30. Nginx. Prueba de certificados. Aceptar certificados de usuario de varias CAs

A. Crear CA y certificados de prueba 

1. Crear carpeta de trabajo

#1. Crear carpetra de certificados
cd MyCerts
mkdir 2024
cd 2024

2. Crear clave de la CA y damos de password "mi-clave"

#2. Crear clave de la CA
openssl genpkey -algorithm RSA -out ca.key -aes256

3. Crear el certificado de la CA en formato PEM y le damos información varia

#3. Crear certificado de la CA
openssl req -x509 -new -nodes -key myCA.key -sha256 -days 1826 -out myCA.pem

4. Crear  la clave y el CSR de servidor web (OJO NO HACERLA AES256 que nginx falla!!!)

#4. Crear la clave del servidor WEB
openssl genrsa -out webserver.key 4096
#4. Crear CSR de servidor WEB
openssl req -new -key webserver.key -out webserver.csr

5. Extraer las IPs i  los DNS 

#5. IPS y DNS del srvidor
ifconfig
nslookup 192.168.1.2

Siendo 192.168.1.2 la IP del webserver obtenida ejecutando en el el comando if config. El comando nslooup devuelve

2.1.168.192.in-addr.arpa name = edu-HP-ProDesk-600-G1-SFF.

2.1.168.192.in-addr.arpa name = edu-HP-ProDesk-600-G1-SFF.local.

6. Crear el fichero webserver.v3.ext con esta información


authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = edu-HP-ProDesk-600-G1-SFF
DNS.2 = edu-HP-ProDesk-600-G1-SFF.local
IP.1 = 192.168.1.2
IP.2  = 192.168.1.2


7. Firmar el certificado de servidor

#7. Crear certificado de servidor WEB
openssl x509 -req -in webserver.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial -out webserver.crt -days 730 -sha256 -extfile webserver.v3.ext


8. Crear la clave y el CSR de usuario

#8. Crear clave de cliente
openssl genpkey -algorithm RSA -out client.key -aes256
#8. Crear CSR de cliente
openssl req -new -key client.key -out client.csr

9. Firmar el certificado de usuario

#9. firmar certificado de cliente
openssl x509 -req -in client.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial -out client.crt -days 365 -sha256


B. Crear fichero de configuración de nginx

10. Fichero /etc/nginx/sites-enabled/default  de nginx

upstream odoo {
  server 127.0.0.1:8069;
}

upstream odoochat {
  server 127.0.0.1:8072;
}

server {
  listen 80;
  server_name odoo.example.com;
  proxy_read_timeout 720s;
  proxy_connect_timeout 720s;
  proxy_send_timeout 720s;

  # Add Headers for odoo proxy mode
  proxy_set_header X-Forwarded-Host $host;
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  proxy_set_header X-Forwarded-Proto $scheme;
  proxy_set_header X-Real-IP $remote_addr;

  # log
  access_log /var/log/nginx/odoo.access.log;
  error_log /var/log/nginx/odoo.error.log;

  # Redirect longpoll requests to odoo longpolling port
  location /longpolling {
    proxy_pass http://odoochat;
  }

  # Redirect requests to odoo backend server
  location / {
    proxy_redirect off;
    proxy_pass http://odoo;
  }
  
  #status page*******************************************+
  location /nginx_status {
    stub_status on;
    access_log off;
    allow 127.0.0.1;  # Only allow requests from localhost
    deny all;  # Deny all other requests
  }

  # common gzip
  gzip_types text/css text/scss text/plain text/xml application/xml application/json application/javascript;
  gzip on;
 }
 
#https
server {   
    listen 8443 ssl;   
    server_name odoo.example.com;   
    ssl_certificate /home/ximo/MyCerts/2024/webserver.crt
    ssl_certificate_key /home/ximo/MyCerts/2024/webserver.key;   
    
    ssl_client_certificate /home/ximo/MyCerts/2024/myCA.pem;
    #ssl_verify_client optional_no_ca; #NO VA
    ssl_verify_client on; #VA si no afafem certificat
    
    #ssl_verify_depth 3;
    
    proxy_set_header X-SSL-CERT $ssl_client_escaped_cert;
    
    access_log /var/log/nginx/odoo.example.access.log;   
    error_log /var/log/nginx/odoo.example.error.log;   
    
    
    
    #status page*******************************************+
    location /nginx_status {
      stub_status on;
      access_log off;
      allow 127.0.0.1;  # Only allow requests from localhost
      deny all;  # Deny all other requests
    }
    
    
    location / {   
        proxy_pass http://127.0.0.1:8069;   
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto https;  
    } 
}

C. Segun chatgpt crear claves en odoo.conf de ODOO

10. Fichero odoo.conf


[options]
...
proxy_mode = True
ssl_certificate = /home/ximo/MyCerts/2024/webserver.crt
ssl_private_key = /home/ximo/MyCerts/2024/webserver.key


D. Si tenemos queremos que acepte certificados de varias CA.

En ese caso tenemos que empaquetar todos los certificados raiz en uno solo. Para ello se deben convertir a formato PEM

openssl x509 -in certca1.crt -out certca1.pem -outform PEM

cat certca1.pern certCA2.pem ... certCAn.pen >all_certs.pem


Y en la configuración de nginx cambiar esta línea

ssl_client_certificate /home/ximo/MyCerts/2024/all_certs.pem;

Comentarios

Publicar un comentario

Entradas populares de este blog

4. Desarrollando con Odoo (2). Introducción a modulos, vistas, modelos .. Añadir dependencias externas de Python a Odoo

Imagen
Hemos creado un módulo utilizando "odoo scaffold nombre_modulo" dentro de la shell del contenedor con usuario root #1. Entrar en el contenedor como root y ejecutando un bash de comandos docker exec -it --user root < nombre_contenedor_creado> bash #3. Ir al directorio /mnt/extra-addons y ejecutar odoo scaffold ximoapp01 cd /mnt/extra-addons odoo scaffold ximoapp01 Hemos hecho un enlace simbólico al directorio con lo que podemos ver los ficheros con Visual Studio Veamos los ficheros a modificar 1. __manifest__.py  Quitar el comentario de la línea  'security/ir.model.access.csv' , Podemos añadir dependencias externas en la etiqueta external dependencies. Ejemplo "external_dependencies": {"python": ["unidecode", "cryptography"]}, 2. models/models.py Quitamos comentarios y cambiamos el nombre para "task" class task (models . Model): _name = 'ximoapp01.task' _description = 'ximoapp01.tas...
Leer más

26. Desarrollando con Odoo (21). IMPORTANTE: Entorno de desarrollo. Instalar odoo. Modulos. scaffold. Recapitulaciones del capítulo 8 (Development, Test and Debug).

Imagen
1. Instalar Postgres Nos basamos en el libro de David Reis Para ello actualizamos el sistema, instalamos postgres, asignamos nuestro usuario como super usuario de la BD y arrancamos el servicio de postgres "env": {"PYTHONPATH":"${workspaceRoot}"},  // modify PYTHONPATH #1. Instalar Postgres sudo apt update sudo apt install postgresql #2. Hacer nuestro usuario DB Superuser sudo su -c "createuser -s $USER" postgres #3. Arrancar el servicio de postgres sudo service postgresql start 2. Instalar las dependencias de Odoo Nos basamos en el libro de David Reis Instalamos librerías, node, y less Instalamos tambien wkhtmltopdf #1. Instalar Git sudo apt update sudo apt install git #2. Instalar python v.3 sudo apt install python3-dev python3-pip python3-wheel python3-venv #3. Instalamos dependencias del S.O. sudo apt install \ build-essential \ libpq-dev \ libxslt-dev \ libzip-dev \ libldap2-dev \ libsasl2-dev \ libssl-de...
Leer más

8. Desarrollando con Odoo (6). Herencia de clase en modelos. Herencia de vistas. Operaciones numeradas en Odoo ??

Imagen
1. Introducción  En odoo tenemos 3 mecanismos de herencia de modelos. Para una clase padre llamada "padre" (_name="padre") veamos los 3 mecanismos de hernacia  El primero és una herencia tradicional añade atributos al modelo padre y se almacena en la misma tabla. La nueva clase es compatible con las vistas existentes de la clase padre. Para esta nueva clase se utiliza el mismo valor del atributo _name ("padre")  del padre (no hace falta volverlo a definir), pero se añade un atributo "_inherit" que toma el nombre del "_name" de la clase padre. Por tanto definiremos _inherit="padre". Se llama herencia de clase que crea una clase compatible con la tabla anterior El segundo es también herencia tradicional y se llama herencia de prototipo , pero el nuevo objeto utiliza una tabla nueva. Las vistas del padre no le sirven. Para ello, hay que proporcionar el nombre de la clase al atributo "_name" e indicar que se hereda (...
Leer más