ikiWiki

Käyttäjän työkalut

Sivuston työkalut

Olet täällä: ikiWiki » faq » Älykortilla tunnistautuminen
Jäljet:
faq:alykorttitunnistus

Erot

Tämä näyttää erot valitun ja nykyisen version kesken tästä sivusta.

Linkki vertailunäkymään

Both sides previous revisionEdellinen revisio
Seuraava revisio		Edellinen revisio
faq:alykorttitunnistus [2011-05-11 11:45] kivinenfaq:alykorttitunnistus [2021-12-14 12:32] (nykyinen) – [Älykortin käyttäminen] haa
Rivi 1: Rivi 1:
 +====== Älykortilla tunnistautuminen ======
  
 +Iki:n jäsenrekisteriin on mahdollista tunnistautua (suomalaisella ja myöhemmin mahdollisesti myös muiden maiden) henkilökortilla.
 +
 +Jos haluat kokeilla toimiiko henkilökortilla tunnistautuminen koneessasi, voit käyttää testipalvelua https://dvv.fi/testaa-varmenteen-kayttoa
 +
 +===== Älykortin käyttäminen =====
 +
 +Digi- ja väestötietovirasto tarjoaa mPollux DigiSign ohjelmistoa ilmaiseksi Windowsille, Linuxille ja Mac OS:lle. Saatavissa [[https://dvv.fi/kansalaisvarmenne-kortinlukijaohjelmisto|DVV:n sivuilta]]
 +
 +Älykortin käyttämiseksi tarvitset **älykortin lukijan**, yleensä USB-liitännällä tietokoneeseen. Näitä saa kaupoista jotka myyvät IT-laitteita mutta hinnat ja valikoima Suomessa on melko huono. Virossa älykortit ovat laajemmin käytössä ja lukijoita on hyvin saatavilla, FIXME yritämme etsiä tähän nettikaupan mistä niitä saa halvalla ja helposti.
 +==== Windows & Linux ====
 +
 +  * Lataa asennustiedosto dvv:n sivulta ja asenna se. 
 +  * Mikäli korttiasi ei ole vielä aktivoitu, aktivoi se [[alykorttitunnistus#aktivointi|Aktivointi]] ohjeen avulla.
 +  * Asenna turvallisuusmoduuli selaimeesi. 
 +    * Etsi selaimestasi Turvallisuuslaitteet / Manage Security Devices
 +    * Lisää uusi turvallisuuslaite ja nimeä se esim DigiSign PKCS#11-moduuli
 +    * Lataa sinne cryptoki.dll tai libcryptoki.so
 +
 +==== Mac OS X ====
 +
 +  * Asennusohje (OSX 10.6.7 ja Firefox 4.0.1 kokeiltu 2011-06-01)
 +    - Imuroi VRK:n sivuilta Mac-ohjelmisto (mPollux)
 +    - Osta joku USB-älykortinlukija (ainakin Viron malli toimii hyvin)
 +    - Asenna Mac-ohjelmisto
 +      - Tällä voi vaihtaa PIN-koodit suoraan asennuksen jälkeen, testaa näin että homma toimii
 +    - Firefox 4 asennus:
 +      - Laita Firefox 32-bittiseen tilaan (muuten VRK:n 32-bittinen kirjasto ei lataudu)
 +        - Etsi Firefox -sovellus (yleensä /Applications/Firefox.app).
 +        - Valitse Firefox (yksi klikkaus, älä avaa)
 +        - Valite get-info (Komento+I). 
 +        - Laita kohta "run in 32 bit mode" päälle. 
 +        - Sulje ikkuna
 +        - Sulje ja avaa Firefox uudelleen jos oli käytössä
 +      - Firefoxiin VRK-softan linkitys:
 +        - Firefox-valikko
 +        - Preferences...
 +        - Advanced
 +        - Encryption
 +        - Security Devices
 +        - Load
 +        - nimeksi vaikka VRK mPollux ja Browse:lla hae /Library/mPolluxDigiSign/cryptoki.1.0.0.dylib (tms, huomaa että tämä eroaa hieman vanhentuneista VRK:n ohjeista)
 +        - Load (jos tulee "Load failed" virheilmoitus, muista laittaa Firefox 32-bittiseen tilaan, kts. yllä)
 +      - **Väliaikainen viritys** jolla kierretään admin.iki.fi:n vanhan SSL-kirjaston bugi
 +        - Laita url-kohtaan about:config
 +        - Laita Filter-kohtaan renego_un
 +        - Klikkaa "security.ssl.renego_unrestricted_hosts" rivin value-kenttää ja kirjoita siihen admin.iki.fi
 +    - Firefox 4 käyttö:
 +      * Mene www-sivulle joka haluaa tunnistusta (iki testi https://admin.iki.fi/perlhst/admin)
 +      * Firefox kysyy kumpaa avainta haluat käyttää, valitse tunnistusavain (valinnan voinee tallettaa?)
 +      * Anna PIN-koodi kun sitä kysytään
 +      * Homma pelittää
 +  * Sekalaisia kommentteja
 +    * Nähtävästi Safari ja Mail ei oikein pelitä VRK-kortin kanssa.
 +
 +==== NetBSD ====
 +
 +  * Asenna paketit: security/pcsc-lite, security/ccid (kortinlukijan driveri), security/opensc
 +  * Käynnistä pcsc-lite: /usr/pkg/sbin/pcscd
 +  * Tarkista että kortti toimii sanomalla esim ''pkcs15-tool -c'' joka listaa kortilla olevat certifikaatit.
 +
 +<code>
 +
 +~>pkcs15-tool -c
 +Using reader with a card: OmniKey CardMan 1021 00 00
 +X.509 Certificate [todentamis- ja salausvarmenne]
 +        Flags    : 0
 +        Authority: no
 +        Path     : 3f004331
 +        ID       : 45
 +
 +X.509 Certificate [allekirjoitusvarmenne]
 +        Flags    : 0
 +        Authority: no
 +        Path     : 3f0050164332
 +        ID       : 46
 +
 +X.509 Certificate [VRK Gov. Root CA]
 +        Flags    : 0
 +        Authority: yes
 +        Path     : 3f004334
 +        ID       : 48
 +
 +X.509 Certificate [VRK Gov. CA for Citizen Qualified Certificates]
 +        Flags    : 0
 +        Authority: yes
 +        Path     : 3f004333
 +        ID       : 47
 +</code>
 +
 +==== Linux ====
 +
 +Linuxilla on aktiivinen käyttäjäyhteisö Suomessa joka on myös ohjeistanut [[http://linux.fi/wiki/HST |henkilökortin asetukset]] seikkaperäisesti omassa wikissään.
 +
 +==== Aktivointi ====
 +
 +Jos sinulla on uusi kortti jota ei ole koskaan käytetty, niin se pitää ensin aktivoida. Aktivointia varten tarvitset kortin mukana tulleen aktivointitunnusluvun. Kun käynnistät DigiSign ohjelman ja laitat uuden kortin sisään, niin aktivoinnin pitäisi käynnistyä automaattisesti. Aktivoinnissa se kysyy siis sen erillisessä kirjeessä tulleen aktivointiluvun ja antaa sinulle mahdollisuuden valita pin koodit. Pin koodeja on kaksi, toinen tunnistautumista varten (4-numeroa) ja toinen allekirjoitusta varten (6-numeroa). 
 +
 +ÄLÄ missään nimessä käytä pin koodina mitään tietoa mikä näkyy itse kortissa, esimerkiksi syntymäaikaasi, tai henkilötunnuksenloppuosaa tms.
 +
 +===== Viron Henkilökortti =====
 +
 +Viron älykortti-henkilökortti on paljon enemmän käytössä kuin Suomessa ja monesta siihen liittyvästä asiasta voisimme ottaa mallia.
 +
 +Viron henkilökortilla (id-kaardi) on myös kaksi sertifikaattia tunnistamiseen ja allekirjoittamiseen. Kortilla on Suomesta poiketen henkilötunnus joka Virossa ei ole arka henkilötieto kuin Suomessa. Kortteja hallinnoi Poliisi ja Rajavartiolaitos (Politsei- ja Piriivalveamet) ja teknisestä toteutuksesta vastaa Sertifiointikeskus (sk.ee).
 +
 +http://www.id.ee/
 +http://www.politsei.ee/
 +http://sk.ee/
 +
 +==== WWW-palvelun Ohjeita ====
 +
 +Sivulla http://www.id.ee/11051 on Apachen ja IIS:n ohjeita, CA, CRL ja OCSP sijainnit.
 +
 +==== Käyttäjän Ohjeita ====
 +
 +=== Yleistä Linuxeissa ===
 +
 +  * Itsenäiset graafiset ohjelmat digidoc containerille allekirjoitukseen ja salaamiseen.
 +  * Tunnistus ja allekirjoitukset Mozilla Firefox plugineita tukevissa selaimissa.
 +  * ODF dokumenttien allekirjoitus OpenOfficessa.
 +
 +=== Ubuntu Linux ===
 +
 +=== Fedora Linux ===
 +
 +  * qesteidutil (digidoc työkalut)
 +  * mozilla-esteid (c-kielinen allekirjoitusplugin)
 +  * esteid-browser-plugin (pkcs#11 rajapinta plugin SSL-yhteyksien tunnistamiseen)
 +  * Asennus: yum install -y \*esteid\*
 +
 +=== Mac ===
 +
 +   * Lataa paketit: https://installer.id.ee/ ja asenna.
 +
 +=== Windows ===
 +
 +===== Älykortin muut käyttötavat =====
 +
 +Älykortti kelpaa myös muuhun käyttöön kuin www-tunnistautumiseen.
 +
 +==== Tiedostojen salaus ja allekirjoitus ====
 +
 +FIXME Onnistuu erillisillä ohjelmilla joilla voi salata ja/tai allekirjoittaa tiedostoja.
 +
 +==== SSH-tunnistus ====
 +
 +SSH-yhteyksissä voi myös käyttää älykorttia samaan tapaan kuin SSH-avaimia SSH-agentin kautta.
 +
 +Käyttö onnistuu näin:
 +
 +  - Lataa SSH-agenttiin tieto älykortilla olevasta avaimesta
 +    * Esim. ssh-add -s /usr/lib/opensc-pkcs11.so
 +  - Kopioi kohdekoneeseen älykortilla olevan avaimen public -versio
 +    * Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/.ssh/authorized_keys -tiedostoon
 +    * Avaimen saa tulostettua ssh-add -L -komennolla omassa koneessa
 +  - Avaa yhteys jolloin SSH kysyy PIN-koodia ja autentikoi älykortilla olevalla avaimella
 +    * ssh kohdekone normaalisti
 +
 +=== SSH-Agent ===
 +
 +ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ssh-ohjelman käyttöön, mutta se pystyy myös käyttämään PKCS#11-kirjaston kautta älykortin avaimia.
 +
 +ssh-agent:in käyttäminen:
 +
 +  * Linux
 +    * Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta, X11-ympäristöstä, ym.
 +    * On hyvin mahdollista, että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi -- katso dokumentaatiosta tai ps-komennolla
 +    * Joissakin tapauksissa pitää itse huolehtia ohjelman käyttöönotosta; esimerkiksi Gentoo Linuxissa KDE-ympäristöllä pitää poistaa kommenteista ssh-agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh
 +    * Avaimia lisätään ssh-agent -ohjelman muistiin ssh-add -ohjelmalla; älykorttien tapauksessa käytetään -s-optiota, jolla kerrotaan PKCS#11-kirjaston polku
 +    * Esim. ssh-add -s /usr/lib/opensc-pkcs11.so
 +    * Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/.ssh/authorized_keys-tiedostoon; avaimen saa tulostettua ssh-add -L -komennolla
 +  * Mac OS X
 +    * ssh-agent käynnistyy launchd:n kautta automaattisesti kun sitä yritetään käyttää ensimmäisen kerran.
 +  * Windows SSH-clientit FIXME

Sivutyökalut

Jollei muuta ole mainittu, niin sisältö tässä wikissä on lisensoitu seuraavalla lisenssillä: CC Attribution-Noncommercial-Share Alike 4.0 International
CC Attribution-Noncommercial-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki