'''Applen macOS''' käyttöjärjestelmästä on useita eri versioita, viimeisin niistä on '''Monterey'''. macOS käyttää [https://en.wikipedia.org/wiki/Keychain_(software) Keychain Access]-ohjelmaa varmennevarastona jossa aiemmin [[Tokend]]-rajapintaa käytettäessä näkyivät myös [[Henkilökortti|henkilökortin]] varmenteet. Uudemmat versiot macOS-versiot käyttävät CryptoTokenKit-rajapintaa (CTK) ja varmenteet eivät enää näy Keychain Access ohjelmassa.
macOS käyttää [https://en.wikipedia.org/wiki/Keychain_(software) Keychain Access]-ohjelmaa varmennevarastona jossa aiemmin [[Tokend]]-rajapintaa käytettäessä näkyivät myös [[Henkilökortti|henkilökortin]] varmenteet. Uudemmat versiot [[DigiSign Client]] ohjelmasta käyttävät CryptoTokenKit-rajapintaa (CTK) ja varmenteet eivät enää näy Keychain Access ohjelmassa. KeyChain ongelmasta seuraa, ettei mm Applen oma Safari-selain tai sähköpostiohjelma näe käyttäjän kortilla olevia varmenteita. Ongelmaa pystyi aiemmin kiertämään asentamalla vapaan lisenssin [[OpenSC]]-väliohjelmiston, mutta se ei enää toimi 2017 alusta myönnettyjen, eli [[Henkilökortti#Versiot|G3 sukupolven]] korttien kanssa koska sieltä puuttuu uuden Oberthur-kortin ajuri. Kaikesta edelläolevasta seuraa, että macOS-käyttäjille ainoa realistinen vaihtoehto on käyttää [[Firefox]]-selainta.
Etäyhteyttä käytettäessä (VNC ikkunointi, ssh pääteyhteys) macOS ei rajoita paikallisten varmennekorttien käsittelyä paikallisiin istuntoihin kuten [[Windows]] tekee tietoturvasyistä.
== Asennus ==
Henkilökortin käyttö vaatii väliohjelmiston asennuksen. Koska nykyisellään Digiviraston ohjelmisto ei toimi, ainoaksi vaihtoehdoksi jää asentaa avoimen lähdekoodin OpenSC.
=== Digisign Client ===
* [https://dvv.fi/mac-versiot dvv.fi/mac-versiot]
Firefoxin turvaväline-asetuksiin ladattava Ohjelmiin asettava PKCS11 kirjaston polku on:
/Library/mPolluxDigiSign/libcryptoki.dylib
. . .
Ohjelmiin asettava PKCS11 kirjaston versiosidonnainen polku on:
/usr/local/Cellar/opensc/0.22.0/lib/onepin-opensc-pkcs11.so
== Sovellukset ==
=== Firefox ===
Firefoxin turvaväline-asetuksiin ladattava pkcs11-oduuli toimii ongelmitta.
=== Chrome ===
PKCS11-tuen asettelu Chrome-selaimeen vaatisi modutil komennon joka on osa nss-tools pakettia. Ohjelmasta on vain lähdekoodit joten sen asentaminen vaatisi nss-tools paketin kääntämistä kääntäjällä.
== Ongelmanratkaisut ==
% sudo launchctl print system/com.apple.ctkd | grep state
state = running
* Listaa älykortit:
% security list-smartcards
No smartcards found.
* Listaa varmenteet:
% security smartcards token -l
* Vanhan Tokend aktivointi on mahdollista Mojavessa jos sitä jostain syystä tarvitsisi ([https://www.unix.com/man-page/mojave/7/SmartCardServices-legacy/ SmartCardServices-legacy]):
* '''Safari ei toimi henkilökortin kanssa''' Catalinassa ja uudemmissa, ennen vuoden 2017 alkua myönnetyillä korteilla asentamalla OpenSC ongelma korjaantuu. Muuten [[Firefox]]in käyttö DigSign PKCS11-pluginin kanssa on ainoa vaihtoehto.
* '''SmartCard pairing failed''' ''Cannot pair SmartCard with the current user. The operation couldn't be completed. (OSStatus error -67808 - RSA signature verification failed, no match)''. Korjaus ongelmaan on poistaa Digiviraston [[Digisign DigiSign Client]] ohjelmapaketti, asentaa [[OpenSC]] ja uudelleenkäynnistää kone. Sen jälkeen käyttäjätilin ja varmenteen paritus onnistuu ja jopa Safari-selain toimii tunnistusvarmenteella. [[Tiedosto:MacOS.Catalina.smartcard.pairing.failed.png|right|200px|thumb|Virhe 67808: Varmenteen tarkistus epäonnistuu.]]
== Katso myös ==
* [[Apple]]
* [[OpenVPN/macOS]]
* [[Firefox]]
* [[Chrome]]
== Aiheesta muualla ==