Käyttäjän työkalut
faq:alykorttitunnistus
Erot
Tämä näyttää erot valitun ja nykyisen version kesken tästä sivusta.
|
faq:alykorttitunnistus [2011-05-01 19:06] juha.tuomala |
faq:alykorttitunnistus [2019-05-03 11:19] (nykyinen) haa [Älykortilla tunnistautuminen] |
||
|---|---|---|---|
| Rivi 1: | Rivi 1: | ||
| ====== Älykortilla tunnistautuminen ====== | ====== Älykortilla tunnistautuminen ====== | ||
| - | Iki:n jäsenrekisteriin on tulossa (ehkä joskus) tunnistautuminen (suomalaisella ja mahdollisesti myös muiden maiden) henkilökortilla. | + | Iki:n jäsenrekisteriin on tulossa (ehkä joskus kunhan iki-uisuus-projekti valmistuu) tunnistautuminen (suomalaisella ja mahdollisesti myös muiden maiden) henkilökortilla. |
| - | ====== Älykortin käyttäminen ====== | + | ===== Älykortin käyttäminen ===== |
| VRK tarjoaa mPollux DigiSign ohjelmistoa ilmaiseksi Windowsille, Linuxille ja Mac OS:lle. Saatavissa [[http://fineid.fi/default.aspx?docid=2227&site=9&id=294|VRK:n sivuilta]] | VRK tarjoaa mPollux DigiSign ohjelmistoa ilmaiseksi Windowsille, Linuxille ja Mac OS:lle. Saatavissa [[http://fineid.fi/default.aspx?docid=2227&site=9&id=294|VRK:n sivuilta]] | ||
| - | ===== Windows ===== | + | ==== Windows ==== |
| * TODO: Varmaan VRK:lta voi imuttaa jotain, toimii jos toimii | * TODO: Varmaan VRK:lta voi imuttaa jotain, toimii jos toimii | ||
| + | ==== Mac OS X ==== | ||
| - | ===== Mac OS X ===== | + | * Asennusohje (OSX 10.6.7 ja Firefox 4.0.1 kokeiltu 2011-06-01) |
| - | + | - Imuroi VRK:n sivuilta Mac-ohjelmisto (mPollux) | |
| - | * mPollux softa toimii taustalla, VRK tarjoaa tätä ilmaiseksi | + | - Osta joku USB-älykortinlukija (ainakin Viron malli toimii hyvin) |
| - | * FireFox 3 selaimena toimii ainakin kun lisää mPolluxin security deviceksi (VRK:n sivuilla on linkki ohjeisiin) | + | - Asenna Mac-ohjelmisto |
| + | - Tällä voi vaihtaa PIN-koodit suoraan asennuksen jälkeen, testaa näin että homma toimii | ||
| + | - Firefox 4 asennus: | ||
| + | - Laita Firefox 32-bittiseen tilaan (muuten VRK:n 32-bittinen kirjasto ei lataudu) | ||
| + | - Etsi Firefox -sovellus (yleensä /Applications/Firefox.app). | ||
| + | - Valitse Firefox (yksi klikkaus, älä avaa) | ||
| + | - Valite get-info (Komento+I). | ||
| + | - Laita kohta "run in 32 bit mode" päälle. | ||
| + | - Sulje ikkuna | ||
| + | - Sulje ja avaa Firefox uudelleen jos oli käytössä | ||
| + | - Firefoxiin VRK-softan linkitys: | ||
| + | - Firefox-valikko | ||
| + | - Preferences... | ||
| + | - Advanced | ||
| + | - Encryption | ||
| + | - Security Devices | ||
| + | - Load | ||
| + | - nimeksi vaikka VRK mPollux ja Browse:lla hae /Library/mPolluxDigiSign/cryptoki.1.0.0.dylib (tms, huomaa että tämä eroaa hieman vanhentuneista VRK:n ohjeista) | ||
| + | - Load (jos tulee "Load failed" virheilmoitus, muista laittaa Firefox 32-bittiseen tilaan, kts. yllä) | ||
| + | - **Väliaikainen viritys** jolla kierretään admin.iki.fi:n vanhan SSL-kirjaston bugi | ||
| + | - Laita url-kohtaan about:config | ||
| + | - Laita Filter-kohtaan renego_un | ||
| + | - Klikkaa "security.ssl.renego_unrestricted_hosts" rivin value-kenttää ja kirjoita siihen admin.iki.fi | ||
| + | - Firefox 4 käyttö: | ||
| + | * Mene www-sivulle joka haluaa tunnistusta (iki testi https://admin.iki.fi/perlhst/admin) | ||
| + | * Firefox kysyy kumpaa avainta haluat käyttää, valitse tunnistusavain (valinnan voinee tallettaa?) | ||
| + | * Anna PIN-koodi kun sitä kysytään | ||
| + | * Homma pelittää | ||
| + | * Sekalaisia kommentteja | ||
| + | * Nähtävästi Safari ja Mail ei oikein pelitä VRK-kortin kanssa. | ||
| - | ===== NetBSD ===== | + | ==== NetBSD ==== |
| * Asenna paketit: security/pcsc-lite, security/ccid (kortinlukijan driveri), security/opensc | * Asenna paketit: security/pcsc-lite, security/ccid (kortinlukijan driveri), security/opensc | ||
| + | * Käynnistä pcsc-lite: /usr/pkg/sbin/pcscd | ||
| + | * Tarkista että kortti toimii sanomalla esim ''pkcs15-tool -c'' joka listaa kortilla olevat certifikaatit. | ||
| - | ===== Linux ===== | + | <code> |
| - | * opensc | + | ~>pkcs15-tool -c |
| - | * pcsc-lite tai openct | + | Using reader with a card: OmniKey CardMan 1021 00 00 |
| - | * ccid | + | X.509 Certificate [todentamis- ja salausvarmenne] |
| - | * FireFox | + | Flags : 0 |
| - | * OpenSC-paketti sisältää toteutuksen kryptolaitteiden RSA Laboratories'n standardoimalle API-rajapinnalle ([[https://secure.wikimedia.org/wikipedia/en/wiki/PKCS11|PKCS#11]]). | + | Authority: no |
| - | * Rajapinta on toteutettu jaettuna kirjastona (opensc-pkcs11.so) | + | Path : 3f004331 |
| - | * PKCS#11-moduuli pitää käsin asentaa Firefoxiin: Valikosta Edit -> Preferences -> Advanced -> Security Devices -> Load | + | ID : 45 |
| - | * Anna moduulille sopiva nimi, esim. "OpenSC PKCS#11 Module" | + | |
| - | * Valitse Browse... -painikkeella tiedosto /usr/lib/opensc-pkcs11.so | + | X.509 Certificate [allekirjoitusvarmenne] |
| - | * Vaihtoehtoisena moduulina voi käyttää onepin-opensc-pkcs11.so, joka ei turhaan kysele suomalaisissa ja virolaisissa ID-korteissa olevaa toista PIN-koodia (allekirjoituspin, PIN2) | + | Flags : 0 |
| - | * Huom: kannattaa olla tarkkana kun Firefox kysyy PIN-koodia | + | Authority: no |
| - | * allekirjoituspin = PIN2, kuusi merkkiä pitkä | + | Path : 3f0050164332 |
| - | * peruspin = PIN1, neljä merkkiä pitkä | + | ID : 46 |
| - | * mozilla-opensc pluginilla (Debianissa) | + | |
| - | * SSH | + | X.509 Certificate [VRK Gov. Root CA] |
| - | * Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta, X11-ympäristöstä, ym. | + | Flags : 0 |
| - | * On hyvin mahdollista, että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi -- katso dokumentaatiosta tai ps-komennolla | + | Authority: yes |
| - | * Joissakin tapauksissa pitää itse huolehtia ohjelman käyttöönotosta; esimerkiksi Gentoo Linuxissa KDE-ympäristöllä pitää poistaa kommenteista ssh-agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh | + | Path : 3f004334 |
| - | * ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ssh-ohjelman käyttöön, mutta se pystyy myös käyttämään PKCS#11-kirjastoa | + | ID : 48 |
| - | * Avaimia lisätään ssh-agent -ohjelman muistiin ssh-add -ohjelmalla; älykorttien tapauksessa käytetään -s-optiota, jolla kerrotaan PKCS#11-kirjaston polku | + | |
| - | * Esim. ssh-add -s /usr/lib/opensc-pkcs11.so | + | X.509 Certificate [VRK Gov. CA for Citizen Qualified Certificates] |
| - | * Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/.ssh/authorized_keys-tiedostoon; avaimen saa tulostettua ssh-add -L -komennolla | + | Flags : 0 |
| + | Authority: yes | ||
| + | Path : 3f004333 | ||
| + | ID : 47 | ||
| + | </code> | ||
| + | ==== Linux ==== | ||
| + | |||
| + | Linuxilla on aktiivinen käyttäjäyhteisö Suomessa joka on myös ohjeistanut [[http://linux.fi/wiki/HST |henkilökortin asetukset]] seikkaperäisesti omassa wikissään. | ||
| + | ===== Viron Henkilökortti ===== | ||
| - | ====== Viron Henkilökortti ====== | + | Viron älykortti-henkilökortti on paljon enemmän käytössä kuin Suomessa ja monesta siihen liittyvästä asiasta voisimme ottaa mallia. |
| Viron henkilökortilla (id-kaardi) on myös kaksi sertifikaattia tunnistamiseen ja allekirjoittamiseen. Kortilla on Suomesta poiketen henkilötunnus joka Virossa ei ole arka henkilötieto kuin Suomessa. Kortteja hallinnoi Poliisi ja Rajavartiolaitos (Politsei- ja Piriivalveamet) ja teknisestä toteutuksesta vastaa Sertifiointikeskus (sk.ee). | Viron henkilökortilla (id-kaardi) on myös kaksi sertifikaattia tunnistamiseen ja allekirjoittamiseen. Kortilla on Suomesta poiketen henkilötunnus joka Virossa ei ole arka henkilötieto kuin Suomessa. Kortteja hallinnoi Poliisi ja Rajavartiolaitos (Politsei- ja Piriivalveamet) ja teknisestä toteutuksesta vastaa Sertifiointikeskus (sk.ee). | ||
| Rivi 60: | Rivi 100: | ||
| ==== Käyttäjän Ohjeita ==== | ==== Käyttäjän Ohjeita ==== | ||
| - | ===== Yleistä Linuxeissa ==== | ||
| - | * Itsenäiset graafiset ohjelmat digidoc containerille allerkirjoitukseen ja salaamiseen. | + | === Yleistä Linuxeissa === |
| - | * Tunnistus ja allekrijotukset Mozilla Firefox plugineita tukevissa selaimissa. | + | |
| + | * Itsenäiset graafiset ohjelmat digidoc containerille allekirjoitukseen ja salaamiseen. | ||
| + | * Tunnistus ja allekirjoitukset Mozilla Firefox plugineita tukevissa selaimissa. | ||
| * ODF dokumenttien allekirjoitus OpenOfficessa. | * ODF dokumenttien allekirjoitus OpenOfficessa. | ||
| - | ===== Ubuntu Linux ===== | + | === Ubuntu Linux === |
| - | ===== Fedora Linux ===== | + | === Fedora Linux === |
| * qesteidutil (digidoc työkalut) | * qesteidutil (digidoc työkalut) | ||
| Rivi 75: | Rivi 116: | ||
| * Asennus: yum install -y \*esteid\* | * Asennus: yum install -y \*esteid\* | ||
| - | + | === Mac === | |
| - | ==== Mac ===== | + | |
| * Lataa paketit: https://installer.id.ee/ ja asenna. | * Lataa paketit: https://installer.id.ee/ ja asenna. | ||
| + | === Windows === | ||
| - | ==== Windows ==== | + | ===== Älykortin muut käyttötavat ===== |
| - | | + | |
| + | Älykortti kelpaa myös muuhun käyttöön kuin www-tunnistautumiseen. | ||
| + | |||
| + | ==== Tiedostojen salaus ja allekirjoitus ==== | ||
| + | |||
| + | FIXME Onnistuu erillisillä ohjelmilla joilla voi salata ja/tai allekirjoittaa tiedostoja. | ||
| + | |||
| + | ==== SSH-tunnistus ==== | ||
| + | |||
| + | SSH-yhteyksissä voi myös käyttää älykorttia samaan tapaan kuin SSH-avaimia SSH-agentin kautta. | ||
| + | |||
| + | Käyttö onnistuu näin: | ||
| + | |||
| + | - Lataa SSH-agenttiin tieto älykortilla olevasta avaimesta | ||
| + | * Esim. ssh-add -s /usr/lib/opensc-pkcs11.so | ||
| + | - Kopioi kohdekoneeseen älykortilla olevan avaimen public -versio | ||
| + | * Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/.ssh/authorized_keys -tiedostoon | ||
| + | * Avaimen saa tulostettua ssh-add -L -komennolla omassa koneessa | ||
| + | - Avaa yhteys jolloin SSH kysyy PIN-koodia ja autentikoi älykortilla olevalla avaimella | ||
| + | * ssh kohdekone normaalisti | ||
| + | |||
| + | === SSH-Agent === | ||
| + | |||
| + | ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ssh-ohjelman käyttöön, mutta se pystyy myös käyttämään PKCS#11-kirjaston kautta älykortin avaimia. | ||
| + | |||
| + | ssh-agent:in käyttäminen: | ||
| + | |||
| + | * Linux | ||
| + | * Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta, X11-ympäristöstä, ym. | ||
| + | * On hyvin mahdollista, että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi -- katso dokumentaatiosta tai ps-komennolla | ||
| + | * Joissakin tapauksissa pitää itse huolehtia ohjelman käyttöönotosta; esimerkiksi Gentoo Linuxissa KDE-ympäristöllä pitää poistaa kommenteista ssh-agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh | ||
| + | * Avaimia lisätään ssh-agent -ohjelman muistiin ssh-add -ohjelmalla; älykorttien tapauksessa käytetään -s-optiota, jolla kerrotaan PKCS#11-kirjaston polku | ||
| + | * Esim. ssh-add -s /usr/lib/opensc-pkcs11.so | ||
| + | * Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/.ssh/authorized_keys-tiedostoon; avaimen saa tulostettua ssh-add -L -komennolla | ||
| + | * Mac OS X | ||
| + | * ssh-agent käynnistyy launchd:n kautta automaattisesti kun sitä yritetään käyttää ensimmäisen kerran. | ||
| + | * Windows SSH-clientit FIXME | ||
faq/alykorttitunnistus.1304276763.txt · Viimeksi muutettu: 2011-05-01 19:06 / juha.tuomala
Sivutyökalut
Jollei muuta ole mainittu, niin sisältö tässä wikissä on lisensoitu seuraavalla lisenssillä: CC Attribution-Noncommercial-Share Alike 3.0 Unported
