization-name
Erklärung des ersten HTML5-Gateways in der Verwaltungskonsole:
- Name: html5-gateway-1
- URL: HTML5-1
- Protokoll: WebSocket
Erklärung des zweiten HTML5-Gateways in der Verwaltungskonsole:
- Name: html5-gateway-2
- URL: HTML5-2
- Protokoll: WebSocket
Ein Edge Gateway-Server auf dem ersten HTML5-Gateway hat:
- Ein Edge Gateway Dienst mit dem Namen edge-gateway-1
- Ein HTML5-Gateway-Dienst mit dem Namen html5-gateway-1
Ein Edge Gateway-Server auf dem zweiten HTML5-Gateway hat:
- Ein Edge Gateway Dienst mit dem Namen edge-gateway-2
- Ein HTML5-Gateway-Dienst mit dem Namen html5-gateway-2

Die Konfigurationsdatei /etc/ipdiva/httpd/commonParameters.extra.conf Die Kommission wird die folgenden Maßnahmen ergreifen:

<Location /HTML5-1/>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-1|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass http://127.0.0.1:9016/systanciaHTML5-6.0/ flushpackets=on
</Location>

<Location /HTML5-1/websocket-tunnel>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-1|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass ws://127.0.0.1:9016/systanciaHTML5-6.0/websocket-tunnel
</Location>

<Location /HTML5-2/>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-2|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass http://127.0.0.1:9016/systanciaHTML5-6.0/ flushpackets=on
</Location>

<Location /HTML5-2/websocket-tunnel>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-2|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass ws://127.0.0.1:9016/systanciaHTML5-6.0/websocket-tunnel
</Location>

Bevor Sie die neuen Einstellungen anwenden, müssen Sie überprüfen, ob die neue Konfiguration keine Blockierungsfehler für den Apache2-Webserver verursacht.
Hierzu führen Sie den folgenden Befehl aus:

1	`apache2ctl configtest`

Wenn die Rücksendung Syntax OK Wenn Sie die Änderungen nicht vornehmen können, können Sie die Änderungen mit dem folgenden Befehl vornehmen. /etc/ipdiva/httpd/commonParameters.extra.conf - Ich habe ihn.

1	`systemctl reload apache2`

Konfiguration eines NTP-Zeitservers¶

Die erforderlichen Schritte sind auf der NTP-Konfigurationsseite beschrieben.