menu di navigazione del network

Autenticazione Web tramite CIE


(Salvo Cristaldi) #1

Da poco ho ricevuto la mia CIE e vorrei iniziare a fare un po’ di sperimentazione. Volendo integrare i nostri servizi web (Università) con un’autenticazione tramite CIE e pin, sapete dirmi dove posso trovare un po’ di documentazione?


(Marco Deligios) #2

grazie a @Luca_Bonuccelli:


(Salvo Cristaldi) #3

Grazie. Provo a vedere quelle istruzioni.


(Salvo Cristaldi) #4

Purtroppo tutti i servizi che gestisco sono su IIS :sob:
Con Apache + PHP sarebbe semplice…


(Luca Bonuccelli) #5

Mutatis mutandis puoi applicare le istruzioni adattandole a iis…
basta cercare un poco in rete


(Luca Bonuccelli) #6

complimenti @emmedi per la memoria, quasi un anno fa… :wink:


(Salvo Cristaldi) #7

Ottimo, IIS configurato per l’autenticazione tramite certificato client fatto in casa. Nel caso della CIE quali certificati si devono installare nel server windows? Suppongo il root CA della CIE…


(Luca Bonuccelli) #8

i certificati dei servizi fiduciari italiani sono elencati qui:
https://eidas.agid.gov.it/TL/TSL-IT.xml
ovviamente trovi tutti i servizi: dalla firma all’identificazione ai timestamp…

quello di tuo interesse è marchiato idv e rilasciato dal ministero interno.

Ricordati poi di aggiungere il controllo sulle liste di revoca


(Salvo Cristaldi) #9

Ci sto sbattendo un po’… le cose interessanti non sono mai semplici… purtroppo.
Facendo un confronto con quello che si deve fare su Aphace e quello su IIS, dalle istruzioni precedenti sembra che su Apache l’essenziale sia la presenza del root CA della CIE

ca contains the CIEca.
SSLCACertificateFile /etc/pki/tls/certs/ca

DIscorso diverso su IIS dove, partendo però da un proprio self signed root, la procedura è molto lunga e laboriosa. Ovviamente non si deve creare un self signed root, in quanto adesso ho la National root CA for the Italian Electronic Identity Card installata sul server, non mi è chiaro cosa devo mettere nella sezione system.webServer/security/authentication/iisClientCertificateMappingAuthentication del configuration Editor relativo web site su IIS (forse la stringa base64 del root CA della CIE?)


(Salvo Cristaldi) #10

I certificati da installare sul server web non sono reperibili ufficialmente da nessuna parte?


(Fottavi) #11

Li trovi nella TSL dei certificatori accreditati pubblicata da AGID:
https://eidas.agid.gov.it/TL/TSL-IT.xml

Ci sono la root (National root CA for the Italian Electronic Identity Card) e le SubCA (al momento solo una: Issuing sub CA for the Italian Electronic Identity Card - SUBCA1)