Skip to content

GitLab

  • Menu
Projects Groups Snippets
    • Loading...
  • Help
    • Help
    • Support
    • Community forum
    • Submit feedback
    • Contribute to GitLab
  • Sign in
  • P portaro
  • Project information
    • Project information
    • Activity
    • Labels
    • Members
  • Issues 0
    • Issues 0
    • List
    • Boards
    • Service Desk
    • Milestones
  • Monitor
    • Monitor
    • Incidents
  • Analytics
    • Analytics
    • Value stream
  • Wiki
    • Wiki
  • Activity
  • Create a new issue
  • Issue Boards
Collapse sidebar
  • Jan Pachol
  • portaro
  • Wiki
  • Setup https

Last edited by Jan Pachol May 31, 2021
Page history

Setup https

Nastaveni HTTPS

HTTPS se pro Portaro nastavuje buďto přímo v portaru, nebo, pokud na reverzní proxy, pokud se používá.

Portaro za reverzní proxy

Pokud Portaro běží za reverzní proxy (Apache, Nginx, HAProxy), HTTPS je nutné nastavit na ní. Komunikace v rámci vnitřní sítě pak probíhá nešifrovaně.

V Portaru je jen třeba nastavit ini OPAC.BehindReverseProxy na ANO.

Veškeré nastavení (let's encrypt nebo vlastní certifikáty) pak řeší knihovna sama.

Portaro bez reverzní proxy (samostatně)

Let's encrypt

Portaro podporuje automatické HTTPS pomocí Let's encrypt. Certifikáty se pak automaticky obnovují každé 3 měsíce.

  1. Ini OPAC_WEB.InternalHttpsKeysSource na acme - tím se zapne načítání certifikátů uložených přes acme
  2. Zapnout ini OPAC_WEB.InternalHttpsEnabled - tím se zapne SSL a naslouchání na portu 443, což vyžaduje restart
  3. Zapnout ini OPAC_WEB.AcmeAuto - tím se zapne automatická kontrola platnosti a obnovování acme certifikátů a následné automatické restartování portara
  4. UTIL -> Restart app
  5. Pokud https funguje, změnit http na https ini OPAC.URL a můžeme zakázat přístup přes http pomocí OPAC.ForceHttps

Certifikát a klíč v souborech PEM

Nejčastější varianta, pokud má knihovna své certifikáty. Potřebujeme 3 věci:

  • certifikát a mezilehlý CA certifikát
    • buďto je v jednom "chain" souboru nebo ve dvou souborech, (nejčastěji s koncovkou .pem nebo .cer) obsahem obou je plaintext obsahující -----BEGIN CERTIFICATE-----
  • privátní klíč
    • v textovém souboru (nejčastěji s koncovkou .pem nebo .key) obsahujícím -----BEGIN RSA PRIVATE KEY-----, což značí nezašifrovaný privátní klíč
    • nebo textovém v souboru obsahujícím -----BEGIN ENCRYPTED PRIVATE KEY-----, což značí zašifrovaný privátní klíč, který je třeba dešifrovat, viz níže.
  1. Ini OPAC_WEB.InternalHttpsKeysSource na fileAndKeyFile
  2. Zapnout ini OPAC_WEB.InternalHttpsEnabled - tím se zapne SSL a naslouchání na portu 443, což vyžaduje restart
  3. Nastavit cestu k certifikátu (nebo k celému chainu, pokud je v jednom souboru) do ini OPAC_WEB.InternalHttpsCertificateLocation
  4. Nastavit cestu ke klíči do ini OPAC_WEB.InternalHttpsPrivateKeyLocation
  5. Pokud je zvlášť soubor s certifikátem a soubor s chainem, nastavit chain do ini OPAC_WEB.InternalHttpsCACertificateLocation
  6. UTIL -> Restart app
  7. Pokud https funguje, změnit http na https ini OPAC.URL a můžeme zakázat přístup přes http pomocí OPAC.ForceHttps

Certifikát a klíč v keystoru (formát p12, pfx)

  1. Ini OPAC_WEB.InternalHttpsKeysSource na keystoreFile
  2. Zapnout ini OPAC_WEB.InternalHttpsEnabled - tím se zapne SSL a naslouchání na portu 443, což vyžaduje restart
  3. Nastavit cestu ke keystoru do ini OPAC_WEB.InternalHttpsKeystoreLocation
  4. Nastavit heslo ke keystoru do ini OPAC_WEB.InternalHttpsKeystorePassword
  5. Pokud je v keystoru více cert-key párů, je třeba portaru říci, který má použít (pod kterým aliasem ho najde) v ini OPAC_WEB.InternalHttpsKeystoreKeyAlias
  6. UTIL -> Restart app
  7. Pokud https funguje, změnit http na https ini OPAC.URL a můžeme zakázat přístup přes http pomocí OPAC.ForceHttps

Převody formátů

Dešifrování PEM privátního klíče

Pokud mame klic v souboru encrypted.pem ve kterem je -----BEGIN ENCRYPTED PRIVATE KEY----- a heslo, příkazem

openssl rsa -in encrypted.pem -out decrypted.pem

Ziskáme klíč v souboru decrypted.pem obsahující -----BEGIN RSA PRIVATE KEY-----

Clone repository
  • Appserver uninstall
  • Automatcké restartování containerů
  • Docker cheatsheet
  • How search works
  • Jak dostat logy z Portara na dockeru
  • Jak fungují práva v kombinaci s odděleními
  • Licenční server
  • Migrace firebirdu na 3.0
  • Nastaveni custom IP dockeru
  • Nastavení CPK
  • Nastavení SAML2 Identity Provider (např. EduID)
  • Platební brány
  • Postgres notes
  • Running Portaro
  • Setup filters and matchers
View All Pages