…meie igapäevast IT’d anna meile igapäev…

2006-12-24

Tants ID-kaardi ümber (ehk, IIS’i ja ID-kaardi suhtlema panemine)

Filed under: HTML,ID-kaart — Sander @ 10:31:03

Klient nõudis, et veebilehele sisselogimine oleks tehtud ID-kaardiga. Riigiasutuse värk, mis seal ikka – neil esinevad sageli mingid tobedad nõuded ja arhitektuuripiirangud. Tuleb lihtsalt vait olla ja edasi teenida.

Samuti, mis seal erilist. Sertifikaat serverile pähe, sisselogimise osa on ActiveX/Java näol juba kliendi masinas… kõik ju ilus.

Välja arvatud üks asi. Seekord pidi asi IIS’i (Internet Information Services) peal jooksma. Windows Server 2003.

Tegelikult mulle IIS meeldib. Lihtne on konfida, mõistlikkuse piires turvaline, suhteliselt stabiilne… PHP kipub ta peal ainult hirmus aeglaselt jooksma, aga sellega ka juba tegeletakse – Microsoft ja Zend sõlmisid leppe, mille kohaselt MS teeb valmis IIS’i lisa FastCGI, mis hakkab olema interface IIS’i ja PHP vahel. Seda nii IIS 5.1 (XP, rohkem nali kui veebiserver), 6.0 (2003) kui ka 7.0 (Vista) jaoks.

Ega ikka pole veel midagi erilist. Nii IIS’i kui ka Apache jaoks on id.ee lehel konfigureerimisõpetused ju olemas, puust ja punaseks ette.

Või ei. “Puust ja punaseks” on Apache konfimise õpetus. Seal on korralik, punkt-punktilt ja linkidega õpetus – lisaks veel link Veiko Sinivee PDF‘ile, mis selgitab ID-kaardi ülespanekut Apachele – lisaks veel SSL/HTTPS seoseid , lühike tutvustus veebiserverite ajalukku ja muudki. Lausa rõõm on selle järgi teha.

Seevastu IIS’i konfigureerimine…. Lausa nutt tuleb peale, kui lugeda. See üllitis (muuks ei paindu keel seda kutsuma) tuleb siinkohal ära tuua. Arhiveerimise mõttes et ka tulevad põlvkonnad näeks – tavalugejal soovitan siinkohal lihtsalt edasi hüpata. Punasega märgitud lõigud on minu poolt – et paremaid kohti lihtsam leida oleks.


IIS-i konfigureerimine ID-kaarti küsima
(esialgse juhendi autor: Mihkel Ütt, Seesam Elukindlustus)Taustainfoks vt ka Microsofti saidist SSL-sessiooni loomise kirjeldus.

  • Windows 2000 server, sh Internet Information Services, servicepackid
  • installeeri Juur-SK veebiserverisse, trusted root store
  • võiks ka installeerida ESTEID-SK sertifikaadi veebiserverisse, intermediate CA store
  • NB: lisades veenduda, et lisad ikka Masina (Computer) certificate store’sse, mitte kasutaja tasemel. Seega tasub certmgr.msc-ga asjad üle vaadata.
  • Veebiserverile võiks-peaks installsertifikaadi määramine käib tolle virtuaalhosti propertiesist, kahtlemata jaotisest Directory security.
  • Sealtsamast ja just virtuaalserveri tasemelt saab määrata ka CTLi (Certificate trust list), see teeb edasise elu ja kontrollimise lihtsamaks. Listi peab lisama Juur-SK ja ESTEID-SK sertifikaadid. Enable CTL.
  • Kogu saidi ulatuses võiks jaotisest Client Certificates valida Ignore, siis pole iga suvalise lehe küsimisel sertifikaat oluline.

Oletame, et sertifikaadi järgi tuvastamiseks kasutame ainult üht faili (sisuliselt logon). Teeme näiteks faili logon.asp kasvõi serveri juurkataloogi. Faili sisuks võiks panna midagi sellist (VBscript — NB: siin ja allpool koodinäidetes < ja % vahelt vaja üks tühik ära koristada, kohalik sisuhaldus ei luba muidu lihtsalt lehel kommentaari-märgendust)


Kas ei tundugi nii hull? Ürita siis selle järgi IIS konfida… ja siis hakkab see hull tunduma. Parimal juhul on need märkmed selleks, et nende järgi konfigureerimisõpetust kirjutada.

Õnneks ei olnud antud IIS’i konfimine sellel hetkel enam minu rida – aga teiste inimeste Kolgata teekond alles algas.Sõna-sõnalt selle õpetuse järgi tehes ei õnnestunud midagi mõistlikku saada. Pärast paljusid telefonikõnesid, emaile ja (üldjuhul ignoreeritud) postitusi id.ee foorumisse õnnestusid serdid lõpuks peale saada… Kunagi lähitulevikus saab sellest korralik juhend kirjutatud – nii firmasiseseks kasutamiseks kui saab see ka id.ee’le saadetud… loodetavasti panevad nad selle üles.See oli siis esimene osa. Serdid olid peal, testkaart töötas id.ee’s toodud VBScriptiga… aga kui sai seesama asi kirjutatud ümber ASP.NET’i – katsetades nii C# kui VB.NET’i – siis ei töödanud enam midagi.

Taaskord sai kaastöötaja istuda telefoni otsas ja paluda abi id.ee’st – ning talle vastati ülbelt “Helistage <insert tundmatu arvutifirma nimi>, nemad on seda teinud”.

Tjahh… Olgu pealegi. Helistati, meiliti… vastust vähemalt siiani (ca 2 nädalat ei ole). Veidi abi sai Hinnavaatluse foorumist – aga mitte oluliselt.

Lõpuks saigi asi ajutiselt kokku traageldatud ASP’ist ASP.NET’i sessiooni üle viies. Need, kes teavad, ohkasid siinkohal….

Mõni ime, et ID-kaarti ei kasutata kuigi laialdaselt. Sellel oleks potensiaali kõikjal Eestis – ja pikemas perspektiivis ilmselt ka välismaal – identimised, sisselogimised, digiallkirjad, krüpteerimine. Kuid riigi jaoks on taaskord tegemist projektiga, millele sai linnukese ette panna – “tehtud” – ja siis unustada.

Tore oleks, kui ID-kaart siiski ametnike süüdimatuse-hoolimatuse tõttu unustusse ei vajuks.

Lisaks veel ühe väikese halina veebilehe id.ee teemal. Kas tõesti on raske teha menüüsid, mis ise sulguksid? Liiguta hiirt kogemata üle menüü – ja sul on suur lärakas rippmenüüd mis enne ei sulgu, kui selles olevas lingis klikid. Õnnetus, mitte menüü.

11 kommentaari »

  1. 1. ArhiTektuur, mitte arhiDektuur.
    2. Kuna ükski terve mõistusega inimene ei pea IISi ja muud Microsfti kräppi serveriks, siis on üsna selge, et keegi ei viitsi selleleperspektiivitule platvormile ka juhendit kirjutada.
    Lõppeks pole juhendit ka Zeus HTTP Serveri, KF Serveri, Abyss Web serveri ja veel paljude teiste kohta.
    3. Inimene kellel on põhjalikud teadmised MS serverite ja AD kohta saab selle juhendi järgi serdid paigaldatud küll. Kodanik, kes ei saa täpselt aru, mida ei tohikski MS serverit konffida. Muidu juhtub nii, nagu selles loos: http://quake.agitaator.ee/?p=227

    kommentaar kirjutas Offf — 2006-12-24 @ 16:20:44 | Vasta

  2. Arhitektuur kirjutan alati valesti… kaasasündinud viga.

    Aga kurb lugu on IIS’iga on selles, et järjest rohkem tuleb arendada asju, mis jooksevad IIS’i peal. Kliendid nõuavad – võib ju joosta ja kilgata “JBoss! lighttp! Apache!” – aga kui nõutakse muud, siis peab tegema.

    kommentaar kirjutas dukelupus — 2006-12-24 @ 16:56:23 | Vasta

  3. Ma sain IIS-i peal kõik toimima suht kerge vaevaga ja peamine, mida kasutasin, olid MS-i enda juhendid. Kui aga vaatad olukorda desktopi softi osas, siis selle kõrval, ma pakun, on Su IIS-i mure küllaltki maine :p

    kommentaar kirjutas Gunnar — 2006-12-24 @ 17:18:48 | Vasta

  4. Jah – me saime ka edaspidi käima väga lihtsa vaevaga kui juba teadsime, kuidas seda installida.

    kommentaar kirjutas dukelupus — 2006-12-24 @ 17:23:24 | Vasta

  5. Sul on mingid imelikud kliendid siis. Peavad minema nurka ja h2benema.
    Iga lapski teab, et ainus õige veeb on jaavas kirjutatud veeb, mis jookseb BEA Weblogic appserveris, Solarise platvormil ja hoiab andmeid Oracle andmebaasiserveris. Soolmulikult tõupuhta Suni riistvara peal. Kliendiga, kes on nii kooner, et selle veebiriist- ja tarkvara maksab VÄHEM kui Bossi Lexus pole üldse mõtet tegeleda. Niikuinii ei ole sealt midagi head tulemas.

    kommentaar kirjutas Offf — 2006-12-26 @ 14:55:02 | Vasta

  6. Link on vist muutunud:
    http://www.id.ee/?id=10737

    kommentaar kirjutas Madis — 2007-09-23 @ 12:47:35 | Vasta

  7. […] varem kirjutanud rant‘i ID-kaardi jaoks tarkvara arendamisest. Mis siiani on meeles – ja hämmastab – oli […]

    Pingback-viide kirjutas E-stonia: müüt, tegelikkus ja reaalne olukord « …meie igapäevast IT’d anna meile igapäev… — 2008-04-04 @ 10:06:18 | Vasta

  8. […] ID kaardi põhise autentimise seadistamine IIS 6.0-s Kirjutamise põhjuseks on http://www.id.ee peal olev eksitav juhend: http://www.id.ee/10456?id=10737 . Selle juhendi üle on kaevanud ka teised: https://dukelupus.wordpress.com/2006/12/24/tants-id-kaardi-umber-ehk-iisi-ja-id-kaardi-suhtlema-panem… […]

    Pingback-viide kirjutas ID kaardi põhise autentimise seadistamine IIS 6.0-s « Neeme Vool Weblog — 2008-04-15 @ 17:12:29 | Vasta

  9. […] kus ta esimeseks postituseks ón ID kaardi põhise autentimise seadistamine IIS 6.0-s. Olen ise samuti sel teemal kaevelnud – kuid Neeme läks sammu edasi ja kirjutas ilusa, punkt-punktilt seletava õpetuse. Kui id.ee […]

    Pingback-viide kirjutas Uus IT-blogi « …meie igapäevast IT’d anna meile igapäev… — 2008-04-15 @ 21:48:04 | Vasta

  10. […] ID kaardi põhise autentimise seadistamine IIS 6.0-s Kirjutamise põhjuseks on http://www.id.ee peal olev eksitav juhend: http://www.id.ee/10456?id=10737 . Selle juhendi üle on kaevanud ka teised: https://dukelupus.wordpress.com/2006/12/24/tants-id-kaardi-umber-ehk-iisi-ja-id-kaardi-suhtlema-panem… […]

    Pingback-viide kirjutas ID kaardi põhise autentimise seadistamine IIS 6.0-s « Neeme Vool Weblog — 2008-05-07 @ 16:08:05 | Vasta

  11. Tere!

    Kaalujдlgijad ei eksisteeri rohkem ?

    kommentaar kirjutas liisikeneaa — 2009-06-30 @ 14:59:53 | Vasta


RSS feed for comments on this post. TrackBack URI

Lisa kommentaar

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Muuda )

Twitter picture

You are commenting using your Twitter account. Log Out / Muuda )

Facebook photo

You are commenting using your Facebook account. Log Out / Muuda )

Google+ photo

You are commenting using your Google+ account. Log Out / Muuda )

Connecting to %s

Create a free website or blog at WordPress.com.