linuks.lt logo Linux

Linux at home/office
Идеи Linux для дома и офиса
Linux sprendimai namuose ir ofise

Меню

Начало

Скачать

Установка

Сервер
для малого
Бизнеса

Домашний
сервер

В офисе и
дома

В магазине

-------

Контакты

Закладки

0 добавлено

Цифровая подпись в Linux – Gemalto ClassicClient и OMNIKEY 1021 USB

Не смотря на то, что данный вариант является самым дешёвым и доступным для граждан, трудности создаёт полное отсутствие инструкций на официальном сайте министерства. Зато обнадёживает то, что официально производителем считывателя карты поддерживаются Linux Red Hat v5 32 bits и Debian Etch 32 bits. Мы опишем, как настроить и запустить программу в системе openSUSE.

Для начала нужно скачать драйвер с официального сайта HID Global (производитель считывателя OMNIKEY 1021) -http://www.hidglobal.com/driverDownloads.php?techCat=19. Скачивать нужно драйвер для модели 3021. Почему-то если выбрать модель 1021, то для неё сайт драйвера не предложит:


Ещё нам понадобится программа ClassicClient, которую можно скачать только с сайта министерства - http://www.nsc.vrm.lt/downloads.htm :


Далее с помощью Yast проверяем, установлен ли пакет OpenSSL, а также устанавливаем дополнительный пакет — pcsc-lite:


Теперь, чтобы проверить, что pscs установился корректно, запустим из консоли команду pcsc -f -d:


Вывод нам подскажет, куда именно нужно будет скопировать драйвер. Распаковываем скаченный драйвер и запускаем команду install -d /usr/lib/readers :


После того, как драйвер установлен, переходим к установке скаченного RPM пакета ClassicClient. Как видно из названия пакета, собран он для системы Red Hat и скорее всего ни устанавливаться, ни запускаться не захочет. Но есть хитрость. Установим этот пакет с ключом --nodeps, чтобы проигнорировать зависимость OpenSSL (который у нас заведомо установлен):


Теперь убедимся, что ClassicClient всё ещё не работает из-за отсутствия библиотек, запустим команду CCChangePinTool:


Это не беда. Библиотеки на самом деле есть, просто расположены в другом месте. Создадим символические ссылки на имеющиеся библиотеки:


После этого снова запустим утилитку CCChangePinTool — теперь она работает, запускается, но пока что не находит считытваетля:


Снова запустим pcsc, теперь он находит драйвер, загружает его и по отсутствию ошибок можно догадаться, что кард-ридер успешно инициализирован и работает:


Попробуем вставить в считыватель карту — выведется строка с информацией о вставленной карте:


Не закрывая pcsc, в другом окне терминала запустим CCChangePinTool. В консоли pcsc снова выведется много служебной информации, а также появится окно для смены пин-кода:

Карта и считыватель настроены и работают.
Теперь нужно настроить FireFox для работы с веб-сайтом, которому требуется предъявление квалифицированного сертификата.

Открываем Edit -> Preferences -> Advanced -> Encryption -> Security Devices. Нажимаем Load, вписываем название нашего считывателя — Gemalto OMNIKEY, и указываем адрес модуля для общения с картой - /usr/lib/ClassicClient/libgclib.so:


Теперь в списке цифровых хранилищ присутствует и наш считыватель. Выделив его, можно узнать детальную информацию:


Теперь возвращаемся на страницу министерства и импортируем 6 корневых сертификатов центра — RootCA, PolicyCA и IssuingCA, по два новых и по два старых:


Перезапускаем FireFox и пробуем открыть страницу https://openid.vrm.lt/. Если при этом вы получаете ошибку, то возможно плохо установлены корневые сертификаты или не установлен уровень доверия им:


Нажимаем на «Prisiregistruoti» (подключиться), и, после того, как веб сайт запросит квалифицированный сертификат, FireFox должен предложить нам выбор сертификата:


Подтвердите выбор — и готово! Веб сервер опознал вашу личность. Подобным образом можно подключаться к сайтам государственных учреждений, налоговой инспекции, социальной службе и прочим сайтам, поддерживающим квалифицированные сертификаты. А повторив процедуру добавления модуля FireFox для Thunderbird можно подписывать или шифровать электронную почту.

Теперь надо перезагрузить компьютер и убедиться, что демон pcsc стартует автоматически, считыватель распознаётся, а FireFox способен получить квалифицированный сертификат. Если после перезагрузки что-то не работает, то нужно снова запускать pcsc -f -d и изучать его вывод, чтобы понять, какая именно часть системы функционирует неправильно

(с) 2008-2015, linuks.lt :: Hosted by motozone.lt :: Copyrights :: optimized for lynx