ENTORNO VIRTUALIZADOS SIMULADO DE LAS PLATAFORMA … · ENTORNO VIRTUALIZADOS SIMULADO DE LAS...

Interoperabilidad de los servicios telemáticos de laAdministración Pública de la CAC

Página 1 de 37

ENTORNO VIRTUALIZADOS SIMULADO DE LASPLATAFORMA PLATINO

MANUAL DEL DESARROLLADOR

Rev. Fecha Descripción

1.0 06/07/2015 Versión inicial.

1.1 13/07/2015 Se incluyen algunos diagramas.

2.0 17/09/2015 Se cambia la imagen de la Consola de enrutado de peticiones entre entornos.

2.1 29/10/2015 Se ha añadido el alta de usuarios en OpenLDAP y configuración SMTP y SMS

2.2 17/11/2015 Se ha añadido la consola de Administración Unidades Orgánicas.

2.3 19/11/2015 Se ha añadido la información para el cambio de repositorios Nexus. Punto 8.1

2.4 09/12/2015 Modificación Consola Administración UO. Añadiendo UO Padre.

Documento : 140057_Manual Desarrollador EVSP_DDT_NTX_DGTNT_V2.4.odt

Ubicación en eCarpeta

Preparado por Revisado por Aprobado por

D. Gral. de Telecomunicaciones yNuevas Tecnologías

Fecha: 06/07/2015


Fecha: 13/10/2015


Fecha:

Manual del desarrollador Página 2 de 37

ÍNDICE

1 INTRODUCCIÓN. ......................................................................................................... 4

2 DESCRIPCIÓN DEL SISTEMA. .................................................................................. 4

1 ARQUITECTURA PLATINO. ................................................................................................. 5

1.1 ARQUITECTURA EVSP. ........................................................................................................ 5

3 INICIO DEL EVSP. ....................................................................................................... 8

2 VERIFICAR SERVIDOR DE BBDD. ............................................................................................... 8 3 INICIAR ACTIVEMQ. .................................................................................................................. 9 4 ARRANCAR JBOSS. ............................................................................................................... 10 5 ARRANCAR SERVICEMIX. ......................................................................................................... 10

4 ENRUTAMIENTO DE LAS PETICIONES ENTRE ENTORNOS. .............................. 11

5 SERVICIOS. ............................................................................................................... 13

6 SERVICIO EDMYCE (SISTEMA DE MENSAJERÍA Y CORREO ELECTRÓNICO): .................................... 13 7 SERVICIO DE TERCEROS: ......................................................................................................... 13 8 SERVICIO BDPROC (SERVICIO DE BASE DE DATOS DE PROCEDIMIENTOS) ..................................... 13 9 SERVICIO BDORG (BASE DE DATOS DE ORGANIZACIÓN): .......................................................... 14

9.1 Alta de usuarios y UO en Sirhus. (Consola Administración UO). ......................................... 15

9.2 Alta de usuarios LDAP ......................................................................................................... 16

9.3 Alta Unidad Organizativa ...................................................................................................... 2010 SERVICIO SRE (SERVICIO DE REGISTRO ELECTRÓNICO DE ENTRADA/SALIDA): ............................. 22 11 SERVICIO SGRDE (SERVICIO DEL GESTOR DE REPOSITORIOS): ................................................ 23 12 SERVICIO SFST (SERVICIO DE FIRMA Y SELLADO DE TIEMPO) ................................................... 23 13 SERVICIO SPF (SERVICIO DE PORTAFIRMAS) ........................................................................... 23 14 SERVICIOS BDAUTORIZACIÓN. ................................................................................................ 24

6 CONEXIÓN VPN ........................................................................................................ 25

15 CONFIGURAR VPN .............................................................................................................. 25

15.1 Conversión de certificados: ................................................................................................ 25

15.2 Configuración de la conexión VPN ..................................................................................... 25

15.3 Conexión del Cliente VPN .................................................................................................. 27

7 CERTIFICADOS Y AUTORIZACIONES EN EL EVSP ............................................. 29

16 CERTIFICADOS DEL EVSP ..................................................................................................... 30 17 INSTALACIÓN CERTIFICADO CA (ENTIDAD CERTIFICADORA) ........................................................ 31 18 CONSOLA BD-AUTORIZACIÓN. ................................................................................................ 31

8 ACTUALIZAR EL EVSP ............................................................................................ 33

19 MODIFICACIÓN RUTAS DEL REPOSITORIO NEXUS. ...................................................................... 34

Definición funcional, implantación y soporte operativo para la Interoperabilidad de los Servicios Telemáticos de la AdministraciónPública de la Comunidad Autónoma de Canarias


9 CONFIGURACIÓN INICIAL ....................................................................................... 36

20 CAMBIO IP DEL EVSP .......................................................................................................... 36 21 CONFIGURAR SMTP Y CUENTA EMAIL PARASMS ..................................................................... 38



1 INTRODUCCIÓN.

El Entorno Virtualizado Simulado de PLATINO (EVSP) es un sistema con los principales servicios dePLATINO, que han sido adaptados con mockup de segundo nivel para que puedan ser instalados enuna máquina virtual con requerimientos reducidos.

Estos mockups de segundo nivel se han implementado en los servicios de PLATINO que cuentan condependencias de otras herramientas que no se han instalado en el EVSP, concretamente son:

Servicio Gestor de Repositorio de Documentos Electrónicos (SGRDE) que tienedependencias con Alfresco. Servicio de Registro Electrónico (SRE) que tiene dependencias con el RegistroElectrónico HiperReg. Servicio de Envío y Distribución de Mensajes a Móviles y Correo Electrónico(EDMYCE) tiene dependencia con el hardware para el envío de SMS. Servicio de Firma y Sellado de Tiempo (SFST) que tiene dependencias con laautoridad certificadora y de sello de tiempo. Soporte a la tramitación, se emula la pasarela de pago poniendo todas las peticionescomo pagadas.

Mediante este documento se pretende detallar los aspectos necesarios para que se puede utilizar elEVSP, como entorno complementario a la plataforma de PLATINO.

La primera vez que se ejecuta el EVSP se debe revisar el Capítulo 9 de “Configuración Inicial”.

Con el Entorno Virtualizado, también se entrega un proyecto en SoapUI con los casos de prueba de losservicios incluidos en este entorno, el proyecto se encuentra en el directorio /home/root/Documentos.

2 DESCRIPCIÓN DEL SISTEMA.El EVSP es una Máquina Virtual que se puede ejecutar en plataforma VMWare o VirtualBox. Estáinstalado en un sistema operativo Linux Ubuntu 14.04 con entorno gráfico GNOME.

Cuenta con un servidor de Base de Datos Oracle Express, como gestor de Base de Datos de todos losservicios instalados.

Hay servicios que se ejecutan directamente en el Karaf, servidor sobre el que se ejecuta el ServiceMix,pero otros necesitan tener el Core del servicio desplegado en un JBOSS. Para estos servicios se hainstalado un JBOSS AS 7.2.0.

En el JBOSS también se ha instalado algunas consolas, que son necesarias para la administración dela plataforma, así como la aplicación de enrutado de peticiones entre entornos, que permite cambiaralgunos servicios para que funcionen contra el EVSP o contra el entorno de Pre-explotación dePLATINO.

La seguridad de PLATINO se basa en los certificados de la cabecera de seguridad. Se ha utilizadoOpenSSL para la generación de certificados válidos para el EVSP. En el caso de los funcionarios, estaseguridad se complementa con la validación de los usuarios en el LDAP (concretamente en el SPF), seha utilizado OpenLDAP.

El Service Mix registra las peticiones que se realizan, por parte de los consumidores, por medio demensajes. Para la gestión de estos mensajes se utiliza el ActiveMQ.

A continuación se muestra un diagrama con los principales componentes del EVSP, en el que se puedever lo que se encuentra en el JBOSS y en el ServiceMix.



1 ARQUITECTURA PLATINO.

Cada uno de los servicios de PLATINO tiene dependencias con otros componentes básicos de laplataforma y que son necesarios para el funcionamiento del sistema, como queda de manifiesto en elsiguiente gráfico de la arquitectura de la Plataforma PLATINO:

1.1 ARQUITECTURA EVSP.

El EVSP trata de conseguir que funcionen el mayor número de casos de uso de cada uno de losservicios desplegados. En el EVSP se han desplegado los siguientes servicios:

SFST* (Servicio de firma y sellado de tiempo) SGRDE* (servicios de Gestor de Repositorio de Documentos Electrónicos)



SRE* (Servicio de Registro Electrónico) BDPROC (Base de datos de Procedimientos) BDORG (Base de datos de Organización) TERCEROS (Base de datos de Terceros) SST* (Servicio de Soporte a la Tramitación) EDMYCE* (Servicio de Mensaje a Móviles y Correo Electrónico) SPF (Servicio de Portafirmas) BDAUTORIZACION (Base de datos Autorización)

Los servicio que terminan en *, son los que se cuentan con un mockup de segundo nivel, esto quiere decir que se ha mantenido la lógica del servicio y se realizado en mockup en las invocaciones del servicio a las herramientas que no se incluyen en la máquina virtual.

A continuación se muestra el gráfico de la arquitectura de PLATINO en el que se puede ver los que no se incluye en el EVSP.

Hay algunos servicios que no se han incluido en el EVSP, como el servicio de pasarela de pago, servicio de formularios electrónicos y el servicio de notificaciones. Estos servicios se pueden ver en el gráfico, con una.

En la parte inferior del gráfico, se puede ver los componentes de las que dependen los servicios de platino y se ha marcado con una los que no están instalados.



Los servicios incluidos en el EVSP cuentan con el mismo funcionamiento que en el entorno dePLATINO y por tanto se puede utilizar el manual del desarrollador de cada servicio, publicado en laURL: http://www.gobiernodecanarias.org/platino/formacion.html.

En los servicios con mockup existe alguna diferencia que será explicada en el capítulo 5 de estedocumento.


http://www.gobiernodecanarias.org/platino/formacion.html


3 Inicio del EVSP.Antes de iniciar el arranque de los servicios del EVSP, hay que esperar a termine de iniciarse losservicios del sistema operativo. Este arranque no está completo cuando nos permite autenticarnos en elEVSP sino cuando se muestra el mensaje siguiente imagen.

Para que el EVSP esté operativo hay que arrancar los servicios en el siguiente orden:

Verificar que el servidor de BBDD esté disponible Iniciar el servidor ActiveMQ Arrancar el JBOSS Arrancar el ServiceMix

Este arranque se puede hacer desde la interfaz gráfica o desde la interfaz en modo texto. Para iniciaruna ventana de comando en el interfaz gráfico, se puede hacer por el menú de opciones o pulsandoctrl+alt+t.

Para entrar en la VM, se recomienda utilizar el usuario “root” y la contraseña “desarrollo”.

2 Verificar Servidor de BBDD.

EL servidor de Base de Datos Oracle se inicia de forma automática, pero dependiendo de la memoriadisponible para este servidor, puede que se pare o que no se arranque de forma automática. Por estoponemos como primera tarea el verificar que se encuentre operativo.

Para hacer esto, ejecutamos en la línea de comandos del EVSP:

sqlplus sys as sysdba desarrollo (en la contraseña)



Si se muestra el mensaje del siguiente pantallazo, es que el servidor de Base de Datos está operativo.

En caso se mostrarse el siguiente mensaje.

Hay que ejecutar el comando startup, tal y como se muestra en la siguiente imagen.

Se puede salir del sqlplus con el comando quit.

3 Iniciar ActiveMQ.

El servidor ActiveMQ se puede iniciar en modo consola, para poder ver las peticiones que llegan alservidor, o en modo normal.

Para iniciar en modo normal, sistema recomendado en el uso habitual de la plataforma, hay queejecutar:



/opt/amq_fuse/bin/activemq start

Para ejecutarlo en modo consola, esta opción de arranque deja la línea de comandos bloqueada paraver las peticiones, hay que ejecutar

/opt/amq_fuse/bin/activemq console

Si iniciamos el ActiveMQ en modo console, basta con pulsar ctrl+c para parar el servicio, si loejecutamos en modo normal, hay que pararlo con /opt/amq_fuse/bin/activemq stop.

4 Arrancar JBOSS.

El JBOSS cuenta con el Core de la BBDD de Autorización, que es necesario para que el ServiceMixpueda validar las cabeceras de seguridad. Por esto es necesario que el JBOSS esté arrancado antesde iniciar el ServiceMix

Para iniciar el JBOSS hay que ejecutar el siguiente comando:

/opt/jboss/jboss-as-7.2.0.Final/bin/standalone.sh –b 0.0.0.0

El –b 0.0.0.0 es para que se pueda acceder a las aplicaciones del JBOSS desde otros equipos de lared.

Es importante esperar hasta que se muestre el mensaje que indica que el JBOSS está arrancado, conun mensaje similar al que se muestra a continuación.

Para parar el JBOSS, basta con pulsar CTRL+c en la consola

La url para acceder a la consola de administración del JBoss es http://localhost:9990/console, lascredenciales son:

Nombre Usuario : platino

Contraseña : platino*2015

5 Arrancar ServiceMix.

Para arrancar el ServiceMix hay que ejecutar el siguiente comando: /opt/platino/run

Con esto se muestra la consola del ServiceMix con una pantalla similar a la siguiente:


http://localhost:9990/console


El ServiceMix tarda unos minutos en desplegar los servicios, para verificar si están disponibles, puedeintentar acceder desde un equipo de la red a la url del EVSP con el puerto 8076 y 8077, para verificarque se muestra la relación de todos los servicios o desde la consola del serviceMix puede ejecutar list yverificar que el estado es “Started”.

Desde el navegador veremos algo parecido a:

Una vez que se muestran los servicios en los puertos 8076 y 8077, ya se puede utilizar el EVSP.

Para consumir los servicios del EVSP se debe utilizar las URL’s mostradas en las pantallas anteriorespero con los puertos 9076 y 9077 respectivamente, para que funcione el enrutamientos de laspeticiones entre entornos.

Para parar el ServiceMix hay que ejecutar “shutdown” desde la consola y confirmar que queremos pararla instancia.

4 Enrutamiento de las peticiones entre entornos.

El EVSP se puede utilizar ejecutando todos los servicios en el EVSP o configurado para que algunosservicios se ejecuten en el entorno de PLATINO.



Este comportamiento se configura en la aplicación de enrutamiento entre entornos, que se encuentraen la URL: http://evsp.platino:8080/consolaEntornos en esta aplicación, nos muestra los serviciosdisponibles y nos permite cambiarlos de entorno.

Una vez cambiado el servicio de entorno, hay que hacer click en el botón de “Reiniciar Servicios” de laparte inferior de la pantalla, para que estos cambios tengan efecto.

Como se puede ver en la página, hay servicios que se encuentran agrupados dentro del mismo serviciode PLATINO. En la aplicación se cambian todos los servicios agrupados al mismo tiempo, por ejemplo“edmyce/areas” pertenece al servicio EDMYCE y se cambia de entorno al mismo tiempo.

Nota importante: Para poder consumir servicios del entorno de PLATINO, es necesario que el EVSPtenga acceso a la Red del Gobierno. Para esto se ha instalado un cliente VPN que se puede conectarcomo se explica en el capítulo 6 – “Conexión VPN” de este documento.

A continuación se muestra un diagrama del sistema de enrutamiento.

Como se muestra en el diagrama, las peticiones del EVSP. Las peticiones de los puertos 9076 y 9077llegan a la aplicación de enrutado de peticiones, esta aplicación consulta el entorno destino de lapetición y la envía a su destino con el puerto 8076 y 8077 respectivamente.

Las peticiones que se envían a PLATINO se están enviando al frontal buger.gobiernodecanarias.net. Sise quiere cambiar el servidor de PLATINO, se puede hacer actualizando la URL en la tabla “Entornos”del esquema “PLA_SWITCH” de la BBDD del EVSP.


http://evsp.platino:8080/consolaEntornos


Nota: Si se necesita consumir servicios del EVSP y de PLATINO al mismo tiempo, le recomendamosque autorice el Certificado de consumo de PLATINO en el EVSP para que no sea necesario cambiarel certificado en las cabeceras de seguridad, tal y como se explica en el capítulo 7.

5 SERVICIOS.A continuación se explica las diferencias entre los servicios del EVSP y el entorno de PLATINO, en losservicios que tienen mockup ya que el resto funcionan de igual que en PLATINO.

6 Servicio EDMYCE (Sistema de mensajería y correo electrónico):

Este servicio se verá afectado solo por el envío de mensajes SMS, ya que estos mensajes se enviaraun correo electrónico haciendo constar en el Asunto, que es un SMS y el teléfono al que se dirige elSMS.

El resto del servicio será idéntico al del entorno de desarrollo de PLATINO.

Este servicio tiene dependencias con Terceros, Base de Datos de Procedimientos y el Servicio deSoporte a la Tramitación.

7 Servicio de Terceros:

Este servicio no tiene Mockup, por lo que su funcionamiento es el mismo que en el entorno dePLATINO, contando con las siguientes dependencias.

8 Servicio BDProc (Servicio de Base de Datos de Procedimientos)

Este servicio tampoco tiene Mockup, por lo que su comportamiento es el mismo que en el entorno de PLATINO.



9 Servicio BDORG (Base de Datos de Organización):

En este servicio no se ha realizado mockup, pero tiene dependencias del LDAP del gobierno. Ademásel LDAP tiene relación con el Sistema de Información de Recursos Humanos (SIRhUS) y esto afectatanto para este servicio como para el Servicio de Portafirma (SPF). Estas dependencias deben tenerseen cuenta para que funcionen correctamente los servicios de BDOrg y SPF.

Para la sustitución del LDAP del Gobierno, se ha instalado en el EVSP el OpenLDAP, al que se puedeacceder por medido de la URL: http://evsp.platino/phpldapadmin / y entrar con la contraseña “desarrollo”

En el LDAP, hay que crear los usuarios que se quiera utilizar, como si fueran funcionarios.

Esto es importante para utilizar el Servicio de Porta Firma, ya que está restringido su uso a losfuncionarios.

Previamente debemos crear la unidad orgánica y usuario (Empleado) en Sirhus. Para ello usaremos laconsola de administración de Unidades Orgánicas.


http://evsp.platino/phpldapadmin/

http://evsp.platino/phpldapadmin/


9.1 Alta de usuarios y UO en Sirhus. (Consola Administración UO).

Accederemos a la consola Administración Unidades Orgánicas con la url:http://evsp.platino:8080/consolaUnidadesOrganicas

En esta consola podremos añadir, modificar y borrar tanto las UO como los usuarios.

En la tabla superior administraremos las UO y en la inferior los usuarios.

Para el correcto funcionamiento de la Consola de Base de Datos de Procedimientos es necesario quelas UO tengan unidad orgánica Padre.


http://evsp.platino:8080/consolaUnidadesOrganicas


En el proceso de alta de la UO se podrá seleccionar de la lista de UO Padre.

Donde el campo “Código” de la UO lo utilizaremos para el campo “ID Unidad Shirus” del LDAP al darde alta el usuario en LDAP, detallado en “Alta de usuarios LDAP”.

Donde el campo “LDAP id” del empleado lo utilizaremos para el campo “ID Cuenta Shirus” del LDAPal dar de alta el usuario en LDAP, detallado en “Alta de usuarios LDAP”.

De esa forma el usuario y la UO quedan asociados en el LDAP.

9.2 Alta de usuarios LDAP

Una vez logeado en el LDAP, localizamos en el árbol del directorio a la organización “o=metadirectorio”y creamos el nuevo usuario.



Para el alta del usuario haremos click en “Crear un objeto hijo” indicado por la flecha rojo de la capturade pantalla.

Nos mostrará la pantalla para la creación de la cuenta.

Crearemos un objeto de tipo “Genérico: Cuenta de Usuario”. Nos mostrará los campos que debemosrellenar para el alta.



Los campos con fondo amarillo son obligatorios. Previamente deberá estar dado de alta el usuario en elesquema “WEBSIRHUS” de la base de datos Oracle. El usuario para conectar a Oracle es “SYSTEM” yel password “desarrollo”.

El campo “ID Unidad Sirhus” del formulario de alta de usuario del LDAP corresponde al campo “X_ESTORG” de la tabla “UNIDADES_ORGANICAS” del esquema “WEBSIRHUS”, este campo es el ID de la unidad orgánica en Sirhus.

En campo “ID Cuenta Sirhus” del formulario de alta de usuario del LDAP corresponde al campo “X_PERSONA” de la tabla “DATOSEMPLEADOS_HIST” del esquema “WEBSIRHUS”, este campo es el ID del usuario de Sirhus.

En las unidades orgánicas de SIRHUS, se ha creado la 158, para que se puede utilizar como ejemplo yse ha creado dos usuarios, también para las pruebas, estos usuarios son evspusuario yevspfuncionario.

En el siguiente pantallazo se muestra los datos del LDAP del usuario evspfuncionario, en el que losdatos importantes, están identificados con un recuadro en rojo.



9.3 Alta Unidad Organizativa

Nos situamos en el raíz de directorio (lado izquierdo de la pantalla) y seleccionamos “Crear un objetohijo” (lado derecho de la pantalla).

En la siguiente pantalla (lado derecho) seleccionamos “Unidad Organizacional”.



Introducimos el nombre de la unidad, hacemos “click” en “Crear Objeto”

Y confirmamos haciendo “click” en “Cometer”.



A continuación se muestra las dependencias de este servicio.

Servicio SST (Servicio de Soporte a la Tramitación)

Este servicio tiene dependencias con la pasarela de pagos por lo que se realizado un Mockup en elmétodo crearPagoTasas, de forma que siempre se devuelve “PAGADO”, sin realizar la invocación a lapasarela de pago.

10 Servicio SRE (Servicio de Registro Electrónico de entrada/salida):

En este caso el mockup sería del servicio de HiperReg. El servicio de Registro Electrónico tiene unalógica definida e invoca a HiperReg para el registro. Mantendremos la lógica del servicio y se ha realizaun mockup del servicio de HiperReg. En este caso, el mockup del servicio no afecta a sufuncionamiento y el comportamiento es el mismo que en el entorno de PLATINO.



11 Servicio SGRDE (Servicio del Gestor de Repositorios):

Este servicio lleva un mockup para la integración con Alfresco, de forma que se almacenan los objetosdel repositorio de documentos en la Base de Datos, en lugar de almacenarse en Alfresco.

Los objetos del repositorio de documentos, pueden ser documentos, niveles o procedimientos, enlaceso expedientes. Todos estos objetos tienen Metadatos, que son gestionados por el repositorio.

Estos metadatos se heredan desde los objetos padre a los hijos.

El mockup de este servicio cuenta con las siguientes limitaciones:

Sólo se heredan los metadatos de los procedimientos a los documentos que se almacena en la ruta del procedimiento.

En la búsqueda de documentos por metadatos, no se puede incluir en la búsqueda, más de un criterio (no se puede poner “and” u “or” para poner varios filtros).

No gestiona el versionado de los documentos.

12 Servicio SFST (Servicio de Firma y Sellado de Tiempo)

En este servicio se ha realizado Mockup, de forma que funcionan sólo los métodos de @firma. Se han implementados los métodos que no tienen dependencias con el sello de tiempo, por lo que los métodosanalyzeTimeStanp, prometedSignatureByFormat, singSequential, timeStanp y timeStanpSignature no están soportados en el EVSP.

13 Servicio SPF (Servicio de Portafirmas)

Este servicio no tiene Mockup pero tiene dependencia con las tablas de SIRhUS y el certificado que seutilice ser un certificado de funcionario. Tal y como se explica en el apartado 5.4, de este documento.



14 Servicios BDAutorización.

En este servicio tampoco se ha realizado ningún mockup, por lo que el comportamiento de este servicioes el mismo que en el entorno de PLATINO, pero hay que tener en cuenta que para que funcione elEVSP es necesario contar con un certificado con autorización para consumir los servicios del EVSP.Esta tarea se realiza por Cibercentro, cuando se solicita acceso a PLATINO.

Hay que tener en cuenta que el certificado del EVSP, es válido para el entorno virtualizado pero no parael entorno de Pre-explotación de PLATINO, para el que se necesitará un certificado específico que sepuede solicitar en la URL: http://www.gobiernodecanarias.org/platino/acceso.html.

El servicio de autorización cuenta con una consola, donde se administra los permisos, y con un servicio“Registro de Servicios” que se encarga de registrar los servicios en la BDAutorización, tal y como semuestra en la siguiente imagen.

Para acceder a la consola para administrar la autorización al consumo de servicios en el EVSP, que seencuentra en la URL: http://evsp.platino:8080/platino/consolas/bdautorizacion/

Se puede entrar con el usuario “admin” y la contraseña “admin”. Para ver en detalle cómo crear uncertificado y asignar permisos en las políticas de autorización, se puede consultar el Capítulo 7 de“Certificados y Autorizaciones en el EVSP”.


http://evsp.platino:8080/platino/consolas/bdautorizacion/

http://www.gobiernodecanarias.org/platino/acceso.html


6 Conexión VPNPara activar la conexión VPN es necesario acceder a la VM con el entorno gráfico, si estamos en modotexto se puede iniciar el entorno gráfico con “startx”.

Una vez en el entorno gráfico, hacemos click en el botón de encender de la parte superior derecha y senuestra la pantalla de abajo.

Entramos en VPN y activamos la conexión VPN previamente configurada.

Si no ha configurado la VPN puede seguir los siguientes pasos

15 Configurar VPN

Para configurar la VPN debe disponer de los certificados en formato .pem, si no dispone de loscertificados en este formato puede convertirlos en el EVSP.

15.1 Conversión de certificados:

Antes de configurar la VPN, debemos convertir el certificado del Gobierno de Canarias del tipo .crt y eldel usuario de la VPN al tipo .p12 al tipo .pem

Conversión del certificado del Gobierno de canarias:

o openssl x509 -inform der -in GobCanCA.crt -out GogCanCA.pem

Conversión del certificado del usuario de la VPN (pide clave del certificado):

o openssl pkcs12 -in xxxxxxxx.p12 –nodes -out xxxxxxxx.pem

Extracción de la clave privada del certificado del usuario de la VPN (pide clave del certificado):

o openssl pkcs12 -in xxxxxxxx.p12 -nodes –nocerts -out xxxxxxxx.key

15.2 Configuración de la conexión VPN

Abrir conexiones de red.

En GNOME 2, ir a Aplicaciones Herramientas del sistema Conexiones de red



En GNOME 3, ir a Actividades Aplicaciones Configuración del sistema Red

Entonces.

En GNOME 2: Hacer click en la pestaña VPN, y luego click en Agregar.

En GNOME 3: Hacer click en el icono + en la parte inferior izquierda de la ventana.

Luego seleccionar VPN y crear. A continuación seleccionamos Compatible

con VPN Cisco AnyConnect (openconnect).

Finalmente rellenaremos la ventana con la información siguiente:

Nombre de la conexión: Nombre con el que se guardará.

Pasarela: vpn.gobiernodecanarias.org

Certificado CA: Hacemos click sobre el icono de la carpeta para seleccionar el certificado tipo pem del gobierno de canarias.

Certificado del usuario: Hacemos click sobre el icono de la carpeta para seleccionar el certificado tipo pem del usuario.

Clave privada: Hacemos click sobre el icono de la carpeta para seleccionar el fichero con la clave privada del certificado tipo key del usuario.



Al terminar de cumplimentar la información hay que pulsar sobre el botón Guardar…

15.3 Conexión del Cliente VPN

La máquina virtual debe tener una dirección ip dentro del rango de la LAN para que la conexión VPNfuncione.

En GNOME 2, ir a Aplicaciones Herramientas del sistema Conexiones de red

En GNOME 3, ir a Actividades Aplicaciones Configuración del sistema Red

Seleccionamos la vpn (GobCan) que hemos guardado y lo activamos en la parte superior derecha de lapantalla (debajo de Modo avión) deslizando el botón hacia la derecha.



A continuación, hay que hacer click en el botón a la derecha de la url de conexión.

La primera vez que conectamos con la VPN, nos aparece un cuadro de diálogo para que aceptemos elcertificado del Gobierno de Canarias como entidad de confianza.

Una vez aceptado el certificado, se muestra la pantalla de conexión de la VPN.



Hay que escribir el usuario, el password, y pulsar en el botón Login.

Marcando la casilla Automatically start connecting next time no habrá que pulsar de nuevo el botónde conectar.

Marcando la casilla Save passwords no tendremos que escribir de nuevo el password siempre que elusuario no cambie.

7 Certificados y Autorizaciones en el EVSPPara que sea más fácil la gestión de certificados en el EVSP, se ha instalado la aplicación Open SourceXCA, que permite crear certificados en base a plantillas predefinidas.

El programa se invoca con: /usr/bin/xca.

En el directorio /etc/ssl crearemos el almacén de certificados xca_evsp.xdb. En la máquina EVSP yaexiste el almacén con una CA y dos certificados de prueba y estos certificados ya están dados de altaen la BBDD de Autorización.

En los siguientes pasos se explica cómo se ha procedido para la creación de estos certificados, por sise quiere crear otros.



16 Certificados del EVSP

En el almacén de certificados XCA también hay disponible dos platillas. Para la creación de una CA yun certificado tipo.

Plantilla Certificado CA. Plantilla Certificado Modelo



Para más información sobre este aplicativo “http://xca.sourceforge.net/”

17 Instalación Certificado CA (Entidad certificadora)

Para el correcto funcionamiento del servicio bdautorización, debemos instalar el certificado CA quehemos generado con el programa XCA en los siguientes almacenes:

Directorio del ServiceMix: ../smx4/etc/truststore.jks.

Directorio del ServiceMix: ../smx4_conf/truststore.jks.

Directorio de ActiveMQ: ../amq_fuse/conf/truststore.jks.

Ejecutando sobre estos almacenes el comando:

keytool -import -file EVSPCA.crt -alias evspca -keystore truststore.jks.

Donde EVSPCA.crt es el certificado generado con XCA.

18 Consola BD-Autorización.

Una vez desplegada la consola de BD-Autorización en el JBoss, instalaremos el certificado mediante elcual accederemos a los diferentes servicios. Lo crearemos con el XCA y firmado con la CA que hemosañadido en el punto anterior en los almacenes. truststore.jks.

Para poder utilizar la BDAutorizacion debemos arrancar el ActiveMQ y el ServiceMix.



Alta certificado



Asignación de derechos para consumir servicios.

8 Actualizar el EVSPEl EVSP cuenta con un sistema de actualización de los servicios instalados. Este sistema permite quecuando desde la Oficia Técnica de PLATINO (OTP) se actualice alguno de los servicios instalados en elEVSP, las máquinas virtuales puedan ser actualizadas de forma fácil.



Nota importante: Para ejecutar el proceso de actualización, es necesario que el EVSP esté conectadoa la Red del Gobierno y tenga acceso al SVN, en la siguiente url(http://boliche.gobiernodecanarias.net:8080/nexus/content/*). Si no tiene acceso a este servidor,solicítelo y no ejecute el proceso de actualización hasta confirmar que dispone de acceso, de locontrario el EVSP no podrá arrancar los servicios.

Nota: En el caso que la Oficina Técnica de Platino (OTP) modifique la url del repositorio consultar elpunto (8.1)

Para actualizar el entorno hay que seguir los siguientes pasos:

Verificar que se tiene acceso a la RED del Gobierno (Activar la VPN). Ejecutar el INICIO del EVSP descripto en apartado 3 pero sin ejecutar el punto 3.4

o Ejecutar el punto 3.1, “Verificar Servidor de BBDD”o Ejecutar el punto 3.2, “Iniciar ActiveMQ” o Ejecutar el punto 3.3, “Arrancar JBOSS”

Modificar la versión del entorno virtualizado en el fichero /opt/platino/smx4/etc/org.apache.karaf.features.cfg

o En este fichero se encuentra la referencia del repositorio del que se descarga los artefactos, en la variable featuresRepositories (separado por “,”).

featuresRepositories=mvn:org.apache.karaf.assemblies.features/standard/2.2.2-fuse-08-15/xml/features,

mvn:org.apache.karaf.assemblies.features/enterprise/2.2.2-fuse-08-15/xml/features,

mvn:org.apache.servicemix.nmr/apache-servicemix-nmr/1.5.1-fuse-08-15/xml/features,

mvn:org.apache.servicemix/apache-servicemix/4.4.1-fuse-08-15/xml/features,

mvn:org.apache.camel.karaf/apache-camel/2.8.0-fuse-07-15/xml/features,

mvn:org.apache.activemq/activemq-karaf/5.5.1-fuse-08-15/xml/features,

mvn:es.gobcan.platino.servicios.osgi.features/platino-features-entornovirtualizado/2.1.1.20150206/xml/features

o En la última línea está la versión de los servicios del EVSP, que hay que actualizar a la nueva versión proporcionada por la OTP.

Arrancar el ServiceMix con el siguiente comandoo /opt/platino/clear_all_run

Una vez termine de arrancar el ServiciceMix, quedará el EVSP actualizado y operativo, no es necesarioreiniciar.

El resto de inicios del EVSP será como se explican el en Apartado 3, sin tener que volver a actualizar elEVSP hasta que exista una nueva versión.

Puede que sea necesario actualizar el EVSP, con otros servicios o con servicios que se esténdesarrollando por los usuarios del EVSP, para profundizar un poco más es el sistema de actualización,puede consultar el documento “Actualización de servicios en EVSP”.

19 Modificación rutas del Repositorio Nexus.

En el caso que se produzca algún cambio en las rutas del repositorio hay que realizar las siguientesmodificaciones:


http://boliche.gobiernodecanarias.net:8080/nexus/content/*


En el archivo “settings.xml” que se encuentra en el directorio “/opt/apache-maven-3.2.2/conf” de lamáquina EVSP, se debe modificar las siguientes secciones:

<repositories>

Modificar las url del repositorio por la nuevas.

En el caso que para acceder al repositorio necesitásemos usuario y clave añadiremos en la sección

<server>.

Donde <id> se corresponde con el <id> del repositorio.

También debemos modificar el archivo “org.ops4j.pax.url.mvn.cfg” que se encuentra en el directorio“/opt/platino/smx4/etc”.

Modificando el valor de “org.ops4j.pax.url.mvn.repositories”

Añadiendo los nuevos repositorios.



En caso que se publiquen los artefactos alojados en el repositorio maven local de la máquina EVSP ,situados en el directorio “/opt/mavenRepo”, en un repositorio externo, se deberían de eliminar del repositorio local.

Si los nuevo repositorios siguen estando en la red interna del Gobierno hay que arrancar la VPN, durante el proceso de actualización del EVSP comentado en el apartado anterior.

En el caso que algunos de los repositorios no fuesen necesarios es recomendable eliminarlos de las configuraciones para que no interfieran en el proceso de actualización de EVSP.

9 Configuración InicialEl EVSP se entrega con el usuario “root” y la contraseña “desarrollo”, este usuario es administrador ypodrá realizar todos los cambios de configuración que sean necesarios.

20 Cambio IP del EVSP

Por defecto está configurado con la IP 192.168.0.160, si se necesita cambiar esta IP, hay que actualizaren el fichero host con la nueva IP.

Para cambiar la IP, ejecutamos la configuración desde el botón de la parte superior derecha y luegoaccedemos a la configuración de la Red

Seleccionamos la red Cableada y hacemos click en “Opciones..”

En la pestaña de Ajustes de IPv4, podemos cambiar la IP, puerta de enlace y DNS a las de nuestra red.



Una vez cambiada la IP, hay que actualizar la ip en el fichero hosts con el siguiente comando:

nano /etc/hosts

En la segunda línea de este fichero está la IP y el nombre que utiliza el EVSP para acceder a losservicios internos “evsp.platino”. Hay que cambiar la ip por la nueva y no hay que tocar nada en laprimera línea.

Una vez actualizado el fichero, hay que reiniciar el EVSP.

21 Configurar SMTP y cuenta email paraSMS

El CORE del servicio EDMYCE envía mensajes por email y por SMS (estos se envían como emailespecificando en el asunto el número de teléfono del SMS). Para poder enviar los mensajes se utilizauna cuenta SMTP del servidor de correos que utilice la organización. Por esto hay que configurar elarchivo “WEB-INF/clases/servicio-edmyce-mensajes.properties” del archivo “servicio-edmyce-mensajes-core-xxxxxxxxxxx.war” (las x representan la versión del servicio) que se encuentra en laruta “/opt/jboss/jboss-as-7.2.0.Final/standalone/deployments/”.

Configuración para los correos Salienteso servicio.mensajes.mensaje.email.out.hostName=nombreServidoro servicio.mensajes.mensaje.email.out.username= usuarioo servicio.mensajes.mensaje.email.out.password=contraseñao servicio.mensajes.mensaje.email.out.from= [email protected]

Configuración para el receptor de los sms como correo electrónicoo servicio.mensajes.mensaje.sms.email.to= [email protected]


mailto:servicio.mensajes.mensaje.email.out.username%3Dcuentaemail@organizacion

mailto:servicio.mensajes.mensaje.email.out.username%3Dcuentaemail@organizacion

ENTORNO VIRTUALIZADOS SIMULADO DE LAS PLATAFORMA … · ENTORNO VIRTUALIZADOS SIMULADO DE LAS...

Documents

Transcript of ENTORNO VIRTUALIZADOS SIMULADO DE LAS PLATAFORMA … · ENTORNO VIRTUALIZADOS SIMULADO DE LAS...