Autenticazione Web tramite CIE

Salvo_Cristaldi · 2 Agosto 2018, 7:41am

Da poco ho ricevuto la mia CIE e vorrei iniziare a fare un po’ di sperimentazione. Volendo integrare i nostri servizi web (Università) con un’autenticazione tramite CIE e pin, sapete dirmi dove posso trovare un po’ di documentazione?

emmedi · 2 Agosto 2018, 8:58am

grazie a @Luca_Bonuccelli:

Salvo_Cristaldi · 2 Agosto 2018, 10:19am

Grazie. Provo a vedere quelle istruzioni.

Salvo_Cristaldi · 2 Agosto 2018, 10:33am

Purtroppo tutti i servizi che gestisco sono su IIS
Con Apache + PHP sarebbe semplice…

Luca_Bonuccelli · 2 Agosto 2018, 11:22am

Mutatis mutandis puoi applicare le istruzioni adattandole a iis…
basta cercare un poco in rete

Luca_Bonuccelli · 2 Agosto 2018, 11:24am

complimenti @emmedi per la memoria, quasi un anno fa…

Salvo_Cristaldi · 3 Agosto 2018, 9:33am

Ottimo, IIS configurato per l’autenticazione tramite certificato client fatto in casa. Nel caso della CIE quali certificati si devono installare nel server windows? Suppongo il root CA della CIE…

Luca_Bonuccelli · 3 Agosto 2018, 11:16am

i certificati dei servizi fiduciari italiani sono elencati qui:
https://eidas.agid.gov.it/TL/TSL-IT.xml
ovviamente trovi tutti i servizi: dalla firma all’identificazione ai timestamp…

quello di tuo interesse è marchiato idv e rilasciato dal ministero interno.

Ricordati poi di aggiungere il controllo sulle liste di revoca

Salvo_Cristaldi · 6 Agosto 2018, 11:12am

Ci sto sbattendo un po’… le cose interessanti non sono mai semplici… purtroppo.
Facendo un confronto con quello che si deve fare su Aphace e quello su IIS, dalle istruzioni precedenti sembra che su Apache l’essenziale sia la presenza del root CA della CIE

ca contains the CIEca.
SSLCACertificateFile /etc/pki/tls/certs/ca

DIscorso diverso su IIS dove, partendo però da un proprio self signed root, la procedura è molto lunga e laboriosa. Ovviamente non si deve creare un self signed root, in quanto adesso ho la National root CA for the Italian Electronic Identity Card installata sul server, non mi è chiaro cosa devo mettere nella sezione system.webServer/security/authentication/iisClientCertificateMappingAuthentication del configuration Editor relativo web site su IIS (forse la stringa base64 del root CA della CIE?)

Salvo_Cristaldi · 8 Agosto 2018, 10:26am

I certificati da installare sul server web non sono reperibili ufficialmente da nessuna parte?

fottavi · 8 Agosto 2018, 11:36am

Li trovi nella TSL dei certificatori accreditati pubblicata da AGID:
https://eidas.agid.gov.it/TL/TSL-IT.xml

Ci sono la root (National root CA for the Italian Electronic Identity Card) e le SubCA (al momento solo una: Issuing sub CA for the Italian Electronic Identity Card - SUBCA1)