Ero sivun ”P11-kit” versioiden välillä
Rivi 2: | Rivi 2: | ||
− | == | + | == Asetukset == |
− | Modules | + | Asetustiedostoja on monessa paikassa ja niillä on prioriteettijärjestys. Modules hakemistoissa sijaitsee eri PKCS#11-pluginien asetuksia. |
+ | * /etc/pkcs11/pkcs11.conf | ||
+ | * /etc/pkcs11/modules/* | ||
+ | * /usr/share/pkcs11/modules/* | ||
+ | * ~/.config/pkcs11/pkcs11.conf | ||
+ | * ~/.config/pkcs11/modules/* | ||
+ | |||
+ | |||
+ | '''/etc/pkcs11/pkcs11.conf''' globaali asetustiedosto jota ei välttämättä ole olemassa. Oletus merge yhdistää asetukset. | ||
+ | user-config: <none|merge|only> | ||
Koska suomalaisessa [[henkilökortti|henkilökortisssa]] on useampia varmenteita joista vain ensimmäistä käytetään PKCS11 rajapinnan kautta tunnistamiseen ja nykyiset ohjelmistot eivät osaa erotella sitä muista varmenteista [[NonRepudiation]] attribuutin avulla, tulee tunnistuskäytössä ohjelmille tarjota vain kortin ensimmäistä varmennetta käyttäen OpenSC ''onepin-opensc-pkcs11.so'' pluginia. | Koska suomalaisessa [[henkilökortti|henkilökortisssa]] on useampia varmenteita joista vain ensimmäistä käytetään PKCS11 rajapinnan kautta tunnistamiseen ja nykyiset ohjelmistot eivät osaa erotella sitä muista varmenteista [[NonRepudiation]] attribuutin avulla, tulee tunnistuskäytössä ohjelmille tarjota vain kortin ensimmäistä varmennetta käyttäen OpenSC ''onepin-opensc-pkcs11.so'' pluginia. | ||
− | 2017 julkaistujen korttien Oberthur-sirua ei ole tuettu OpenSC:ssä ja siten ainoa mahdollinen module: asetuksen arvo on [[DigiSign Client]] ohjelman mukana tuleva libcryptoki | + | 2017 julkaistujen G3.* sukupolven korttien Oberthur-sirua ei ole tuettu OpenSC:ssä ja siten ainoa mahdollinen module: asetuksen arvo on [[DigiSign Client]] ohjelman mukana tuleva libcryptoki.so. |
+ | |||
+ | '''digisign.module''' | ||
module: /usr/lib64/libcryptoki.so | module: /usr/lib64/libcryptoki.so | ||
Jos p11-kit on asetettu valmiiksi käyttämään normaalia opensc-pluginia, se tulee samalla kytkeä pois käytöstä halutuilta ohjelmilta. | Jos p11-kit on asetettu valmiiksi käyttämään normaalia opensc-pluginia, se tulee samalla kytkeä pois käytöstä halutuilta ohjelmilta. | ||
− | |||
'''opensc.module''' | '''opensc.module''' |
Versio 12. helmikuuta 2022 kello 15.13
p11-kit on abstraktiorajapinta eri PKCS#11-plugineiden ja niitä käyttävien ohjelmien välissä mahdollisten älykorttituen lisäämisen automaattisesti niitä tukeviin ohjelmiin ja niiden asetusten asttamisen yhdessä keskitetyssä paikassa. p11-kit siten korvaa sovelluksessa yksittäiset PKCS#11-pluginit.
Asetukset
Asetustiedostoja on monessa paikassa ja niillä on prioriteettijärjestys. Modules hakemistoissa sijaitsee eri PKCS#11-pluginien asetuksia.
- /etc/pkcs11/pkcs11.conf
- /etc/pkcs11/modules/*
- /usr/share/pkcs11/modules/*
- ~/.config/pkcs11/pkcs11.conf
- ~/.config/pkcs11/modules/*
/etc/pkcs11/pkcs11.conf globaali asetustiedosto jota ei välttämättä ole olemassa. Oletus merge yhdistää asetukset.
user-config: <none|merge|only>
Koska suomalaisessa henkilökortisssa on useampia varmenteita joista vain ensimmäistä käytetään PKCS11 rajapinnan kautta tunnistamiseen ja nykyiset ohjelmistot eivät osaa erotella sitä muista varmenteista NonRepudiation attribuutin avulla, tulee tunnistuskäytössä ohjelmille tarjota vain kortin ensimmäistä varmennetta käyttäen OpenSC onepin-opensc-pkcs11.so pluginia.
2017 julkaistujen G3.* sukupolven korttien Oberthur-sirua ei ole tuettu OpenSC:ssä ja siten ainoa mahdollinen module: asetuksen arvo on DigiSign Client ohjelman mukana tuleva libcryptoki.so.
digisign.module
module: /usr/lib64/libcryptoki.so
Jos p11-kit on asetettu valmiiksi käyttämään normaalia opensc-pluginia, se tulee samalla kytkeä pois käytöstä halutuilta ohjelmilta.
opensc.module
module: opensc-pkcs11.so disable-in: firefox thunderbird-bin
opensc-onepin.module
module: onepin-opensc-pkcs11.so enable-in: firefox thunderbird-bin
Listaus
Rippuen järjestemästä listaus näyttää varmenteiden NSS-urlit.
% p11tool --list-all pkcs11:model=p11-kit-trust;manufacturer=PKCS%2311%20Kit;serial=1;token=System%20Trust pkcs11:model=p11-kit-trust;manufacturer=PKCS%2311%20Kit;serial=1;token=Default%20Trust pkcs11:model=FINEID%20S4-1%20V3.0;manufacturer=FINEID;serial=4600015443498160;token=HENKILOKORTTI pkcs11:model=FINEID%20S4-1%20V3.0;manufacturer=FINEID;serial=4600015443498160;token=HENKILOKORTTI%20%28PIN2%29 pkcs11:model=Unknown;manufacturer=;serial=;token= pkcs11:model=Unknown;manufacturer=;serial=;token=%20%28PIN2%29 pkcs11:model=PKCS%2315%20emulated;manufacturer=IDEMIA;serial=EB0530760;token=TUOMALA%2CJUHA%20MATTI%2C372...%20%28PIN1%29 pkcs11:model=PKCS%2315%20emulated;manufacturer=IDEMIA;serial=EB0530760;token=TUOMALA%2CJUHA%20MATTI%2C372...%20%28PIN2%29