Skip to content

GitLab

Last edited by Jan Pachol
Page history

Setup https

Nastaveni HTTPS

HTTPS se pro Portaro nastavuje buďto přímo v portaru, nebo, pokud na reverzní proxy, pokud se používá.

Portaro za reverzní proxy

Pokud Portaro běží za reverzní proxy (Apache, Nginx, HAProxy), HTTPS je nutné nastavit na ní. Komunikace v rámci vnitřní sítě pak probíhá nešifrovaně.

V Portaru je jen třeba nastavit ini OPAC.BehindReverseProxy na ANO.

Veškeré nastavení (let's encrypt nebo vlastní certifikáty) pak řeší knihovna sama.

Portaro bez reverzní proxy (samostatně)

Let's encrypt

Portaro podporuje automatické HTTPS pomocí Let's encrypt. Certifikáty se pak automaticky obnovují každé 3 měsíce.

  1. Ini OPAC_WEB.InternalHttpsKeysSource na acme - tím se zapne načítání certifikátů uložených přes acme
  2. Zapnout ini OPAC_WEB.InternalHttpsEnabled - tím se zapne SSL a naslouchání na portu 443, což vyžaduje restart
  3. Zapnout ini OPAC_WEB.AcmeAuto - tím se zapne automatická kontrola platnosti a obnovování acme certifikátů a následné automatické restartování portara
  4. UTIL -> Restart app
  5. Pokud https funguje, změnit http na https ini OPAC.URL a můžeme zakázat přístup přes http pomocí OPAC.ForceHttps

Certifikát a klíč v souborech PEM

Nejčastější varianta, pokud má knihovna své certifikáty. Potřebujeme 3 věci:

  • certifikát a mezilehlý CA certifikát
    • buďto je v jednom "chain" souboru nebo ve dvou souborech, (nejčastěji s koncovkou .pem nebo .cer) obsahem obou je plaintext obsahující -----BEGIN CERTIFICATE-----
  • privátní klíč
    • v textovém souboru (nejčastěji s koncovkou .pem nebo .key) obsahujícím -----BEGIN RSA PRIVATE KEY-----, což značí nezašifrovaný privátní klíč
    • nebo textovém v souboru obsahujícím -----BEGIN ENCRYPTED PRIVATE KEY-----, což značí zašifrovaný privátní klíč, který je třeba dešifrovat, viz níže.
  1. Ini OPAC_WEB.InternalHttpsKeysSource na fileAndKeyFile
  2. Zapnout ini OPAC_WEB.InternalHttpsEnabled - tím se zapne SSL a naslouchání na portu 443, což vyžaduje restart
  3. Nastavit cestu k certifikátu (nebo k celému chainu, pokud je v jednom souboru) do ini OPAC_WEB.InternalHttpsCertificateLocation
  4. Nastavit cestu ke klíči do ini OPAC_WEB.InternalHttpsPrivateKeyLocation
  5. Pokud je zvlášť soubor s certifikátem a soubor s chainem, nastavit chain do ini OPAC_WEB.InternalHttpsCACertificateLocation
  6. UTIL -> Restart app
  7. Pokud https funguje, změnit http na https ini OPAC.URL a můžeme zakázat přístup přes http pomocí OPAC.ForceHttps

Certifikát a klíč v keystoru (formát p12, pfx)

  1. Ini OPAC_WEB.InternalHttpsKeysSource na keystoreFile
  2. Zapnout ini OPAC_WEB.InternalHttpsEnabled - tím se zapne SSL a naslouchání na portu 443, což vyžaduje restart
  3. Nastavit cestu ke keystoru do ini OPAC_WEB.InternalHttpsKeystoreLocation
  4. Nastavit heslo ke keystoru do ini OPAC_WEB.InternalHttpsKeystorePassword
  5. Pokud je v keystoru více cert-key párů, je třeba portaru říci, který má použít (pod kterým aliasem ho najde) v ini OPAC_WEB.InternalHttpsKeystoreKeyAlias
  6. UTIL -> Restart app
  7. Pokud https funguje, změnit http na https ini OPAC.URL a můžeme zakázat přístup přes http pomocí OPAC.ForceHttps

Převody formátů

Dešifrování PEM privátního klíče

Pokud mame klic v souboru encrypted.pem ve kterem je -----BEGIN ENCRYPTED PRIVATE KEY----- a heslo, příkazem

openssl rsa -in encrypted.pem -out decrypted.pem

Ziskáme klíč v souboru decrypted.pem obsahující -----BEGIN RSA PRIVATE KEY-----