Tants ID-kaardi ümber (ehk, IIS’i ja ID-kaardi suhtlema panemine)

Klient nõudis, et veebilehele sisselogimine oleks tehtud ID-kaardiga. Riigiasutuse värk, mis seal ikka – neil esinevad sageli mingid tobedad nõuded ja arhitektuuripiirangud. Tuleb lihtsalt vait olla ja edasi teenida.

Samuti, mis seal erilist. Sertifikaat serverile pähe, sisselogimise osa on ActiveX/Java näol juba kliendi masinas… kõik ju ilus.

Välja arvatud üks asi. Seekord pidi asi IIS’i (Internet Information Services) peal jooksma. Windows Server 2003.

Tegelikult mulle IIS meeldib. Lihtne on konfida, mõistlikkuse piires turvaline, suhteliselt stabiilne… PHP kipub ta peal ainult hirmus aeglaselt jooksma, aga sellega ka juba tegeletakse – Microsoft ja Zend sõlmisid leppe, mille kohaselt MS teeb valmis IIS’i lisa FastCGI, mis hakkab olema interface IIS’i ja PHP vahel. Seda nii IIS 5.1 (XP, rohkem nali kui veebiserver), 6.0 (2003) kui ka 7.0 (Vista) jaoks.

Ega ikka pole veel midagi erilist. Nii IIS’i kui ka Apache jaoks on id.ee lehel konfigureerimisõpetused ju olemas, puust ja punaseks ette.

Või ei. “Puust ja punaseks” on Apache konfimise õpetus. Seal on korralik, punkt-punktilt ja linkidega õpetus – lisaks veel link Veiko Sinivee PDF‘ile, mis selgitab ID-kaardi ülespanekut Apachele – lisaks veel SSL/HTTPS seoseid , lühike tutvustus veebiserverite ajalukku ja muudki. Lausa rõõm on selle järgi teha.

Seevastu IIS’i konfigureerimine…. Lausa nutt tuleb peale, kui lugeda. See üllitis (muuks ei paindu keel seda kutsuma) tuleb siinkohal ära tuua. Arhiveerimise mõttes et ka tulevad põlvkonnad näeks – tavalugejal soovitan siinkohal lihtsalt edasi hüpata. Punasega märgitud lõigud on minu poolt – et paremaid kohti lihtsam leida oleks.

---

IIS-i konfigureerimine ID-kaarti küsima
(esialgse juhendi autor: Mihkel Ütt, Seesam Elukindlustus)Taustainfoks vt ka Microsofti saidist SSL-sessiooni loomise kirjeldus.

• Windows 2000 server, sh Internet Information Services, servicepackid
• installeeri Juur-SK veebiserverisse, trusted root store
• võiks ka installeerida ESTEID-SK sertifikaadi veebiserverisse, intermediate CA store
• NB: lisades veenduda, et lisad ikka Masina (Computer) certificate store’sse, mitte kasutaja tasemel. Seega tasub certmgr.msc-ga asjad üle vaadata.
• Veebiserverile võiks-peaks installsertifikaadi määramine käib tolle virtuaalhosti propertiesist, kahtlemata jaotisest Directory security.
• Sealtsamast ja just virtuaalserveri tasemelt saab määrata ka CTLi (Certificate trust list), see teeb edasise elu ja kontrollimise lihtsamaks. Listi peab lisama Juur-SK ja ESTEID-SK sertifikaadid. Enable CTL.
• Kogu saidi ulatuses võiks jaotisest Client Certificates valida Ignore, siis pole iga suvalise lehe küsimisel sertifikaat oluline.

Oletame, et sertifikaadi järgi tuvastamiseks kasutame ainult üht faili (sisuliselt logon). Teeme näiteks faili logon.asp kasvõi serveri juurkataloogi. Faili sisuks võiks panna midagi sellist (VBscript — NB: siin ja allpool koodinäidetes < ja % vahelt vaja üks tühik ära koristada, kohalik sisuhaldus ei luba muidu lihtsalt lehel kommentaari-märgendust)

---

Kas ei tundugi nii hull? Ürita siis selle järgi IIS konfida… ja siis hakkab see hull tunduma. Parimal juhul on need märkmed selleks, et nende järgi konfigureerimisõpetust kirjutada.

Õnneks ei olnud antud IIS’i konfimine sellel hetkel enam minu rida – aga teiste inimeste Kolgata teekond alles algas.Sõna-sõnalt selle õpetuse järgi tehes ei õnnestunud midagi mõistlikku saada. Pärast paljusid telefonikõnesid, emaile ja (üldjuhul ignoreeritud) postitusi id.ee foorumisse õnnestusid serdid lõpuks peale saada… Kunagi lähitulevikus saab sellest korralik juhend kirjutatud – nii firmasiseseks kasutamiseks kui saab see ka id.ee’le saadetud… loodetavasti panevad nad selle üles.See oli siis esimene osa. Serdid olid peal, testkaart töötas id.ee’s toodud VBScriptiga… aga kui sai seesama asi kirjutatud ümber ASP.NET’i – katsetades nii C# kui VB.NET’i – siis ei töödanud enam midagi.

Taaskord sai kaastöötaja istuda telefoni otsas ja paluda abi id.ee’st – ning talle vastati ülbelt “Helistage <insert tundmatu arvutifirma nimi>, nemad on seda teinud”.

Tjahh… Olgu pealegi. Helistati, meiliti… vastust vähemalt siiani (ca 2 nädalat ei ole). Veidi abi sai Hinnavaatluse foorumist – aga mitte oluliselt.

Lõpuks saigi asi ajutiselt kokku traageldatud ASP’ist ASP.NET’i sessiooni üle viies. Need, kes teavad, ohkasid siinkohal….

Mõni ime, et ID-kaarti ei kasutata kuigi laialdaselt. Sellel oleks potensiaali kõikjal Eestis – ja pikemas perspektiivis ilmselt ka välismaal – identimised, sisselogimised, digiallkirjad, krüpteerimine. Kuid riigi jaoks on taaskord tegemist projektiga, millele sai linnukese ette panna – “tehtud” – ja siis unustada.

Tore oleks, kui ID-kaart siiski ametnike süüdimatuse-hoolimatuse tõttu unustusse ei vajuks.

Lisaks veel ühe väikese halina veebilehe id.ee teemal. Kas tõesti on raske teha menüüsid, mis ise sulguksid? Liiguta hiirt kogemata üle menüü – ja sul on suur lärakas rippmenüüd mis enne ei sulgu, kui selles olevas lingis klikid. Õnnetus, mitte menüü.