Sunday, July 7, 2013

ID-kaardi tarkvara seadistamine modernses SeaMonkey lehitsejas

Modernse SeaMonkey lehitseja (näiteks versioon 2.6 ja uuemad) ning ID-kaardi tarkvara töölesaamine on omaette teema, mille kohta ma leidsin, et see vajaks eraldi käsitlust, sest kõik kohe tööle ei hakka. (Nimelt ID-kaardi tarkvara installer end SeaMonkey jaoks õieti ei seadistagi, seega osa asju tuleb käsitsi teha.)

Üldised tingimused, millega kogu krempel tööle õnnestus saada:
* Windows XP (SP2 või uuem; näiteks). Opsüsteemide suhtes tuleks olla siiski suhteliselt agnostiline;
* SeaMonkey 2.6 (ingliskeelne) — on tõepoolest vanem versioon, aga mitte nii vana kui 1.1.xx), seega SeaMonkey 2.xx;
* Oletame, et NoScript ei ole Firefoxis või SeaMonkey-s peal. (ID-kaardi ja NoScriptiga on veel täiendavalt igast jama.)

Nüüd.. eeltingimused peaksid olema sellised:

* ID-kaardi lugeja draiver peab olema installitud; soovitatavalt kõige uuem, mis vastavale opsüsteemile valmis tehtud;
* ID-kaardi tarkvara peab olema kõige uuem, juba peale installitud ning peaks näiteks Firefoxil töötama. Firefoxist veidi allpool, isegi kui tegemist ei ole kasutaja vaikimisi lehitsejaga.

Kuigi ametlikult on toetatud Mozilla Firefox, siis oletatavasti installib ID-kaardi tarkvara kaasaegne versioon EstEID Firefoxi plugina sellegipoolest Windowsi opsüsteemis pluginate üldisesse kataloogi. Sealtsamast kataloogist leiavad Gecko-põhised lehitsejad kõik pluginad automaatselt üles.

Tulemuseks peaks SeaMonkey' pluginate nimekirjas olema
EstEID Firefox Plug-in 3.7.1.1009
Kui see on olemas, siis on pool tööd juba tehtud.

Kui EstEID pluginat SeaMonkey pluginate nimekirjas pole, aga Firefoxis on, siis SeaMonkey-s peaks minema aadressiribal asukohale about:plugins — See peaks panema SeaMonkey ning teised Gecko-põhised lehitsejad otsima üles kõik olemasolevad ja võimalikud pluginad, mis opsüsteem pakub.

Siit edasi tulevad toimingud, mida Firefoxile tehakse automaatselt, aga mis SeaMonkey-s tuleb "käsitsi" teha:
  • Laadida PIN-koodi küsimise moodul turvaseadete hulka:
    Edit > Preferences > Privacy & Security > Certificates > Manage Security Devices nupp:
    Device Manager akna vasakpoolses Security Modules and Devices nimekirjas peaks olema
    Estonian ID Card
     Virtual hotplug slot
     OMNIKEY CardMan 1021

    antud kaardilugeja mudel ^ on Eestis üks levinumaid, aga võib olla ka mõni teine.
    Kui seda pole (milles võib SeaMonkey puhul suhtkoht kindel olla), siis
    * vajutada vasakult nupule Load ja
    * uues aknakeses pealkirjaga Load PKCS#11 Device sisestada
    * Module Name: väljale
    Estonian ID Card
    * Module filename puhul ma annan praegu ette mooduli asukoha, mille leidsin Firefoxist:
    C:\WINDOWS\system32\onepin-opensc-pkcs11.dll
    Selle rea võib sinna nii asetada või kasutada Browse nuppu ja leida moodul failikorjajaga niimoodi üles ja sisestada. Vajutada OK. Device Manager aknas peaks uus moodul nähtav olema ning vajutada OK. Preferences aknas vajutada OK. Teha SeaMonkey-le restart.
  • Edasi tuleb panna SeaMonkey-le kõik Sertifitseerimiskeskuse sertifikaadid. Need on saadavad siit:
    https://www.sk.ee/Repositoorium/SK-sertifikaadid/juursertifikaadid
    Põhimõtteliselt tuleks näiteks tirida sertifikaatide PEM-lingid uuele vahekaardile ja lubada igaühele autentimine vähemalt veebisaitidele [teine ja kolmas linnuke on vastavalt e-postile (e-mail) ja arendajatele (developers)]. Iga sertifikaadi puhul vajutada OK. Mõnedel juhtudel on osad sertifikaadid juba installitud ja SeaMonkey annab sellest lühikese teatega väikeses aknakeses teada. Teha lehitsejale restart.
Põhimõtteliselt peaks asi nüüd töötama.
Et järele vaadata, kas seadistus töötab, minna aadressile
https://digidoc.sk.ee
ja siseneda ID-kaardiga.

Täiendavad seaded:
Preferences > Privacy & Security > Validation
Aktiivsed peaksid olema järgmised seaded:
[\/] Use the Online Certificate Status Protocol (OCSP) to confirm the current validity of certificates;
(*) Validate a certificate if it specifies an OCSP server.
Need seaded ^ peaksid olema vaikimisi sees, aga igaks juhuks tuleks üle kontrollida.

No comments: