Lühike õpetus ID kaardi selgekstegemiseks apache+mod_ssl serverile

NB! päevakohasem õpetus koos 2007 a. muudatustega asub ID kaardi veebilehel.

• tõmba endale  Juur Sertifikaat ja  ESTEID Sertifikaat
• konverteeri need ümber PEM vormingusse:

openssl x509 -inform DER -in JUUR-SK.crt -outform PEM -out JUUR-SK.crt
openssl x509 -inform DER -in ESTEID-SK.crt  -outform PEM -out ESTEID-SK.crt
• lase kokku üheks failiks:

cat JUUR-SK.crt ESTEID-SK.crt > id.crt
• kopeeri id.crt  kataloogi /etc/httpd/conf/ssl.crt
• kirjuta /etc/httpd/conf/httpd.conf  faili  SSL virtuaalsaidi osasse juurde rida

  SSLCACertificateFile  /etc/httpd/conf/ssl.crt/id.crt

• nüüd mine kataloogi /etc/httpd/conf/ssl.crl ja tõmba ära sertifikaatide tühistusnimekirjad:
  wget http://www.sk.ee/crls/esteid/esteid.crl
  wget http://www.sk.ee/crls/juur/crl.crl
• konverteeri ka need PEM vormingusse:
  openssl crl -in esteid.crl -out esteid.crl -inform DER
  openssl crl -in crl.crl -out crl.crl -inform DER
• genereeri hash lingid tekkinud failidele käsuga make
• kirjuta /etc/httpd/conf/httpd.conf  faili  SSL virtuaalsaidi osasse juurde rida

  SSLCARevocationPath /etc/httpd/conf/ssl.crl

  Nüüd peaks siis sertifikaadid ja nende tühistusnimekirjad serverile olema selgeks tehtud.
  Tühistusnimekirjade uuendamine tasuks läbi teha regulaarselt, näiteks paigutades /etc/cron.daily kataloogi järgmine skript
• sellesse kataloogi SSL-virtuaalsaidis, milles soovid kasutada id-kaardi tuvastust lisad .htaccess faili sellised read:

(eeldusel, et selle kataloogi kohta on olemas httpd.conf failis  vastav AllowOverride  AuthConfig Options)

SSLVerifyClient require
SSLVerifyDepth 3

• tee apache'ile uuestikäivitus:   /etc/init.d/httpd restart
• istu nüüd mõne m$ arvuti taha, kus on kiipkaardilugeja ja mõni brauser, millele on ID-kaardi asi selgeks tehtud ning katseta ligipääsu
• server peaks nüüd sellele kataloogile ligi lubama AINULT eesti ID-kaardiga. ühtlasi saab server kätte ka kõik ID-kaardi sertifikaadis olevad andmed, nagu näiteks nime, isikukoodi jne.
• kui tahta, et server sertifikaatide andmed muutujatesse kannaks (et need oleks skriptides kasutatavad), võiks lisada .htaccess faili midagi sellist:

<Files ~ "\.(cgi|shtml|php)$">
 SSLOptions +StdEnvVars +ExportCertData
</Files>

• näidis   ja näidise tekst. Nii saan ma muidugi teada, kes käis näidist vaatamas, aga ega selles autentimises elik isiku tuvastamises midagi tervisele kahjulikku pole :-)
• tasub uurida ka  mod_ssl dokumentatsiooni