Ero sivun ”Apple/macOS” versioiden välillä
| Rivi 8: | Rivi 8: | ||
'''Mac OS X Lion 10.7 -10.12'''<ref name='jamf-pumaska'>[https://www.jamf.com/resources/technical-papers/macos-smart-card-overview/macOS jamf.com Smart Card Overview]</ref> henkilökorttien tuki ollut tuettuna [[Tokend]]-rajapinnalla. Siitä tehtiin avointa lähdekoodia ja se siirrettiin macosforge- ja github kehitysportaaleihin. Kehittäjät ilmeisesti olleet [[OpenSC]]-projektin aktiiveja. | '''Mac OS X Lion 10.7 -10.12'''<ref name='jamf-pumaska'>[https://www.jamf.com/resources/technical-papers/macos-smart-card-overview/macOS jamf.com Smart Card Overview]</ref> henkilökorttien tuki ollut tuettuna [[Tokend]]-rajapinnalla. Siitä tehtiin avointa lähdekoodia ja se siirrettiin macosforge- ja github kehitysportaaleihin. Kehittäjät ilmeisesti olleet [[OpenSC]]-projektin aktiiveja. | ||
| − | '''Mac OS X Sierra 10.12 - High Sierra 10.13''' [[CryptoTokenKit]]-rajapinnan käyttöönotto. | + | '''Mac OS X Sierra 10.12 - High Sierra 10.13''' [[CryptoTokenKit]]-rajapinnan (CTK) käyttöönotto. |
| + | |||
| + | '''macOS Mojave''' Keyring toimii, käyttäjä-varmenne-pairing toimii. | ||
'''macOS Catalina 10.15.0''' Tokend poistettu, ainoastaan CryptoTokenKit tuettu. | '''macOS Catalina 10.15.0''' Tokend poistettu, ainoastaan CryptoTokenKit tuettu. | ||
| + | |||
| + | '''macOS Big Sur 11.2.2''' samat CTK-ongelmat jatkuvat. '''sc_auth''' komento, keyring eivät toimi oletetusti. | ||
== Asennus == | == Asennus == | ||
Versio 1. maaliskuuta 2021 kello 10.00
Applen macOS käyttöjärjestelmistä on useita eri versioita, viimeisin niistä on Catalina.
macOS käyttää Keychain Access-ohjelmaa varmennevarastona jossa aiemmin Tokend-rajapintaa käytettäessä näkyivät myös henkilökortin varmenteet. Uudemmat versiot mPollux DigiSign Client ohjelmasta käyttävät CryptoTokenKit-rajapintaa ja varmenteet eivät enää näy KeyChain Access ohjelmassa.
Etäyhteyttä käytettäessä (VNC ikkunointi, ssh pääteyhteys) macOS ei rajoita paikallisten varmennekorttien käsittelyä paikallisiin istuntoihin kuten Windows tekee tietoturvasyistä.
Sisällysluettelo
Historia
Mac OS X Lion 10.7 -10.12[1] henkilökorttien tuki ollut tuettuna Tokend-rajapinnalla. Siitä tehtiin avointa lähdekoodia ja se siirrettiin macosforge- ja github kehitysportaaleihin. Kehittäjät ilmeisesti olleet OpenSC-projektin aktiiveja.
Mac OS X Sierra 10.12 - High Sierra 10.13 CryptoTokenKit-rajapinnan (CTK) käyttöönotto.
macOS Mojave Keyring toimii, käyttäjä-varmenne-pairing toimii.
macOS Catalina 10.15.0 Tokend poistettu, ainoastaan CryptoTokenKit tuettu.
macOS Big Sur 11.2.2 samat CTK-ongelmat jatkuvat. sc_auth komento, keyring eivät toimi oletetusti.
Asennus
Henkilökortin käyttö vaatii väliohjelmiston asennuksen. Koska nykyisellään Digiviraston ohjelmisto ei toimi, ainoaksi vaihtoehdoksi jää asentaa avoimen lähdekoodin OpenSC.
mPollux Digisign Client
OpenSC
Osalle tarvittavia ohjelmia ei ole saatavilla Applen .dmg levykuvaa ja/tai natiivia .pkg pakettia. Asentamalla ns Home Brew pakettienhallintaohjelmiston, ohjelmien asennuksen ja päivittäminen helpottuu huomattavasti. Sen asennusohjeet löytyvät omilta sivuiltaan.
Komentotulkki-ikkunassa:
% sudo brew install opensc
Asennuksen jälkeen voi kokeilla näkeekö OpenSC kortinlukijan:
% opensc-tool -l # Detected readers (pcsc) Nr. Card Features Name 0 No Gemalto PC Twin Reader
Ja toimivatko varmenteiden listaaminen:
% pkcs15-tool -c
Using reader with a card: Gemalto PC Twin Reader
X.509 Certificate [todentamis- ja salausvarmenne]
Object Flags : [0x00]
Authority : no
Path : 3f004331
ID : 45
Access Rules : read:<always>;
Encoded serial : 02 04 3BC409C1
X.509 Certificate [allekirjoitusvarmenne]
Object Flags : [0x00]
. . .
Ongelmanratkaisut
- Finder -> Applications -> Utilities -> System Information.app listaa järjestelmän tietoja.
- Hardware -> Card Reader osiossa näkyy älykortinlukijat.
- Software -> SmartCards osiossa näkyy ajurien ja prosessien tietoja (Tokend/CryptoTokenKit). Samat tiedot näkyvät komennolla:
% system_profiler SPSmartCardsDataType
- CryptoTokenKit palvelun tila:
% sudo launchctl print system/com.apple.ctkd | grep state
state = running
- Vanhan Tokend aktivointi on mahdollista jos sitä jostain syystä tarvitsisi (SmartCardServices-legacy):
% sudo defaults write /Library/Preferences/com.apple.security.smartcard Legacy -bool true
- Safari ei toimi henkilökortin kanssa Digiviraston sivuilla myönnetty ongelma. Poistamalla mPollux Digisign Client ja asentamalla OpenSC ongelma korjaantuu.
- SmartCard pairing failed Cannot pair SmartCard with the current user. The operation couldn't be completed. (OSStatus error -67808 - RSA signature verification failed, no match). Korjaus ongelmaan on poistaa Digiviraston mPollux Digisign Client ohjelmapaketti, asentaa OpenSC ja uudelleenkäynnistää kone. Sen jälkeen käyttäjätilin ja varmenteen paritus onnistuu ja jopa Safari-selain toimii tunnistusvarmenteella.
Katso myös
Aiheesta muualla
- Ludovic Rousseau - smartcards and macOS
- github.com/kenh/keychain-pkcs11 tarjoaa pkcs#11 rajapinnan älykorteilta ja keychain-varastosta.
