Ero sivun ”NSS” versioiden välillä

Kohteesta DigiWiki
Siirry navigaatioon Siirry hakuun
(Ak: Uusi sivu: '''NSS''' (''Network Security Services'') on tietoturvakirjasto. __TOC__ == Tietokanta == NSS käyttää Berkeleyn yksinkertaista tietokantaa (*.db) tietojen tallentamiseen. Ohje...)
 
 
(5 välissä olevaa versiota samalta käyttäjältä ei näytetä)
Rivi 1: Rivi 1:
'''NSS''' (''Network Security Services'') on tietoturvakirjasto.
+
'''NSS''' (''Network Security Services'', [https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS mozilla.org]) on tietoturvakirjasto. Sivulla esitetyt komennot asentuvat ''nss-tools'' nimisestä paketista jota ei ole [[Apple/macOS|macOS]] käyttöjärjestelmään saatavilla kuin lähdekoodimuodossa.
 +
 
  
 
__TOC__
 
__TOC__
  
 
== Tietokanta ==
 
== Tietokanta ==
NSS käyttää Berkeleyn yksinkertaista tietokantaa (*.db) tietojen tallentamiseen. Ohjelmisto asentaa yhden yleisen tietokannan järjestelmänlaajuisesti (esim /etc/pki/nssdb) ja käyttäjä/sovelluskohtainen (esim ~/.mozilla/firefox/???????/ hakemiston *.db tiedostot). Tietokantatiedostojen sijainti tulee antaa komennoille optiona.
+
NSS käyttää Berkeleyn yksinkertaista tietokantaa (*.db) tietojen tallentamiseen. Ohjelmisto asentaa yhden yleisen tietokannan järjestelmänlaajuisesti (esim /etc/pki/nssdb) ja käyttäjä/sovelluskohtainen (esim ~/.pki/nssdb/ tai ~/.mozilla/firefox/???????/ hakemiston *.db tiedostot). Tietokantatiedostojen sijainti tulee antaa komennoille -d option argumenttina.
 +
 
 +
% certutil -d ~/.pki/nssdb
 +
 
 +
== ''NSS Certificate DB'' salasana ==
 +
 
 +
Asentamalla Digiviraston DigSign Client ohjelman ja käynnistämällä se, se suorittaa scriptin (''/usr/bin/DigiSignApplication'') joka luo oletustietokoannan ./pki/nssdb hakemistoon. Sen salasanaa saattaa tarvita joskus, se löytyy komennolla:
  
  % cd ~/.mozilla/firefox
+
  % cat ~/.digisign/Seed.txt
  % ls
+
b4f590AC091223f4319c3d8D/42V2E9fd9EC
  % cd <xxxxxxxxxxxxxxxxxxxxx>
+
 
 +
Salasanan voi vaihtaa mössöstä johonkin järkevään komennolla:
 +
  % certutil -d ~/.pki/nssdb -h "NSS Certificate DB" -W -f  ~/.digisign/Seed.txt
 +
Enter new password:
 +
Re-enter password:
 +
Password changed successfully.
 +
  %
 +
 
 +
Sitä ei ehkä kannata unohtaa.
  
 
== Modulien listaus ==
 
== Modulien listaus ==
  
 
NSS-modulien listaus kahdella kortinlukijalla joissa on Viron ja Suomen henkilökortit sisällä.
 
NSS-modulien listaus kahdella kortinlukijalla joissa on Viron ja Suomen henkilökortit sisällä.
% cd /etc/pki
+
 
 
  % modutil -dbdir . -list
 
  % modutil -dbdir . -list
 
   
 
   
Rivi 59: Rivi 74:
 
           uri: pkcs11:token=PIN1%20(TUOMALA,JUHA%20MATTI,3720730;manufacturer=AS%20Sertifitseerimiskeskus;serial=EA0043915;model=PKCS%2315%20emulated
 
           uri: pkcs11:token=PIN1%20(TUOMALA,JUHA%20MATTI,3720730;manufacturer=AS%20Sertifitseerimiskeskus;serial=EA0043915;model=PKCS%2315%20emulated
 
  -----------------------------------------------------------
 
  -----------------------------------------------------------
 +
 +
== Moduulin poisto ==
 +
Moduulia poistettaessa tulee antaa koko modulin nimi siteerattuna.
 +
% modutil -dbdir .pki/nssdb -delete 'DigiSign PKCS#11 Module'
 +
Module "DigiSign PKCS#11 Module" deleted from database.
 +
%
  
 
== Varmenteiden listaus ==
 
== Varmenteiden listaus ==
Rivi 78: Rivi 99:
  
  
 +
 +
'''pk12util''' on ?
 +
 +
 +
== Aiheesta muualla ==
  
 
https://en.wikipedia.org/wiki/Network_Security_Services
 
https://en.wikipedia.org/wiki/Network_Security_Services

Nykyinen versio 25. maaliskuuta 2024 kello 10.06

NSS (Network Security Services, mozilla.org) on tietoturvakirjasto. Sivulla esitetyt komennot asentuvat nss-tools nimisestä paketista jota ei ole macOS käyttöjärjestelmään saatavilla kuin lähdekoodimuodossa.


Tietokanta

NSS käyttää Berkeleyn yksinkertaista tietokantaa (*.db) tietojen tallentamiseen. Ohjelmisto asentaa yhden yleisen tietokannan järjestelmänlaajuisesti (esim /etc/pki/nssdb) ja käyttäjä/sovelluskohtainen (esim ~/.pki/nssdb/ tai ~/.mozilla/firefox/???????/ hakemiston *.db tiedostot). Tietokantatiedostojen sijainti tulee antaa komennoille -d option argumenttina.

% certutil -d ~/.pki/nssdb 

NSS Certificate DB salasana

Asentamalla Digiviraston DigSign Client ohjelman ja käynnistämällä se, se suorittaa scriptin (/usr/bin/DigiSignApplication) joka luo oletustietokoannan ./pki/nssdb hakemistoon. Sen salasanaa saattaa tarvita joskus, se löytyy komennolla:

% cat ~/.digisign/Seed.txt
b4f590AC091223f4319c3d8D/42V2E9fd9EC

Salasanan voi vaihtaa mössöstä johonkin järkevään komennolla:

% certutil -d ~/.pki/nssdb -h "NSS Certificate DB" -W -f  ~/.digisign/Seed.txt
Enter new password: 
Re-enter password: 
Password changed successfully.
%

Sitä ei ehkä kannata unohtaa.

Modulien listaus

NSS-modulien listaus kahdella kortinlukijalla joissa on Viron ja Suomen henkilökortit sisällä.

% modutil -dbdir . -list

Listing of PKCS #11 Modules
-----------------------------------------------------------
  1. NSS Internal PKCS #11 Module
           uri: pkcs11:library-manufacturer=Mozilla%20Foundation;library-description=NSS%20Internal%20Crypto%20Services;library-version=3.34
         slots: 2 slots attached
        status: loaded 

         slot: NSS Internal Cryptographic Services
        token: NSS Generic Crypto Services
          uri: pkcs11:token=NSS%20Generic%20Crypto%20Services;manufacturer=Mozilla%20Foundation;serial=0000000000000000;model=NSS%203

         slot: NSS User Private Key and Certificate Services
        token: NSS Certificate DB
          uri: pkcs11:token=NSS%20Certificate%20DB;manufacturer=Mozilla%20Foundation;serial=0000000000000000;model=NSS%203

  2. Belgium eID PKCS#11 Module - libbeidpkcs11.so.0
        library name: libbeidpkcs11.so.0
           uri: pkcs11:library-manufacturer=Belgium%20Government;library-description=Belgium%20eID%20PKCS%2311%20interface%20v2;library-version=4.3
         slots: 2 slots attached
        status: loaded

         slot: Gemalto PC Twin Reader (DF244A22) 00 00
        token: 
          uri: pkcs11:

         slot: Gemalto PC Twin Reader (6B2A4AC2) 01 00
        token: 
          uri: pkcs11:

  3. Estonian ID Card
        library name: /usr/lib64/onepin-opensc-pkcs11.so
           uri: pkcs11:library-manufacturer=OpenSC%20Project;library-description=OpenSC%20smartcard%20framework;library-version=0.17
         slots: 2 slots attached
        status: loaded

         slot: Gemalto PC Twin Reader (DF244A22) 00 00
        token: perustunnusluku (HENKILOKORTTI)
          uri: pkcs11:token=perustunnusluku%20(HENKILOKORTTI);manufacturer=VRK-FINEID;serial=4600015135155169;model=PKCS%2315

         slot: Gemalto PC Twin Reader (6B2A4AC2) 01 00
        token: PIN1 (TUOMALA,JUHA MATTI,3720730
          uri: pkcs11:token=PIN1%20(TUOMALA,JUHA%20MATTI,3720730;manufacturer=AS%20Sertifitseerimiskeskus;serial=EA0043915;model=PKCS%2315%20emulated
-----------------------------------------------------------

Moduulin poisto

Moduulia poistettaessa tulee antaa koko modulin nimi siteerattuna.

% modutil -dbdir .pki/nssdb -delete 'DigiSign PKCS#11 Module'
Module "DigiSign PKCS#11 Module" deleted from database.
%

Varmenteiden listaus

% certutil -d . -L -h all
DigiCert Baltimore CA-2 G2                                   ,,   
Amazon Root CA 1                                             ,,   
Go Daddy Secure Certificate Authority - G2                   ,,   
DigiCert SHA2 Extended Validation Server CA                  ,,   
Cybertrust Japan Public CA G3                                ,,   
thawte Extended Validation SHA256 SSL CA                     ,,   
cPanel, Inc. Certification Authority                         ,,   
USERTrust RSA Certification Authority                        ,,   
perustunnusluku (HENKILOKORTTI):todentamis- ja salausvarmenne u,u,u
perustunnusluku (HENKILOKORTTI):VRK Gov. CA for Citizen Qualified Certificates - G2 u,u,u
perustunnusluku (HENKILOKORTTI):VRK Gov. Root CA             u,u,u
PIN1 (TUOMALA,JUHA MATTI,3720730:Isikutuvastus               u,u,u


pk12util on ?


Aiheesta muualla

https://en.wikipedia.org/wiki/Network_Security_Services

http://pki.fedoraproject.org/wiki/NSS_Database

http://pki.fedoraproject.org/wiki/NSS

https://access.redhat.com/documentation/en-US/Red_Hat_Directory_Server/8.1/html/Administration_Guide/Managing_SSL-Using_certutil.html