Manuale Smart card (Linux, Fedora e Red Hat)

UNIVERSITÀ DEGLI STUDI DI TORINO
GUIDA OPERATIVA
Installazione del lettore di Smart Card e del software per la
firma digitale e cifratura in Linux Ubuntu, Fedora e Red Hat
INDICE
1. Premessa.......................................................................................................................................2
2.
Installare driver, librerie e software per la firma digitale..............................................3
2.1
Primo passo........................................................................................................................3
2.1.1 installare il demone pcscd PCSC-Lite (Resource Manager) versione 1.4.x-x....................3
2.2
Secondo passo...................................................................................................................5
2.2.1 installare il driver del mini-lettore ACR38 .........................................................................5
2.3
Terzo passo ........................................................................................................................5
2.3.1 installare libreria e driver del lettore Smart Card................................................................5
Quarto passo ......................................................................................................................6
2.4
2.4.1 collegare il lettore ACR38 ad una porta USB e individuare il dispositivo .........................6
2.5
Quinto passo ......................................................................................................................8
2.5.1 installare DikeL...................................................................................................................8
3.
Installazione del certificato root..........................................................................................9
3.1 Browser Mozilla Firefox............................................................................................................9
3.2 Client di posta Mozilla Thunderbird........................................................................................12
4.
Predisporre il software all’utilizzo del lettore di Smart Card ....................................14
4.1 Browser Mozilla Firefox........................................................................................................14
4.1.1 Caricare il dispositivo PKCS#11 ......................................................................................14
4.1.2 Indicare il percorso della libreria ......................................................................................14
4.1.3 Accedere al dispositivo .....................................................................................................15
4.1.4 Visualizzare i propri certificati .........................................................................................16
4.2 Client di posta Mozilla Thunderbird ...................................................................................17
5.
Posta elettronica firmata e cifrata; autenticazione ......................................................20
5.1 firmare un messaggio di posta ..............................................................................................20
5.2 inviare un messaggio di posta cifrato ...................................................................................20
5.3 autenticazione con la Smart Card ........................................................................................20
Divisione Sistemi Informativi – Settore Assistenza e Sistemi
Pagina 1 di 20
UNIVERSITÀ DEGLI STUDI DI TORINO
1. Premessa
Lo scopo del presente documento è fornire, come guida operativa, una sintesi composta da:
•
cinque passi che descrivono le procedure d’installazione necessarie ad abilitare l’uso del
lettore della Smart Card, rilasciata dal Sistema Universitario Piemontese, sulle postazioni
utente dotate di un sistema operativo Linux per il quale la InfoCert S.p.A. ha realizzato e
collaudato una versione del software per la firma digitale dei documenti: Dike Free.
•
installazione del certificato radice pubblico della Certification Authority InfoCert S.p.A.
•
procedure per la predisposizione, del browser e del client di posta, all’uso dei certificati
contenuti sulla Smart Card, rilasciata dal Sistema Universitario Piemontese.
Per la sua ampia diffusione guida è stato scelto il sistema operativo Ubuntu nell’illustrare i
comandi, nelle figure e negli esempi nella presente guida, con delle eccezioni, dove diversamente
specificato, per i sistemi operativi Red Hat 7.3 e Fedora (core 3 o 4).
Divisione Sistemi Informativi – Settore Assistenza e Sistemi
Pagina 2 di 20
UNIVERSITÀ DEGLI STUDI DI TORINO
2. Installare driver, librerie e software per la firma digitale
2.1
Primo passo
2.1.1 installare il demone pcscd PCSC-Lite (Resource Manager) versione 1.4.x-x
Per Red Hat, CentOS o Fedora
From desktop click on Applications -> Add\Remove Software
Under the Browse tab click on Development -> click on the box next to Development Libraries
Click on the Optional Packages Button, then search for and click on the box next to libusb-devel
Click on Close and Apply
Click on Continue in the Package Selection pop-up
Click on Continue when the Dependencies Added pop-up appears
Still in package Manager Click on the Search Tab
Enter gcc into the search box on click on Search
Search for and click the box next to gcc-c++ and click on Apply
Click on Continue in the Package Selection pop-up
Click on Continue when the Dependencies Added pop-up appears
In alternativa si può scaricare il pacchetto libusb-devel adatto al proprio sistema operativo e alla
propria architettura: http://rpmfind.net/linux/rpm2html/search.php?query=libusb-devel
quindi installare i pacchetti gcc e gcc-c++, e poi installare libusb, da una finestra del terminale (in
shell), con RPM (si può anche utilizzare YUM se presente in Fedora o Red Hat) .
Per Ubuntu: installare il pacchetto PCSC-Lite con Gebi
-----------------------------------------------------------PCSC-Lite installazione dipendenze
-----------------------------------------------------------I seguenti 3 pacchetti sono prerequisiti necessari:
- libc6-dev
- libusb-dev
- gcc c++
il pacchetto gcc c++ è già incluso nell'installazione standard di Ubuntu.
Usare Synaptic o Aptitude per scaricare e installare gli altri due pacchetti necessari.
Ad esempio:
# apt-get install libc6-dev
# apt-get install libusb-dev
Ricercare il pacchetto per la propria versione di Ubuntu:
http://packages.ubuntu.com/search?searchon=names&keywords=pcscd
Divisione Sistemi Informativi – Settore Assistenza e Sistemi
Pagina 3 di 20
UNIVERSITÀ DEGLI STUDI DI TORINO
Ad esempio per la versione 7.10 (gutsy), si individua il link adatto alla propria architettura, al fondo
della pagina:
http://packages.ubuntu.com/gutsy/pcscd
e per l'architettura i386 il package appropriato “pcscd_1.4.3-1_i386.deb” è attualmente disponibile
alla pagina:
http://packages.ubuntu.com/gutsy/i386/pcscd/download
Importante: sono necessari i privilegi di root per installare PCSC-Lite
Per Red Hat, CentOS o Fedora
-----------------------------------------------------------PCSC-Lite installazione demone pcscd
-----------------------------------------------------------Estrarre i files dall'archivio pcsc-lite-1.4.x.tar.gz:
# tar zxvf pcsc-lite-1.4.x.tar.gz
Build PCSC:
# ./configure --enable-libusb
# make
# make install
Avviare il demone pcscd:
# /usr/local/sbin/pcscd
Controllare che il demone sia in esecuzione:
# ps -e | grep pcsc
si dovrebbe ottenere un output come questo:
# 02515 ? 00:00:00 pcscd
-----------------------------------------------------------Disinstallazione (di versioni precedenti la 1.4.3-1)
-----------------------------------------------------------Dalla cartella di pcsc-lite:
#make uninstall
NOTA: se necessario e/o richiesto dal sistema installare anche libhal-dev
Divisione Sistemi Informativi – Settore Assistenza e Sistemi
Pagina 4 di 20
UNIVERSITÀ DEGLI STUDI DI TORINO
2.2
Secondo passo
2.2.1 installare il driver del mini-lettore ACR38
scaricare il driver dal sito del produttore:
http://www.bit4id.com/italiano/download/download_file/Linux.zip
scompattare l'archivio, portarsi nella cartella ACR38_LINUX_100706_P
eseguire l'installazione con i seguenti comandi:
sudo ./configure
sudo make
sudo make install
2.3
Terzo passo
2.3.1 installare libreria e driver del lettore Smart Card
Scaricare il package libacru, adatto alla propria architettura, alla pagina:
http://packages.ubuntu.com/gutsy/libacr38u
ed installarlo con Gebi, oppure, con Aptitude, da shell dare il comando:
sudo apt-get install libacr38u
Divisione Sistemi Informativi – Settore Assistenza e Sistemi
Pagina 5 di 20
UNIVERSITÀ DEGLI STUDI DI TORINO
2.4
Quarto passo
2.4.1 collegare il lettore ACR38 ad una porta USB e individuare il dispositivo
Usare il comando lsusb per vedere se il dispositivo lettore di smart card è riconosciuto dal sistema
operativo. Ecco un esempio dell'output del comando lsusb dalla shell Ubuntu:
Consiglio: se è possibile provare le porte USB disponibili, spostando il cavo USB di collegamento
del lettore, facendo in modo che il dispositivo risulti presente sul bus 001
2.4.1.1 Installare pacchetto pcsc-tools 1.4.9-1
utile per individuare correttamente le Smart Card che vengono inserite nel lettore.
Per installare pcsc-tools in Ubuntu:
sudo apt-get install pcsc-tools
Usare il comando pcsc_scan per verificare sia l'ATR (messaggio di presentazione della carta) della
Smart Card che il corretto funzionamento del dispositivo lettore.
Nella pagina seguente sono visibili alcuni esempi, dell’output in shell, di tale comando
Divisione Sistemi Informativi – Settore Assistenza e Sistemi
Pagina 6 di 20
UNIVERSITÀ DEGLI STUDI DI TORINO
Esempio di output corretto del comando pcsc_scan con la smart card inserita:
Esempio di output corretto del comando pcsc_scan senza la smart card inserita:
Divisione Sistemi Informativi – Settore Assistenza e Sistemi
Pagina 7 di 20
UNIVERSITÀ DEGLI STUDI DI TORINO
2.5
Quinto passo
2.5.1 installare DikeL
Scaricare e installare il pacchetto DikeL, adatto al proprio sistema operativo e alla propria
architettura, scaricare anche la relativa documentazione in pdf, dalla pagina seguente:
https://www.firma.infocert.it/installazione/installazione_DiKe.php
assicurarsi d'avere soddisfatto tutti i prerequisiti e d'avere portato a termine le istruzioni all'interno
della documentazione in formato .pdf
Se tutti i passi sono stati eseguiti correttamente da riga di comando sarà possibile dare il comando:
dike
si otterrà così l'esecuzione grafica del programma, dal menu Strumenti scegliere Scelta Lettore e
quindi selezionare il lettore ACS ACR38U 00 00 come in figura 1:
Figura 1
Per il corretto utilizzo del software Dike fare riferimento alla guida del programma stesso
richiamabile con il tasto funzione F1
Ulteriori informazioni sono disponibili sul sito Infocert alla pagina:
https://www.firma.infocert.it/installazione/installazione_DiKe.php
Divisione Sistemi Informativi – Settore Assistenza e Sistemi
Pagina 8 di 20
UNIVERSITÀ DEGLI STUDI DI TORINO
3. Installazione del certificato root
Collegarsi al sito InfoCert alla pagina:
https://www.firma.infocert.it/installazione/certificato.php
nella sezione 1 individuare e cliccare con il pulsante destro del mouse il link
al certificato e procedere al download del file:
certificato CA InfoCert Servizi di Certificazione [CER - 1 KB]
3.1 Browser Mozilla Firefox
Aprire il browser Mozilla Firefox. Da Modifica -> Preferenze -> Avanzate ->
Mostra certificati scegliere la scheda Autorità poi -> Importa:
Divisione Sistemi Informativi – Settore Assistenza e Sistemi
Pagina 9 di 20
UNIVERSITÀ DEGLI STUDI DI TORINO
Scegliere il certificato root dalla posizione nella quale è stato appena
scaricato e quindi Apri:
Si apre la finestra seguente:
Divisione Sistemi Informativi – Settore Assistenza e Sistemi
Pagina 10 di 20
UNIVERSITÀ DEGLI STUDI DI TORINO
Mettere il segno di spunta nelle tre caselle -> OK:
Nella finestra Gestione certificati ora è presente il certificato Infocert:
Scegliere OK. Importazione correttamente completata.
Divisione Sistemi Informativi – Settore Assistenza e Sistemi
Pagina 11 di 20
UNIVERSITÀ DEGLI STUDI DI TORINO
3.2 Client di posta Mozilla Thunderbird
La procedura è sostanzialmente la stessa da effettuare per il browser Mozilla
Firefox:
da Modifica -> Impostazioni account -> Sicurezza -> Visualizza certificati
Si apre la finestra Gestione certificati -> Importa
Divisione Sistemi Informativi – Settore Assistenza e Sistemi
Pagina 12 di 20
UNIVERSITÀ DEGLI STUDI DI TORINO
Selezionare il certificato root “InfoCert_Servizi_di_Certificazione.cer “dalla
posizione nella quale è stato salvato in precedenza, quindi scegliere Apri:
Mettere il segno di spunta alle tre caselle “Dai fiducia a questa CA…” -> OK
Il certificato radice INFOCERT SPA ora risulta installato:
Scegliere OK. Importazione correttamente completata.
Divisione Sistemi Informativi – Settore Assistenza e Sistemi
Pagina 13 di 20
UNIVERSITÀ DEGLI STUDI DI TORINO
4. Predisporre il software all’utilizzo del lettore di Smart Card
4.1 Browser Mozilla Firefox
4.1.1 Caricare il dispositivo PKCS#11
Aprire Firefox da modifica -> preferenze -> cifratura -> avanzate (scheda
cifratura) -> dispositivi di sicurezza -> Carica ->
immettere, nel campo "Nome file modulo" il valore: /usr/lib/libbit4ipki.so
4.1.2 Indicare il percorso della libreria
Attendere qualche istante e selezionare OK
Divisione Sistemi Informativi – Settore Assistenza e Sistemi
Pagina 14 di 20
UNIVERSITÀ DEGLI STUDI DI TORINO
4.1.3 Accedere al dispositivo
Nella finestra Gestione dispositivi è ora visibile il Nuovo modulo PKCS#11 ACS
ACR38U 00 00 nello stato Non presente:
Scegliere Accedi
Viene richiesto l’inserimento della password, inserire quindi il pin della smart
card e poi -> OK
Divisione Sistemi Informativi – Settore Assistenza e Sistemi
Pagina 15 di 20
UNIVERSITÀ DEGLI STUDI DI TORINO
La Smart Card è stata correttamente riconosciuta come CNS (Carta Nazionale dei
Servizi) e lo stato è cambiato da Non Presente – Non Connesso a Connesso come in
figura:
4.1.4 Visualizzare i propri certificati
Sulla Smart Card, scegliendo Modifica -> Preferenze -> Avanzate -> Mostra
certificati -> Certificati personali sono visibili i propri certificati digitali
La procedura si è conclusa con successo.
Divisione Sistemi Informativi – Settore Assistenza e Sistemi
Pagina 16 di 20
UNIVERSITÀ DEGLI STUDI DI TORINO
4.2 Client di posta Mozilla Thunderbird
La procedura è sostanzialmente la stessa da effettuare per il browser Mozilla
Firefox:
Selezionare Dispositivi di sicurezza:
Seguire quindi i passi da 4.1.1 a 4.1.4(gli stessi già effettuati in Mozilla
Firefox) per caricare e testare il Dispositivo ACR38U
Divisione Sistemi Informativi – Settore Assistenza e Sistemi
Pagina 17 di 20
UNIVERSITÀ DEGLI STUDI DI TORINO
Ultimato il passo 4.1.4 scegliere Seleziona:
Si apre la finestra Selezione certificato -> OK
Si apre la seguente finestra -> OK
Divisione Sistemi Informativi – Settore Assistenza e Sistemi
Pagina 18 di 20
UNIVERSITÀ DEGLI STUDI DI TORINO
E’ ora presente il valore CNS User Certificate per Firma digitale e Cifratura:
La procedura si è conclusa correttamente
Divisione Sistemi Informativi – Settore Assistenza e Sistemi
Pagina 19 di 20
UNIVERSITÀ DEGLI STUDI DI TORINO
5. Posta elettronica firmata e cifrata; autenticazione
Ultimate le procedure descritte in precedenza sarà possibile firmare e cifrare
i propri messaggi di posta elettronica, nonché autenticarsi ai servizi offerti
dal portale, con la Smart Card inserita nel lettore procedere come segue:
5.1 firmare un messaggio di posta
aprire Thunderbird; da Scrivi ->
compilare il proprio messaggio ->
al termine, da Sicurezza ->
selezionare: Apponi firma digitale e controllare che, tale voce, abbia il segno
di spunta visualizzando nuovamente il menu a tendina Sicurezza;
inviare quindi l’e-mail.
5.2 inviare un messaggio di posta cifrato
è prerequisito essenziale il possesso di un certificato, valido ed attendibile,
del destinatario, quindi, quando si intende scambiare posta cifrata per la prima
volta, è necessario richiedere, al corrispondente destinatario, l’invio di un
suo messaggio di posta elettronica firmato.
Una volta ricevuto il messaggio firmato si deve dare fiducia all’autenticità del
certificato che lo accompagna:
dal menu Strumenti scegliere Impostazioni account - >
scegliere la voce Sicurezza, del proprio account personale, poi - >
Visualizza certificati - >
si apre la finestra Gestione Certificati - >
scegliere la scheda Certificati altrui - >
selezionare il certificato che si vuole gestire e scegliere
Modifica - >
Modificare le impostazioni di affidabilità contrassegnando:
“Dai fiducia all’autenticità di questo certificato” quindi scegliere OK.
Ripetere quest’ultima procedura (una tantum) per ciascun certificato dei
destinatari di posta firmata e cifrata.
5.3 autenticazione con la Smart Card
Dal mese di novembre 2008 sarà possibile autenticarsi all’area MyUnito, del
portale d’Ateneo, con la propria Smart Card.
Sarà sufficiente, con un clic sulla scritta stessa del collegamento, scegliere:
“Accedi con Smart-Card”
ed inserire, quando richiesto, il pin della propria Smart Card.
Divisione Sistemi Informativi – Settore Assistenza e Sistemi
Pagina 20 di 20