Difference between revisions of "Karty"
(→SSH klíče) |
|||
Line 5: | Line 5: | ||
Pro práci s certifikáty na ČVUT kartě je potřeba [https://pki.cvut.cz knihovna od OKSystems], která komunikuje s aplikací na kartě starající se o správu certifikátů a poskytující PKCS11 rozhraní. | Pro práci s certifikáty na ČVUT kartě je potřeba [https://pki.cvut.cz knihovna od OKSystems], která komunikuje s aplikací na kartě starající se o správu certifikátů a poskytující PKCS11 rozhraní. | ||
− | Na linuxu budete potřebovat konkrétně [http://www.oksystem.com/cz/produkty/oksmart libokpkcs11.so], jejíž základní funkce v aktuální verzi knihovny 3.0.0 | + | Na linuxu budete potřebovat konkrétně [http://www.oksystem.com/cz/produkty/oksmart libokpkcs11.so], jejíž základní funkce v aktuální verzi knihovny 3.0.0 fungovaly minimálně na RHEL7 a Fedora 22. Podporována je ale pouze 64bitová varianta linuxu resp. aplikací, které jsou na něm provozovány (tj. např. v 32bit Adobe Acrobatu si na linuxu nic nepodepíšete). |
TODO: otestovat libokpkcs11.dylib pro Mac OS X (očekávam, že řada linuxových podstupů zde bude fungovat obdobně) | TODO: otestovat libokpkcs11.dylib pro Mac OS X (očekávam, že řada linuxových podstupů zde bude fungovat obdobně) |
Revision as of 17:40, 15 March 2016
Tato stránka obsahuje různé informace k použití ČVUT karet resp. certifikátů, které na ní mohou být uloženy.
Contents
- 1 Zpřístupnění informací na ČVUT kartě
- 2 Použítí certifikátů z ČVUT karty
- 2.1 SSH klíče
- 2.2 Úložiště certifikátů pro Firefox
- 2.3 Úložiště certifikátů pro Thunderbird
- 2.4 Podepisování PDF dokumentu v Acrobat Readeru
- 2.5 Podepisování dokumentu v LibreOffice
- 2.6 Vzdálené podepisovaní z linuxu na Windows Terminal Serveru
- 2.7 Podepisy v aplikaci PES na linuxu
- 2.8 Přihlašování do Windows v doméně
- 2.9 Získání kerberos ticketu v linuxu
Zpřístupnění informací na ČVUT kartě
Pro práci s certifikáty na ČVUT kartě je potřeba knihovna od OKSystems, která komunikuje s aplikací na kartě starající se o správu certifikátů a poskytující PKCS11 rozhraní.
Na linuxu budete potřebovat konkrétně libokpkcs11.so, jejíž základní funkce v aktuální verzi knihovny 3.0.0 fungovaly minimálně na RHEL7 a Fedora 22. Podporována je ale pouze 64bitová varianta linuxu resp. aplikací, které jsou na něm provozovány (tj. např. v 32bit Adobe Acrobatu si na linuxu nic nepodepíšete).
TODO: otestovat libokpkcs11.dylib pro Mac OS X (očekávam, že řada linuxových podstupů zde bude fungovat obdobně)
Použítí certifikátů z ČVUT karty
SSH klíče
Certifikát na kartě lze použít pro přihlášení k serveru pomocí SSH. Využívá se principu běžných uživatelských klíčů (privátní+veřejný), kde jako privátní klíč se místo ~/.ssh/id_algroritmus použije přímo privátní klíč uložený na kartě. Pro přihlášení pak nutně potřebujete fyzicky vlastnit konkrétní kartu pro níž jste na serveru přidali do ~/.ssh/authorized_keys odpovídající veřejné klíče z karty.
# vypsání seznamu všech public klíčů na kartě ssh-keygen -D /plna/cesta/k/libokpkcs11.so
Vypsaný a vybraný veřejný klíč uložte na server kam se chcete přihlašovat pomocí ČVUT karty do ~/.ssh/authorized_keys stejně, jako se to dělá při práci s lokálními SSH klíči vygenerovanými příkazem ssh-keygen.
# přihlášení na server pomocí privátního klíče na kartě ssh -I /plna/cesta/k/libokpkcs11.so username@nazev.pocitace.cz
Po zadání tohoto příkazů budete dotázání na PIN pro "OKsmart 3.0 MiniOs" a po jeho správném zadání dojde k přihlášení.
Úložiště certifikátů pro Firefox
V menu zvolte "Preferences" -> "Advanced" -> "Security devices" a v zobrazeném dialogu klikněte na tlačítko "load". Zobrazí se další dialog a v něm musíte vyplnit jméno modulu (libovolně) a hlavně cestu ke knihovně sloužící pro vytvoření PKCS11 rozhraní pro ČVUT kartu (tj. např. /plna/cesta/k/libokpkcs11.so). Po přidání tohoto nového bezpečnostního zařízení budete moci začít používat (všechny) certifikáty uložené na ČVUT kartě podobně jako ty, které máte uloženy v lokalním úložišti certifikatů. Před prvním použitím privátního klíče z karty budete muset zadat PIN.
TODO: info o podepisování v PES
Úložiště certifikátů pro Thunderbird
Konfiguruje se prakticky stejně jako Firefox, certifikáty lze poté používat k podepisování mailů. Tento use-case bych ale moc nedporučoval, protože když vám někdo pošle odpověď zašifrovanou Vaším veřejným klíčem z ČVUT karty (veřejný klíč je součástí Vámi podepsaných mailů), tak pro přečtení takového mailu samozřejmě budete opět potřebovat privátní klíč z Vaší ČVUT karty. Ten si ale nemužete (z principu fungovaní těchto karet) nikam zálohovat, takže když o kartu přijdete, tak se k takto zašifrovaným mailům už nikdy nedostanete.
Podepisování PDF dokumentu v Acrobat Readeru
Na Windows lze v Akrobatu jednoduše otestovat, jestli máte na počítači korektní instlaci driverů a ČVUT karta funguje. Stačí zvolit menu "View" -> "Fill & Sign" a v zobrazeném panelu vybrat "Sign with Certificate" a postupovat dle informací v zobrazeném dialogu.
Podepisování dokumentu v LibreOffice
LibreOffice používá pro podepisování úložiště certifikátů z Firefoxu, který je nejprve nutné zkonfigurovat podle výše uvedeného návodu. Potom lze dokukmenty podepisovat přes "File" -> "Digital Signatures...". Pří výběru "signature" budete dotázáni na heslo, kterým máte zabezpečeno uložiště certifikátů Firefoxu.
Vzdálené podepisovaní z linuxu na Windows Terminal Serveru
Jak rdesktop tak i xfreerdp mají podporu redirectu pro smartcards (hlavně to nehledejte pod redirectem USB zařízení, což nebude fungovat, jelikož tyto aplikace maji implemenovan specialní způsob práce přímo se smartcards). V praxi bohužel (ne)funkčnost zavisí nejen na verzi klientů, ale i na verzi terminál serveru k němuž se připojujete. Zde je stručný přehled stavu z konce roku 2015.
- freerdp-1.0.2 (default package in RHEL7)
- cmd: xfreerdp --plugin rdpdr --data scard: -- jmeno_ts_serveru.fjfi.cvut.cz
- pouziti karty: windows 7 OK, ani tuk s w2k12r2 (kompletne nefunkcni redirect?)
- freerdp-1.2 (GIT be8f8f72387e7878717b6f04c9a87f999449d20d, CentOS7 balicky http://yum.fjfi.cvut.cz/clean-epel-7-x86_64)
- cmd: xfreerdp /sec:nla /u:username /smartcard /v:jmeno_ts_serveru.fjfi.cvut.cz
- pouziti karty: windows 7 OK, w2k12r2 podpis OK (nefunkcni vydavani noveho certifikatu)
- rdesktop-1.8.3 (default package in Fedora 23)
- cmd: rdesktop -r scard jmeno_ts_serveru.fjfi.cvut.cz
- pouziti karty: windows 7 OK, w2k12r2 nelze pripojit (FJFI konfigurace nepodporuje starou "rdp" autentizaci a rdesktop neumi ani "tls" ani "nla")
Podepisy v aplikaci PES na linuxu
- pouziti karty primo v linuxu (podpora pouze x86_64)
- instalace: Oracle java (http://java.com/en/download/manual.jsp)
- knihovna:
- konfigurace: about:preferences#advanced -> security devices -> Load -> zadat cestu k libokpkcs11.so
- pouziti karty: podpis OK (nefunkcni vydavani noveho certifikatu)
Přihlašování do Windows v doméně
zatím neotestováno
Získání kerberos ticketu v linuxu
zatím neotestováno