Карта общего доступа (CAC) не работает на RHEL 7 с Firefox 59.0.3

459
MGoBlue93

У меня есть карта общего доступа, и я хотел бы использовать свой CAC на своем ноутбуке с установленными RHEL 7.4 и FireFox 59.0.3.

Я установил yum на pcsc-lite, pcsc-lite-ccid, pcsc-lite-ccid и pcsc-tools.

Запуск lsusb возвращает:

us 001 Устройство 005: ID 058f: 9540 Alcor Micro Corp. Считыватель смарт-карт AU9540

Я установил следующие сертификаты:

DOD CA-31.cer DOD ID CA-33.cer DOD ID SW CA-45.cer DOD CA-32.cer DOD ID CA-34.cer DOD ID SW CA-46.cer DOD EMAIL CA-31.cer DOD ID CA-39.cer DOD ID SW CA-47.cer DOD EMAIL CA-32.cer DOD ID CA-40.cer DOD ID SW CA-48.cer DOD EMAIL CA-33.cer DOD ID CA-41.cer DoDRoot2.cer DOD EMAIL CA-34.cer DOD ID CA-42.cer DoDRoot3.cer DOD EMAIL CA-39.cer DOD ID CA-43.cer DoDRoot4.cer DOD EMAIL CA-40.cer DOD ID CA-44. cer DoDRoot5.cer DOD E-mail CA-41.cer DOD ID CA-49.cer DOD SW CA-53.cer DOD E-MAIL CA-42.cer DOD ID CA-50.cer DOD SW CA-54.cer DOD E-MAIL CA- 43.cer DOD ID CA-51.cer DOD SW CA-55.cer DOD E-mail CA-44.cer DOD ID CA-52.cer DOD SW CA-56.cer DOD E-MAIL CA-49.cer DOD ID SW CA- 35.cer DOD SW CA-57.cer DOD EMAIL CA-50.cer DOD ID SW CA-36.cer DOD SW CA-58.cer DOD EMAIL CA-51.cer DOD ID SW CA-37.cer DoD_PKE_CA_chain.pem InstallRoot_PKCS7_v3.16.1A.sha1 InstallRoot_PKCS7_v3.16.1A.der.p7b InstallRoot_PKCS7_v3.16.1A.sha256 InstallRoot_PKCS7_v3.16.1A.pem.p7b.P7P.

Я вошел в FF и перешел в «Настройки» -> «Конфиденциальность и безопасность» -> «Устройства безопасности» и загрузил модуль Coolkey, указав в браузере /usr/lib64/pkcs11/libcoolkeypk11.so

Когда я вставляю свой CAC и нажимаю кнопку «Вход» в диспетчере устройств в FF, он запрашивает мой PIN-код, и после ввода PIN-кода он меня узнает.

Однако, когда я перехожу к URL-адресу, который требует входа в систему CAC, запрос веб-страницы в конечном итоге прекращается, ничего не делая.

Как я могу заставить свой CAC работать с веб-страницами? Все, что он делает сейчас, это время ожидания.

0
Firefox в Windows требует использования программного клиента, такого как ActivClient, для чтения сертификата на карте, чтобы использовать его при подключении к веб-сайту. Похоже, на основании моих ограниченных исследований, что касается и Linux, вы пытались это сделать? Существует целый веб-сайт, посвященный этой теме, где вы можете использовать свой CAC дома, даже есть страница на [Linux] (https://militarycac.com/linux.htm). Ramhound 6 лет назад 1
@Ramhound. Я работаю на Linux. Не окна. Я не установил ActiveClient на свой хост Linux, который сейчас принадлежит HID, потому что это не FOSS. На https://iase.disa.mil/pki-pke/getting_started/Pages/linux-firefox.aspx DISA говорит, что вместо этого следует использовать Coolkey. Это то, что я сделал до сих пор. Я могу видеть сертификаты из моего CAC на локальном хосте, так что, по крайней мере, у меня есть некоторые настройки / установки libs, правильно. Я не могу заставить свой CAC работать с веб-страницами. MGoBlue93 6 лет назад 0
> Даже есть страница о Linux ... Я видел эту страницу. Он полон устаревших материалов и ссылок, которые генерируют 404 ошибки. Несмотря на URL и некоторые форматы, это НЕ официальная страница. Вот почему после попытки использовать его и разочаровавшись, я отправился на disa.mil. MGoBlue93 6 лет назад 0
Я более чем осознаю, что это было неофициально. Я не мог открыть страницу, но я прочитал другие страницы на сайте, и это хороший источник информации. Я буду исследовать эту проблему, когда у меня будет возможность, на выходных. Ramhound 6 лет назад 0
Тебе действительно нужен Coolkey? Разве OpenSC (opensc-pkcs11.so) уже не поддерживает CAC без какого-либо дополнительного программного обеспечения? grawity 6 лет назад 0
@ Grawity Сначала я попробовал Coolkey, потому что это на странице DISA. С тех пор я тоже пробовал OpenSC. С обоими продуктами <я получаю абсолютно одинаковое поведение. Спасибо хоть. MGoBlue93 6 лет назад 0

0 ответов на вопрос