Ero sivun ”Fedora” versioiden välillä
(Ak: Uusi sivu: == mPollux DigiSign Client == Red Hat Enterprise Linux paketin asennus onnistuu nykyisiin Fedora versioihin (2015-07), paketin nimi on '''mpollux-digisign-client'''. [[Luokka...) |
p |
||
| (27 välissä olevaa versiota samalta käyttäjältä ei näytetä) | |||
| Rivi 1: | Rivi 1: | ||
| + | '''Fedora''' ([http://fedoraproject.org fedoraproject.org]) on [[Red Hat]] yrityksen tekemä, yksi suosituimmista Linux jakeluista. Sen ominaisuuksia on kehityksen uusimpien versioiden integrointi, RPM-paketinhallinta ohjelmistojen asennuksessa ja sitoutuminen avoimiin lisensseihin. Red Hat käyttää Fedoraa ja avoimien ohjelmien yhteisöä hyväkseen kehittääkseen kaupallisesti tuettua [[Red Hat Enterprise Linux|Enterprise Linux]]iaan. | ||
| − | == | + | == Kortit ja lukijat == |
| + | [[Tiedosto:2019-06-11-pkcs-fig1.png|right|500px|thumb|Fedora käyttää uutta p11-kit abstraktiorajapintaa.]] | ||
| − | + | Paketteja: | |
| + | * '''pcsc-lite''' | ||
| + | * '''opensc''' | ||
| + | * '''fineid-ca-certificates''' valtion juurivarmenteet. | ||
| + | * '''pcsc-lite-acsccid''' on [[ACS]]-valmistajan [[CCID]]-ajuripaketti. | ||
| + | * '''gnome-keyring''' ja '''seahorse''' varmennevarsto GUI | ||
| + | * '''p11-kit''' | ||
| + | * '''crypto-policies''' | ||
| + | Uusien korttien [[ATR]] on listattu joko /usr/share/pcsc/smartcard_list.txt tai /etc/opensc*.conf tiedostossa. | ||
| + | == DigiSign Client == | ||
| + | pääsivu: [[DigiSign Client]] | ||
| + | |||
| + | Ohjelmapaketti ei ole Digiviraston tukema, mutta [[Red Hat Enterprise Linux]] paketin ('''mpollux-digisign-client-for-vrk''' ''huokaus'') asennus onnistuu nykyisiin Fedora versioihin (2021-02). | ||
| + | |||
| + | On pyydetty, että laittaisivat päivitykset repoon, mutta virkamiehiä ei kiinnostanut, joten jokainen voi sitten laittaa Fedoraan allaolevan. Uusia versioita voi ilmoitella '''digivirasto@digivirasto.fi''' osoitteeseen :) Tehdään release-file myöhemmin. | ||
| + | |||
| + | [digivirasto] | ||
| + | name=Digivirasto for Fedora $releasever - $basearch | ||
| + | failovermethod=priority | ||
| + | baseurl=http://digivirasto.fi/repositories/fedora/$releasever/$basearch/ | ||
| + | enabled=1 | ||
| + | cost=200 | ||
| + | metadata_expire=7d | ||
| + | gpgcheck=0 | ||
| + | gpgkey=file:///etc/pki/ | ||
| + | skip_if_unavailable=False | ||
| + | |||
| + | DigiSign ohjelman tiedostot ovat ''~/.digisign/'' hakemistossa ja se kirjoittaa logia ''~/.digisign_logs/DigiSignApplication.log'' tiedostoon. | ||
| + | |||
| + | Käynnistysscripti ''/usr/bin/DigiSignApplication'' asentaa joka käynnistyksessä pkcs11-moduulit [[NSS]] ja Mozilla-perheen sovelluksiin. | ||
| + | |||
| + | Havaintoja: | ||
| + | * Fedorassa p11-kit on nykyään pkcs11-rajapinta sovelluksissa ja Digisign Client on konfliktissa sen kanssa. | ||
| + | * pin2-tunnusluvun vaihto ei toimi (2015-10, 2021-02) | ||
| + | * PUK-koodin käyttö ei toimi, tulee ''Information: '''Change the PIN before using card!''''' virhe. (2021-02) | ||
| + | * ohjelman nimi on omituinen, väärin käytäntöjä | ||
| + | * käyttöohjeessa on virheitä lähes joka kappaleessa. Tekijä ja ohjelman tilaaja ei ilmeisesti tunne käyttöjärjestelmää ollenkaan. | ||
| + | |||
| + | == p11-kit ja fedora > 29 == | ||
| + | |||
| + | '''Fedora 29''' ja uudemmat vetävät työpöydälle riippuvaisuuksien mukana [[p11-kit]] paketin jonka mukana tulee p11-kit-proxy.so, joka myös asennetaan automaattisesti mm [[Firefox]]-selaimeen joka käynnistämisen yhteydessä. Jos sen poistaa, Fedoran [https://gitlab.com/redhat-crypto/fedora-crypto-policies crypto-policy] asettaa sen uudelleen paikalleen. Kokeilut ovat osoittaneet Digiviraston [[DigiSign Client]] ja p11-kit-proxy.so olevan konfliktissa keskenään varsinkin jos p11-kit:ssä on useita varmennelaitteita. Vaikka ne kaikki asettelee oikein toimimaan p11-kit rajapinnan kautta kuten pitääkin, ne eivät toimi yhdessä. Ainoa vaihtoehto on poistaa koko p11-kit Firefoxista ja asetella se käyttämään pkcs11-plugineita suoraan (jumitus ilmeisesti tapahtuu p11-kit rajapinnassa). | ||
| + | |||
| + | Alkuun tulee estää p11-kit-proxy pluginin latautuminen. Tämän voi tehdä käynnistämällä Firefox aina scriptillä: | ||
| + | #!/bin/sh | ||
| + | |||
| + | # This prevents p11-kit-proxy.so autoconfiguration. | ||
| + | # https://gitlab.com/redhat-crypto/fedora-crypto-policies/-/blob/master/update-crypto-policies.8.txt | ||
| + | |||
| + | NSS_IGNORE_SYSTEM_POLICY=1 /usr/bin/firefox | ||
| + | |||
| + | ja tallentamalla se tiedostoon hakemistossa joka on käyttäjän $PATH muuttujan listassa ennen /usr/bin hakemistoa. Jos sellaista ei ole, se tulee lisätä. Tämän jälkeen jokainen PKCS11 moduli tulee ladata erikseen Firefoxiin kuten ennen. | ||
| + | |||
| + | Aiheesta muualla: | ||
| + | * [https://bugzilla.redhat.com/buglist.cgi?quicksearch=p11-kit bugzilla.redhat.com - p11-kit bugs] | ||
| + | |||
| + | == Selaimen allekirjoitustuki == | ||
| + | |||
| + | NPAPI:a käyttävä ''Firefox Token Signing'' plugin (''npesteid-firefox-plugin.so'') löytyy '''firefox-esteid-plugin''' RPM-paketista. | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | == Katso myös == | ||
| + | * [[Firefox]] | ||
| + | * [[Web-selain]] | ||
| + | |||
| + | |||
| + | [[Luokka:Käyttöjärjestelmät]] | ||
[[Luokka:Linux]] | [[Luokka:Linux]] | ||
Nykyinen versio 25. maaliskuuta 2024 kello 13.26
Fedora (fedoraproject.org) on Red Hat yrityksen tekemä, yksi suosituimmista Linux jakeluista. Sen ominaisuuksia on kehityksen uusimpien versioiden integrointi, RPM-paketinhallinta ohjelmistojen asennuksessa ja sitoutuminen avoimiin lisensseihin. Red Hat käyttää Fedoraa ja avoimien ohjelmien yhteisöä hyväkseen kehittääkseen kaupallisesti tuettua Enterprise Linuxiaan.
Sisällysluettelo
Kortit ja lukijat
Paketteja:
- pcsc-lite
- opensc
- fineid-ca-certificates valtion juurivarmenteet.
- pcsc-lite-acsccid on ACS-valmistajan CCID-ajuripaketti.
- gnome-keyring ja seahorse varmennevarsto GUI
- p11-kit
- crypto-policies
Uusien korttien ATR on listattu joko /usr/share/pcsc/smartcard_list.txt tai /etc/opensc*.conf tiedostossa.
DigiSign Client
pääsivu: DigiSign Client
Ohjelmapaketti ei ole Digiviraston tukema, mutta Red Hat Enterprise Linux paketin (mpollux-digisign-client-for-vrk huokaus) asennus onnistuu nykyisiin Fedora versioihin (2021-02).
On pyydetty, että laittaisivat päivitykset repoon, mutta virkamiehiä ei kiinnostanut, joten jokainen voi sitten laittaa Fedoraan allaolevan. Uusia versioita voi ilmoitella digivirasto@digivirasto.fi osoitteeseen :) Tehdään release-file myöhemmin.
[digivirasto] name=Digivirasto for Fedora $releasever - $basearch failovermethod=priority baseurl=http://digivirasto.fi/repositories/fedora/$releasever/$basearch/ enabled=1 cost=200 metadata_expire=7d gpgcheck=0 gpgkey=file:///etc/pki/ skip_if_unavailable=False
DigiSign ohjelman tiedostot ovat ~/.digisign/ hakemistossa ja se kirjoittaa logia ~/.digisign_logs/DigiSignApplication.log tiedostoon.
Käynnistysscripti /usr/bin/DigiSignApplication asentaa joka käynnistyksessä pkcs11-moduulit NSS ja Mozilla-perheen sovelluksiin.
Havaintoja:
- Fedorassa p11-kit on nykyään pkcs11-rajapinta sovelluksissa ja Digisign Client on konfliktissa sen kanssa.
- pin2-tunnusluvun vaihto ei toimi (2015-10, 2021-02)
- PUK-koodin käyttö ei toimi, tulee Information: Change the PIN before using card! virhe. (2021-02)
- ohjelman nimi on omituinen, väärin käytäntöjä
- käyttöohjeessa on virheitä lähes joka kappaleessa. Tekijä ja ohjelman tilaaja ei ilmeisesti tunne käyttöjärjestelmää ollenkaan.
p11-kit ja fedora > 29
Fedora 29 ja uudemmat vetävät työpöydälle riippuvaisuuksien mukana p11-kit paketin jonka mukana tulee p11-kit-proxy.so, joka myös asennetaan automaattisesti mm Firefox-selaimeen joka käynnistämisen yhteydessä. Jos sen poistaa, Fedoran crypto-policy asettaa sen uudelleen paikalleen. Kokeilut ovat osoittaneet Digiviraston DigiSign Client ja p11-kit-proxy.so olevan konfliktissa keskenään varsinkin jos p11-kit:ssä on useita varmennelaitteita. Vaikka ne kaikki asettelee oikein toimimaan p11-kit rajapinnan kautta kuten pitääkin, ne eivät toimi yhdessä. Ainoa vaihtoehto on poistaa koko p11-kit Firefoxista ja asetella se käyttämään pkcs11-plugineita suoraan (jumitus ilmeisesti tapahtuu p11-kit rajapinnassa).
Alkuun tulee estää p11-kit-proxy pluginin latautuminen. Tämän voi tehdä käynnistämällä Firefox aina scriptillä:
#!/bin/sh # This prevents p11-kit-proxy.so autoconfiguration. # https://gitlab.com/redhat-crypto/fedora-crypto-policies/-/blob/master/update-crypto-policies.8.txt NSS_IGNORE_SYSTEM_POLICY=1 /usr/bin/firefox
ja tallentamalla se tiedostoon hakemistossa joka on käyttäjän $PATH muuttujan listassa ennen /usr/bin hakemistoa. Jos sellaista ei ole, se tulee lisätä. Tämän jälkeen jokainen PKCS11 moduli tulee ladata erikseen Firefoxiin kuten ennen.
Aiheesta muualla:
Selaimen allekirjoitustuki
NPAPI:a käyttävä Firefox Token Signing plugin (npesteid-firefox-plugin.so) löytyy firefox-esteid-plugin RPM-paketista.
