Erinevus lehekülje "Kasutaja tuvastamine veebis" redaktsioonide vahel

Allikas: eid.eesti.ee
Jump to navigation Jump to search
22. rida: 22. rida:
 
== Serfikaadifailide kokkupanek ==
 
== Serfikaadifailide kokkupanek ==
  
Alternatiivina siintoodule võid vaadata ka [http://code.google.com/p/esteid/wiki/AuthConfApache lühemat juhendit] või [http://www.id.ee/public/Configuring_Apache_web_server_to_support_ID.pdf pikemat analoogilist juhendit AS Sertifitseerimiskeskuselt].
+
Sertifikaadifailide ise kokkupanekuks kasuta openssl rakendust Linuxis pluss standardseid Linuxi abi-utiliite nagu wget, cat jne. Tööprotsessid toodud failide konkreetsed nimed võid soovi korral ära muuta, kuid lihtsam on täita neid käske muutma kujul:
 +
 
 +
Loo fail server.key
 +
  openssl genrsa -out server.key 1024 (
 +
 
 +
Loo fail server.csr, vastates mitmetele küsimustele:
 +
  req -new -key server.key -out server.csr
 +
 
 +
Loo fail server.crt
 +
  openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
 +
 
 +
Hangi AS Sertifitseerimiskeskusest kesksed sertifikaadid, vt ka https://sk.ee/repositoorium/sk-sertifikaadid/
 +
  wget http://sk.ee/upload/files/JUUR-SK.PEM.cer
 +
  wget http://sk.ee/upload/files/EECCRCA.pem.cer
 +
  wget http://sk.ee/upload/files/ESTEID-SK%202007.PEM.cer
 +
  wget http://sk.ee/upload/files/ESTEID-SK%202011.pem.cer
 +
 
 +
Liida mitu sertifikaati üheks failiks:
 +
  cat JUUR-SK.PEM.cer EECCRCA.pem.cer 'ESTEID-SK 2007.PEM.cer' 'ESTEID-SK 2011.pem.cer' > id.crt
 +
 +
Hangi AS Sertifitseerimiskeskusest tühistusnimekirjad. NB! Neid ei lähe tingimata tarvis, täpsem seletus järgnevas.  Vt ka http://sk.ee/repositoorium/CRL/
 +
  wget http://www.sk.ee/crls/esteid/esteid2007.crl
 +
  wget http://www.sk.ee/crls/juur/crl.crl
 +
  wget http://www.sk.ee/crls/eeccrca/eeccrca.crl
 +
  wget http://www.sk.ee/repository/crls/esteid2011.crl
 +
 
 +
Konverteeri tühistusnimekirjad PEM formaati   
 +
  openssl crl -in esteid2007.crl -out esteid2007.crl -inform DER
 +
  openssl crl -in crl.crl -out crl.crl -inform DER
 +
  openssl crl -in eeccrca.crl -out eeccrca.crl -inform DER
 +
  openssl crl -in esteid2011.crl -out esteid2011.crl -inform DER 
 +
 +
Loo symlingid, mille failinimi baseerub CRL faili hashil: 
 +
  ln -s crl.crl `openssl crl -hash -noout -in crl.crl`.r0
 +
  ln -s esteid2007.crl `openssl crl -hash -noout -in esteid2007.crl`.r0
 +
  ln -s eeccrca.crl `openssl crl -hash -noout -in eeccrca.crl`.r0
 +
  ln -s esteid2011.crl `openssl crl -hash -noout -in esteid2011.crl`.r0 
  
 +
Edaspidiseks uuendamiseks vaata:
 +
  http://id.ee/public/renew.sh
  
 +
Alternatiivina siintoodule võid vaadata ka [http://code.google.com/p/esteid/wiki/AuthConfApache lühemat juhendit] või [http://www.id.ee/public/Configuring_Apache_web_server_to_support_ID.pdf pikemat analoogilist juhendit AS Sertifitseerimiskeskuselt].
  
 
== Veebiserveri konfigureerimine ==
 
== Veebiserveri konfigureerimine ==

Redaktsioon: 3. märts 2014, kell 00:44

Mis puhul kasutaja tuvastamiseks eID-d kasutada

Enamus veebilehti kas ei vaja üldse kasutaja tuvastamist või siis jätab kasutaja meelde cookie abil, tuvastamata seejuures tema nime või emaili. Kui kasutajat on vaja reaalselt tuvastada, siis kasutatakse Eestis eeskätt järgmisi meetodeid:

  • Kasutajanime ja parooli küsimine.
  • Facebooki või Google või mõne analoogilise sotsiaalvõrgustiku teenuste tarvitamine kasutaja tuvastamiseks.
  • eID tarvitamine kasutaja tuvastamiseks.

eID eeliseks muude viiside ees on eeskätt oluliselt suurem turvalisus ja kasutaja reaalse nime ning isikukoodi teadasaamine ilma administraatoripoolse vajaduseta aktiivselt kasutajate andmebaasi hallata.

Pane tähele, et veebis kasutaja tuvastamine ID-kaardiga töötab väga erinevalt kasutaja tuvastamisest mobiil-ID-ga. Vaatame neid eraldi, alustades ID-kaardist.

Veebirakenduse kasutaja tuvastamine ID-kaardiga

Selleks, et ehitada veebirakendusele külge kasutaja tuvastamine ID-kaardi abil, on vaja teha kolme asja:

  • Panna kokku vajalikud sertifikaadifailid: mh on selleks vaja tellida Sertifitseerimiskeskuselt kinnitus oma serdifikaadifailile. Esialgseks testimiseks seda kinnitust vaja ei ole.
  • Seadistada veebiserver kasutama turvalist https sidet koos eelnevalt kokkupandud sertifikaadifailidega: otsest programeerimist siin vaja ei ole, veebiserveri (Apache, IIS, Nginx) standarfunktsionaalsuse seas on oskus ise ID-kaardiga üle võrgu suhelda.
  • Lisada oma veebirakendusele kasutaja ID-kaardilt loetud info küsimine nn keskkonnamuutujast (sinna paneb selle info veebiserver) ja selle info lahtiharutamine vajalikeks tükkideks: tüüpiliselt kasutaja nimi ja isikukood. Siin on vaja kas ise veidi programmeerida või kasutada alltoodud näiteprogrammide juppe.

Serfikaadifailide kokkupanek

Sertifikaadifailide ise kokkupanekuks kasuta openssl rakendust Linuxis pluss standardseid Linuxi abi-utiliite nagu wget, cat jne. Tööprotsessid toodud failide konkreetsed nimed võid soovi korral ära muuta, kuid lihtsam on täita neid käske muutma kujul:

Loo fail server.key

 openssl genrsa -out server.key 1024 (
 

Loo fail server.csr, vastates mitmetele küsimustele:

 req -new -key server.key -out server.csr

Loo fail server.crt

 openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

Hangi AS Sertifitseerimiskeskusest kesksed sertifikaadid, vt ka https://sk.ee/repositoorium/sk-sertifikaadid/

 wget http://sk.ee/upload/files/JUUR-SK.PEM.cer
 wget http://sk.ee/upload/files/EECCRCA.pem.cer
 wget http://sk.ee/upload/files/ESTEID-SK%202007.PEM.cer
 wget http://sk.ee/upload/files/ESTEID-SK%202011.pem.cer

Liida mitu sertifikaati üheks failiks:

 cat JUUR-SK.PEM.cer EECCRCA.pem.cer 'ESTEID-SK 2007.PEM.cer' 'ESTEID-SK 2011.pem.cer' > id.crt

Hangi AS Sertifitseerimiskeskusest tühistusnimekirjad. NB! Neid ei lähe tingimata tarvis, täpsem seletus järgnevas. Vt ka http://sk.ee/repositoorium/CRL/

 wget http://www.sk.ee/crls/esteid/esteid2007.crl
 wget http://www.sk.ee/crls/juur/crl.crl
 wget http://www.sk.ee/crls/eeccrca/eeccrca.crl
 wget http://www.sk.ee/repository/crls/esteid2011.crl

Konverteeri tühistusnimekirjad PEM formaati

 openssl crl -in esteid2007.crl -out esteid2007.crl -inform DER
 openssl crl -in crl.crl -out crl.crl -inform DER
 openssl crl -in eeccrca.crl -out eeccrca.crl -inform DER
 openssl crl -in esteid2011.crl -out esteid2011.crl -inform DER  

Loo symlingid, mille failinimi baseerub CRL faili hashil:

 ln -s crl.crl `openssl crl -hash -noout -in crl.crl`.r0
 ln -s esteid2007.crl `openssl crl -hash -noout -in esteid2007.crl`.r0
 ln -s eeccrca.crl `openssl crl -hash -noout -in eeccrca.crl`.r0
 ln -s esteid2011.crl `openssl crl -hash -noout -in esteid2011.crl`.r0  

Edaspidiseks uuendamiseks vaata:

 http://id.ee/public/renew.sh

Alternatiivina siintoodule võid vaadata ka lühemat juhendit või pikemat analoogilist juhendit AS Sertifitseerimiskeskuselt.

Veebiserveri konfigureerimine

Vaatame siinkohas põhjalikumalt Apache veebiserveri konfigureerimist.

Apache konfigureerimine

Alternatiivina siintoodule võid vaadata ka lühemat juhendit või pikemat analoogilist juhendit AS Sertifitseerimiskeskuselt.

IIS konfigureerimine

IIS konfigureerimise juhend AS Sertifitseerimiskeskuselt

Oma rakendusele kasutajainfo küsimise lisamine

Veebiserver paigutab ID-kaardilt loetud info standardsel moel süsteemi nn keskkonnamuutujatesse. Olulised muutujad on seejuures

  • SSL_CLIENT_S_DN mille oodatav väärtus on taoline:
  /C=EE/O=ESTEID/OU=authentication/CN=SMITH,JOHN,37504170511/SN=SMITH/GN=JOHN/serialNumber=37504170511
  • SSL_CLIENT_VERIFY mille väärtus peab olema SUCCESS

Seejuures on SSL_CLIENT_S_DN väärtus erinev

Veebirakenduse kasutaja tuvastamine mobiil-ID-ga

Rakenduse näide ja lähtekood AS Sertifitseerimiskeskuselt