Diferències

Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.

Enllaç a la visualització de la comparació

--- apache_dnie [2024/03/07 08:45]
enric_mieza_sanchez [Accedint a les dades del certificat amb PHP]
+++ apache_dnie [2024/03/13 08:17] (actual)
enric_mieza_sanchez [Apache amb DNIe]
@@ Línia 7: / Línia 7: @@
 {{ dnie.png?400 }}
+Referències i ampliacions:
+  * [[https://smallstep.com/hello-mtls/doc/server/nginx|Autenticació mútua amb Nginx]].
+<WRAP download>
 Descàrregues:
   - [[https://www.dnielectronico.es/PortalDNIe/PRF1_Cons02.action?pag=REF_1100|Software client DNIe]].
   - [[https://www.dnielectronico.es/PortalDNIe/PRF1_Cons02.action?pag=REF_077|Certificats arrel de la l'autoritat de certificació del DNIe]].
+</WRAP>
 {{tag> ciberseguretat apache webserver servidorweb www web http https serveis #FpInfor #Daw #DawMp08 #DawMp08Uf01 #Asix #AsixMp08 #AsixMp08Uf02 #Ciber #CiberMp03 #Ceti #CetiMp03 }}
@@ Línia 134: / Línia 139: @@
   - Assignar-li una IP convenient (potser la que té ja us serveix).
   - Instal·lar Apache2 i PHP.
-  - Activar mod_ssl d'Apache.
+  - Activar //mod_ssl// d'Apache.
+  - Activar la //site// ''default-ssl.conf''
 <tabbox Versió Cloud>
@@ Línia 162: / Línia 168: @@
 \\
-==== Documentació oficial per Apache ====
+==== Documentació oficial (obsoleta!) per a Apache ====
 Aquí s'explica la [[https://www.openlogic.com/blog/mutual-authentication-using-apache-and-web-client|doble autenticació mútua entre servidor i client]].
-<WRAP download>
-Necessitem [[https://www.dnielectronico.es/PortalDNIe/PRF1_Cons02.action?pag=REF_077|descarregar els certificats arrel de l'Autoritat de Certificació (AC) del DNIe]] i configurar l'accés amb la directiva ''SSLCACertificateFile''.
-</WRAP>
 En aquesta documentació de INTECO disposem d'una guia per a configurar Apache amb els certificats necessaris per al DNIe, tot i que caldran algunes modificacions i actualitzacions:
@@ Línia 176: / Línia 178: @@
 <WRAP important>
 **ULL: aquesta configuració és obsoleta. Veure més avall l'actualitzada**. Ho deixem com a documentació de les fonts.
+</WRAP>
 El què es proposa a la documentació del DNIe és el què segueix.
@@ Línia 197: / Línia 200: @@
 </Directory>
 </file>
-</WRAP>
@@ Línia 209: / Línia 211: @@
 Canvis que cal fer:
   - Treure la ''SSLCACertificateFile'' del nivell de ''Directory'' i posar-ho al nivell de ''VirtualHost''. Apache ara no admet diferents certificats per directori (només un per VirtualHost).
-  - Canviar el ''SSLCACertificateFile'' per ''SSLCACertificatePath'' ja que ens és més còmode per incloure tots els certificats de la carpeta, incloent els certificats de FNMT, idCat i d'altres.
   - Canviar el ''Directory'' per ''Location'' , tal i com recomana fer-ho Apache2. Per exemple, creeu una zona reservada a ''Location /zona-privada''.
   - Pujar ''SSLOptions'' i ''Options'' també a nivell de VirtualHost (tot i que això no és imprescindible).
+\\
 ==== Troubleshooting ====
@@ Línia 227: / Línia 230: @@
 Els certificats vàlids estan a la carpeta ''/etc/ssl/certs'', en //symbolic links//. És interessant destacar que afegir l'arxiu a la carpeta i emprar la directiva ''[[https://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslcacertificatepath|SSLCACertificatePath]]'' no funcionarà, a la documentació s'explica que cal seguir un //symbolic link// amb un format de hash concret.
+<WRAP download>
+Necessitem [[https://www.dnielectronico.es/PortalDNIe/PRF1_Cons02.action?pag=REF_077|descarregar els certificats arrel de l'Autoritat de Certificació (AC) del DNIe]] i configurar l'accés amb la directiva ''SSLCACertificateFile''.
+</WRAP>
 La configuració que emprarem serà mitjançant l'arxiu ''/etc/ssl/certs/ca-certificates.crt'', on estan tots els certificats concatenats seguidament, i amb la directiva ''[[https://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslcacertificatefile|SSLCACertificateFile]]''. El certificat de CA de la FNMT ja hi és per defecte, però no el del DNIe. Per tant, el descarreguem, descomprimim i annexem a ''ca-certificates.crt'' per tal d'habilitar-ho:
@@ Línia 238: / Línia 245: @@
   SSLCACertificateFile /etc/ssl/certs/ca-certificates.crt
-Finalment, la configuració d'Apache ens quedarà com segueix.
+<WRAP tip>
+Finalment, la configuració d'Apache per a validació del DNIe ens quedarà com segueix.
 <file apache dnie.conf>
@@ Línia 287: / Línia 295: @@
 </IfModule>
 </file>
+</WRAP>
 \\
@@ Línia 327: / Línia 336: @@
 \\
-===== Comprovació de revocació OCSP =====
+==== Comprovació de revocació OCSP ====
 Amb la comprovació OCSP el què fem és consultar la base de dades de la pròpia CA (autoritat certificadora, la seu del DNIe) per comprovar que el certificat que ens arriba no hagi estat revocat. És una important passa de seguretat.
@@ Línia 342: / Línia 351: @@
-===== Altres certificats =====
+==== Altres certificats ====
 Perquè ens funcioni amb diversos tipus de certificats com idCAT, hisenda, etc. podem fer servir l'arxiu amb tots els certificats agrupats que porta Apache, al qual afegirem el del DNIe, que per defecte no ve inclòs.

bytes.cat

Eines de l'usuari

Eines del lloc

Diferències

Eines de la pàgina