Zum Inhalt

Installation des Edge Gateway-Servers

Anmerkung

Als Erinnerung muss der Wechsel auf root auf Debian-Maschinen mit folgendem Befehl erfolgen:

1
su -

Herunterladen des Spiegels und der notwendigen Werkzeuge

Der cyberelements Cleanroom 4.6-Spiegel und der Signaturschlüssel des Systancia-Repositoriums können von diesem Link heruntergeladen werden (erfordert die Erstellung eines Kundenkontos): Systancia Marketplace

Zusätzlich zu Spiegel und Schlüssel werden für den Upgrade-Prozess Werkzeuge von Drittanbietern benötigt:

  • Ein SSH-Client (unter Windows kann das PuTTY-Tool verwendet werden)
  • Ein SCP-Client (unter Windows können die WinSCP oder FileZilla-Tools verwendet werden)

Verwenden Sie den SSH-Client, um sich aus der Ferne mit Ihrem Server zu verbinden.

Übertrage mit dem SCP-Client Dateien auf deine Remote-Maschine.

Vorbereitung auf die Installation

Konfiguration des Netzes

Es wird dringend empfohlen, eine statische Netzwerkadresse für den Edge Gateway-Server zu definieren. Dazu müssen Sie zunächst den Namen der Netzwerkoberfläche Ihres Computers und dessen MAC-Adresse abrufen. Führen Sie den folgenden Befehl als root aus:

1
ip -br link | grep -ve "^lo"

Dieser Befehl zeigt den Namen der Netzwerk-Schnittstelle, ihren Status, ihre MAC-Adresse und die Schnittstellen-Einstellungen an.

Beispiel

Nach Ausführung des Befehls wird folgende Ausgabe angezeigt:

1
ens192           UP             00:50:56:a1:56:9f <BROADCAST,MULTICAST,UP,LOWER_UP>

Der Name der Netzwerk-Schnittstelle ist ens192 und ihre MAC-Adresse 00:50:56:a1:56:9f.

Nachdem der Name der Netzwerkoberfläche und die MAC-Adresse ermittelt wurden, kann die Netzwerkkonfiguration des Geräts bearbeitet werden.
Bearbeiten Sie die /etc/network/interfaces-Datei, um sie mit der folgenden Vorlage zu ändern:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto br0
iface br0 inet static
    bridge_ports INTERFACE_NAME
    bridge_stp off
    bridge_fd 0
    bridge_maxwait 2
    bridge_hw MAC_ADDRESS
    address IP_GW
    netmask NETMASK
    gateway NETWORK_GATEWAY
    dns-nameservers IP_DNS_1 IP_DNS_2
    dns-search DNS_SUFFIX

In welcher Hinsicht:

  • INTERFACE_NAME muss durch den Namen der zuvor abgerufenen Netzwerkschnittstelle ersetzt werden.
  • MAC_ADDRESS muss durch die zuvor abgerufene MAC-Adresse ersetzt werden.
  • IP_GW muss durch die IP-Adresse des Servers ersetzt werden.
  • NETMASK muss durch die mit der IP-Adresse verbundene Netzmaske ersetzt werden.
  • NETWORK_GATEWAY muss durch das Standardnetzwerk-Gateway ersetzt werden.
  • IP_DNS muss durch die IP-Adresse des DNS-Servers ersetzt werden. Wenn mehrere Server konfiguriert werden müssen (maximal 3), trennen Sie sie durch ein Leerzeichen.
  • DNS_SUFFIX muss durch das zu verwendende DNS-Suffix ersetzt werden.
Beispiel 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
# This file describes the network interfaces available on your system 
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto br0
iface br0 inet static
    bridge_ports ens192
    bridge_stp off
    bridge_fd 0
    bridge_maxwait 2
    bridge_hw 00:50:56:a1:56:9f
    address 172.16.10.10
    netmask 255.255.255.0
    gateway 172.16.10.254
    dns-nameservers 172.16.11.2 172.16.11.3
    dns-search domain.local

Bevor die Konfiguration angewendet wird, müssen noch drei weitere Schritte durchgeführt werden.

Die erste ist die Installation der Pakete resolvconf und bridge-utils, damit die im vorherigen Abschnitt beschriebene DNS-Konfiguration angewendet und die br0 Schnittstelle verwendet werden kann:

1
apt install -y resolvconf bridge-utils

Die zweite Methode besteht darin, die Konfiguration der /etc/hosts-Datei in Bezug auf die IP-Adresse der Maschine (IP_GW) zu überprüfen.
Um dies zu tun, bearbeiten Sie die /etc/hosts-Datei und überprüfen Sie, ob die zweite Zeile im folgenden Format ist:

2
IP_GW   FQDN    MACHINE_NAME
Beispiel

Wenn der Name des Computers EDGE-GATEWAY ist, ohne zu einer Domäne zu gehören, und seine IP_GW IP-Adresse 172.16.10.10 ist, wird die Datei wie folgt ausgefüllt:

2
172.16.10.10  EDGE-GATEWAY

Wenn die Maschine der DOMAIN.LOCAL-Domäne angehört, wird die Datei wie folgt ausgefüllt:

2
172.16.10.10  EDGE-GATEWAY.DOMAIN.LOCAL   EDGE-GATEWAY

Aufgepasst!

Eine falsche Konfiguration der Datei kann bei der Installation des collectd-Pakets zu einem Fehler führen.

Jetzt muss der Server neu gestartet werden.

1
reboot

Konfiguration des APT-Paketmanagers

Legen Sie die vom Systancia Marketplace abgerufenen Dateien mit einem SCP-Client auf den Server in /tmp/:

  • systancia.gpg
  • cleanroom-4.6.1-build33.1096.D12-full.tgz

Melden Sie sich als root bei dem Server an, führen Sie dann die folgenden Befehle aus, um das Systancia-Repository zu entpacken, konfigurieren Sie seine Verwendung in APT und authentifizieren Sie es.

1
2
3
4
5
mv /tmp/systancia.gpg /etc/apt/trusted.gpg.d/
mkdir -p /opt/systancia/repository/
tar xvzf /tmp/cleanroom-4.6*.tgz -C /opt/systancia/repository/
echo "deb file:///opt/systancia/repository/ bookworm ipdiva" > /etc/apt/sources.list.d/systancia.list
apt update

Wir empfehlen dringend, die Installation unnötiger Pakete beim Ausführen von apt Befehlen zu deaktivieren.

1
echo -e 'APT::Install-Recommends false;\nAPT::Install-Suggests false;' > /etc/apt/apt.conf.d/99norecommends

Installation des cyberelements Cleanroom Edge Gateway Servers

Einrichtung von Grundbauteilen

Installieren der Komponenten mit dem folgenden Befehl als root:

1
apt install -y ipdiva-base

Nach dem Herunterladen aller Abhängigkeiten wird ein Fenster geöffnet, in dem Sie aufgefordert werden, den Servertyp auszuwählen. gateway:

Was ist bei einem Fehler zu tun?

Wenn sich bei den eingegebenen Informationen ein Fehler befindet, setzen Sie die Installation des ipdiva-base-Pakets fort und verwenden Sie dann den folgenden Befehl, um den Server neu zu konfigurieren:

1
dpkg-reconfigure ipdiva-base

Einrichtung von Edge Gateway-Komponenten

Dann starten Sie die spezifischen Komponenten für den Edge Gateway Server mit dem folgenden Befehl:

1
apt install -y ipdiva-safe-gateway ipdiva-gateway-setup

Die Edge Gateway Serverkomponenten sind nun installiert. Es bleibt nur noch die Maschine neu zu starten, damit die neu installierten Komponenten initialisiert werden können:

1
reboot

Installation von HTML5-Gateway-Komponenten

Verwenden Sie den folgenden Befehl, um die HTML5-Gateway-Komponenten auf dem Edge Gateway-Server zu installieren:

1
apt install -y ipdiva-html5gateway ipdiva-html5-webapp ipdiva-guacamole-server1

Verwenden Sie die folgenden Befehlszeilen, um die Dateiübertragung und die Funktionen des virtuellen Druckers zu aktivieren und zu konfigurieren:

1
2
3
apt install -y ghostscript
echo -e "printer=cyberelements HTML5 Printer\nprinterDriver=MS Publisher Imagesetter" > /etc/guacamole/printer-config
mkdir /home/systanciahtml5share

Einstellungen, die spezifisch für cyberElemente Cleanroom sind

Nach der Anwendung der Netzwerkeinstellungen müssen die Instanzen Edge Gateway und HTML5 Gateway noch mit den Mediation Controllers verbunden werden.
Dazu wird eine erste Edge Gateway und HTML5-Gateway-Instanz mit der MASTER Mediation Controller verbunden, während sich die zweiten Instanzen mit der SLAVE Mediation Controller verbinden.

Warning

Wenn die Edge Gateway-Anlage nicht im LAN liegt und die Adressen RIP_MED_SSL_MASTER und RIP_MED_SSL_SLAVE daher nicht zugänglich sind (auch mit NAT).
Dann müssen Sie nur die erste Instanz von Edge Gateway und HTML5 Gateway konfigurieren, die für die Verbindung mit VIP_MED_SSL eingerichtet wird.

In diesem Zusammenhang kann die Standalone-Virtual-Appliance verwendet werden. Die Cluster-Virtual-Appliance ist mit zwei Instanzen vorkonfiguriert, während ihr Standalone-Partner mit einer einzigen Instanz vorkonfiguriert ist.

Bevor Sie mit den folgenden Anweisungen fortfahren, stellen Sie sicher, dass Sie die folgenden Gegenstände haben:

  • Zertifikat für Edge Gateway und HTML5-Gateways, die angeschlossen werden sollen
  • Zertifikat für den Registrierungsdienst
  • Ein SSH-Client (unter Windows kann das PuTTY-Tool verwendet werden)
  • Ein SCP-Client (unter Windows können die WinSCP oder FileZilla-Tools verwendet werden)

Übertragen Sie die Zertifikate in das /tmp/-Verzeichnis der Maschine.

Erstellung von Instanzen zur Verbindung mit SLAVE Mediation Controller

Führen Sie die folgenden Befehle als root aus, um eine neue Instanz von Edge Gateway und HTML5-Gateway zu deklarieren, die zur Verbindung mit SLAVE Mediation Controller verwendet wird:

1
2
/usr/local/ipdiva/gateway/bin/gatewayCloner -slave
/usr/local/ipdiva/html5gateway/bin/gatewayCloner -slave

Verbindung von Rand-Gateways

Die Zertifikatsdatei aus der Edge Gateway in die Verzeichnisse /etc/ipdiva/gateway/ssl/ und /etc/ipdiva/gateway-slave/ssl/ kopieren, was mit Befehlen wie root erfolgen kann (<CERT_NAME> durch den Namen des Zertifikats für die Edge Gateway ersetzen):

1
2
cp /tmp/<CERT_NAME> /etc/ipdiva/gateway/ssl/
mv /tmp/<CERT_NAME> /etc/ipdiva/gateway-slave/ssl/

Die Edge Gateway-Instanzen so konfigurieren, dass sie sich mit den Mediation Controllers verbinden können.
Die Konfigurationen unterscheiden sich je nach dem zu kontaktierenden Mediation Controller.

Bearbeiten Sie die /etc/ipdiva/gateway/gateway.xml-Datei und vervollständigen Sie sie mit den folgenden Informationen (einige Abschnitte wurden weggelassen und sind mit […] gekennzeichnet):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
<gateway>
    <server>_FILL_ME_WITH_SERVER_ADDRESS_::ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
</gateway>

Folgende Elemente sind zu ersetzen:

  • _FILL_ME_WITH_SERVER_ADDRESS_:: muss durch die Adresse RIP_MED_SSL_MASTER, das Zeichen : und den Abhöranschluss des SSL-Routers ersetzt werden, der normalerweise auf 443 eingestellt ist
  • keyfile.pem: muss durch den Namen der Zertifikatsdatei ersetzt werden
  • PASSWORD: muss durch das Zertifikatspasswort ersetzt werden
Beispiel

Bereichsverteilung der folgenden Angaben:

  • RIP_MED_SSL_MASTER ist gleich: 10.0.10.11
  • SSL Router-Listening-Port: 443
  • Name der Zertifikatsdatei: edge-gateway.p12
  • Passwort für das Zertifikat: Str0ngP@ssw0rd

Die /etc/ipdiva/gateway/gateway.xml Die Datei wäre wie folgt konfiguriert:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
<gateway>
    <server>10.0.10.11:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway/ssl/edge-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
</gateway>
Vollständige Datei 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
<gateway>
        <server>10.0.10.11:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>
        <periodic-licence-check>false</periodic-licence-check>
        <session>
           <sslconf name="default">
              <ca-dir>/etc/ssl/certs</ca-dir>
              <verify-cert>true</verify-cert>
           </sslconf>
        </session>
        <ssl>
                <cert>/etc/ipdiva/gateway/ssl/edge-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/gateway/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>
        <webaccess>
                <proxy></proxy>
                <useragent>true</useragent>
                <autoauth>true</autoauth>
                <forceauth>false</forceauth>
                <forcebasic>false</forcebasic>
                <persistentbasicauth>true</persistentbasicauth>
                <cache-date>Thu, 14 Dec 2006 09:28:00 GMT</cache-date>
                <reverse-proxy>
                        <headers>
                                <x-forwarded-for enabled='false'/>
                                <x-forwarded-host enabled='false'/>
                        </headers>
                </reverse-proxy>
                <davenport compatibilityMode="false">127.0.0.1:8070</davenport>
        </webaccess>
        <rpc-listen>127.0.0.1:9080</rpc-listen>
        <network-id></network-id>
        <services>/etc/ipdiva/gateway/services.xml</services>
        <compression>zlib</compression>
        <vlan>
                <prefixe></prefixe>
        </vlan>

        <openvpn>
                <ssl>
                        <cert>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/allInOne.pem</cert>
                        <ca-file>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/tmp-ca.crt</ca-file>
                        <version>tls1</version>
                </ssl>
                <client-ov>
                        <ip-type>V4</ip-type>
                        <dev-type>tun</dev-type>
                        <link-mtu>1507</link-mtu>
                        <tun-mtu>1500</tun-mtu>
                        <proto>TCPv4_CLIENT</proto>
                        <cipher>[null-cipher]</cipher>
                        <auth>[null-digest]</auth>
                        <keysize>0</keysize>
                        <key-method>2</key-method>
                        <tls-type>tls-client</tls-type>
                </client-ov>
        </openvpn>
    <useoldprotocol>false</useoldprotocol>
    <rate>0</rate>
</gateway>

Schließlich starten Sie die Edge Gateway Instanz, um die neuen Einstellungen zu laden und verbinden Sie sie mit der MASTER Mediation Controller:

1
/usr/local/ipdiva/gateway/bin/start

Bearbeiten Sie die /etc/ipdiva/gateway-slave/gateway.xml-Datei und vervollständigen Sie sie mit den folgenden Informationen (einige Abschnitte wurden weggelassen und sind mit […] gekennzeichnet):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
<gateway>
    <server>@SERVER@:@SERVERPORT@:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway-slave/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:@RPC_PORT@</rpc-listen>
[…]
</gateway>

Folgende Elemente sind zu ersetzen:

  • @SERVER@: muss durch die Adresse RIP_MED_SSL_SLAVE ersetzt werden
  • @SERVERPORT@: muss durch den Abhöranschluss des SSL-Routers ersetzt werden, der normalerweise auf 443 eingestellt ist
  • keyfile.pem: muss durch den Namen der Zertifikatsdatei ersetzt werden
  • PASSWORD: muss durch das Zertifikatspasswort ersetzt werden
  • @RPC_PORT@: muss durch einen verfügbaren TCP-Anschluss auf dem Gerät ersetzt werden; in der Regel wird 9081 verwendet
Beispiel

Bereichsverteilung der folgenden Angaben:

  • RIP_MED_SSL_SLAVE ist gleich: 10.0.10.13
  • SSL Router-Listening-Port: 443
  • Name der Zertifikatsdatei: edge-gateway.p12
  • Passwort für das Zertifikat: Str0ngP@ssw0rd
  • Verfügbare RPC-Anschlussstelle: 9081

Die /etc/ipdiva/gateway-slave/gateway.xml Die Datei wäre wie folgt konfiguriert:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
<gateway>
    <server>10.0.10.13:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway-slave/ssl/edge-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:9081</rpc-listen>
[…]
</gateway>
Vollständige Datei 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
<gateway>
        <server>10.0.10.13:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>
        <periodic-licence-check>false</periodic-licence-check>
        <session>
           <sslconf name="default">
              <ca-dir>/etc/ssl/certs</ca-dir>
              <verify-cert>true</verify-cert>
           </sslconf>
        </session>
        <ssl>
                <cert>/etc/ipdiva/gateway-slave/ssl/edge-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/gateway-slave/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>
        <webaccess>
                <proxy></proxy>
                <useragent>true</useragent>
                <autoauth>true</autoauth>
                <forceauth>false</forceauth>
                <forcebasic>false</forcebasic>
                <persistentbasicauth>true</persistentbasicauth>
                <cache-date>Thu, 14 Dec 2006 09:28:00 GMT</cache-date>
                <reverse-proxy>
                        <headers>
                                <x-forwarded-for enabled='false'/>
                                <x-forwarded-host enabled='false'/>
                        </headers>
                </reverse-proxy>
                <davenport compatibilityMode="false">127.0.0.1:8070</davenport>
        </webaccess>
        <rpc-listen>127.0.0.1:9081</rpc-listen>
        <network-id></network-id>
        <services>/etc/ipdiva/gateway-slave/services.xml</services>
        <compression>zlib</compression>
        <vlan>
                <prefixe></prefixe>
        </vlan>

        <openvpn>
                <ssl>
                        <cert>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/allInOne.pem</cert>
                        <ca-file>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/tmp-ca.crt</ca-file>
                        <version>tls1</version>
                </ssl>
                <client-ov>
                        <ip-type>V4</ip-type>
                        <dev-type>tun</dev-type>
                        <link-mtu>1507</link-mtu>
                        <tun-mtu>1500</tun-mtu>
                        <proto>TCPv4_CLIENT</proto>
                        <cipher>[null-cipher]</cipher>
                        <auth>[null-digest]</auth>
                        <keysize>0</keysize>
                        <key-method>2</key-method>
                        <tls-type>tls-client</tls-type>
                </client-ov>
        </openvpn>
    <useoldprotocol>false</useoldprotocol>
    <rate>0</rate>
</gateway>

Schließlich starten Sie die Edge Gateway Instanz, um die neuen Einstellungen zu laden und verbinden Sie sie mit der SLAVE Mediation Controller:

1
/usr/local/ipdiva/gateway-slave/bin/start

Konfiguration des Aufzeichnungsdienstes

Das Zertifikat für den Aufzeichnungsdienst wird mit einem ähnlichen Befehl in das Verzeichnis /etc/ipdiva/careserver/ verschoben (<CERT_NAME> durch den Namen des beabsichtigten Zertifikats ersetzt):

1
mv /tmp/<CERT_NAME> /etc/ipdiva/careserver/

Als nächstes konfigurieren Sie den Dienst, indem Sie die folgende Datei ändern: /etc/ipdiva/careserver/careserver.xml. Die Dateikonfiguration sollte ungefähr so aussehen (im folgenden Abschnitt werden viele Zeilen der mit […] gekennzeichneten Datei weggelassen):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
<?xml version="1.0" ?><careserver>

    <listen>0.0.0.0:8443</listen>
[…]
    <ssl>
        <cert>/etc/ipdiva/careserver/recording_service.p12</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
    <xmlrpc-connect>
        <element>http://127.0.0.1:9080</element>
        <element>http://127.0.0.1:9081</element>
    </xmlrpc-connect>
[…]
</careserver>

Führen Sie die folgenden Änderungen vor:

  • Ändern Sie die IP-Adress des Aufzeichnungsdienstes auf 0.0.0.0 (er hört auf allen verfügbaren IP-Adressen)
  • Ersatz recording_service.p12 durch den Namen des Zertifikats für den Aufzeichnungsdienst
  • Ersatz PASSWORD durch das Passwort für das Zertifikat des Aufzeichnungsdienstes
  • Fügen Sie die Zeile <element>http://127.0.0.1:9081</element> hinzu
Beispiel

Bereichsverteilung der folgenden Angaben:

  • Name der Zertifikatsdatei: fqdn.edge-gateway.local.p12
  • Passwort für das Zertifikat: Str0ngP@ssw0rd

Die Akte /etc/ipdiva/careserver/careserver.xml wäre wie folgt konfiguriert:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
<?xml version="1.0" ?><careserver>

    <listen>0.0.0.0:8443</listen>
[…]
    <ssl>
        <cert>/etc/ipdiva/careserver/fqdn.edge-gateway.local.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
    <xmlrpc-connect>
        <element>http://127.0.0.1:9080</element>
        <element>http://127.0.0.1:9081</element>
    </xmlrpc-connect>
[…]
</careserver>
Vollständige Datei 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
<?xml version="1.0" ?><careserver>

    <listen>0.0.0.0:8443</listen>


    <archivesdirectory>/var/lib/ipdiva/carerecord/archives</archivesdirectory>
    <recordingdirectory>/var/lib/ipdiva/carerecord/recording</recordingdirectory>
    <ssl>
        <cert>/etc/ipdiva/careserver/fqdn.edge-gateway.local.p12</cert>
        <password>Str0ngP@ssw0rd</password>
        <ca-dir>/etc/ipdiva/gateway/ssl/ca</ca-dir>
        <min-version>tls1.2</min-version>
        <max-version/>
        <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
        <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
        <verify-cert>true</verify-cert>
        <no-fail-if-no-peer-cert>true</no-fail-if-no-peer-cert>
    </ssl>
    <gopsize>10</gopsize>
        <webgopsize>5</webgopsize>
    <webfakeframespersec>2</webfakeframespersec>
        <webhlslistsize>20</webhlslistsize>
    <webcaptureinterval>10000</webcaptureinterval>
    <webcapturetimeout>30000</webcapturetimeout>
    <captureinterval>250</captureinterval>
    <hlslistsize>20</hlslistsize>
    <xmlrpc-connect>
        <element>http://127.0.0.1:9080</element>
        <element>http://127.0.0.1:9081</element>
    </xmlrpc-connect>
</careserver>

Validieren Sie die neuen Einstellungen, indem Sie den Aufzeichnungsdienst neu starten:

1
systemctl restart ipdivacarerecord

Verbindung von HTML5-Gateway-Instanzen

Wenn die HTML5-Gateway-Instanz konfiguriert werden muss, führen Sie den folgenden Befehl auf dem Edge Gateway-Server als root aus, um den automatischen Start der Instanz zu aktivieren:

1
chmod +x /etc/ipdiva/services/50html5gateway

Kopieren Sie die Zertifikatsdatei vom HTML5-Gateway in die Verzeichnisse /etc/ipdiva/html5gateway/ssl/ und /etc/ipdiva/html5gateway-slave/ssl/, was mit Befehlen wie root erfolgen kann (ersetzen Sie <CERT_NAME> durch den Namen des Zertifikats für das HTML5-Gateway):

1
2
cp /tmp/<CERT_NAME> /etc/ipdiva/html5gateway/ssl/
mv /tmp/<CERT_NAME> /etc/ipdiva/html5gateway-slave/ssl/

Konfiguration der HTML5-Gateway-Instanzen, damit sie eine Verbindung zu den Mediation Controllers herstellen können.
Die Konfigurationen unterscheiden sich je nach dem zu kontaktierenden Mediation Controller.

Bearbeiten Sie die /etc/ipdiva/html5gateway/html5gateway.xml-Datei und vervollständigen Sie sie mit den folgenden Informationen (einige Abschnitte wurden weggelassen und sind mit […] gekennzeichnet):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
<gateway>
    <server>_FILL_ME_WITH_SERVER_ADDRESS_::ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
</gateway>

Folgende Elemente sind zu ersetzen:

  • _FILL_ME_WITH_SERVER_ADDRESS_:: muss durch die Adresse RIP_MED_SSL_MASTER, das Zeichen : und den Abhöranschluss des SSL-Routers ersetzt werden, der normalerweise auf 443 eingestellt ist
  • keyfile.pem: muss durch den Namen der Zertifikatsdatei ersetzt werden
  • PASSWORD: muss durch das Zertifikatspasswort ersetzt werden
Beispiel

Bereichsverteilung der folgenden Angaben:

  • RIP_MED_SSL_MASTER ist gleich: 10.0.10.11
  • SSL Router-Listening-Port: 443
  • Name der Zertifikatsdatei: html5-gateway.p12
  • Passwort für das Zertifikat: Str0ngP@ssw0rd

Die Akte /etc/ipdiva/html5gateway/html5gateway.xml wäre wie folgt konfiguriert:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
<gateway>
    <server>10.0.10.11:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway/ssl/html5-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
</gateway>
Vollständige Datei 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
<gateway>
        <server>10.0.10.11:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>

        <ssl>
                <cert>/etc/ipdiva/html5gateway/ssl/html5-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/html5gateway/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>

        <rpc-listen>127.0.0.1:9088</rpc-listen>
        <network-id></network-id>
        <compression>zlib</compression>

 </gateway>

Schließlich starten Sie die HTML5 Gateway-Instanz neu, um die neuen Einstellungen zu laden und verbinden Sie sie mit der MASTER Mediation Controller:

1
/usr/local/ipdiva/html5gateway/bin/start

Bearbeiten Sie die /etc/ipdiva/html5gateway-slave/html5gateway.xml-Datei und vervollständigen Sie sie mit den folgenden Informationen (einige Abschnitte wurden weggelassen und sind mit […] gekennzeichnet):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
<gateway>
    <server>@SERVER@:@SERVERPORT@:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway-slave/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:@RPC_PORT@</rpc-listen>
[…]
</gateway>

Folgende Elemente sind zu ersetzen:

  • @SERVER@: muss durch die Adresse RIP_MED_SSL_SLAVE ersetzt werden
  • @SERVERPORT@: muss durch den Abhöranschluss des SSL-Routers ersetzt werden, der normalerweise auf 443 eingestellt ist
  • keyfile.pem: muss durch den Namen der Zertifikatsdatei ersetzt werden
  • PASSWORD: muss durch das Zertifikatspasswort ersetzt werden
  • @RPC_PORT@: muss durch einen verfügbaren TCP-Anschluss auf dem Gerät ersetzt werden; in der Regel wird 9089 verwendet
Beispiel

Bereichsverteilung der folgenden Angaben:

  • RIP_MED_SSL_SLAVE ist gleich: 10.0.10.13
  • SSL Router-Listening-Port: 443
  • Name der Zertifikatsdatei: html5-gateway.p12
  • Passwort für das Zertifikat: Str0ngP@ssw0rd
  • Verfügbare RPC-Anschlussstelle: 9089

Die /etc/ipdiva/html5gateway-slave/html5gateway.xml Die Datei wäre wie folgt konfiguriert:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
<gateway>
    <server>10.0.10.13:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway-slave/ssl/html5-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:9089</rpc-listen>
[…]
</gateway>
Vollständige Datei 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
<gateway>
        <server>10.0.10.13:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>

        <ssl>
                <cert>/etc/ipdiva/html5gateway-slave/ssl/html5-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/html5gateway-slave/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>

        <rpc-listen>127.0.0.1:9089</rpc-listen>
        <network-id></network-id>
        <compression>zlib</compression>

 </gateway>

Schließlich starten Sie die HTML5 Gateway-Instanz neu, um die neuen Einstellungen zu laden und verbinden Sie sie mit der SLAVE Mediation Controller:

1
/usr/local/ipdiva/html5gateway-slave/bin/start

Konfigurationen vor dem Anschluss von HTML5-Gateways

Damit HTML5-Anwendungen funktionieren, müssen zusätzliche Konfigurationen durchgeführt werden auf den Servern der Mediation Controllers. Melden Sie sich bei der MASTER und SLAVE Vermittlungskontrollstellen Server als root.

Erstellen oder ändern der /etc/ipdiva/httpd/commonParameters.extra.conf-Datei, um einen Abschnitt zu erstellen, der dem folgenden entspricht:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
<Location /URL_HTML5/>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway GW_NAME|
        RequestHeader set X-IPdiva-Orgname ORGANIZATION_NAME
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass http://127.0.0.1:9016/systanciaHTML5-6.0/ flushpackets=on
</Location>

<Location /URL_HTML5/websocket-tunnel>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway GW_NAME|
        RequestHeader set X-IPdiva-Orgname ORGANIZATION_NAME
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass ws://127.0.0.1:9016/systanciaHTML5-6.0/websocket-tunnel
</Location>

In welcher Hinsicht:

  • URL_HTML5 muss durch den Inhalt des URL-Feldes des HTML5-Gateways ersetzt werden, das in der Verwaltungskonsole konfiguriert ist, wenn das HTML5-Gateway deklariert (für einen Cluster sind dies in der Regel HTML5-1 und HTML5-2).
  • GW_NAME muss durch den Namen eines Edge Gateway ersetzt werden, der sich auf demselben Server wie das HTML5-Gateway befindet. Das Pipekarakter am Ende der Zeile ** muss ** bleiben.
  • ORGANIZATION_NAME muss durch den Namen der Organisation ersetzt werden, mit der die vorherige Edge Gateway verbunden ist.
Beispiel

Für eine Plattform mit folgenden Einstellungen:

  • Name der Organisation: my-organization-name
  • Erklärung des ersten HTML5-Gateways in der Verwaltungskonsole:
    • Name: html5-gateway-1
    • URL: HTML5-1
    • Protokoll: WebSocket
  • Erklärung des zweiten HTML5-Gateways in der Verwaltungskonsole:
    • Name: html5-gateway-2
    • URL: HTML5-2
    • Protokoll: WebSocket
  • Ein Edge Gateway-Server auf dem ersten HTML5-Gateway hat:
    • Ein Edge Gateway Dienst mit dem Namen edge-gateway-1
    • Ein HTML5-Gateway-Dienst mit dem Namen html5-gateway-1
  • Ein Edge Gateway-Server auf dem zweiten HTML5-Gateway hat:
    • Ein Edge Gateway Dienst mit dem Namen edge-gateway-2
    • Ein HTML5-Gateway-Dienst mit dem Namen html5-gateway-2

Die Konfigurationsdatei /etc/ipdiva/httpd/commonParameters.extra.conf Die Kommission wird die folgenden Maßnahmen ergreifen: 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
<Location /HTML5-1/>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-1|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass http://127.0.0.1:9016/systanciaHTML5-6.0/ flushpackets=on
</Location>

<Location /HTML5-1/websocket-tunnel>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-1|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass ws://127.0.0.1:9016/systanciaHTML5-6.0/websocket-tunnel
</Location>

<Location /HTML5-2/>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-2|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass http://127.0.0.1:9016/systanciaHTML5-6.0/ flushpackets=on
</Location>

<Location /HTML5-2/websocket-tunnel>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-2|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass ws://127.0.0.1:9016/systanciaHTML5-6.0/websocket-tunnel
</Location>

Bevor Sie die neuen Einstellungen anwenden, müssen Sie überprüfen, ob die neue Konfiguration keine Blockierungsfehler für den Apache2-Webserver verursacht.
Hierzu führen Sie den folgenden Befehl aus:

1
apache2ctl configtest

Wenn die Rücksendung Syntax OK Wenn Sie die Änderungen nicht vornehmen können, können Sie die Änderungen mit dem folgenden Befehl vornehmen. /etc/ipdiva/httpd/commonParameters.extra.conf - Ich habe ihn.

1
systemctl reload apache2

Konfiguration eines NTP-Zeitservers

Die erforderlichen Schritte sind auf der NTP-Konfigurationsseite beschrieben.