Saltar a contenido

Instalación de la Edge Gateway Servidor

Nota

Como recordatorio, el cambio a root en las máquinas Debian debe hacerse con el siguiente comando:

1
su -

Descarga del espejo y las herramientas necesarias

El espejo cyberelements Cleanroom 4.6 y la clave de firma del repositorio de Systancia se pueden descargar desde este enlace (requiere la creación de una cuenta de cliente): Systancia Marketplace

Además del espejo y la llave, se requerirán herramientas de terceros para el proceso de actualización:

Usa el cliente SSH para conectarte de forma remota a tu servidor.

Usa el cliente SCP para transferir archivos a tu máquina remota.

Preparación para la instalación

Configuración de la red

Se recomienda encarecidamente definir una dirección de red estática para el servidor Edge Gateway. Para ello, primero debe recuperar el nombre de la interfaz de red de su máquina y su dirección MAC. Ejecute el siguiente comando como root:

1
ip -br link | grep -ve "^lo"

Este comando muestra el nombre de la interfaz de red, su estado, su dirección MAC y la configuración de la interfaz.

Ejemplo

Después de ejecutar el comando, se muestra la siguiente salida:

1
ens192           UP             00:50:56:a1:56:9f <BROADCAST,MULTICAST,UP,LOWER_UP>

El nombre de la interfaz de red es ens192 y su dirección MAC es 00:50:56:a1:56:9f.

Una vez que se han obtenido el nombre de la interfaz de red y la dirección MAC, ahora es posible editar la configuración de red de la máquina.
Editar el archivo /etc/network/interfaces para modificarlo utilizando la siguiente plantilla:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto br0
iface br0 inet static
    bridge_ports INTERFACE_NAME
    bridge_stp off
    bridge_fd 0
    bridge_maxwait 2
    bridge_hw MAC_ADDRESS
    address IP_GW
    netmask NETMASK
    gateway NETWORK_GATEWAY
    dns-nameservers IP_DNS_1 IP_DNS_2
    dns-search DNS_SUFFIX

En el caso de:

  • INTERFACE_NAME debe sustituirse por el nombre de la interfaz de red que se haya obtenido anteriormente.
  • MAC_ADDRESS debe sustituirse por la dirección MAC obtenida anteriormente.
  • IP_GW debe sustituirse por la dirección IP del servidor.
  • NETMASK debe sustituirse por la máscara de red asociada a la dirección IP.
  • NETWORK_GATEWAY debe sustituirse por la pasarela de red predeterminada.
  • IP_DNS debe sustituirse por la dirección IP del servidor DNS. Si se necesitan configurar varios servidores (máximo 3), sepárelos con un espacio.
  • DNS_SUFFIX debe ser sustituido por el sufijo DNS que se utilizará. Si no es necesario introducir ningún sufijo, borrar la línea.
Ejemplo 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
# This file describes the network interfaces available on your system 
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto br0
iface br0 inet static
    bridge_ports ens192
    bridge_stp off
    bridge_fd 0
    bridge_maxwait 2
    bridge_hw 00:50:56:a1:56:9f
    address 172.16.10.10
    netmask 255.255.255.0
    gateway 172.16.10.254
    dns-nameservers 172.16.11.2 172.16.11.3
    dns-search domain.local

Antes de aplicar la configuración, hay tres pasos más para completar.

La primera es instalar los paquetes resolvconf y bridge-utils para que se pueda aplicar la configuración DNS especificada en el archivo anterior y se pueda utilizar la interfaz br0:

1
apt install -y resolvconf bridge-utils

El segundo es comprobar la configuración del archivo /etc/hosts con respecto a la dirección IP de la máquina (IP_GW).
Para ello, edite el archivo /etc/hosts y compruebe que la segunda línea esté en el siguiente formato:

2
IP_GW   FQDN    MACHINE_NAME
Ejemplo

Si la máquina se llama EDGE-GATEWAY sin pertenecer a un dominio y su IP_GW dirección IP es 172.16.10.10, entonces el archivo se completaría de la siguiente manera:

2
172.16.10.10  EDGE-GATEWAY

Si la máquina pertenece a la DOMAIN.LOCAL dominio, entonces el archivo se completaría de la siguiente manera:

2
172.16.10.10  EDGE-GATEWAY.DOMAIN.LOCAL   EDGE-GATEWAY

¡Cuidado!

Una configuración incorrecta del archivo puede causar un error al instalar el paquete collectd.

Todo lo que queda es reiniciar el servidor:

1
reboot

Configuración del administrador de paquetes APT

Coloque los archivos recuperados del mercado de Systancia en el servidor en /tmp/ usando un cliente SCP:

  • systancia.gpg
  • cleanroom-4.6.1-build33.1096.D12-full.tgz

Inicie sesión en el servidor como root, luego ejecute los siguientes comandos para descifrar el repositorio de Systancia, configure su uso en APT y autenticalo.

1
2
3
4
5
mv /tmp/systancia.gpg /etc/apt/trusted.gpg.d/
mkdir -p /opt/systancia/repository/
tar xvzf /tmp/cleanroom-4.6*.tgz -C /opt/systancia/repository/
echo "deb file:///opt/systancia/repository/ bookworm ipdiva" > /etc/apt/sources.list.d/systancia.list
apt update

Se recomienda encarecidamente desactivar la instalación de paquetes innecesarios cuando se ejecuta el comando apt. Para ello, ejecute el siguiente comando:

1
echo -e 'APT::Install-Recommends false;\nAPT::Install-Suggests false;' > /etc/apt/apt.conf.d/99norecommends

Instalación de la cibernéticoLos elementos Cleanroom Edge Gateway servidor

Instalación de los componentes básicos

Comience a instalar los componentes utilizando el siguiente comando como root:

1
apt install -y ipdiva-base

Después de descargar todas las dependencias, se abrirá una ventana que le pedirá que seleccione el tipo de servidor. gateway:

¿Qué hacer en caso de error?

Si hay un error en la información introducida, continúe con la instalación del paquete ipdiva-base y luego use el siguiente comando para reconfigurar el servidor:

1
dpkg-reconfigure ipdiva-base

Instalación de Edge Gateway componentes

Luego comience a instalar los componentes específicos para el servidor Edge Gateway usando el siguiente comando:

1
apt install -y ipdiva-safe-gateway ipdiva-gateway-setup

Los componentes del servidor Edge Gateway están instalados. Sólo queda reiniciar la máquina para que los componentes recién instalados puedan inicializarse:

1
reboot

Instalación de los componentes de la puerta de enlace HTML5

Utilice el siguiente comando para comenzar a instalar los componentes de la puerta de enlace HTML5 en el servidor Edge Gateway:

1
apt install -y ipdiva-html5gateway ipdiva-html5-webapp ipdiva-guacamole-server1

Utilice las siguientes líneas de comandos para habilitar y configurar las funciones de transferencia de archivos e impresora virtual:

1
2
3
apt install -y ghostscript
echo -e "printer=cyberelements HTML5 Printer\nprinterDriver=MS Publisher Imagesetter" > /etc/guacamole/printer-config
mkdir /home/systanciahtml5share

Configuraciones específicas para el funcionamiento de los elementos ciberCleanroom

Una vez aplicadas las configuraciones de red, las instancias de Edge Gateway y HTML5 Gateway aún deben conectarse a los Controladores de Mediación.
Para hacer esto, una primera instancia de Edge Gateway y HTML5 Gateway se conectará a la MASTER Mediation Controller, mientras que las segundas instancias se conectarán a la SLAVE Mediation Controller.

Warning

Si la instalación Edge Gateway no se encuentra dentro de la LAN y, por lo tanto, las direcciones RIP_MED_SSL_MASTER y RIP_MED_SSL_SLAVE no son accesibles (incluso con NAT).
Entonces sólo tendrá que configurar la primera instancia de Edge Gateway y HTML5 Gateway, que se configurará para conectarse a VIP_MED_SSL.

En este contexto, se puede utilizar el dispositivo virtual independiente. El dispositivo virtual de clúster está preconfigurado con dos instancias, mientras que su contraparte independiente está preconfigurada con una sola instancia.

Antes de continuar con las siguientes instrucciones, asegúrese de tener los siguientes artículos:

  • Certificado para Edge Gateway y puertas de enlace HTML5 que se conectarán
  • Certificado del servicio de registro
  • Un cliente SSH (en Windows, se puede utilizar la herramienta PuTTY)
  • Un cliente SCP (en Windows, el El sistema WinSCP o bien El archivo Zilla se pueden utilizar herramientas)

Trasladar los certificados al directorio /tmp/ de la máquina.

Creación de instancias para conectarse a la SLAVE Mediation Controller

Ejecutar los siguientes comandos como root para declarar una nueva instancia de Edge Gateway y HTML5 Gateway que se utilizará para conectarse a la SLAVE Mediation Controller:

1
2
/usr/local/ipdiva/gateway/bin/gatewayCloner -slave
/usr/local/ipdiva/html5gateway/bin/gatewayCloner -slave

Entradas de conexión de los bordes

Copie el archivo de certificado desde Edge Gateway a los directorios /etc/ipdiva/gateway/ssl/ y /etc/ipdiva/gateway-slave/ssl/, lo que puede hacerse con comandos similares a este como root (reemplazar <CERT_NAME> con el nombre del certificado para el Edge Gateway):

1
2
cp /tmp/<CERT_NAME> /etc/ipdiva/gateway/ssl/
mv /tmp/<CERT_NAME> /etc/ipdiva/gateway-slave/ssl/

Configurar las instancias Edge Gateway para permitirles conectarse a los controladores de mediación.
Las configuraciones varían según el Mediation Controller que se desea contactar.

Edite el archivo /etc/ipdiva/gateway/gateway.xml y complete con la siguiente información (se han omitido varias secciones y están marcadas con […]):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
<gateway>
    <server>_FILL_ME_WITH_SERVER_ADDRESS_::ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
</gateway>

Se sustituyen los siguientes elementos:

  • _FILL_ME_WITH_SERVER_ADDRESS_:: debe sustituirse por la dirección RIP_MED_SSL_MASTER, el carácter : y el puerto de escucha del enrutador SSL, normalmente configurado en 443
  • keyfile.pem: debe sustituirse por el nombre del archivo del certificado
  • PASSWORD: debe sustituirse por la contraseña del certificado
Ejemplo

Teniendo en cuenta la siguiente información:

  • RIP_MED_SSL_MASTER es igual a: 10.0.10.11
  • Puerto de escucha del enrutador SSL: 443
  • Nombre del archivo del certificado: edge-gateway.p12
  • Pase de certificado: Str0ngP@ssw0rd

El /etc/ipdiva/gateway/gateway.xml archivo se configuraría de la siguiente manera:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
<gateway>
    <server>10.0.10.11:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway/ssl/edge-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
</gateway>
Archivo completo 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
<gateway>
        <server>10.0.10.11:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>
        <periodic-licence-check>false</periodic-licence-check>
        <session>
           <sslconf name="default">
              <ca-dir>/etc/ssl/certs</ca-dir>
              <verify-cert>true</verify-cert>
           </sslconf>
        </session>
        <ssl>
                <cert>/etc/ipdiva/gateway/ssl/edge-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/gateway/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>
        <webaccess>
                <proxy></proxy>
                <useragent>true</useragent>
                <autoauth>true</autoauth>
                <forceauth>false</forceauth>
                <forcebasic>false</forcebasic>
                <persistentbasicauth>true</persistentbasicauth>
                <cache-date>Thu, 14 Dec 2006 09:28:00 GMT</cache-date>
                <reverse-proxy>
                        <headers>
                                <x-forwarded-for enabled='false'/>
                                <x-forwarded-host enabled='false'/>
                        </headers>
                </reverse-proxy>
                <davenport compatibilityMode="false">127.0.0.1:8070</davenport>
        </webaccess>
        <rpc-listen>127.0.0.1:9080</rpc-listen>
        <network-id></network-id>
        <services>/etc/ipdiva/gateway/services.xml</services>
        <compression>zlib</compression>
        <vlan>
                <prefixe></prefixe>
        </vlan>

        <openvpn>
                <ssl>
                        <cert>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/allInOne.pem</cert>
                        <ca-file>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/tmp-ca.crt</ca-file>
                        <version>tls1</version>
                </ssl>
                <client-ov>
                        <ip-type>V4</ip-type>
                        <dev-type>tun</dev-type>
                        <link-mtu>1507</link-mtu>
                        <tun-mtu>1500</tun-mtu>
                        <proto>TCPv4_CLIENT</proto>
                        <cipher>[null-cipher]</cipher>
                        <auth>[null-digest]</auth>
                        <keysize>0</keysize>
                        <key-method>2</key-method>
                        <tls-type>tls-client</tls-type>
                </client-ov>
        </openvpn>
    <useoldprotocol>false</useoldprotocol>
    <rate>0</rate>
</gateway>

Por último, iniciar la instancia Edge Gateway para cargar la nueva configuración y conectarlo a la MASTER Mediation Controller:

1
/usr/local/ipdiva/gateway/bin/start

Edite el archivo /etc/ipdiva/gateway-slave/gateway.xml y complete con la siguiente información (se han omitido varias secciones y están marcadas con […]):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
<gateway>
    <server>@SERVER@:@SERVERPORT@:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway-slave/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:@RPC_PORT@</rpc-listen>
[…]
</gateway>

Se sustituyen los siguientes elementos:

  • @SERVER@: debe sustituirse por la dirección RIP_MED_SSL_SLAVE
  • @SERVERPORT@: debe ser sustituido por el puerto de escucha del enrutador SSL, normalmente configurado en 443
  • keyfile.pem: debe sustituirse por el nombre del archivo del certificado
  • PASSWORD: debe sustituirse por la contraseña del certificado
  • @RPC_PORT@: debe sustituirse por un puerto TCP disponible en la máquina; generalmente se utiliza el puerto 9081
Ejemplo

Teniendo en cuenta la siguiente información:

  • RIP_MED_SSL_SLAVE es igual a: 10.0.10.13
  • Puerto de escucha del enrutador SSL: 443
  • Nombre del archivo del certificado: edge-gateway.p12
  • Pase de certificado: Str0ngP@ssw0rd
  • Puerto RPC disponible: 9081

El /etc/ipdiva/gateway-slave/gateway.xml archivo se configuraría de la siguiente manera:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
<gateway>
    <server>10.0.10.13:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway-slave/ssl/edge-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:9081</rpc-listen>
[…]
</gateway>
Archivo completo 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
<gateway>
        <server>10.0.10.13:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>
        <periodic-licence-check>false</periodic-licence-check>
        <session>
           <sslconf name="default">
              <ca-dir>/etc/ssl/certs</ca-dir>
              <verify-cert>true</verify-cert>
           </sslconf>
        </session>
        <ssl>
                <cert>/etc/ipdiva/gateway-slave/ssl/edge-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/gateway-slave/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>
        <webaccess>
                <proxy></proxy>
                <useragent>true</useragent>
                <autoauth>true</autoauth>
                <forceauth>false</forceauth>
                <forcebasic>false</forcebasic>
                <persistentbasicauth>true</persistentbasicauth>
                <cache-date>Thu, 14 Dec 2006 09:28:00 GMT</cache-date>
                <reverse-proxy>
                        <headers>
                                <x-forwarded-for enabled='false'/>
                                <x-forwarded-host enabled='false'/>
                        </headers>
                </reverse-proxy>
                <davenport compatibilityMode="false">127.0.0.1:8070</davenport>
        </webaccess>
        <rpc-listen>127.0.0.1:9081</rpc-listen>
        <network-id></network-id>
        <services>/etc/ipdiva/gateway-slave/services.xml</services>
        <compression>zlib</compression>
        <vlan>
                <prefixe></prefixe>
        </vlan>

        <openvpn>
                <ssl>
                        <cert>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/allInOne.pem</cert>
                        <ca-file>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/tmp-ca.crt</ca-file>
                        <version>tls1</version>
                </ssl>
                <client-ov>
                        <ip-type>V4</ip-type>
                        <dev-type>tun</dev-type>
                        <link-mtu>1507</link-mtu>
                        <tun-mtu>1500</tun-mtu>
                        <proto>TCPv4_CLIENT</proto>
                        <cipher>[null-cipher]</cipher>
                        <auth>[null-digest]</auth>
                        <keysize>0</keysize>
                        <key-method>2</key-method>
                        <tls-type>tls-client</tls-type>
                </client-ov>
        </openvpn>
    <useoldprotocol>false</useoldprotocol>
    <rate>0</rate>
</gateway>

Por último, iniciar la instancia Edge Gateway para cargar la nueva configuración y conectarlo a la SLAVE Mediation Controller:

1
/usr/local/ipdiva/gateway-slave/bin/start

Configuración del servicio de registro

Mueva el certificado para el servicio de registro al directorio /etc/ipdiva/careserver/ con un comando similar al siguiente (reemplazar <CERT_NAME> con el nombre del certificado previsto):

1
mv /tmp/<CERT_NAME> /etc/ipdiva/careserver/

A continuación, configure el servicio modificando el siguiente archivo: /etc/ipdiva/careserver/careserver.xml. La configuración del archivo debería ser algo así (la siguiente sección omite muchas líneas del archivo marcado con […]):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
<?xml version="1.0" ?><careserver>

    <listen>0.0.0.0:8443</listen>
[…]
    <ssl>
        <cert>/etc/ipdiva/careserver/recording_service.p12</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
    <xmlrpc-connect>
        <element>http://127.0.0.1:9080</element>
        <element>http://127.0.0.1:9081</element>
    </xmlrpc-connect>
[…]
</careserver>

Haga los siguientes cambios:

  • Cambiar la dirección IP de escucha del servicio de grabación a 0.0.0.0 (escucha en todas las direcciones IP disponibles)
  • Sustituir recording_service.p12 por el nombre del certificado del servicio de registro
  • Sustituir PASSWORD por la contraseña del certificado del servicio de registro
  • Añadir la línea <element>http://127.0.0.1:9081</element>
Ejemplo

Teniendo en cuenta la siguiente información:

  • Nombre del archivo del certificado: fqdn.edge-gateway.local.p12
  • Pase de certificado: Str0ngP@ssw0rd

El archivo /etc/ipdiva/careserver/careserver.xml se configuraría de la siguiente manera:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
<?xml version="1.0" ?><careserver>

    <listen>0.0.0.0:8443</listen>
[…]
    <ssl>
        <cert>/etc/ipdiva/careserver/fqdn.edge-gateway.local.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
    <xmlrpc-connect>
        <element>http://127.0.0.1:9080</element>
        <element>http://127.0.0.1:9081</element>
    </xmlrpc-connect>
[…]
</careserver>
Archivo completo 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
<?xml version="1.0" ?><careserver>

    <listen>0.0.0.0:8443</listen>


    <archivesdirectory>/var/lib/ipdiva/carerecord/archives</archivesdirectory>
    <recordingdirectory>/var/lib/ipdiva/carerecord/recording</recordingdirectory>
    <ssl>
        <cert>/etc/ipdiva/careserver/fqdn.edge-gateway.local.p12</cert>
        <password>Str0ngP@ssw0rd</password>
        <ca-dir>/etc/ipdiva/gateway/ssl/ca</ca-dir>
        <min-version>tls1.2</min-version>
        <max-version/>
        <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
        <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
        <verify-cert>true</verify-cert>
        <no-fail-if-no-peer-cert>true</no-fail-if-no-peer-cert>
    </ssl>
    <gopsize>10</gopsize>
        <webgopsize>5</webgopsize>
    <webfakeframespersec>2</webfakeframespersec>
        <webhlslistsize>20</webhlslistsize>
    <webcaptureinterval>10000</webcaptureinterval>
    <webcapturetimeout>30000</webcapturetimeout>
    <captureinterval>250</captureinterval>
    <hlslistsize>20</hlslistsize>
    <xmlrpc-connect>
        <element>http://127.0.0.1:9080</element>
        <element>http://127.0.0.1:9081</element>
    </xmlrpc-connect>
</careserver>

Validar la nueva configuración por el reinicio del servicio de grabación:

1
systemctl restart ipdivacarerecord

Conexión de instancias de la puerta de enlace HTML5

Si la instancia de HTML5 Gateway necesita ser configurada, ejecute el siguiente comando en el servidor Edge Gateway como root para habilitar el inicio automático de la instancia:

1
chmod +x /etc/ipdiva/services/50html5gateway

Copie el archivo de certificado desde la puerta de enlace HTML5 a los directorios /etc/ipdiva/html5gateway/ssl/ y /etc/ipdiva/html5gateway-slave/ssl/, que se puede hacer con comandos similares a este como root (reemplazar <CERT_NAME> con el nombre del certificado para la puerta de enlace HTML5):

1
2
cp /tmp/<CERT_NAME> /etc/ipdiva/html5gateway/ssl/
mv /tmp/<CERT_NAME> /etc/ipdiva/html5gateway-slave/ssl/

Configurar las instancias de la puerta de enlace HTML5 para permitirles conectarse a los controladores de mediación.
Las configuraciones varían según el Mediation Controller que se desea contactar.

Edite el archivo /etc/ipdiva/html5gateway/html5gateway.xml y complete con la siguiente información (se han omitido varias secciones y están marcadas con […]):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
<gateway>
    <server>_FILL_ME_WITH_SERVER_ADDRESS_::ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
</gateway>

Se sustituyen los siguientes elementos:

  • _FILL_ME_WITH_SERVER_ADDRESS_:: debe sustituirse por la dirección RIP_MED_SSL_MASTER, el carácter : y el puerto de escucha del enrutador SSL, normalmente configurado en 443
  • keyfile.pem: debe sustituirse por el nombre del archivo del certificado
  • PASSWORD: debe sustituirse por la contraseña del certificado
Ejemplo

Teniendo en cuenta la siguiente información:

  • RIP_MED_SSL_MASTER es igual a: 10.0.10.11
  • Puerto de escucha del enrutador SSL: 443
  • Nombre del archivo del certificado: html5-gateway.p12
  • Pase de certificado: Str0ngP@ssw0rd

El archivo /etc/ipdiva/html5gateway/html5gateway.xml se configuraría de la siguiente manera:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
<gateway>
    <server>10.0.10.11:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway/ssl/html5-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
</gateway>
Archivo completo 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
<gateway>
        <server>10.0.10.11:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>

        <ssl>
                <cert>/etc/ipdiva/html5gateway/ssl/html5-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/html5gateway/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>

        <rpc-listen>127.0.0.1:9088</rpc-listen>
        <network-id></network-id>
        <compression>zlib</compression>

 </gateway>

Finalmente, reinicie la instancia de HTML5 Gateway para cargar las nuevas configuraciones y conectarlo a la MASTER Mediation Controller:

1
/usr/local/ipdiva/html5gateway/bin/start

Edite el archivo /etc/ipdiva/html5gateway-slave/html5gateway.xml y complete con la siguiente información (se han omitido varias secciones y están marcadas con […]):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
<gateway>
    <server>@SERVER@:@SERVERPORT@:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway-slave/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:@RPC_PORT@</rpc-listen>
[…]
</gateway>

Se sustituyen los siguientes elementos:

  • @SERVER@: debe sustituirse por la dirección RIP_MED_SSL_SLAVE
  • @SERVERPORT@: debe ser sustituido por el puerto de escucha del enrutador SSL, normalmente configurado en 443
  • keyfile.pem: debe sustituirse por el nombre del archivo del certificado
  • PASSWORD: debe sustituirse por la contraseña del certificado
  • @RPC_PORT@: debe sustituirse por un puerto TCP disponible en la máquina; generalmente se utiliza el puerto 9089
Ejemplo

Teniendo en cuenta la siguiente información:

  • RIP_MED_SSL_SLAVE es igual a: 10.0.10.13
  • Puerto de escucha del enrutador SSL: 443
  • Nombre del archivo del certificado: html5-gateway.p12
  • Pase de certificado: Str0ngP@ssw0rd
  • Puerto RPC disponible: 9089

El /etc/ipdiva/html5gateway-slave/html5gateway.xml archivo se configuraría de la siguiente manera:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
<gateway>
    <server>10.0.10.13:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway-slave/ssl/html5-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:9089</rpc-listen>
[…]
</gateway>
Archivo completo 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
<gateway>
        <server>10.0.10.13:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>

        <ssl>
                <cert>/etc/ipdiva/html5gateway-slave/ssl/html5-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/html5gateway-slave/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>

        <rpc-listen>127.0.0.1:9089</rpc-listen>
        <network-id></network-id>
        <compression>zlib</compression>

 </gateway>

Finalmente, reinicie la instancia de HTML5 Gateway para cargar las nuevas configuraciones y conectarlo a la SLAVE Mediation Controller:

1
/usr/local/ipdiva/html5gateway-slave/bin/start

Configuraciones previas a la conexión de las puertas de enlace HTML5

Para que las aplicaciones HTML5 funcionen, se debe realizar una configuración adicional ** en los servidores de Controladores de Mediación **. Inicie sesión en los servidores MASTER y SLAVE ** Controladores de Mediación ** como root.

Crear o modificar el archivo /etc/ipdiva/httpd/commonParameters.extra.conf para agregar una sección equivalente a lo siguiente por HTML5 Gateway:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
<Location /URL_HTML5/>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway GW_NAME|
        RequestHeader set X-IPdiva-Orgname ORGANIZATION_NAME
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass http://127.0.0.1:9016/systanciaHTML5-6.0/ flushpackets=on
</Location>

<Location /URL_HTML5/websocket-tunnel>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway GW_NAME|
        RequestHeader set X-IPdiva-Orgname ORGANIZATION_NAME
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass ws://127.0.0.1:9016/systanciaHTML5-6.0/websocket-tunnel
</Location>

En el caso de:

  • URL_HTML5 debe sustituirse por el contenido del campo URL del HTML5 Gateway configurado en la consola de administración cuando se declara el HTML5 Gateway (para un clúster, generalmente es HTML5-1 y HTML5-2).
  • GW_NAME debe ser sustituido por el nombre de un Edge Gateway situado en el mismo servidor que el HTML5 Gateway. El carácter pipe al final de la línea ** debe ser mantenido**.
  • ORGANIZATION_NAME debe sustituirse por el nombre de la organización a la que se conecta el Edge Gateway anterior.
Ejemplo

Para una plataforma con las siguientes configuraciones:

  • Nombre de la organización: my-organization-name
  • Declaración de la primera puerta de enlace HTML5 en la consola de administración:
    • Nombre: html5-gateway-1
    • URL: HTML5-1
    • Protocolo: Sección de las WebSocket
  • Declaración de la segunda puerta de enlace HTML5 en la consola de administración:
    • Nombre: html5-gateway-2
    • URL: HTML5-2
    • Protocolo: Sección de las WebSocket
  • Un Edge Gateway el servidor en el primer portal HTML5 tiene:
    • Un Edge Gateway servicio llamado edge-gateway-1
    • Un servicio de entrada HTML5 llamado html5-gateway-1
  • Un Edge Gateway el servidor en el segundo portal HTML5 tiene:
    • Un Edge Gateway servicio llamado edge-gateway-2
    • Un servicio de entrada HTML5 llamado html5-gateway-2

El archivo de configuración /etc/ipdiva/httpd/commonParameters.extra.conf El nuevo sistema de gestión de la seguridad social creado se establecerá de la siguiente manera: 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
<Location /HTML5-1/>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-1|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass http://127.0.0.1:9016/systanciaHTML5-6.0/ flushpackets=on
</Location>

<Location /HTML5-1/websocket-tunnel>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-1|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass ws://127.0.0.1:9016/systanciaHTML5-6.0/websocket-tunnel
</Location>

<Location /HTML5-2/>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-2|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass http://127.0.0.1:9016/systanciaHTML5-6.0/ flushpackets=on
</Location>

<Location /HTML5-2/websocket-tunnel>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-2|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass ws://127.0.0.1:9016/systanciaHTML5-6.0/websocket-tunnel
</Location>

Antes de aplicar las nuevas configuraciones, debe comprobar que la nueva configuración no causa ningún error de bloqueo para el servidor web Apache2.
Para ello, ejecute el siguiente comando:

1
apache2ctl configtest

Si el resultado es Syntax OK, entonces los cambios se pueden aplicar con el siguiente comando. De lo contrario, compruebe la configuración de su archivo /etc/ipdiva/httpd/commonParameters.extra.conf.

1
systemctl reload apache2

Configurando un servidor de tiempo NTP

Se recomienda configurar un servidor de tiempo para mantener el reloj del sistema actualizado. en la página de configuración de NTP.