Net iD Service
 

Gällande kort och Yubikey's på macOS

Sidan uppdaterad: 2021-04-14

Nu finns efterföljaren till 'Net iD Enterprise' släppt, dvs. 'Net iD Client'

Men vi har smugit ut den lite försiktigt, särskilt inom SITHS där vi velat se att allt är okej.
OBS!
2021-01-28, 19:53:
Hjälpte nyss en barnläkare med macOS Big Sur och det visade sig att när vi adderade SITHS root inte bara till KeyChain - System utan även till KeyChain - inloggning så hoppade det igång. Detta med att klienten behöver preppas med sin egen kedja är smått bisarrt och vi måste gå till botten med vad Apple, Google och Microsoft egentligen håller på med. Återkommer i ämnet! (det fungerar nu, men inte mot aktuell region eftersom deras TLS-konfiguration verkar lite lätt bedagad)

Innehåll

A) Om Big Sur

B) Instruktioner för Catalina och Apples "tokend"

C) Instruktioner för Big Sur och Apples "CryptoTokenKit"

D) Instruktioner för import av rootcertifikat och IssuingCAs, gäller både Catalina och Big Sur

 

A) Om Big Sur (macOS 11)

Fram till och med macOS 10.15.7 (Catalina) fanns Apples "tokend" (stöd för kortläsare och chipbaserade bärare) med i operativsystemet.

a) En egen variant på "pcsc-lite", dock sedan längre inte en fork av riktiga "pcsc-lite".

b) Tokend-moduler som gav själva stödet för chipbaserade bärare

Med macOS 11 så ändras allt

a) Apples egen variant av "pcsc-lite" används INTE för webbläsarnas kommunikation med kortläsare/kort (men finns kvar)

b) Tokend-moduler kan inte användas alls, nu är det CryptoTokenKit som gäller och undertill ett helt nytt slags kortläsarstöd

macOS med CryptoTokenKit ger ett något sämre stöd för chipbaserade bärare än Tokend

a) Vi ser ingenting om vem som anropar (Safari, Edge, Chrome osv.) Allt döljs av CTK-ramverket.

b) Apple kan inte hantera "sekundära certifikat", dvs. att ett nyckelpar kan användas för mer än ett enda certifikat.

c) CryptoTokenKit verkar något kinkigare med vilka ciphersuites som kan användas (i sig bra) vilket gör att webbtjänster man tidigare kunnat logga in på plötsligt kan ge: ERR_SSL_CLIENT_AUTH_NO_COMMON_ALGORITHMS

d) Man kan inte längre se kortet via applikationen "Nyckelhanteraren" (by-design av Apple). Nu måste du kika i applikationen "Systeminformation" (Programvara - SmartCards)

Punkt b) ovan kanske är den allra tråkigaste. Av de 3 certifikatsparen på ett SITHS-kort kan Apple hantera max 1 par. Dvs. vi tvingas lura Apple CryptoTokenKit att få tillgång det mest använda certifikatsparet, i praktiken paret med HSAID i SubjectSerialNumber. Det innebär att paret utfärdat av Telia inte går att använda. Inte heller SITHS-paret med personnummer i SubjectSerialNumber. Det fel Apple gör är att anta att ett nyckelpar endast kan vara kopplat till ett enda certifikat. Det är fundamentalt fel och så dumt att klockorna stannar.

Men med detta sagt så fungerar macOS 11.x med Net iD Client 1.0!

(du kan alltså inte använda Net iD Enterprise med Big Sur)

 

 

B) macOS Catalina (gäller alltså ej Big Sur)

Om du har Catalina 10.15.2 => Uppdatera genast till 10.15.7 (10.15.2 är trasig)

1) Net iD Enterprise

Vi rekommenderar att du som använder Catalina kör Net iD Enterprise 6.8.3 och "tokend". Man kan använda Net iD Client 1.0 på Catalina men då åker man på nackdelarna som beskrivs ovan.

a) Installera Net iD Enterprise 6.8.3.21 för macOS. Hämta den här om du är SITHS-kund: https://service.secmaker.com/siths/
(eller från din regions nedladdningssida)

b) Du måste följa instruktionerna under punkten D) nedan

2) Starta terminalen

3) Skriv in nedanstående kommando

sudo defaults write /Library/Preferences/com.apple.security.smartcard Legacy -bool true

(du kommer att avkrävas ditt Mac-lösenord)

 

4) Starta om din Mac

Testa nu att du kan logga på t.ex. denna sajt med ditt kort.

Använd helst Chrome och se till att du utfört det som står i punkt D) nedan innan du testar.

 

 

C) macOS Big Sur (gäller alltså ej Catalina)

Du som uppgraderat till Big Sur och sedan tidigare hade Net iD Enterprise installerad måste börja med att avinstallera Net iD Enterprise 6.x och istället installera Net iD Client 1.0.1.17.

1) Starta Terminalen och ange följande två kommandon:
cd /Applications/Utilities/Net\ iD.app\Contents\Resources\setup
sudo ./uninstall

2) Installera Net iD Client 1.0.1.17. Hämta den här om du är SITHS-kund: https://service.secmaker.com/siths/
(eller från din regions nedladdningssida)

3) Om du använder certifikat från "SITHS e-id Person HSA-id 3 CA v1" så fortsätter du med instruktionerna under punkten D) nedan.

4) Om du däremot har certifikat från någon annan utfärdare fortsätter du med att justera netid.conf

OBS-1 !
Paketet i punkt b) ovan är byggt för att hantera certifikat från "SITHS e-id Person HSA-id 3 CA v1" och "SITHS e-id Person HSA-id 2 CA v1". Har du fortfarande certifikat från "SITHS Type 1 CA v1" följer en instruktion nedan.

OBS-2 !
I kommande 1.0.2.xx ska vi konfigurera lite smartare så att man slipper

# Navigera till denna plats (Net iD och CryptoTokenKit.appex måste du högerklicka på och välja "Visa innehåll"

# Kopiera netid.conf till skrivbordet och öppna den med Textredigeraren. Rulla ner till sektionen [Match] nästan längst ner i filen.

# Ändra raden som början med 1= så att det ser ut såhär:

# Spara filen och kopiera tillbaka den till sökvägen ovan, starta om datorn

 

 

D) Installera root-certifikat på din Mac (gäller både Catalina och Big Sur)

1) Börja med att ladda hem dessa tre filer. De innehåller SITHS-rotcertifikat

root_SITHS_Root_CA_v1_sha1.crt (endast nödvändigt om du har ett ouppdaterat gammalt SITHS-kort)

root_siths-e-id-root-ca-v2.crt (detta är rooten för alla nya SITHS-kort och alla uppgraderade SITHS-kort)

root-siths-ca-crossborder-omsignerad2.crt (endast nödvädigt om du har certifikat från CrossborderCA)

 

2) Starta applikationen "Nyckelhanteraren"

Du hittar den här:

 

3) Nyckelhanteraren

Markera "System" upptill och "Certifikat" nertill

 

4) Kopiera in de tre certifikaten (eller det av dem du explicit behöver enligt "D1" ovan)

Nu drar du de tre nedladdade certifikaten till nyckelringen "System"

 

5) Några dialoger kommer upp

Du kommer att få några dialogrutor som frågar om du vill lägga till, dubbelkolla att det står "System". På slutet måste du bekräfta uppdateringen av "System" genom att ange ditt Mac-lösenord.

 

6) Certifikaten på plats men ännu ej betrodda

Nu ligger de tre certifikaten på plats men som du ser är de rödmarkerade. Dubbelklicka på det första av dem.

 

7) Certifikatet öppnat

När du öppnat certifikat nummer 1 ändrar du under "Godkännelse - När det här certifikatet används" till "Lita alltid på" så att det ser ut som på bilden nedan. När du stänger ner certifikatet med röda bollen måste du ange ditt Mac-lösenord.

 

8) Samma sak med certifikat 2 och 3

Gör om punkt 7 även för certifikat 2 och 3. När du är klart ska de alla tre inte längre vara röda utan ljusblå.

 

9) SITHS-kortet

OBS! I Big Sur visas INTE kortet i Nyceklhanteraren (så har Apple bestämt)

Stäng av Nyckelhanteraren, sätt i ditt kort och starta sedan Nyckelhanteraren igen. Du ska nu kunna se ditt SITHS-kort högst upp i listan över nyckelringar.

Ja, det ska stå att certifikatet inte är betrott, det fungerar ändå!
(rent tekniskt beror det på att vi inte kopierat in alla de mellanliggande certifikaten, vilket alltså inte krävs för att det ska fungera)

 

10) Testa

Starta Chrome (inte Safari) och surfa t.ex. till Pascal. Först kommer ett certifikatsval, tryck OK

 

11) PIN-dialogen

Nu vill Chrome att du anger din pinkod (PIN1). Slår du rätt pin ska du bli inloggad.

 

OBS!

Om den webbtjänst du kör inte bara innefattar inloggning utan även signering/underskrift så kommer den delen inte att fungera på Mac, det gäller t.ex. Webcert/Intygstjänsten.

Det går att fixa stöd för signering/underskrift även på Mac men då måste webbtjänsten anpassas för Net iD Access istället för bara Net iD Enterprise. Det finns webbtjänster som gjort det, men tyvärr har långt ifrån alla hunnit med det.

 

12) Safari

Om du trots allt skulle vilja använda Safari istället för Chrome så verkar det inte bättre än att man måste importera även de mellanliggande certifikaten för att det ska fungera.

Ladda ner alla dessa, eller just de du behöver, och importera dem på samma sätt som i punkterna 1 till 8 ovan:

INT-siths-e-id-person-hsa-id-3-ca-v1.crt
(om du endast använder certifikat från "SITHS e-id Person HSA-id 3 CA v1" så räcker det med just detta certifikat)

int_SITHS_Type_1_CA_v1_sha1.crt
(behövs om du har ett gammalt ouppdaterat SITHS-kort, dvs Type 1 CAn)

INT-siths-e-id-person-hsa-id-2-ca-v1.crt

INT-siths-e-id-function-ca-v1.crt

INT-siths-e-id-person-id-2-ca-v1.crt

INT-siths-e-id-person-id-3-ca-v1.crt

root_Telia_e-legitimation_HW_CA_v4.crt

root_Telia_e-legitimation_HW_CA_v3.crt