Ciao Nicola.
Personalmente non ho mai provato OpenSC su Windows. Non vorrei che ci fosse qualche incompatibilità.
Ti potrei consigliare di leggere questo mio articolo http://bit.ly/2VFMKq7 Come accedere al portale VETINFO tramite TS-CNS e Mac OS, dove puoi trovare una serie d’indicazioni per verificare il corretto funzionamento di OpenSC e lettore CNS e nel tuo caso CIE.
Una buona serata e spero di averti dato qualche informazione utile.
Ciao amusarra, stavo cercando di seguire questo tuo github. Ho provato l’autenticazione tramite certificati ma mi da errore e non mi fa autenticare. Ho anche provato a rigenerarli. Come mai?
Ciao Patrizia.
Con così poche informazioni non riuscirò a darti una mano.
Ciao Antonio, sto ancora lavorando sull’implementazione dell’autenticazione tramite CIE-CNS su un mio ambiente di test.
Avrei una domanda: serve una CA trustata (quindi non self-signed) per fare un test con una CNS reale? Perchè ho seguito tutte le tue istruzioni ma al momento della chiamata al file certificate_policy_check.php (che ti incollo di seguito in quanto ho modificato per fare un po’ di debug) è come se non riuscisse a leggere la variabile SSL_CLIENT_CERT (sembra sempre nulla!)
Di seguito lo script modificato (risulta sempre ‘match ok’):
<?php
$cnsCertificatePolicies = 'Policy: 1.3.76.16.2.1';
#$cieCertificatePolicies = 'Policy: 1.3.76.47.4';
$ssl = openssl_x509_parse(getenv('SSL_CLIENT_CERT'));
if((preg_match("/$cnsCertificatePolicies$/m", $ssl['extensions']['certificatePolicies']) == 0)) {
echo "match ok";
} else {
echo "NO match";
}
Ti ringrazio anticipatamente.
Patrizia
Ciao Patrizia.
Ti confermo che l’ambiente da me creato funziona esclusivamente con CNS e CIE reali con aggiornamento giornaliero dei certificati Trusted.
La variabile SSL_CLIENT_CERT è valorizzata solo nel momento in cui il processo di mutua autenticazione avviene con successo.
Nei prossimi giorni sperò di rimettere online l’ambiente di test.
Ciao,
Antonio
Grazie Antonio! Ci sono riuscita. Grazie mille per il supporto.
Volevo chiederti un’altra cosa, in generale per la mutua autenticazione… quando il browser mi chiede di scegliere il certificato per autenticarmi alla parte “protetta”, dopo la prima volta non me lo richiede più (non esce più il popup) come se l’avesse cachato… sai se c’è qualche configurazione affinchè il popup esca tutte le volte che io cerco di accedere alla parte “protetta”?
Ciao Patrizia.
Ottimo che sei riuscita nella tua impresa.
Per quel che riguarda la richiesta del PIN, il protocollo CSP prevede l’utilizzo di un sistema di cache per il PIN. Che io sappia da browser non è possibile evitare l’utilizzo della cache.
Qui puoi trovare maggiori dettagli https://docs.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-architecture#pin-caching
Ciao,
Antonio
Ho letto la documentazione, grazie mille. Lascerò così com’è.
A questo punto mi sorge un’altra domanda… nel sistema che sto implementando c’è sia l’accesso tramite SPID (con shibboleth) che quello tramite CNS che ho implementato seguendo le tue istruzioni… ho un problema. Dalla mia “home” dove ci sono i due pulsantini -accedi con spid- e -accedi con CNS- io devo atterrare in un’area sicura che però è la stessa sia per CNS che per SPID. Il problema sorge perchè nelle configurazioni ssl per questa location ‘protetta’ io ho:
<Location "/protetto">
SSLVerifyClient require
SSLVerifyDepth 10
</Location>
Invece sulle configurazioni di shibboleth ho:
<Location "/protetto">
AuthType shibboleth
ShibRequestSetting requireSession 1
Require shib-session
ShibUseHeaders On
</Location>
quindi le due configurazioni vanno in conflitto…sai se c’è un modo per dire ad apache di richiedere l’autenticazione tramite certificato se clicco su un bottone e di richiedere quella tramite shibboleth (per spid) se clicco l’altro? O devo fare necessariamente due location diverse?
Grazie anticipatamente!
Ciao Patrizia.
Volendo potresti mantenere le due location e utilizzare le Expressions di Apache per risolvere il tuo problema.
Bye,
Antonio.
Ciao a tutti. È nuovamente disponibile l’ambiente di test per l’autenticazione via TS-CNS/CIE http://bit.ly/2RIfutq L’ambiente è su cloud Azure
Ciao a tutti.
Ieri ho pubblicato sul mio blog l’articolo Cos’è il progetto CIE/CNS Apache Docker che spiega come poter utilizzare il progetto.