Vai al contenuto

Installazione del server Edge Gateway

Nota

Come promemoria, il passaggio a root su macchine Debian deve essere fatto con il seguente comando:

1
su -

Scaricare lo specchio e gli strumenti necessari

Il mirror cyberelements Cleanroom 4.6 e la chiave di firma del repository di Systancia possono essere scaricati da questo link (richiede la creazione di un account cliente): Systancia Marketplace

Oltre allo specchio e alla chiave, per il processo di aggiornamento saranno necessari strumenti di terze parti:

  • Un client SSH (su Windows, lo strumento PuTTY può essere utilizzato)
  • Un client SCP (su Windows, il WinSCP o FileZilla possono essere utilizzati degli strumenti)

Usa il client SSH per connetterti in remoto al tuo server.

Usa il client SCP per trasferire i file sulla tua macchina remota.

Preparazione per l'installazione

Configurazione della rete

È altamente raccomandato definire un indirizzo di rete statico per il server Edge Gateway. Per fare questo, è necessario prima recuperare il nome dell'interfaccia di rete della macchina e il suo indirizzo MAC. Eseguire il seguente comando come root:

1
ip -br link | grep -ve "^lo"

Questo comando mostra il nome dell'interfaccia di rete, il suo stato, il suo indirizzo MAC e le impostazioni dell'interfaccia.

Esempio

Dopo l'esecuzione del comando, viene visualizzato il seguente output:

1
ens192           UP             00:50:56:a1:56:9f <BROADCAST,MULTICAST,UP,LOWER_UP>

Il nome dell'interfaccia di rete è ens192 e il suo indirizzo MAC è 00:50:56:a1:56:9f.

Una volta ottenuti il nome dell'interfaccia di rete e l'indirizzo MAC, è ora possibile modificare la configurazione di rete della macchina.
Modificare il file /etc/network/interfaces utilizzando il seguente modello:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto br0
iface br0 inet static
    bridge_ports INTERFACE_NAME
    bridge_stp off
    bridge_fd 0
    bridge_maxwait 2
    bridge_hw MAC_ADDRESS
    address IP_GW
    netmask NETMASK
    gateway NETWORK_GATEWAY
    dns-nameservers IP_DNS_1 IP_DNS_2
    dns-search DNS_SUFFIX

In caso di:

  • INTERFACE_NAME deve essere sostituito dal nome dell'interfaccia di rete precedentemente recuperata.
  • MAC_ADDRESS deve essere sostituito con l'indirizzo MAC precedentemente recuperato.
  • IP_GW deve essere sostituito con l'indirizzo IP del server.
  • NETMASK deve essere sostituito dalla maschera di rete associata all'indirizzo IP.
  • NETWORK_GATEWAY deve essere sostituito dal gateway di rete predefinito.
  • IP_DNS deve essere sostituito dall'indirizzo IP del server DNS. Se occorre configurare più server (massimo 3), separarli con uno spazio.
  • DNS_SUFFIX deve essere sostituito dal suffisso DNS da utilizzare. Se non è necessario inserire alcun suffisso, cancellare la riga.
Esempio 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
# This file describes the network interfaces available on your system 
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto br0
iface br0 inet static
    bridge_ports ens192
    bridge_stp off
    bridge_fd 0
    bridge_maxwait 2
    bridge_hw 00:50:56:a1:56:9f
    address 172.16.10.10
    netmask 255.255.255.0
    gateway 172.16.10.254
    dns-nameservers 172.16.11.2 172.16.11.3
    dns-search domain.local

Prima di applicare la configurazione, ci sono altri tre passaggi da completare.

Il primo è installare i pacchetti resolvconf e bridge-utils in modo che la configurazione DNS specificata nel file precedente possa essere applicata e l'interfaccia br0 possa essere utilizzata:

1
apt install -y resolvconf bridge-utils

Il secondo è quello di verificare la configurazione del file /etc/hosts per quanto riguarda l'indirizzo IP della macchina (IP_GW).
Per fare questo, modificare il file /etc/hosts e verificare che la seconda riga sia nel formato seguente:

2
IP_GW   FQDN    MACHINE_NAME
Esempio

Se la macchina è denominata EDGE-GATEWAY senza appartenere a un dominio e il suo indirizzo IP IP_GW è 172.16.10.10, il file verrebbe completato come segue:

2
172.16.10.10  EDGE-GATEWAY

Se la macchina appartiene al dominio DOMAIN.LOCAL, il file verrebbe completato come segue:

2
172.16.10.10  EDGE-GATEWAY.DOMAIN.LOCAL   EDGE-GATEWAY

Attenzione!

Una configurazione errata del file può causare un errore durante l'installazione del pacchetto collectd.

Non resta che riavviare il server:

1
reboot

Configurazione del gestore di pacchetti APT

Posizionare i file recuperati dal Systancia Marketplace sul server in /tmp/ utilizzando un client SCP:

  • systancia.gpg
  • cleanroom-4.6.1-build33.1096.D12-full.tgz

Accedi al server come root, poi esegui i seguenti comandi per sbloccare il repository di Systancia, configurare il suo utilizzo in APT e autenticarlo.

1
2
3
4
5
mv /tmp/systancia.gpg /etc/apt/trusted.gpg.d/
mkdir -p /opt/systancia/repository/
tar xvzf /tmp/cleanroom-4.6*.tgz -C /opt/systancia/repository/
echo "deb file:///opt/systancia/repository/ bookworm ipdiva" > /etc/apt/sources.list.d/systancia.list
apt update

Si consiglia vivamente di disabilitare l'installazione di pacchetti non necessari quando si eseguono i comandi apt. Per farlo, eseguire il seguente comando:

1
echo -e 'APT::Install-Recommends false;\nAPT::Install-Suggests false;' > /etc/apt/apt.conf.d/99norecommends

Installazione del server cyberelements Cleanroom Edge Gateway

Installazione di componenti di base

Iniziare l'installazione dei componenti utilizzando il seguente comando come root:

1
apt install -y ipdiva-base

Dopo aver scaricato tutte le dipendenze, si aprirà una finestra che vi chiederà di selezionare il tipo di server. gateway:

Cosa fare in caso di errore?

Se vi è un errore nelle informazioni inserite, continuare con l'installazione del pacchetto ipdiva-base e quindi utilizzare il seguente comando per riconfigurare il server:

1
dpkg-reconfigure ipdiva-base

Installazione di componenti Edge Gateway

Iniziare quindi l'installazione dei componenti specifici del server Edge Gateway utilizzando il seguente comando:

1
apt install -y ipdiva-safe-gateway ipdiva-gateway-setup

Il Edge Gateway i componenti del server sono ora installati. Resta solo riavviare la macchina in modo che i componenti appena installati possano iniziare:

1
reboot

Installazione di componenti HTML5 Gateway

Usare il seguente comando per iniziare l'installazione dei componenti HTML5 Gateway sul server Edge Gateway:

1
apt install -y ipdiva-html5gateway ipdiva-html5-webapp ipdiva-guacamole-server1

Utilizzare le seguenti righe di comando per abilitare e configurare le funzioni di trasferimento di file e stampante virtuale:

1
2
3
apt install -y ghostscript
echo -e "printer=cyberelements HTML5 Printer\nprinterDriver=MS Publisher Imagesetter" > /etc/guacamole/printer-config
mkdir /home/systanciahtml5share

impostazioni specifiche per cyberelementi Cleanroomoperazione

Una volta applicate le impostazioni di rete, le istanze Edge Gateway e HTML5 Gateway devono ancora essere connesse ai Controller di mediazione.
Per fare questo, una prima istanza di Edge Gateway e HTML5 Gateway si connetterà alla MASTER Mediation Controller, mentre le seconde istanze si connetteranno alla SLAVE Mediation Controller.

Warning

Se l'installazione Edge Gateway non si trova all'interno della LAN e quindi gli indirizzi RIP_MED_SSL_MASTER e RIP_MED_SSL_SLAVE non sono accessibili (anche con NAT).
Quindi dovrai solo configurare la prima istanza di Edge Gateway e HTML5 Gateway, che verrà impostata per connettersi a VIP_MED_SSL.

In questo contesto, può essere utilizzata l'appliance virtuale autonoma, che è preconfigurata con due istanze, mentre la sua controparte autonoma è preconfigurata con una singola istanza.

Prima di continuare con le seguenti istruzioni, assicurarsi di avere i seguenti elementi:

  • Certificato per Edge Gateway e HTML5 Gateway da collegare
  • Certificato per il servizio di registrazione
  • Un client SSH (su Windows, lo strumento PuTTY può essere utilizzato)
  • Un client SCP (su Windows, il WinSCP o FileZilla possono essere utilizzati degli strumenti)

Trasferire i certificati nella directory /tmp/ della macchina.

Creazione di istanze per connettersi al SLAVE Mediation Controller

Eseguire i seguenti comandi come root per dichiarare una nuova istanza di Edge Gateway e HTML5 Gateway che verrà utilizzato per connettersi al SLAVE Mediation Controller:

1
2
/usr/local/ipdiva/gateway/bin/gatewayCloner -slave
/usr/local/ipdiva/html5gateway/bin/gatewayCloner -slave

Connecting Edge Gateways

Copia il file del certificato dal Edge Gateway alle directory /etc/ipdiva/gateway/ssl/ e /etc/ipdiva/gateway-slave/ssl/, che può essere fatto con comandi simili a questo come root (sostituire <CERT_NAME> con il nome del certificato per il Edge Gateway):

1
2
cp /tmp/<CERT_NAME> /etc/ipdiva/gateway/ssl/
mv /tmp/<CERT_NAME> /etc/ipdiva/gateway-slave/ssl/

Configurare le istanze Edge Gateway in modo da consentire loro di connettersi ai controllori di mediazione.
Le configurazioni variano a seconda del Mediation Controller da contattare.

Modificare il file /etc/ipdiva/gateway/gateway.xml e completarlo utilizzando le seguenti informazioni (sono state omesse diverse sezioni contrassegnate da […]):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
<gateway>
    <server>_FILL_ME_WITH_SERVER_ADDRESS_::ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
</gateway>

Sostituire i seguenti elementi:

  • _FILL_ME_WITH_SERVER_ADDRESS_:: deve essere sostituito con l'indirizzo RIP_MED_SSL_MASTER, il carattere : e la porta di ascolto del router SSL, normalmente impostata su 443
  • keyfile.pem: deve essere sostituito dal nome del file del certificato
  • PASSWORD: deve essere sostituito dalla password del certificato
Esempio

Considerando le seguenti informazioni:

  • RIP_MED_SSL_MASTER è uguale a: 10.0.10.11
  • SSL Porta di ascolto del router: 443
  • Nome del file del certificato: edge-gateway.p12
  • Certificato password: Str0ngP@ssw0rd

Il /etc/ipdiva/gateway/gateway.xml file sarebbe configurato come segue:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
<gateway>
    <server>10.0.10.11:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway/ssl/edge-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
</gateway>
File completo 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
<gateway>
        <server>10.0.10.11:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>
        <periodic-licence-check>false</periodic-licence-check>
        <session>
           <sslconf name="default">
              <ca-dir>/etc/ssl/certs</ca-dir>
              <verify-cert>true</verify-cert>
           </sslconf>
        </session>
        <ssl>
                <cert>/etc/ipdiva/gateway/ssl/edge-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/gateway/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>
        <webaccess>
                <proxy></proxy>
                <useragent>true</useragent>
                <autoauth>true</autoauth>
                <forceauth>false</forceauth>
                <forcebasic>false</forcebasic>
                <persistentbasicauth>true</persistentbasicauth>
                <cache-date>Thu, 14 Dec 2006 09:28:00 GMT</cache-date>
                <reverse-proxy>
                        <headers>
                                <x-forwarded-for enabled='false'/>
                                <x-forwarded-host enabled='false'/>
                        </headers>
                </reverse-proxy>
                <davenport compatibilityMode="false">127.0.0.1:8070</davenport>
        </webaccess>
        <rpc-listen>127.0.0.1:9080</rpc-listen>
        <network-id></network-id>
        <services>/etc/ipdiva/gateway/services.xml</services>
        <compression>zlib</compression>
        <vlan>
                <prefixe></prefixe>
        </vlan>

        <openvpn>
                <ssl>
                        <cert>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/allInOne.pem</cert>
                        <ca-file>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/tmp-ca.crt</ca-file>
                        <version>tls1</version>
                </ssl>
                <client-ov>
                        <ip-type>V4</ip-type>
                        <dev-type>tun</dev-type>
                        <link-mtu>1507</link-mtu>
                        <tun-mtu>1500</tun-mtu>
                        <proto>TCPv4_CLIENT</proto>
                        <cipher>[null-cipher]</cipher>
                        <auth>[null-digest]</auth>
                        <keysize>0</keysize>
                        <key-method>2</key-method>
                        <tls-type>tls-client</tls-type>
                </client-ov>
        </openvpn>
    <useoldprotocol>false</useoldprotocol>
    <rate>0</rate>
</gateway>

Infine, avviare l'istanza Edge Gateway per caricare le nuove impostazioni e collegarlo alla MASTER Mediation Controller:

1
/usr/local/ipdiva/gateway/bin/start

Modificare il file /etc/ipdiva/gateway-slave/gateway.xml e completarlo utilizzando le seguenti informazioni (sono state omesse diverse sezioni contrassegnate da […]):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
<gateway>
    <server>@SERVER@:@SERVERPORT@:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway-slave/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:@RPC_PORT@</rpc-listen>
[…]
</gateway>

Sostituire i seguenti elementi:

  • @SERVER@: deve essere sostituito dall'indirizzo RIP_MED_SSL_SLAVE
  • @SERVERPORT@: deve essere sostituita dalla porta di ascolto del router SSL, normalmente impostata su 443
  • keyfile.pem: deve essere sostituito dal nome del file del certificato
  • PASSWORD: deve essere sostituito dalla password del certificato
  • @RPC_PORT@: deve essere sostituita con una porta TCP disponibile sulla macchina; generalmente si usa la porta 9081
Esempio

Considerando le seguenti informazioni:

  • RIP_MED_SSL_SLAVE è uguale a: 10.0.10.13
  • SSL Porta di ascolto del router: 443
  • Nome del file del certificato: edge-gateway.p12
  • Certificato password: Str0ngP@ssw0rd
  • Porta RPC disponibile: 9081

Il /etc/ipdiva/gateway-slave/gateway.xml file sarebbe configurato come segue:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
<gateway>
    <server>10.0.10.13:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/gateway-slave/ssl/edge-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:9081</rpc-listen>
[…]
</gateway>
File completo 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
<gateway>
        <server>10.0.10.13:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>
        <periodic-licence-check>false</periodic-licence-check>
        <session>
           <sslconf name="default">
              <ca-dir>/etc/ssl/certs</ca-dir>
              <verify-cert>true</verify-cert>
           </sslconf>
        </session>
        <ssl>
                <cert>/etc/ipdiva/gateway-slave/ssl/edge-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/gateway-slave/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>
        <webaccess>
                <proxy></proxy>
                <useragent>true</useragent>
                <autoauth>true</autoauth>
                <forceauth>false</forceauth>
                <forcebasic>false</forcebasic>
                <persistentbasicauth>true</persistentbasicauth>
                <cache-date>Thu, 14 Dec 2006 09:28:00 GMT</cache-date>
                <reverse-proxy>
                        <headers>
                                <x-forwarded-for enabled='false'/>
                                <x-forwarded-host enabled='false'/>
                        </headers>
                </reverse-proxy>
                <davenport compatibilityMode="false">127.0.0.1:8070</davenport>
        </webaccess>
        <rpc-listen>127.0.0.1:9081</rpc-listen>
        <network-id></network-id>
        <services>/etc/ipdiva/gateway-slave/services.xml</services>
        <compression>zlib</compression>
        <vlan>
                <prefixe></prefixe>
        </vlan>

        <openvpn>
                <ssl>
                        <cert>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/allInOne.pem</cert>
                        <ca-file>/usr/local/ipdiva/share/gw-controller-openvpnng/keys/tmp-ca.crt</ca-file>
                        <version>tls1</version>
                </ssl>
                <client-ov>
                        <ip-type>V4</ip-type>
                        <dev-type>tun</dev-type>
                        <link-mtu>1507</link-mtu>
                        <tun-mtu>1500</tun-mtu>
                        <proto>TCPv4_CLIENT</proto>
                        <cipher>[null-cipher]</cipher>
                        <auth>[null-digest]</auth>
                        <keysize>0</keysize>
                        <key-method>2</key-method>
                        <tls-type>tls-client</tls-type>
                </client-ov>
        </openvpn>
    <useoldprotocol>false</useoldprotocol>
    <rate>0</rate>
</gateway>

Infine, avviare l'istanza Edge Gateway per caricare le nuove impostazioni e collegarlo alla SLAVE Mediation Controller:

1
/usr/local/ipdiva/gateway-slave/bin/start

Configurazione del servizio di registrazione

Spostare il certificato per il servizio di registrazione nella directory /etc/ipdiva/careserver/ con un comando simile a questo (sostituire <CERT_NAME> con il nome del certificato previsto):

1
mv /tmp/<CERT_NAME> /etc/ipdiva/careserver/

Successivamente, configurare il servizio modificando il seguente file: /etc/ipdiva/careserver/careserver.xml. La configurazione del file dovrebbe essere simile a questa (la sezione seguente omette molte righe del file contrassegnato con […]):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
<?xml version="1.0" ?><careserver>

    <listen>0.0.0.0:8443</listen>
[…]
    <ssl>
        <cert>/etc/ipdiva/careserver/recording_service.p12</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
    <xmlrpc-connect>
        <element>http://127.0.0.1:9080</element>
        <element>http://127.0.0.1:9081</element>
    </xmlrpc-connect>
[…]
</careserver>

Fai le seguenti modifiche:

  • Cambiare l'indirizzo IP di ascolto del servizio di registrazione in 0.0.0.0 (ascolta tutti gli indirizzi IP disponibili)
  • Sostituire recording_service.p12 con il nome del certificato per il servizio di registrazione
  • Sostituire PASSWORD con la password del certificato del servizio di registrazione
  • Aggiungere la riga <element>http://127.0.0.1:9081</element>
Esempio

Considerando le seguenti informazioni:

  • Nome del file del certificato: fqdn.edge-gateway.local.p12
  • Certificato password: Str0ngP@ssw0rd

Il fascicolo /etc/ipdiva/careserver/careserver.xml sarebbe configurato come segue:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
<?xml version="1.0" ?><careserver>

    <listen>0.0.0.0:8443</listen>
[…]
    <ssl>
        <cert>/etc/ipdiva/careserver/fqdn.edge-gateway.local.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
    <xmlrpc-connect>
        <element>http://127.0.0.1:9080</element>
        <element>http://127.0.0.1:9081</element>
    </xmlrpc-connect>
[…]
</careserver>
File completo 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
<?xml version="1.0" ?><careserver>

    <listen>0.0.0.0:8443</listen>


    <archivesdirectory>/var/lib/ipdiva/carerecord/archives</archivesdirectory>
    <recordingdirectory>/var/lib/ipdiva/carerecord/recording</recordingdirectory>
    <ssl>
        <cert>/etc/ipdiva/careserver/fqdn.edge-gateway.local.p12</cert>
        <password>Str0ngP@ssw0rd</password>
        <ca-dir>/etc/ipdiva/gateway/ssl/ca</ca-dir>
        <min-version>tls1.2</min-version>
        <max-version/>
        <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
        <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
        <verify-cert>true</verify-cert>
        <no-fail-if-no-peer-cert>true</no-fail-if-no-peer-cert>
    </ssl>
    <gopsize>10</gopsize>
        <webgopsize>5</webgopsize>
    <webfakeframespersec>2</webfakeframespersec>
        <webhlslistsize>20</webhlslistsize>
    <webcaptureinterval>10000</webcaptureinterval>
    <webcapturetimeout>30000</webcapturetimeout>
    <captureinterval>250</captureinterval>
    <hlslistsize>20</hlslistsize>
    <xmlrpc-connect>
        <element>http://127.0.0.1:9080</element>
        <element>http://127.0.0.1:9081</element>
    </xmlrpc-connect>
</careserver>

Validare le nuove impostazioni riavviando il servizio di registrazione:

1
systemctl restart ipdivacarerecord

Connecting HTML5 Gateway instances

Se l'istanza HTML5 Gateway deve essere configurata, eseguire il seguente comando sul server Edge Gateway come root per attivare l'avvio automatico dell'istanza:

1
chmod +x /etc/ipdiva/services/50html5gateway

Copia il file del certificato dal gateway HTML5 alle directory /etc/ipdiva/html5gateway/ssl/ e /etc/ipdiva/html5gateway-slave/ssl/, che può essere fatto con comandi simili a questo come root (sostituire <CERT_NAME> con il nome del certificato per il gateway HTML5):

1
2
cp /tmp/<CERT_NAME> /etc/ipdiva/html5gateway/ssl/
mv /tmp/<CERT_NAME> /etc/ipdiva/html5gateway-slave/ssl/

Configurare le istanze del gateway HTML5 in modo da consentire loro di connettersi ai controllori di mediazione.
Le configurazioni variano a seconda del Mediation Controller da contattare.

Modificare il file /etc/ipdiva/html5gateway/html5gateway.xml e completarlo utilizzando le seguenti informazioni (sono state omesse diverse sezioni contrassegnate da […]):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
<gateway>
    <server>_FILL_ME_WITH_SERVER_ADDRESS_::ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
</gateway>

Sostituire i seguenti elementi:

  • _FILL_ME_WITH_SERVER_ADDRESS_:: deve essere sostituito con l'indirizzo RIP_MED_SSL_MASTER, il carattere : e la porta di ascolto del router SSL, normalmente impostata su 443
  • keyfile.pem: deve essere sostituito dal nome del file del certificato
  • PASSWORD: deve essere sostituito dalla password del certificato
Esempio

Considerando le seguenti informazioni:

  • RIP_MED_SSL_MASTER è uguale a: 10.0.10.11
  • SSL Porta di ascolto del router: 443
  • Nome del file del certificato: html5-gateway.p12
  • Certificato password: Str0ngP@ssw0rd

Il fascicolo /etc/ipdiva/html5gateway/html5gateway.xml sarebbe configurato come segue:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
<gateway>
    <server>10.0.10.11:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway/ssl/html5-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
</gateway>
File completo 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
<gateway>
        <server>10.0.10.11:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>

        <ssl>
                <cert>/etc/ipdiva/html5gateway/ssl/html5-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/html5gateway/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>

        <rpc-listen>127.0.0.1:9088</rpc-listen>
        <network-id></network-id>
        <compression>zlib</compression>

 </gateway>

Infine, riavviare l'istanza HTML5 Gateway per caricare le nuove impostazioni e collegarlo al MASTER Mediation Controller:

1
/usr/local/ipdiva/html5gateway/bin/start

Modificare il file /etc/ipdiva/html5gateway-slave/html5gateway.xml e completarlo utilizzando le seguenti informazioni (sono state omesse diverse sezioni contrassegnate da […]):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
<gateway>
    <server>@SERVER@:@SERVERPORT@:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway-slave/ssl/keyfile.pem</cert>
        <password>PASSWORD</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:@RPC_PORT@</rpc-listen>
[…]
</gateway>

Sostituire i seguenti elementi:

  • @SERVER@: deve essere sostituito dall'indirizzo RIP_MED_SSL_SLAVE
  • @SERVERPORT@: deve essere sostituita dalla porta di ascolto del router SSL, normalmente impostata su 443
  • keyfile.pem: deve essere sostituito dal nome del file del certificato
  • PASSWORD: deve essere sostituito dalla password del certificato
  • @RPC_PORT@: deve essere sostituita con una porta TCP disponibile sulla macchina; generalmente si usa la porta 9089
Esempio

Considerando le seguenti informazioni:

  • RIP_MED_SSL_SLAVE è uguale a: 10.0.10.13
  • SSL Porta di ascolto del router: 443
  • Nome del file del certificato: html5-gateway.p12
  • Certificato password: Str0ngP@ssw0rd
  • Porta RPC disponibile: 9089

Il /etc/ipdiva/html5gateway-slave/html5gateway.xml file sarebbe configurato come segue:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
<gateway>
    <server>10.0.10.13:443:ssl</server>
[…]
    <ssl>
        <cert>/etc/ipdiva/html5gateway-slave/ssl/html5-gateway.p12</cert>
        <password>Str0ngP@ssw0rd</password>
[…]
    </ssl>
[…]
    <rpc-listen>127.0.0.1:9089</rpc-listen>
[…]
</gateway>
File completo 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
<gateway>
        <server>10.0.10.13:443:ssl</server>
        <pipe>
                <ping-timeout>60000</ping-timeout>
                <rout-max-lock>20000</rout-max-lock>
        </pipe>
        <timeout>
                <reconnect>15000</reconnect>
        </timeout>
        <ticket><hmac></hmac></ticket>
        <proxy>
                <type>no</type>
                <address></address>
                <login></login>
                <password></password>
                <domain></domain>
        </proxy>

        <ssl>
                <cert>/etc/ipdiva/html5gateway-slave/ssl/html5-gateway.p12</cert>
                <password>Str0ngP@ssw0rd</password>
                <ca-dir>/etc/ipdiva/html5gateway-slave/ssl/ca</ca-dir>
                <min-version>tls1.3</min-version>
                <max-version></max-version>
                <cipherlist>!ADH:!AECDH:!MD5:kEECDH+AES:kEDH+AES:AES256+RSA:3DES+RSA</cipherlist>
                <cipherlist-tls1.3>TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256</cipherlist-tls1.3>
                <verify-cert>true</verify-cert>
                <verify-certhostnamematch>true</verify-certhostnamematch>
        </ssl>

        <rpc-listen>127.0.0.1:9089</rpc-listen>
        <network-id></network-id>
        <compression>zlib</compression>

 </gateway>

Infine, riavviare l'istanza HTML5 Gateway per caricare le nuove impostazioni e collegarlo al SLAVE Mediation Controller:

1
/usr/local/ipdiva/html5gateway-slave/bin/start

Configurazioni prima di collegare i gateway HTML5

Per far funzionare le applicazioni HTML5, è necessario eseguire ulteriori configurazioni ** sui server dei Mediation Controllers **. Accedere ai server MASTER e SLAVE ** dei Mediation Controllers ** come root.

Creare o modificare il file /etc/ipdiva/httpd/commonParameters.extra.conf per aggiungere una sezione equivalente a quanto segue per HTML5 Gateway:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
<Location /URL_HTML5/>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway GW_NAME|
        RequestHeader set X-IPdiva-Orgname ORGANIZATION_NAME
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass http://127.0.0.1:9016/systanciaHTML5-6.0/ flushpackets=on
</Location>

<Location /URL_HTML5/websocket-tunnel>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway GW_NAME|
        RequestHeader set X-IPdiva-Orgname ORGANIZATION_NAME
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass ws://127.0.0.1:9016/systanciaHTML5-6.0/websocket-tunnel
</Location>

In caso di:

  • URL_HTML5 deve essere sostituito con il contenuto del campo URL del gateway HTML5 configurato nella console di amministrazione quando dichiara il gateway HTML5 (per un cluster, di solito HTML5-1 e HTML5-2).
  • GW_NAME deve essere sostituito dal nome di un Edge Gateway situato sullo stesso server del gateway HTML5. Il carattere pipe alla fine della riga ** deve essere mantenuto **.
  • ORGANIZATION_NAME deve essere sostituito dal nome dell'organizzazione a cui si collega il precedente Edge Gateway.
Esempio

Per una piattaforma con le seguenti impostazioni:

  • Nome dell'organizzazione: my-organization-name
  • Dichiarazione del primo gateway HTML5 nella console di amministrazione:
    • Nome: html5-gateway-1
    • URL: HTML5-1
    • Protocollo: WebSocket
  • Dichiarazione del secondo gateway HTML5 nella console di amministrazione:
    • Nome: html5-gateway-2
    • URL: HTML5-2
    • Protocollo: WebSocket
  • Un Edge Gateway il server sul primo gateway HTML5 ha:
    • Un servizio Edge Gateway denominato edge-gateway-1
    • Un servizio di gateway HTML5 denominato html5-gateway-1
  • Un server Edge Gateway sul secondo gateway HTML5 ha:
    • Un servizio Edge Gateway denominato edge-gateway-2
    • Un servizio di gateway HTML5 denominato html5-gateway-2

Il file di configurazione /etc/ipdiva/httpd/commonParameters.extra.conf creato verrà impostato come segue: 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
<Location /HTML5-1/>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-1|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass http://127.0.0.1:9016/systanciaHTML5-6.0/ flushpackets=on
</Location>

<Location /HTML5-1/websocket-tunnel>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-1|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass ws://127.0.0.1:9016/systanciaHTML5-6.0/websocket-tunnel
</Location>

<Location /HTML5-2/>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-2|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass http://127.0.0.1:9016/systanciaHTML5-6.0/ flushpackets=on
</Location>

<Location /HTML5-2/websocket-tunnel>
        Order allow,deny
        Allow from all
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-IPdiva-Gateway edge-gateway-2|
        RequestHeader set X-IPdiva-Orgname my-organization-name
        RequestHeader set X-IPdiva-Service 127.0.0.1:8080

        ProxyPass ws://127.0.0.1:9016/systanciaHTML5-6.0/websocket-tunnel
</Location>

Prima di applicare le nuove impostazioni, è necessario verificare che la nuova configurazione non causi errori di blocco per il server web Apache2.
Per fare questo, eseguire il seguente comando:

1
apache2ctl configtest

Se il ritorno è Syntax OK, le modifiche possono essere applicate con il comando qui sotto. Altrimenti, controlla la configurazione del tuo file /etc/ipdiva/httpd/commonParameters.extra.conf.

1
systemctl reload apache2

Configurazione di un server NTP

Si raccomanda di impostare un server orario per mantenere aggiornato l'orologio del sistema. nella pagina di configurazione NTP.