Installazione del server Edge Gateway¶

Impostazioni iniziali del sistema¶

Quando l'appliance Edge Gateway Cluster viene avviato per la prima volta, viene visualizzata una procedura guidata per la configurazione iniziale della macchina. Questa procedura guidata consente di inizializzare la configurazione specifica del sistema e quelle specifiche per l'uso di ** cyber** elementi Cleanroom.

Impostazioni del sistema¶

Il wizard inizia chiedendo di selezionare una lingua:

Info

La lingua scelta influirà sia sulla lingua di visualizzazione del sistema che sul layout della tastiera.

Il wizard ti chiede quindi di aggiungere una nuova password per l'account di sistema root (assicurati che soddisfi la complessità richiesta):

Successivamente, è necessario modificare la password dell'account utente di sistema systancia (assicurarsi che soddisfi la complessità richiesta):

Infine, è necessario inserire il nome della macchina:

--8<-- [fine: sistema-inizializzazione-gw]¶

- 8 <-- [start:network-config-gw]¶

Una volta applicate le impostazioni di sistema, l'Assistente passa alle impostazioni di rete della macchina.

Il primo pannello chiede di scegliere tra una configurazione statica e una configurazione dinamica tramite DHCP:

Raccomandazione

Si raccomanda di utilizzare una configurazione statica per le impostazioni di rete della macchina, in particolare per la funzione di accesso diretto.
È possibile utilizzare DHCP anche se l'indirizzo IP è impostato a livello del server DHCP.

Se la configurazione statica è scelta, il wizard richiederà le seguenti impostazioni di rete:

Tip

È possibile inserire più server DNS (massimo 3) separandoli con spazi.

Impostazioni di rete¶

Finalizzazione delle impostazioni iniziali¶

Il menu di configurazione iniziale ora vi invita a continuare con il meccanismo di accoppiamento Edge Gateway.
Per questa documentazione, non sarà utilizzato, quindi è necessario disattivare l'aspetto di questo menu al login e disabilitare la connessione automatica a root.

Per fare questo, iniziare uscendo dal menu di configurazione iniziale, selezionando il pulsante Cancel o utilizzando la combinazione di tasti ctrl+c.
Poi eseguire i seguenti comandi:

sed -i '/gateway-setup/d' /root/.bashrc
sed -i 's/^NAutoVTs/#NAutoVTs/' /etc/systemd/logind.conf
rm -r /etc/systemd/system/getty@tty1.service.d/
systemctl daemon-reload

impostazioni specifiche per cyberelementi Cleanroomoperazione¶

Una volta applicate le impostazioni di rete, le istanze Edge Gateway e HTML5 Gateway devono ancora essere connesse ai Controller di mediazione.
Per fare questo, una prima istanza di Edge Gateway e HTML5 Gateway si connetterà alla MASTER Mediation Controller, mentre le seconde istanze si connetteranno alla SLAVE Mediation Controller.

Warning

Se l'installazione Edge Gateway non si trova all'interno della LAN e quindi gli indirizzi RIP_MED_SSL_MASTER e RIP_MED_SSL_SLAVE non sono accessibili (anche con NAT).
Quindi dovrai solo configurare la prima istanza di Edge Gateway e HTML5 Gateway, che verrà impostata per connettersi a VIP_MED_SSL.

In questo contesto, può essere utilizzata l'appliance virtuale autonoma, che è preconfigurata con due istanze, mentre la sua controparte autonoma è preconfigurata con una singola istanza.

Prima di continuare con le seguenti istruzioni, assicurarsi di avere i seguenti elementi:

Certificato per Edge Gateway e HTML5 Gateway da collegare
Certificato per il servizio di registrazione
Un client SSH (su Windows, lo strumento PuTTY può essere utilizzato)
Un client SCP (su Windows, il WinSCP o FileZilla possono essere utilizzati degli strumenti)

Trasferire i certificati nella directory /tmp/ della macchina.

Connecting Edge Gateways¶

Copia il file del certificato dal Edge Gateway alle directory /etc/ipdiva/gateway/ssl/ e /etc/ipdiva/gateway-slave/ssl/, che può essere fatto con comandi simili a questo come root (sostituire <CERT_NAME> con il nome del certificato per il Edge Gateway):

cp /tmp/<CERT_NAME> /etc/ipdiva/gateway/ssl/
mv /tmp/<CERT_NAME> /etc/ipdiva/gateway-slave/ssl/

Configurare le istanze Edge Gateway in modo da consentire loro di connettersi ai controllori di mediazione.
Le configurazioni variano a seconda del Mediation Controller da contattare.

Connessione con Mediation ControllerMASTER Connessione con Mediation ControllerSLAVE

Modificare il file /etc/ipdiva/gateway/gateway.xml e completarlo utilizzando le seguenti informazioni (sono state omesse diverse sezioni contrassegnate da […]):

<gateway>
    <server>_FILL_ME_WITH_SERVER_ADDRESS_::ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
</gateway>

Sostituire i seguenti elementi:

_FILL_ME_WITH_SERVER_ADDRESS_:: deve essere sostituito con l'indirizzo RIP_MED_SSL_MASTER, il carattere : e la porta di ascolto del router SSL, normalmente impostata su 443
keyfile.pem: deve essere sostituito dal nome del file del certificato
PASSWORD: deve essere sostituito dalla password del certificato

Esempio

Considerando le seguenti informazioni:

RIP_MED_SSL_MASTER è uguale a: 10.0.10.11
SSL Porta di ascolto del router: 443
Nome del file del certificato: edge-gateway.p12
Certificato password: Str0ngP@ssw0rd

Il /etc/ipdiva/gateway/gateway.xml file sarebbe configurato come segue:

<gateway>
    <server>10.0.10.11:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway/ssl/edge-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
</gateway>

File completo

<gateway>
        <server>10.0.10.11:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>
        <periodic-licence-check>false</periodic-licence-check>
        <session>
           <sslconf name="default">
              <ca-dir>/etc/ssl/certs</ca-dir>
              <verify-cert>true</verify-cert>
           </sslconf>
        </session>
        <ssl>
                <cert>/etc/ipdiva/gateway/ssl/edge-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/gateway/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>
        <webaccess>
                <proxy></proxy>
                <useragent>true</useragent>
                <autoauth>true</autoauth>
                <forceauth>false</forceauth>
                <forcebasic>false</forcebasic>
                <persistentbasicauth>true</persistentbasicauth>
                <cache-date>Thu, 14 Dec 2006 09:28:00 GMT</cache-date>
                <reverse-proxy>
                        <headers>
                                <x-forwarded-for enabled='false'/>
                                <x-forwarded-host enabled='false'/>
                        </headers>
                </reverse-proxy>
                <davenport compatibilityMode="false">127.0.0.1:8070</davenport>
        </webaccess>
        <rpc-listen>127.0.0.1:9080</rpc-listen>
        <network-id></network-id>
        <services>/etc/ipdiva/gateway/services.xml</services>
        <compression>zlib</compression>
        <vlan>
                <prefixe></prefixe>
        </vlan>

        <openvpn>
                <ssl>
                        <cert>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/allInOne.pem</cert>
                        <ca-file>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/tmp-ca.crt</ca-file>
                        <version>tls1</version>
                </ssl>
                <client-ov>
                        <ip-type>V4</ip-type>
                        <dev-type>tun</dev-type>
                        <link-mtu>1507</link-mtu>
                        <tun-mtu>1500</tun-mtu>
                        <proto>TCPv4_CLIENT</proto>
                        <cipher>[null-cipher]</cipher>
                        <auth>[null-digest]</auth>
                        <keysize>0</keysize>
                        <key-method>2</key-method>
                        <tls-type>tls-client</tls-type>
                </client-ov>
        </openvpn>
    <useoldprotocol>false</useoldprotocol>
    <rate>0</rate>
</gateway>

Infine, avviare l'istanza Edge Gateway per caricare le nuove impostazioni e collegarlo alla MASTER Mediation Controller:

1	`/usr/local/ipdiva/gateway/bin/start`

Modificare il file /etc/ipdiva/gateway-slave/gateway.xml e completarlo utilizzando le seguenti informazioni (sono state omesse diverse sezioni contrassegnate da […]):

<gateway>
    <server>@SERVER@:@SERVERPORT@:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway-slave/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:@RPC_PORT@</rpc-listen>
[…]
</gateway>

Sostituire i seguenti elementi:

@SERVER@: deve essere sostituito dall'indirizzo RIP_MED_SSL_SLAVE
@SERVERPORT@: deve essere sostituita dalla porta di ascolto del router SSL, normalmente impostata su 443
keyfile.pem: deve essere sostituito dal nome del file del certificato
PASSWORD: deve essere sostituito dalla password del certificato
@RPC_PORT@: deve essere sostituita con una porta TCP disponibile sulla macchina; generalmente si usa la porta 9081

Esempio

Considerando le seguenti informazioni:

RIP_MED_SSL_SLAVE è uguale a: 10.0.10.13
SSL Porta di ascolto del router: 443
Nome del file del certificato: edge-gateway.p12
Certificato password: Str0ngP@ssw0rd
Porta RPC disponibile: 9081

Il /etc/ipdiva/gateway-slave/gateway.xml file sarebbe configurato come segue:

<gateway>
    <server>10.0.10.13:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway-slave/ssl/edge-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:9081</rpc-listen>
[…]
</gateway>

File completo

<gateway>
        <server>10.0.10.13:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>
        <periodic-licence-check>false</periodic-licence-check>
        <session>
           <sslconf name="default">
              <ca-dir>/etc/ssl/certs</ca-dir>
              <verify-cert>true</verify-cert>
           </sslconf>
        </session>
        <ssl>
                <cert>/etc/ipdiva/gateway-slave/ssl/edge-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/gateway-slave/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>
        <webaccess>
                <proxy></proxy>
                <useragent>true</useragent>
                <autoauth>true</autoauth>
                <forceauth>false</forceauth>
                <forcebasic>false</forcebasic>
                <persistentbasicauth>true</persistentbasicauth>
                <cache-date>Thu, 14 Dec 2006 09:28:00 GMT</cache-date>
                <reverse-proxy>
                        <headers>
                                <x-forwarded-for enabled='false'/>
                                <x-forwarded-host enabled='false'/>
                        </headers>
                </reverse-proxy>
                <davenport compatibilityMode="false">127.0.0.1:8070</davenport>
        </webaccess>
        <rpc-listen>127.0.0.1:9081</rpc-listen>
        <network-id></network-id>
        <services>/etc/ipdiva/gateway-slave/services.xml</services>
        <compression>zlib</compression>
        <vlan>
                <prefixe></prefixe>
        </vlan>

        <openvpn>
                <ssl>
                        <cert>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/allInOne.pem</cert>
                        <ca-file>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/tmp-ca.crt</ca-file>
                        <version>tls1</version>
                </ssl>
                <client-ov>
                        <ip-type>V4</ip-type>
                        <dev-type>tun</dev-type>
                        <link-mtu>1507</link-mtu>
                        <tun-mtu>1500</tun-mtu>
                        <proto>TCPv4_CLIENT</proto>
                        <cipher>[null-cipher]</cipher>
                        <auth>[null-digest]</auth>
                        <keysize>0</keysize>
                        <key-method>2</key-method>
                        <tls-type>tls-client</tls-type>
                </client-ov>
        </openvpn>
    <useoldprotocol>false</useoldprotocol>
    <rate>0</rate>
</gateway>

Infine, avviare l'istanza Edge Gateway per caricare le nuove impostazioni e collegarlo alla SLAVE Mediation Controller:

1	`/usr/local/ipdiva/gateway-slave/bin/start`

Configurazione del servizio di registrazione¶

Spostare il certificato per il servizio di registrazione nella directory /etc/ipdiva/careserver/ con un comando simile a questo (sostituire <CERT_NAME> con il nome del certificato previsto):

1	`mv /tmp/<CERT_NAME> /etc/ipdiva/careserver/`

Successivamente, configurare il servizio modificando il seguente file: /etc/ipdiva/careserver/careserver.xml. La configurazione del file dovrebbe essere simile a questa (la sezione seguente omette molte righe del file contrassegnato con […]):

<?xml version="1.0" ?><careserver>

    <listen>0.0.0.0:8443</listen>
[…]
    <ssl>
        <cert>/etc/ipdiva/careserver/recording_service.p12</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
    <xmlrpc-connect>
        <element>http://127.0.0.1:9080</element>
        <element>http://127.0.0.1:9081</element>
    </xmlrpc-connect>
[…]
</careserver>

Fai le seguenti modifiche:

Cambiare l'indirizzo IP di ascolto del servizio di registrazione in 0.0.0.0 (ascolta tutti gli indirizzi IP disponibili)
Sostituire recording_service.p12 con il nome del certificato per il servizio di registrazione
Sostituire PASSWORD con la password del certificato del servizio di registrazione
Aggiungere la riga <element>http://127.0.0.1:9081</element>

Esempio

Considerando le seguenti informazioni:

Nome del file del certificato: fqdn.edge-gateway.local.p12
Certificato password: Str0ngP@ssw0rd

Il fascicolo /etc/ipdiva/careserver/careserver.xml sarebbe configurato come segue:

<?xml version="1.0" ?><careserver>

    <listen>0.0.0.0:8443</listen>
[…]
    <ssl>
        <cert>/etc/ipdiva/careserver/fqdn.edge-gateway.local.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
    <xmlrpc-connect>
        <element>http://127.0.0.1:9080</element>
        <element>http://127.0.0.1:9081</element>
    </xmlrpc-connect>
[…]
</careserver>

File completo

<?xml version="1.0" ?><careserver>

    <listen>0.0.0.0:8443</listen>


    <archivesdirectory>/var/lib/ipdiva/carerecord/archives</archivesdirectory>
    <recordingdirectory>/var/lib/ipdiva/carerecord/recording</recordingdirectory>
    <ssl>
        <cert>/etc/ipdiva/careserver/fqdn.edge-gateway.local.p12</cert>
        <password>Str0ngP@ssw0rd</password>
        <ca-dir>/etc/ipdiva/gateway/ssl/ca</ca-dir>
        <min-version>tls1.2</min-version>
        <max-version/>
        <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
        <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
        <verify-cert>true</verify-cert>
        <no-fail-if-no-peer-cert>true</no-fail-if-no-peer-cert>
    </ssl>
    <gopsize>10</gopsize>
        <webgopsize>5</webgopsize>
    <webfakeframespersec>2</webfakeframespersec>
        <webhlslistsize>20</webhlslistsize>
    <webcaptureinterval>10000</webcaptureinterval>
    <webcapturetimeout>30000</webcapturetimeout>
    <captureinterval>250</captureinterval>
    <hlslistsize>20</hlslistsize>
    <xmlrpc-connect>
        <element>http://127.0.0.1:9080</element>
        <element>http://127.0.0.1:9081</element>
    </xmlrpc-connect>
</careserver>

Validare le nuove impostazioni riavviando il servizio di registrazione:

1	`systemctl restart ipdivacarerecord`

Connecting HTML5 Gateway instances¶

Se l'istanza HTML5 Gateway deve essere configurata, eseguire il seguente comando sul server Edge Gateway come root per attivare l'avvio automatico dell'istanza:

1	`chmod +x /etc/ipdiva/services/50html5gateway*`

Copia il file del certificato dal gateway HTML5 alle directory /etc/ipdiva/html5gateway/ssl/ e /etc/ipdiva/html5gateway-slave/ssl/, che può essere fatto con comandi simili a questo come root (sostituire <CERT_NAME> con il nome del certificato per il gateway HTML5):

cp /tmp/<CERT_NAME> /etc/ipdiva/html5gateway/ssl/
mv /tmp/<CERT_NAME> /etc/ipdiva/html5gateway-slave/ssl/

Configurare le istanze del gateway HTML5 in modo da consentire loro di connettersi ai controllori di mediazione.
Le configurazioni variano a seconda del Mediation Controller da contattare.

Connessione con Mediation ControllerMASTER Connessione con Mediation ControllerSLAVE

Modificare il file /etc/ipdiva/html5gateway/html5gateway.xml e completarlo utilizzando le seguenti informazioni (sono state omesse diverse sezioni contrassegnate da […]):

<gateway>
    <server>_FILL_ME_WITH_SERVER_ADDRESS_::ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
</gateway>

Sostituire i seguenti elementi:

_FILL_ME_WITH_SERVER_ADDRESS_:: deve essere sostituito con l'indirizzo RIP_MED_SSL_MASTER, il carattere : e la porta di ascolto del router SSL, normalmente impostata su 443
keyfile.pem: deve essere sostituito dal nome del file del certificato
PASSWORD: deve essere sostituito dalla password del certificato

Esempio

Considerando le seguenti informazioni:

RIP_MED_SSL_MASTER è uguale a: 10.0.10.11
SSL Porta di ascolto del router: 443
Nome del file del certificato: html5-gateway.p12
Certificato password: Str0ngP@ssw0rd

Il fascicolo /etc/ipdiva/html5gateway/html5gateway.xml sarebbe configurato come segue:

<gateway>
    <server>10.0.10.11:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway/ssl/html5-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
</gateway>

File completo

<gateway>
        <server>10.0.10.11:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>

        <ssl>
                <cert>/etc/ipdiva/html5gateway/ssl/html5-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/html5gateway/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>

        <rpc-listen>127.0.0.1:9088</rpc-listen>
        <network-id></network-id>
        <compression>zlib</compression>

 </gateway>

Infine, riavviare l'istanza HTML5 Gateway per caricare le nuove impostazioni e collegarlo al MASTER Mediation Controller:

1	`/usr/local/ipdiva/html5gateway/bin/start`

Modificare il file /etc/ipdiva/html5gateway-slave/html5gateway.xml e completarlo utilizzando le seguenti informazioni (sono state omesse diverse sezioni contrassegnate da […]):

<gateway>
    <server>@SERVER@:@SERVERPORT@:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway-slave/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:@RPC_PORT@</rpc-listen>
[…]
</gateway>

Sostituire i seguenti elementi:

@SERVER@: deve essere sostituito dall'indirizzo RIP_MED_SSL_SLAVE
@SERVERPORT@: deve essere sostituita dalla porta di ascolto del router SSL, normalmente impostata su 443
keyfile.pem: deve essere sostituito dal nome del file del certificato
PASSWORD: deve essere sostituito dalla password del certificato
@RPC_PORT@: deve essere sostituita con una porta TCP disponibile sulla macchina; generalmente si usa la porta 9089

Esempio

Considerando le seguenti informazioni:

RIP_MED_SSL_SLAVE è uguale a: 10.0.10.13
SSL Porta di ascolto del router: 443
Nome del file del certificato: html5-gateway.p12
Certificato password: Str0ngP@ssw0rd
Porta RPC disponibile: 9089

Il /etc/ipdiva/html5gateway-slave/html5gateway.xml file sarebbe configurato come segue:

<gateway>
    <server>10.0.10.13:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway-slave/ssl/html5-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:9089</rpc-listen>
[…]
</gateway>

File completo

<gateway>
        <server>10.0.10.13:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>

        <ssl>
                <cert>/etc/ipdiva/html5gateway-slave/ssl/html5-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/html5gateway-slave/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>

        <rpc-listen>127.0.0.1:9089</rpc-listen>
        <network-id></network-id>
        <compression>zlib</compression>

 </gateway>

Infine, riavviare l'istanza HTML5 Gateway per caricare le nuove impostazioni e collegarlo al SLAVE Mediation Controller:

1	`/usr/local/ipdiva/html5gateway-slave/bin/start`

Configurazioni prima di collegare i gateway HTML5¶

Per far funzionare le applicazioni HTML5, è necessario eseguire ulteriori configurazioni ** sui server dei Mediation Controllers **. Accedere ai server MASTER e SLAVE ** dei Mediation Controllers ** come root.

Creare o modificare il file /etc/ipdiva/httpd/commonParameters.extra.conf per aggiungere una sezione equivalente a quanto segue per HTML5 Gateway:

<Location /URL_HTML5/>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway GW_NAME|
        RequestHeader set X-IPdiva-Orgname ORGANIZATION_NAME
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass http://127.0.0.1:9016/systanciaHTML5-6.0/ flushpackets=on
</Location>

<Location /URL_HTML5/websocket-tunnel>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway GW_NAME|
        RequestHeader set X-IPdiva-Orgname ORGANIZATION_NAME
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass ws://127.0.0.1:9016/systanciaHTML5-6.0/websocket-tunnel
</Location>

In caso di:

URL_HTML5 deve essere sostituito con il contenuto del campo URL del gateway HTML5 configurato nella console di amministrazione quando dichiara il gateway HTML5 (per un cluster, di solito HTML5-1 e HTML5-2).
GW_NAME deve essere sostituito dal nome di un Edge Gateway situato sullo stesso server del gateway HTML5. Il carattere pipe alla fine della riga ** deve essere mantenuto **.
ORGANIZATION_NAME deve essere sostituito dal nome dell'organizzazione a cui si collega il precedente Edge Gateway.

Esempio

Per una piattaforma con le seguenti impostazioni:

Nome dell'organizzazione: my-organization-name
Dichiarazione del primo gateway HTML5 nella console di amministrazione:
- Nome: html5-gateway-1
- URL: HTML5-1
- Protocollo: WebSocket
Dichiarazione del secondo gateway HTML5 nella console di amministrazione:
- Nome: html5-gateway-2
- URL: HTML5-2
- Protocollo: WebSocket
Un Edge Gateway il server sul primo gateway HTML5 ha:
- Un servizio Edge Gateway denominato edge-gateway-1
- Un servizio di gateway HTML5 denominato html5-gateway-1
Un server Edge Gateway sul secondo gateway HTML5 ha:
- Un servizio Edge Gateway denominato edge-gateway-2
- Un servizio di gateway HTML5 denominato html5-gateway-2

Il file di configurazione /etc/ipdiva/httpd/commonParameters.extra.conf creato verrà impostato come segue:

<Location /HTML5-1/>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-1|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass http://127.0.0.1:9016/systanciaHTML5-6.0/ flushpackets=on
</Location>

<Location /HTML5-1/websocket-tunnel>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-1|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass ws://127.0.0.1:9016/systanciaHTML5-6.0/websocket-tunnel
</Location>

<Location /HTML5-2/>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-2|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass http://127.0.0.1:9016/systanciaHTML5-6.0/ flushpackets=on
</Location>

<Location /HTML5-2/websocket-tunnel>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-2|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass ws://127.0.0.1:9016/systanciaHTML5-6.0/websocket-tunnel
</Location>

Prima di applicare le nuove impostazioni, è necessario verificare che la nuova configurazione non causi errori di blocco per il server web Apache2.
Per fare questo, eseguire il seguente comando:

1	`apache2ctl configtest`

Se il ritorno è Syntax OK, le modifiche possono essere applicate con il comando qui sotto. Altrimenti, controlla la configurazione del tuo file /etc/ipdiva/httpd/commonParameters.extra.conf.

1	`systemctl reload apache2`

Configurazione di un server NTP¶

Si raccomanda di impostare un server orario per mantenere aggiornato l'orologio del sistema. nella pagina di configurazione NTP.