====== Autenticación DNIe con Apache2 y PHP ======
===== Situación =====

Queremos autenticar una Web utilizando el [[http://www.dnielectronico.es/|DNI Electrónico]], para ello vamos a utilizar:
  * **Cliente**: Cualquier cliente que tenga instalado y funcionando el [[http://www.dnielectronico.es/|DNI Electrónico]] 
  * **Servidor**: [[http://www.ubuntu.com|Ubuntu]] + [[http://httpd.apache.org/|Apache2]] + [[www.php.net|PHP5]]

===== Instalación =====
Para ello, instalamos Apache2 y php5:
<code>
apt-get install apache2 libapache2-mod-php5 php5
</code>

===== Certificados =====
Nos harán falta un par de claves SSL (privada y pública para nuestro servidor apache) las cuales colocaremos en formato de PEM en el fichero: /etc/apache2/ssl/apache.pem. Un buen documento de como generar nuestra propia clave es: [[http://www.tc.umn.edu/~brams006/selfsign.html]]

Y la clave pública de la CA de la policía, la cual se puede obtener de: [[http://www.dnielectronico.es/seccion_integradores/autoridades_cert.html|Autoridades de Certificación del DNIe]]
Dicha clave la situaremos en formato PEM en: /etc/ssl/certs/acraiz-dnie.cer

<code>
$ openssl x509 -in ACRAIZ-SHA1.crt -inform DER -out ACRAIZ-SHA1.crt -outform PEM
$ sudo cp ACRAIZ-SHA1.crt /etc/ssl/certs/acraiz-dnie.cer
</code>

===== Configuración =====

Configuramos apache2 para que soporte SSL en el puerto 443 (https):
<code>
# echo "Listen 8443" >> /etc/apache2/ports.conf
</code>
Y el servicio virtual para que soporte https en el fichero: /etc/apache2/sites-available/default-ssl
<code>
NameVirtualHost *:443
<VirtualHost *:443>

        SSLEngine On
        SSLCertificateFile /etc/apache2/ssl/apache.pem


        SSLCACertificateFile /etc/ssl/certs/acraiz-dnie.cer
        SSLVerifyClient require
        SSLVerifyDepth 2
        SSLOptions +StdEnvVars +ExportCertData

        DocumentRoot /var/www/

        ErrorLog /var/log/apache2/error.log

        LogLevel warn
        CustomLog /var/log/apache2/access.log combined

</VirtualHost>
</code>

Luego habilitamos la configuración de apache:
<code>
# a2ensite default-ssl
# /etc/init.d/apache2 restart
</code>

===== PHP y los datos del DNIe + Comprobación OCSP =====
Apache envía los datos de la autenticación mediante variables de entorno globales.
La comprobación OCSP se realiza utilizando PHP + OpenSSL, debido a que mod_ssl para apache, no soporta OCSP.

Ejemplo de aplicación en PHP para obtener dichas variables es:
<code php>

<html>
<head>
<title>Session and more ...</title>
</head>
<body>

<? if ($_SERVER['SSL_CLIENT_S_DN'])
    print "Autenticado con DNIe";
   else
    print "Autenticar con Login y Pass";
?>

<h1>Datos de variables globales</h1>

<h2>ENV</h2>
<table>
<tr><td><b>Clave</b></td><td><b>Valor</b></td></tr>
<? foreach (array_keys($_ENV) as $key)
    print "<tr><td>" . $key . "</td><td>" . $_ENV[$key] . "</td></tr>\n"; ?>
</table>

<h2>SERVER</h2>
<table>
<tr><td><b>Clave</b></td><td><b>Valor</b></td></tr>
<? foreach (array_keys($_SERVER) as $key)
    print "<tr><td>" . $key . "</td><td>" . $_SERVER[$key] . "</td></tr>\n"; ?>
</table>

<h2>SESSION</h2>
<table>
<tr><td><b>Clave</b></td><td><b>Valor</b></td></tr>
<? foreach (array_keys($_SESSION) as $key)
    print "<tr><td>" . $key . "</td><td>" . $_SESSION[$key] . "</td></tr>\n"; ?>
</table>

<h2>COOKIE</h2>
<table>
<tr><td><b>Clave</b></td><td><b>Valor</b></td></tr>
<? foreach (array_keys($_COOKIE) as $key)
    print "<tr><td>" . $key . "</td><td>" . $_COOKIE[$key] . "</td></tr>\n"; ?>
</table>
<h2>GLOBALS</h2>
<table>
<tr><td><b>Clave</b></td><td><b>Valor</b></td></tr>
<? foreach (array_keys($GLOBALS) as $key)
    print "<tr><td>" . $key . "</td><td>" . $GLOBALS[$key] . "</td></tr>\n"; ?>
</table>

<h2>OCSP Check</h2>
<?php
// User variables:
$dir = '/tmp/'; // Directory where apache has access to (chmod 777).
$RootCA = '/etc/ssl/certs/acraiz-dnie.cer'; // Points to the Root CA in PEM format.
$OCSPUrl = 'http://ocsp.dnie.es/'; //Points to the OCSP URL
// Script:
$a = rand(1000,99999); // Needed if you expect more page clicks in one second!
file_put_contents($dir.$a.'cert_i.pem', $_SERVER['SSL_CLIENT_CERT_CHAIN_0']); // Issuer certificate.
file_put_contents($dir.$a.'cert_c.pem', $_SERVER['SSL_CLIENT_CERT']); // Client (authentication) certificate.
$output = shell_exec('openssl ocsp -CAfile '.$RootCA.' -issuer '.$dir.$a.'cert_i.pem -cert '.$dir.$a.'cert_c.pem -url '.$OCSPUrl);
$output2 = preg_split('/[\r\n]/', $output);
$output3 = preg_split('/: /', $output2[0]);
$ocsp = $output3[1];
echo "OCSP status: ".$ocsp; // will be "good", "revoked", or "unknown"
unlink($dir.$a.'cert_i.pem');
unlink($dir.$a.'cert_c.pem');
?>


</body>
</html>

</code>


Para probar un poco:
http://dnie.locolandia.net => https://dnie.locolandia.net:8443