Diferències

Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.

Enllaç a la visualització de la comparació

--- apache_dnie [2024/03/07 08:44]
enric_mieza_sanchez [Documentació oficial Apache]
+++ apache_dnie [2024/12/15 23:38] (actual)
enric_mieza_sanchez [Resolució client en Ubuntu 22.04]
@@ Línia 7: / Línia 7: @@
 {{ dnie.png?400 }}
+Referències i ampliacions:
+  * [[https://smallstep.com/hello-mtls/doc/server/nginx|Autenticació mútua amb Nginx]].
+<WRAP download>
 Descàrregues:
   - [[https://www.dnielectronico.es/PortalDNIe/PRF1_Cons02.action?pag=REF_1100|Software client DNIe]].
   - [[https://www.dnielectronico.es/PortalDNIe/PRF1_Cons02.action?pag=REF_077|Certificats arrel de la l'autoritat de certificació del DNIe]].
+</WRAP>
 {{tag> ciberseguretat apache webserver servidorweb www web http https serveis #FpInfor #Daw #DawMp08 #DawMp08Uf01 #Asix #AsixMp08 #AsixMp08Uf02 #Ciber #CiberMp03 #Ceti #CetiMp03 }}
@@ Línia 54: / Línia 59: @@
 A la pàgina de descàrregues del DNIe es mostra el paquet DEB per a versions fins la Ubuntu 21.10, però no la darrera Ubuntu 22.04 LTS. El problema, [[https://askubuntu.com/questions/1409351/ubuntu-22-04-firefox-unable-to-load-module|segons aquest post]], és la versió snap (enlloc de la clàssica APT) de Firefox que Canonical fa servir des d'aquesta versió.
-Per solventar-ho, podem desinstal·lar Firefox i instal·lar la versió [[https://mzl.la/3diKQVW|Firefox ESR (Extended Support Release)]] més estable i que actualment és un estàndard d'estabilitat en distribucions com Debian.
+<WRAP tip>
+Segueix l'article [[Firefox-ESR]] per a instal·lar-ho.
-Desinstal·lem el Firefox de snap (pot trigar una mica, mira de tancar totes les pantalles de Firefox primer):
+</WRAP>
-  # snap remove firefox
-Afegim els repositoris de mozillateam i instal·lem firefox-esr:
-  # apt install software-properties-common -y
-  # add-apt-repository ppa:mozillateam/ppa
-  # apt install firefox-esr
 <WRAP important>
 Si es paralitza la instal·lació, tanca la finestra de Firefox que s'ha obert. Ens obriria un breu tutorial d'instal·lació dels certificats del DNIe, però de vegades no apareix i ja l'he copiat aquí a la següent secció.
 </WRAP>
-Afegim un enllaç simbòlic per facilitar la comanda ''firefox'':
-  # ln -s /usr/bin/firefox-esr /usr/bin/firefox
-Ara ja podem seguir i instal·lar el package DEB de la web oficial del DNIe.
@@ Línia 134: / Línia 128: @@
   - Assignar-li una IP convenient (potser la que té ja us serveix).
   - Instal·lar Apache2 i PHP.
-  - Activar mod_ssl d'Apache.
+  - Activar //mod_ssl// d'Apache.
+  - Activar la //site// ''default-ssl.conf''
 <tabbox Versió Cloud>
@@ Línia 162: / Línia 157: @@
 \\
-==== Documentació oficial per Apache ====
+==== Documentació oficial (obsoleta!) per a Apache ====
 Aquí s'explica la [[https://www.openlogic.com/blog/mutual-authentication-using-apache-and-web-client|doble autenticació mútua entre servidor i client]].
-<WRAP download>
-Necessitem [[https://www.dnielectronico.es/PortalDNIe/PRF1_Cons02.action?pag=REF_077|descarregar els certificats arrel de l'Autoritat de Certificació (AC) del DNIe]] i configurar l'accés amb la directiva ''SSLCACertificateFile''.
-</WRAP>
 En aquesta documentació de INTECO disposem d'una guia per a configurar Apache amb els certificats necessaris per al DNIe, tot i que caldran algunes modificacions i actualitzacions:
@@ Línia 176: / Línia 167: @@
 <WRAP important>
 **ULL: aquesta configuració és obsoleta. Veure més avall l'actualitzada**. Ho deixem com a documentació de les fonts.
+</WRAP>
 El què es proposa a la documentació del DNIe és el què segueix.
@@ Línia 197: / Línia 189: @@
 </Directory>
 </file>
-</WRAP>
@@ Línia 209: / Línia 200: @@
 Canvis que cal fer:
   - Treure la ''SSLCACertificateFile'' del nivell de ''Directory'' i posar-ho al nivell de ''VirtualHost''. Apache ara no admet diferents certificats per directori (només un per VirtualHost).
-  - Canviar el ''SSLCACertificateFile'' per ''SSLCACertificatePath'' ja que ens és més còmode per incloure tots els certificats de la carpeta, incloent els certificats de FNMT, idCat i d'altres.
   - Canviar el ''Directory'' per ''Location'' , tal i com recomana fer-ho Apache2. Per exemple, creeu una zona reservada a ''Location /zona-privada''.
   - Pujar ''SSLOptions'' i ''Options'' també a nivell de VirtualHost (tot i que això no és imprescindible).
+\\
 ==== Troubleshooting ====
@@ Línia 227: / Línia 219: @@
 Els certificats vàlids estan a la carpeta ''/etc/ssl/certs'', en //symbolic links//. És interessant destacar que afegir l'arxiu a la carpeta i emprar la directiva ''[[https://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslcacertificatepath|SSLCACertificatePath]]'' no funcionarà, a la documentació s'explica que cal seguir un //symbolic link// amb un format de hash concret.
+<WRAP download>
+Necessitem [[https://www.dnielectronico.es/PortalDNIe/PRF1_Cons02.action?pag=REF_077|descarregar els certificats arrel de l'Autoritat de Certificació (AC) del DNIe]] i configurar l'accés amb la directiva ''SSLCACertificateFile''.
+</WRAP>
 La configuració que emprarem serà mitjançant l'arxiu ''/etc/ssl/certs/ca-certificates.crt'', on estan tots els certificats concatenats seguidament, i amb la directiva ''[[https://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslcacertificatefile|SSLCACertificateFile]]''. El certificat de CA de la FNMT ja hi és per defecte, però no el del DNIe. Per tant, el descarreguem, descomprimim i annexem a ''ca-certificates.crt'' per tal d'habilitar-ho:
@@ Línia 238: / Línia 234: @@
   SSLCACertificateFile /etc/ssl/certs/ca-certificates.crt
-Finalment, la configuració d'Apache ens quedarà com segueix.
+<WRAP tip>
+Finalment, la configuració d'Apache per a validació del DNIe ens quedarà com segueix.
 <file apache dnie.conf>
@@ Línia 287: / Línia 284: @@
 </IfModule>
 </file>
+</WRAP>
 \\
-===== Accedint a les dades del certificat amb PHP ====
+==== Accedint a les dades del certificat amb PHP ====
 Abans de fer el codi, recordeu que cal instal·lar PHP al servidor:
   $ sudo apt install libapache2-mod-php
@@ Línia 327: / Línia 325: @@
 \\
-===== Comprovació de revocació OCSP =====
+==== Comprovació de revocació OCSP ====
 Amb la comprovació OCSP el què fem és consultar la base de dades de la pròpia CA (autoritat certificadora, la seu del DNIe) per comprovar que el certificat que ens arriba no hagi estat revocat. És una important passa de seguretat.
@@ Línia 342: / Línia 340: @@
-===== Altres certificats =====
+==== Altres certificats ====
 Perquè ens funcioni amb diversos tipus de certificats com idCAT, hisenda, etc. podem fer servir l'arxiu amb tots els certificats agrupats que porta Apache, al qual afegirem el del DNIe, que per defecte no ve inclòs.

bytes.cat

Eines de l'usuari

Eines del lloc

Diferències

Eines de la pàgina