Saltar a contenido

Instalación de la Edge Gateway Servidor

Configuración inicial del sistema

Cuando el Edge Gateway Este asistente le permite iniciar la configuración específica del sistema, así como las específicas para el uso de cibernéticoLos elementos Cleanroom.

Configuración del sistema

Configuración de la red

Una vez aplicadas las configuraciones del sistema, el asistente cambia a las configuraciones de red de la máquina.

El primer panel le pide que elija entre una configuración estática y una configuración dinámica a través de DHCP:

Recomendación

Se recomienda que utilice una configuración estática para la configuración de red de la máquina, en particular para la función de acceso directo.
DHCP también puede utilizarse si la dirección IP se establece a nivel del servidor DHCP.

Si se elige la configuración estática, el asistente pedirá la siguiente configuración de red:

Tip

Se pueden introducir varios servidores DNS (3 como máximo) separándolos con espacios.

-8<-- [fin:configuración de red-gw]

Finalización de la configuración inicial

El menú de configuración inicial ahora le pide que continúe con el mecanismo de emparejamiento Edge Gateway.
Para esta documentación, no se utilizará, por lo que es necesario desactivar la aparición de este menú al iniciar sesión y desactivar la conexión automática a root.

Para ello, comience saliendo del menú de configuración inicial, ya sea seleccionando el botón Cancel o usando la combinación de teclas ctrl+c.
Luego ejecute los siguientes comandos:

1
2
3
4
sed -i '/gateway-setup/d' /root/.bashrc
sed -i 's/^NAutoVTs/#NAutoVTs/' /etc/systemd/logind.conf
rm -r /etc/systemd/system/getty@tty1.service.d/
systemctl daemon-reload

Configuraciones específicas para el funcionamiento de los elementos ciberCleanroom

Una vez aplicadas las configuraciones de red, las instancias de Edge Gateway y HTML5 Gateway aún deben conectarse a los Controladores de Mediación.
Para hacer esto, una primera instancia de Edge Gateway y HTML5 Gateway se conectará a la MASTER Mediation Controller, mientras que las segundas instancias se conectarán a la SLAVE Mediation Controller.

Warning

Si la instalación Edge Gateway no se encuentra dentro de la LAN y, por lo tanto, las direcciones RIP_MED_SSL_MASTER y RIP_MED_SSL_SLAVE no son accesibles (incluso con NAT).
Entonces sólo tendrá que configurar la primera instancia de Edge Gateway y HTML5 Gateway, que se configurará para conectarse a VIP_MED_SSL.

En este contexto, se puede utilizar el dispositivo virtual independiente. El dispositivo virtual de clúster está preconfigurado con dos instancias, mientras que su contraparte independiente está preconfigurada con una sola instancia.

Antes de continuar con las siguientes instrucciones, asegúrese de tener los siguientes artículos:

  • Certificado para Edge Gateway y puertas de enlace HTML5 que se conectarán
  • Certificado del servicio de registro
  • Un cliente SSH (en Windows, se puede utilizar la herramienta PuTTY)
  • Un cliente SCP (en Windows, el El sistema WinSCP o bien El archivo Zilla se pueden utilizar herramientas)

Trasladar los certificados al directorio /tmp/ de la máquina.

Entradas de conexión de los bordes

Copie el archivo de certificado desde Edge Gateway a los directorios /etc/ipdiva/gateway/ssl/ y /etc/ipdiva/gateway-slave/ssl/, lo que puede hacerse con comandos similares a este como root (reemplazar <CERT_NAME> con el nombre del certificado para el Edge Gateway):

1
2
cp /tmp/<CERT_NAME> /etc/ipdiva/gateway/ssl/
mv /tmp/<CERT_NAME> /etc/ipdiva/gateway-slave/ssl/

Configurar las instancias Edge Gateway para permitirles conectarse a los controladores de mediación.
Las configuraciones varían según el Mediation Controller que se desea contactar.

Edite el archivo /etc/ipdiva/gateway/gateway.xml y complete con la siguiente información (se han omitido varias secciones y están marcadas con […]):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
<gateway>
    <server>_FILL_ME_WITH_SERVER_ADDRESS_::ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
</gateway>

Se sustituyen los siguientes elementos:

  • _FILL_ME_WITH_SERVER_ADDRESS_:: debe sustituirse por la dirección RIP_MED_SSL_MASTER, el carácter : y el puerto de escucha del enrutador SSL, normalmente configurado en 443
  • keyfile.pem: debe sustituirse por el nombre del archivo del certificado
  • PASSWORD: debe sustituirse por la contraseña del certificado
Ejemplo

Teniendo en cuenta la siguiente información:

  • RIP_MED_SSL_MASTER es igual a: 10.0.10.11
  • Puerto de escucha del enrutador SSL: 443
  • Nombre del archivo del certificado: edge-gateway.p12
  • Pase de certificado: Str0ngP@ssw0rd

El /etc/ipdiva/gateway/gateway.xml archivo se configuraría de la siguiente manera:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
<gateway>
    <server>10.0.10.11:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway/ssl/edge-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
</gateway>
Archivo completo 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
<gateway>
        <server>10.0.10.11:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>
        <periodic-licence-check>false</periodic-licence-check>
        <session>
           <sslconf name="default">
              <ca-dir>/etc/ssl/certs</ca-dir>
              <verify-cert>true</verify-cert>
           </sslconf>
        </session>
        <ssl>
                <cert>/etc/ipdiva/gateway/ssl/edge-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/gateway/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>
        <webaccess>
                <proxy></proxy>
                <useragent>true</useragent>
                <autoauth>true</autoauth>
                <forceauth>false</forceauth>
                <forcebasic>false</forcebasic>
                <persistentbasicauth>true</persistentbasicauth>
                <cache-date>Thu, 14 Dec 2006 09:28:00 GMT</cache-date>
                <reverse-proxy>
                        <headers>
                                <x-forwarded-for enabled='false'/>
                                <x-forwarded-host enabled='false'/>
                        </headers>
                </reverse-proxy>
                <davenport compatibilityMode="false">127.0.0.1:8070</davenport>
        </webaccess>
        <rpc-listen>127.0.0.1:9080</rpc-listen>
        <network-id></network-id>
        <services>/etc/ipdiva/gateway/services.xml</services>
        <compression>zlib</compression>
        <vlan>
                <prefixe></prefixe>
        </vlan>

        <openvpn>
                <ssl>
                        <cert>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/allInOne.pem</cert>
                        <ca-file>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/tmp-ca.crt</ca-file>
                        <version>tls1</version>
                </ssl>
                <client-ov>
                        <ip-type>V4</ip-type>
                        <dev-type>tun</dev-type>
                        <link-mtu>1507</link-mtu>
                        <tun-mtu>1500</tun-mtu>
                        <proto>TCPv4_CLIENT</proto>
                        <cipher>[null-cipher]</cipher>
                        <auth>[null-digest]</auth>
                        <keysize>0</keysize>
                        <key-method>2</key-method>
                        <tls-type>tls-client</tls-type>
                </client-ov>
        </openvpn>
    <useoldprotocol>false</useoldprotocol>
    <rate>0</rate>
</gateway>

Por último, iniciar la instancia Edge Gateway para cargar la nueva configuración y conectarlo a la MASTER Mediation Controller:

1
/usr/local/ipdiva/gateway/bin/start

Edite el archivo /etc/ipdiva/gateway-slave/gateway.xml y complete con la siguiente información (se han omitido varias secciones y están marcadas con […]):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
<gateway>
    <server>@SERVER@:@SERVERPORT@:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway-slave/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:@RPC_PORT@</rpc-listen>
[…]
</gateway>

Se sustituyen los siguientes elementos:

  • @SERVER@: debe sustituirse por la dirección RIP_MED_SSL_SLAVE
  • @SERVERPORT@: debe ser sustituido por el puerto de escucha del enrutador SSL, normalmente configurado en 443
  • keyfile.pem: debe sustituirse por el nombre del archivo del certificado
  • PASSWORD: debe sustituirse por la contraseña del certificado
  • @RPC_PORT@: debe sustituirse por un puerto TCP disponible en la máquina; generalmente se utiliza el puerto 9081
Ejemplo

Teniendo en cuenta la siguiente información:

  • RIP_MED_SSL_SLAVE es igual a: 10.0.10.13
  • Puerto de escucha del enrutador SSL: 443
  • Nombre del archivo del certificado: edge-gateway.p12
  • Pase de certificado: Str0ngP@ssw0rd
  • Puerto RPC disponible: 9081

El /etc/ipdiva/gateway-slave/gateway.xml archivo se configuraría de la siguiente manera:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
<gateway>
    <server>10.0.10.13:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway-slave/ssl/edge-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:9081</rpc-listen>
[…]
</gateway>
Archivo completo 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
<gateway>
        <server>10.0.10.13:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>
        <periodic-licence-check>false</periodic-licence-check>
        <session>
           <sslconf name="default">
              <ca-dir>/etc/ssl/certs</ca-dir>
              <verify-cert>true</verify-cert>
           </sslconf>
        </session>
        <ssl>
                <cert>/etc/ipdiva/gateway-slave/ssl/edge-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/gateway-slave/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>
        <webaccess>
                <proxy></proxy>
                <useragent>true</useragent>
                <autoauth>true</autoauth>
                <forceauth>false</forceauth>
                <forcebasic>false</forcebasic>
                <persistentbasicauth>true</persistentbasicauth>
                <cache-date>Thu, 14 Dec 2006 09:28:00 GMT</cache-date>
                <reverse-proxy>
                        <headers>
                                <x-forwarded-for enabled='false'/>
                                <x-forwarded-host enabled='false'/>
                        </headers>
                </reverse-proxy>
                <davenport compatibilityMode="false">127.0.0.1:8070</davenport>
        </webaccess>
        <rpc-listen>127.0.0.1:9081</rpc-listen>
        <network-id></network-id>
        <services>/etc/ipdiva/gateway-slave/services.xml</services>
        <compression>zlib</compression>
        <vlan>
                <prefixe></prefixe>
        </vlan>

        <openvpn>
                <ssl>
                        <cert>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/allInOne.pem</cert>
                        <ca-file>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/tmp-ca.crt</ca-file>
                        <version>tls1</version>
                </ssl>
                <client-ov>
                        <ip-type>V4</ip-type>
                        <dev-type>tun</dev-type>
                        <link-mtu>1507</link-mtu>
                        <tun-mtu>1500</tun-mtu>
                        <proto>TCPv4_CLIENT</proto>
                        <cipher>[null-cipher]</cipher>
                        <auth>[null-digest]</auth>
                        <keysize>0</keysize>
                        <key-method>2</key-method>
                        <tls-type>tls-client</tls-type>
                </client-ov>
        </openvpn>
    <useoldprotocol>false</useoldprotocol>
    <rate>0</rate>
</gateway>

Por último, iniciar la instancia Edge Gateway para cargar la nueva configuración y conectarlo a la SLAVE Mediation Controller:

1
/usr/local/ipdiva/gateway-slave/bin/start

Configuración del servicio de registro

Mueva el certificado para el servicio de registro al directorio /etc/ipdiva/careserver/ con un comando similar al siguiente (reemplazar <CERT_NAME> con el nombre del certificado previsto):

1
mv /tmp/<CERT_NAME> /etc/ipdiva/careserver/

A continuación, configure el servicio modificando el siguiente archivo: /etc/ipdiva/careserver/careserver.xml. La configuración del archivo debería ser algo así (la siguiente sección omite muchas líneas del archivo marcado con […]):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
<?xml version="1.0" ?><careserver>

    <listen>0.0.0.0:8443</listen>
[…]
    <ssl>
        <cert>/etc/ipdiva/careserver/recording_service.p12</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
    <xmlrpc-connect>
        <element>http://127.0.0.1:9080</element>
        <element>http://127.0.0.1:9081</element>
    </xmlrpc-connect>
[…]
</careserver>

Haga los siguientes cambios:

  • Cambiar la dirección IP de escucha del servicio de grabación a 0.0.0.0 (escucha en todas las direcciones IP disponibles)
  • Sustituir recording_service.p12 por el nombre del certificado del servicio de registro
  • Sustituir PASSWORD por la contraseña del certificado del servicio de registro
  • Añadir la línea <element>http://127.0.0.1:9081</element>
Ejemplo

Teniendo en cuenta la siguiente información:

  • Nombre del archivo del certificado: fqdn.edge-gateway.local.p12
  • Pase de certificado: Str0ngP@ssw0rd

El archivo /etc/ipdiva/careserver/careserver.xml se configuraría de la siguiente manera:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
<?xml version="1.0" ?><careserver>

    <listen>0.0.0.0:8443</listen>
[…]
    <ssl>
        <cert>/etc/ipdiva/careserver/fqdn.edge-gateway.local.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
    <xmlrpc-connect>
        <element>http://127.0.0.1:9080</element>
        <element>http://127.0.0.1:9081</element>
    </xmlrpc-connect>
[…]
</careserver>
Archivo completo 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
<?xml version="1.0" ?><careserver>

    <listen>0.0.0.0:8443</listen>


    <archivesdirectory>/var/lib/ipdiva/carerecord/archives</archivesdirectory>
    <recordingdirectory>/var/lib/ipdiva/carerecord/recording</recordingdirectory>
    <ssl>
        <cert>/etc/ipdiva/careserver/fqdn.edge-gateway.local.p12</cert>
        <password>Str0ngP@ssw0rd</password>
        <ca-dir>/etc/ipdiva/gateway/ssl/ca</ca-dir>
        <min-version>tls1.2</min-version>
        <max-version/>
        <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
        <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
        <verify-cert>true</verify-cert>
        <no-fail-if-no-peer-cert>true</no-fail-if-no-peer-cert>
    </ssl>
    <gopsize>10</gopsize>
        <webgopsize>5</webgopsize>
    <webfakeframespersec>2</webfakeframespersec>
        <webhlslistsize>20</webhlslistsize>
    <webcaptureinterval>10000</webcaptureinterval>
    <webcapturetimeout>30000</webcapturetimeout>
    <captureinterval>250</captureinterval>
    <hlslistsize>20</hlslistsize>
    <xmlrpc-connect>
        <element>http://127.0.0.1:9080</element>
        <element>http://127.0.0.1:9081</element>
    </xmlrpc-connect>
</careserver>

Validar la nueva configuración por el reinicio del servicio de grabación:

1
systemctl restart ipdivacarerecord

Conexión de instancias de la puerta de enlace HTML5

Si la instancia de HTML5 Gateway necesita ser configurada, ejecute el siguiente comando en el servidor Edge Gateway como root para habilitar el inicio automático de la instancia:

1
chmod +x /etc/ipdiva/services/50html5gateway*

Copie el archivo de certificado desde la puerta de enlace HTML5 a los directorios /etc/ipdiva/html5gateway/ssl/ y /etc/ipdiva/html5gateway-slave/ssl/, que se puede hacer con comandos similares a este como root (reemplazar <CERT_NAME> con el nombre del certificado para la puerta de enlace HTML5):

1
2
cp /tmp/<CERT_NAME> /etc/ipdiva/html5gateway/ssl/
mv /tmp/<CERT_NAME> /etc/ipdiva/html5gateway-slave/ssl/

Configurar las instancias de la puerta de enlace HTML5 para permitirles conectarse a los controladores de mediación.
Las configuraciones varían según el Mediation Controller que se desea contactar.

Edite el archivo /etc/ipdiva/html5gateway/html5gateway.xml y complete con la siguiente información (se han omitido varias secciones y están marcadas con […]):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
<gateway>
    <server>_FILL_ME_WITH_SERVER_ADDRESS_::ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
</gateway>

Se sustituyen los siguientes elementos:

  • _FILL_ME_WITH_SERVER_ADDRESS_:: debe sustituirse por la dirección RIP_MED_SSL_MASTER, el carácter : y el puerto de escucha del enrutador SSL, normalmente configurado en 443
  • keyfile.pem: debe sustituirse por el nombre del archivo del certificado
  • PASSWORD: debe sustituirse por la contraseña del certificado
Ejemplo

Teniendo en cuenta la siguiente información:

  • RIP_MED_SSL_MASTER es igual a: 10.0.10.11
  • Puerto de escucha del enrutador SSL: 443
  • Nombre del archivo del certificado: html5-gateway.p12
  • Pase de certificado: Str0ngP@ssw0rd

El archivo /etc/ipdiva/html5gateway/html5gateway.xml se configuraría de la siguiente manera:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
<gateway>
    <server>10.0.10.11:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway/ssl/html5-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
</gateway>
Archivo completo 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
<gateway>
        <server>10.0.10.11:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>

        <ssl>
                <cert>/etc/ipdiva/html5gateway/ssl/html5-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/html5gateway/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>

        <rpc-listen>127.0.0.1:9088</rpc-listen>
        <network-id></network-id>
        <compression>zlib</compression>

 </gateway>

Finalmente, reinicie la instancia de HTML5 Gateway para cargar las nuevas configuraciones y conectarlo a la MASTER Mediation Controller:

1
/usr/local/ipdiva/html5gateway/bin/start

Edite el archivo /etc/ipdiva/html5gateway-slave/html5gateway.xml y complete con la siguiente información (se han omitido varias secciones y están marcadas con […]):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
<gateway>
    <server>@SERVER@:@SERVERPORT@:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway-slave/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:@RPC_PORT@</rpc-listen>
[…]
</gateway>

Se sustituyen los siguientes elementos:

  • @SERVER@: debe sustituirse por la dirección RIP_MED_SSL_SLAVE
  • @SERVERPORT@: debe ser sustituido por el puerto de escucha del enrutador SSL, normalmente configurado en 443
  • keyfile.pem: debe sustituirse por el nombre del archivo del certificado
  • PASSWORD: debe sustituirse por la contraseña del certificado
  • @RPC_PORT@: debe sustituirse por un puerto TCP disponible en la máquina; generalmente se utiliza el puerto 9089
Ejemplo

Teniendo en cuenta la siguiente información:

  • RIP_MED_SSL_SLAVE es igual a: 10.0.10.13
  • Puerto de escucha del enrutador SSL: 443
  • Nombre del archivo del certificado: html5-gateway.p12
  • Pase de certificado: Str0ngP@ssw0rd
  • Puerto RPC disponible: 9089

El /etc/ipdiva/html5gateway-slave/html5gateway.xml archivo se configuraría de la siguiente manera:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
<gateway>
    <server>10.0.10.13:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway-slave/ssl/html5-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:9089</rpc-listen>
[…]
</gateway>
Archivo completo 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
<gateway>
        <server>10.0.10.13:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>

        <ssl>
                <cert>/etc/ipdiva/html5gateway-slave/ssl/html5-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/html5gateway-slave/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>

        <rpc-listen>127.0.0.1:9089</rpc-listen>
        <network-id></network-id>
        <compression>zlib</compression>

 </gateway>

Finalmente, reinicie la instancia de HTML5 Gateway para cargar las nuevas configuraciones y conectarlo a la SLAVE Mediation Controller:

1
/usr/local/ipdiva/html5gateway-slave/bin/start

Configuraciones previas a la conexión de las puertas de enlace HTML5

Para que las aplicaciones HTML5 funcionen, se debe realizar una configuración adicional ** en los servidores de Controladores de Mediación **. Inicie sesión en los servidores MASTER y SLAVE ** Controladores de Mediación ** como root.

Crear o modificar el archivo /etc/ipdiva/httpd/commonParameters.extra.conf para agregar una sección equivalente a lo siguiente por HTML5 Gateway:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
<Location /URL_HTML5/>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway GW_NAME|
        RequestHeader set X-IPdiva-Orgname ORGANIZATION_NAME
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass http://127.0.0.1:9016/systanciaHTML5-6.0/ flushpackets=on
</Location>

<Location /URL_HTML5/websocket-tunnel>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway GW_NAME|
        RequestHeader set X-IPdiva-Orgname ORGANIZATION_NAME
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass ws://127.0.0.1:9016/systanciaHTML5-6.0/websocket-tunnel
</Location>

En el caso de:

  • URL_HTML5 debe sustituirse por el contenido del campo URL del HTML5 Gateway configurado en la consola de administración cuando se declara el HTML5 Gateway (para un clúster, generalmente es HTML5-1 y HTML5-2).
  • GW_NAME debe ser sustituido por el nombre de un Edge Gateway situado en el mismo servidor que el HTML5 Gateway. El carácter pipe al final de la línea ** debe ser mantenido**.
  • ORGANIZATION_NAME debe sustituirse por el nombre de la organización a la que se conecta el Edge Gateway anterior.
Ejemplo

Para una plataforma con las siguientes configuraciones:

  • Nombre de la organización: my-organization-name
  • Declaración de la primera puerta de enlace HTML5 en la consola de administración:
    • Nombre: html5-gateway-1
    • URL: HTML5-1
    • Protocolo: Sección de las WebSocket
  • Declaración de la segunda puerta de enlace HTML5 en la consola de administración:
    • Nombre: html5-gateway-2
    • URL: HTML5-2
    • Protocolo: Sección de las WebSocket
  • Un Edge Gateway el servidor en el primer portal HTML5 tiene:
    • Un Edge Gateway servicio llamado edge-gateway-1
    • Un servicio de entrada HTML5 llamado html5-gateway-1
  • Un Edge Gateway el servidor en el segundo portal HTML5 tiene:
    • Un Edge Gateway servicio llamado edge-gateway-2
    • Un servicio de entrada HTML5 llamado html5-gateway-2

El archivo de configuración /etc/ipdiva/httpd/commonParameters.extra.conf El nuevo sistema de gestión de la seguridad social creado se establecerá de la siguiente manera: 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
<Location /HTML5-1/>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-1|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass http://127.0.0.1:9016/systanciaHTML5-6.0/ flushpackets=on
</Location>

<Location /HTML5-1/websocket-tunnel>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-1|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass ws://127.0.0.1:9016/systanciaHTML5-6.0/websocket-tunnel
</Location>

<Location /HTML5-2/>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-2|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass http://127.0.0.1:9016/systanciaHTML5-6.0/ flushpackets=on
</Location>

<Location /HTML5-2/websocket-tunnel>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-2|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass ws://127.0.0.1:9016/systanciaHTML5-6.0/websocket-tunnel
</Location>

Antes de aplicar las nuevas configuraciones, debe comprobar que la nueva configuración no causa ningún error de bloqueo para el servidor web Apache2.
Para ello, ejecute el siguiente comando:

1
apache2ctl configtest

Si el resultado es Syntax OK, entonces los cambios se pueden aplicar con el siguiente comando. De lo contrario, compruebe la configuración de su archivo /etc/ipdiva/httpd/commonParameters.extra.conf.

1
systemctl reload apache2

Configurando un servidor de tiempo NTP

Se recomienda configurar un servidor de tiempo para mantener el reloj del sistema actualizado. en la página de configuración de NTP.