Käyttäjän työkalut

Sivuston työkalut


faq:alykorttitunnistus

Erot

Tämä näyttää erot valitun ja nykyisen version kesken tästä sivusta.

Linkki vertailunäkymään

Both sides previous revision Edellinen revisio
Seuraava revisio
Edellinen revisio
Viimeisin revisio Both sides next revision
faq:alykorttitunnistus [2011-05-01 19:13]
juha.tuomala
faq:alykorttitunnistus [2019-05-03 11:19]
haa [Älykortilla tunnistautuminen]
Rivi 1: Rivi 1:
 +====== Älykortilla tunnistautuminen ======
  
 +Iki:n jäsenrekisteriin on tulossa (ehkä joskus kunhan iki-uisuus-projekti valmistuu) tunnistautuminen (suomalaisella ja mahdollisesti myös muiden maiden) henkilökortilla.
 +
 +===== Älykortin käyttäminen =====
 +
 +VRK tarjoaa mPollux DigiSign ohjelmistoa ilmaiseksi Windowsille,​ Linuxille ja Mac OS:lle. Saatavissa [[http://​fineid.fi/​default.aspx?​docid=2227&​site=9&​id=294|VRK:​n sivuilta]]
 +
 +
 +==== Windows ====
 +
 +  * TODO: Varmaan VRK:lta voi imuttaa jotain, toimii jos toimii
 +==== Mac OS X ====
 +
 +  * Asennusohje (OSX 10.6.7 ja Firefox 4.0.1 kokeiltu 2011-06-01)
 +    - Imuroi VRK:n sivuilta Mac-ohjelmisto (mPollux)
 +    - Osta joku USB-älykortinlukija (ainakin Viron malli toimii hyvin)
 +    - Asenna Mac-ohjelmisto
 +      - Tällä voi vaihtaa PIN-koodit suoraan asennuksen jälkeen, testaa näin että homma toimii
 +    - Firefox 4 asennus:
 +      - Laita Firefox 32-bittiseen tilaan (muuten VRK:n 32-bittinen kirjasto ei lataudu)
 +        - Etsi Firefox -sovellus (yleensä /​Applications/​Firefox.app).
 +        - Valitse Firefox (yksi klikkaus, älä avaa)
 +        - Valite get-info (Komento+I). ​
 +        - Laita kohta "run in 32 bit mode" päälle. ​
 +        - Sulje ikkuna
 +        - Sulje ja avaa Firefox uudelleen jos oli käytössä
 +      - Firefoxiin VRK-softan linkitys:
 +        - Firefox-valikko
 +        - Preferences...
 +        - Advanced
 +        - Encryption
 +        - Security Devices
 +        - Load
 +        - nimeksi vaikka VRK mPollux ja Browse:lla hae /​Library/​mPolluxDigiSign/​cryptoki.1.0.0.dylib (tms, huomaa että tämä eroaa hieman vanhentuneista VRK:n ohjeista)
 +        - Load (jos tulee "Load failed"​ virheilmoitus,​ muista laittaa Firefox 32-bittiseen tilaan, kts. yllä)
 +      - **Väliaikainen viritys** jolla kierretään admin.iki.fi:​n vanhan SSL-kirjaston bugi
 +        - Laita url-kohtaan about:​config
 +        - Laita Filter-kohtaan renego_un
 +        - Klikkaa "​security.ssl.renego_unrestricted_hosts"​ rivin value-kenttää ja kirjoita siihen admin.iki.fi
 +    - Firefox 4 käyttö:
 +      * Mene www-sivulle joka haluaa tunnistusta (iki testi https://​admin.iki.fi/​perlhst/​admin)
 +      * Firefox kysyy kumpaa avainta haluat käyttää, valitse tunnistusavain (valinnan voinee tallettaa?)
 +      * Anna PIN-koodi kun sitä kysytään
 +      * Homma pelittää
 +  * Sekalaisia kommentteja
 +    * Nähtävästi Safari ja Mail ei oikein pelitä VRK-kortin kanssa.
 +
 +==== NetBSD ====
 +
 +  * Asenna paketit: security/​pcsc-lite,​ security/​ccid (kortinlukijan driveri), security/​opensc
 +  * Käynnistä pcsc-lite: /​usr/​pkg/​sbin/​pcscd
 +  * Tarkista että kortti toimii sanomalla esim ''​pkcs15-tool -c''​ joka listaa kortilla olevat certifikaatit.
 +
 +<​code>​
 +
 +~>​pkcs15-tool -c
 +Using reader with a card: OmniKey CardMan 1021 00 00
 +X.509 Certificate [todentamis- ja salausvarmenne]
 +        Flags    : 0
 +        Authority: no
 +        Path     : 3f004331
 +        ID       : 45
 +
 +X.509 Certificate [allekirjoitusvarmenne]
 +        Flags    : 0
 +        Authority: no
 +        Path     : 3f0050164332
 +        ID       : 46
 +
 +X.509 Certificate [VRK Gov. Root CA]
 +        Flags    : 0
 +        Authority: yes
 +        Path     : 3f004334
 +        ID       : 48
 +
 +X.509 Certificate [VRK Gov. CA for Citizen Qualified Certificates]
 +        Flags    : 0
 +        Authority: yes
 +        Path     : 3f004333
 +        ID       : 47
 +</​code>​
 +==== Linux ====
 +
 +Linuxilla on aktiivinen käyttäjäyhteisö Suomessa joka on myös ohjeistanut [[http://​linux.fi/​wiki/​HST |henkilökortin asetukset]] seikkaperäisesti omassa wikissään.
 +
 +===== Viron Henkilökortti =====
 +
 +Viron älykortti-henkilökortti on paljon enemmän käytössä kuin Suomessa ja monesta siihen liittyvästä asiasta voisimme ottaa mallia.
 +
 +Viron henkilökortilla (id-kaardi) on myös kaksi sertifikaattia tunnistamiseen ja allekirjoittamiseen. Kortilla on Suomesta poiketen henkilötunnus joka Virossa ei ole arka henkilötieto kuin Suomessa. Kortteja hallinnoi Poliisi ja Rajavartiolaitos (Politsei- ja Piriivalveamet) ja teknisestä toteutuksesta vastaa Sertifiointikeskus (sk.ee).
 +
 +http://​www.id.ee/​
 +http://​www.politsei.ee/​
 +http://​sk.ee/​
 +
 +==== WWW-palvelun Ohjeita ====
 +
 +Sivulla http://​www.id.ee/​11051 on Apachen ja IIS:n ohjeita, CA, CRL ja OCSP sijainnit.
 +
 +==== Käyttäjän Ohjeita ====
 +
 +=== Yleistä Linuxeissa ===
 +
 +  * Itsenäiset graafiset ohjelmat digidoc containerille allekirjoitukseen ja salaamiseen.
 +  * Tunnistus ja allekirjoitukset Mozilla Firefox plugineita tukevissa selaimissa.
 +  * ODF dokumenttien allekirjoitus OpenOfficessa.
 +
 +=== Ubuntu Linux ===
 +
 +=== Fedora Linux ===
 +
 +  * qesteidutil (digidoc työkalut)
 +  * mozilla-esteid (c-kielinen allekirjoitusplugin)
 +  * esteid-browser-plugin (pkcs#11 rajapinta plugin SSL-yhteyksien tunnistamiseen)
 +  * Asennus: yum install -y \*esteid\*
 +
 +=== Mac ===
 +
 +   * Lataa paketit: https://​installer.id.ee/​ ja asenna.
 +
 +=== Windows ===
 +
 +===== Älykortin muut käyttötavat =====
 +
 +Älykortti kelpaa myös muuhun käyttöön kuin www-tunnistautumiseen.
 +
 +==== Tiedostojen salaus ja allekirjoitus ====
 +
 +FIXME Onnistuu erillisillä ohjelmilla joilla voi salata ja/tai allekirjoittaa tiedostoja.
 +
 +==== SSH-tunnistus ====
 +
 +SSH-yhteyksissä voi myös käyttää älykorttia samaan tapaan kuin SSH-avaimia SSH-agentin kautta.
 +
 +Käyttö onnistuu näin:
 +
 +  - Lataa SSH-agenttiin tieto älykortilla olevasta avaimesta
 +    * Esim. ssh-add -s /​usr/​lib/​opensc-pkcs11.so
 +  - Kopioi kohdekoneeseen älykortilla olevan avaimen public -versio
 +    * Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/​.ssh/​authorized_keys -tiedostoon
 +    * Avaimen saa tulostettua ssh-add -L -komennolla omassa koneessa
 +  - Avaa yhteys jolloin SSH kysyy PIN-koodia ja autentikoi älykortilla olevalla avaimella
 +    * ssh kohdekone normaalisti
 +
 +=== SSH-Agent ===
 +
 +ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ssh-ohjelman käyttöön,​ mutta se pystyy myös käyttämään PKCS#​11-kirjaston kautta älykortin avaimia.
 +
 +ssh-agent:​in käyttäminen:​
 +
 +  * Linux
 +    * Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta,​ X11-ympäristöstä,​ ym.
 +    * On hyvin mahdollista,​ että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi -- katso dokumentaatiosta tai ps-komennolla
 +    * Joissakin tapauksissa pitää itse huolehtia ohjelman käyttöönotosta;​ esimerkiksi Gentoo Linuxissa KDE-ympäristöllä pitää poistaa kommenteista ssh-agentin käynnistyskomennot tiedostossa /​etc/​kde/​startup/​agent-startup.sh
 +    * Avaimia lisätään ssh-agent -ohjelman muistiin ssh-add -ohjelmalla;​ älykorttien tapauksessa käytetään -s-optiota, jolla kerrotaan PKCS#​11-kirjaston polku
 +    * Esim. ssh-add -s /​usr/​lib/​opensc-pkcs11.so
 +    * Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/​.ssh/​authorized_keys-tiedostoon;​ avaimen saa tulostettua ssh-add -L -komennolla
 +  * Mac OS X
 +    * ssh-agent käynnistyy launchd:n kautta automaattisesti kun sitä yritetään käyttää ensimmäisen kerran.
 +  * Windows SSH-clientit FIXME
faq/alykorttitunnistus.txt · Viimeksi muutettu: 2020-08-12 14:57 / haa