PHPkiInstall » Cronologia » Versione 6
Amministratore Truelite, 15-11-2006 18:21
| 1 | 1 | Amministratore Truelite | [[TracNav(TOC)]] |
|---|---|---|---|
| 2 | = Installare e configurare PHPki = |
||
| 3 | |||
| 4 | [http://sourceforge.net/projects/phpki/ PHPki] è un buon programma per la gestione via web di una infastruttura di PKI semplificata, adeguato alle esigenze di gestione di una realtà di dimensioni medio-piccole. |
||
| 5 | |||
| 6 | 2 | Amministratore Truelite | La procedura di installazione è purtroppo un po' macchinosa, ma una volta installata l'utilizzo dell'applicazione è tutto sommato immediato. Una volta scaricati i sorgenti li si potranno installare (al solito si è scelto {{{/usr/local/share/}}}) con i seguenti comandi: |
| 7 | 1 | Amministratore Truelite | {{{ |
| 8 | cd /usr/local/share/ |
||
| 9 | tar -xvzf ~/phpki-0.80.tar.gz |
||
| 10 | mv phpki-0.80 phpki |
||
| 11 | }}} |
||
| 12 | |||
| 13 | 3 | Amministratore Truelite | In questa installazione iniziale la directory {{{phpki}}} sarà creata con permessi di scrittura aperti a tutti, per consentire agli script di setup forniti dal pacchetto stesso di scrivere all'interno della stessa la loro configurazione. Dato che questi script sono eseguiti via web per conto di Apache ed il programma non essendo pacchettizzato non sa quale utente utilizzare, la directory deve essere scrivibile da tutti: |
| 14 | 2 | Amministratore Truelite | {{{ |
| 15 | root@monk:/usr/local/share# ls -ld phpki/ |
||
| 16 | drwxrwsrwx 8 root users 4096 Nov 15 2005 phpki/ |
||
| 17 | }}} |
||
| 18 | una volta completata la configurazione si dovrà utilizzare lo script {{{secure.sh}}} per correggere i permessi. |
||
| 19 | |||
| 20 | Per accedere alla configurazione usando gli script forniti dal programma occorre anzitutto configurare Apache, faremo comparire la nostra CA sotto {{{/phpki}}}, utilizzando la seguente direttiva: |
||
| 21 | {{{ |
||
| 22 | Alias /phpki /usr/local/share/phpki/ |
||
| 23 | <Directory /usr/local/share/phpki> |
||
| 24 | DirectoryIndex index.php |
||
| 25 | Options Indexes FollowSymLinks |
||
| 26 | AllowOverride All |
||
| 27 | </Directory> |
||
| 28 | }}} |
||
| 29 | 4 | Amministratore Truelite | |
| 30 | Una volta inserita la precedente configurazione si potrà puntare il browser su {{{http://www.miosito.it/phpki}}} per ottenere la pagina di istruzioni, in alto a destra si potrà cliccare sul collegamento '''Setup''' per andare sulla pagina di impostazione che richiede tutte le informazioni necessarie. |
||
| 31 | |||
| 32 | 5 | Amministratore Truelite | In particolare andranno indicate la directory dove mantenere i file della Certification Authority ed il file su cui si memorizzeranno gli utenti con accesso alla console amministrativa (che richiede accesso autenticato di Apache), che nel nostro caso sono rispettivamente {{{/var/local/phpki/phpki-store}}} e {{{/var/local/phpki/phpkipasswd}}}. |
| 33 | |||
| 34 | In particolare occorrerà assegnare la proprietà della directory citata all'utente con cui gira Apache, in modo che i file della CA possano essere opportunamente creati al suo interno. Allo stesso modo andrà creato il file di accesso per l'utente amministrativo. Tutto questo va fatto prima di confermare l'esecuzione dello script di setup, altrimenti si avranno degli errori, il tutto si farà con i comandi: |
||
| 35 | 4 | Amministratore Truelite | {{{ |
| 36 | mkdir /var/local/phpki |
||
| 37 | mkdir /var/local/phpki/phpki-store |
||
| 38 | 1 | Amministratore Truelite | chown www-data /var/local/phpki/phpki-store |
| 39 | chmod 700 /var/local/phpki/phpki-store |
||
| 40 | 5 | Amministratore Truelite | htpasswd -cm /var/local/phpki/phpkipasswd admin |
| 41 | chown root.www-data /var/local/phpki/phpkipasswd |
||
| 42 | chmod 640 /var/local/phpki/phpkipasswd |
||
| 43 | }}} |
||
| 44 | |||
| 45 | Una volta creata l'infrastruttura per i dati necessari si potrà confermare l'esecuzione della pagina di impostazione, ed eseguire lo script di riordino dei permessi, che chiederà gli ultimi dati necessari: |
||
| 46 | {{{ |
||
| 47 | root@cleis:/usr/local/share/phpki# ./secure.sh |
||
| 48 | This application is designed to be an easy to use "certificate factory" |
||
| 49 | requiring minimum human intervention to administer. It is intended for |
||
| 50 | use within a trusted INTRAnet for the creation and management of x.509 |
||
| 51 | e-mail digital certificates by departmental managers. IT IS NOT INTENDED |
||
| 52 | FOR USE OVER THE INTERNET. |
||
| 53 | |||
| 54 | This application stores private keys within a sub-directory, making them |
||
| 55 | potentially susceptible to compromise. Extra care has been taken in the |
||
| 56 | design of this application to protect the security of your certificates, |
||
| 57 | on the condition that you INSTALL IT AS THE ROOT USER. However, no |
||
| 58 | software is 100% secure. |
||
| 59 | |||
| 60 | Enter the location of your PHPki password (i.e. /etc/phpkipasswd): /var/local/phpki/phpkipasswd |
||
| 61 | |||
| 62 | |||
| 63 | Enter the user ID your web server runs as [apache]: www-data |
||
| 64 | |||
| 65 | Enter the group ID your web server runs as [apache]: www-data |
||
| 66 | |||
| 67 | Enter the IP or subnet address [192.168.0.0/16] which will be allowed access |
||
| 68 | to the user admin module in under ./admin: 127.0.0.1 |
||
| 69 | Working... |
||
| 70 | Done. |
||
| 71 | 4 | Amministratore Truelite | }}} |
| 72 | 6 | Amministratore Truelite | |
| 73 | Nel caso si utilizzi una distribuzione che usa PHP 5 occorrerà anche modificare il file {{{ca/request_cert.php}}} che usa una parola chiave come valore di un istruzione '''case''', cosa che comporta un errore di sintassi, la cosa si può fare semplicemente con: |
||
| 74 | {{{ |
||
| 75 | sed -e 's/final/finale/g' ca/request_cert.php > request_cert.php.new |
||
| 76 | mv request_cert.php.new ca/request_cert.php |
||
| 77 | }}} |