Firefox/TDC Digital signatur

NB: Det er ikke længere TDC; men derimod danID (i koncernen PBS), som driver Digital Signatur. Hjemmeside: www.danid.dk.

Du kan læse om teknikken bag Den Digitale Signatur på siden Digital signatur/Baggrund, og du kan finde forskellige tips til brugen af signaturen på siden Digital signatur/Tips.

De efterfølgende vejledninger er baseret på en dansk version af Firefox 2.0.0.4 under Windows XP SP 2, men det skulle være muligt at få det til at virke på andre operativsystemer og med andre versioner af Firefox.

Installation af Digital Signatur i Firefox

I det følgende vil jeg ikke give en vejledning i installationen via TDC's hjemmeside. Den del må TDC stå for og der findes da også allerede vejledninger på privat.tdc.dk/digital.

Afsnittet er mere rettet mod den efterfølgende håndtering, hvor jeg forsøger at beskrive de mekanismer, der gør, at du måske skal igennem en flertrinsraket, for at få signaturen installeret i din Firefox.

Installationsprogrammet på TDCs hjemmeside prøver at lave den bedst mulige installation baseret på kombinationen af dit styresystem og din browser. Går alt vel installeres signaturen i Firefox' eget lager (keystore) eller i Microsoft CryptoAPI (se afsnittet Særligt for Firefox på Microsoft Windows). Hvis det ikke er muligt at bestemme et egnet keystore, tilbydes du at gemme signaturen i en beskyttet fil i HTML-format.

Herefter kan du indlæse denne i Firefox' eget keystore.

Installation af Digital Signatur i HTML-format

Når du åbner HTML-filen, vil Firefox forsøge at indlæse et lille program fra TDC's hjemmeside. Programmet forsøger igen at lave den bedst mulige installation baseret på kombinationen af dit styresystem og din browser.

Firefox HTML-Installation 1

Klik på 'Indlæs Digital Signatur' og følg vejledningen.

Hvis din kombination af operativsystem og browser ikke genkendes, foreslår programmet, at du gemmer signaturen i det standardiserede PKCS#12 format (Dette kræver givetvis, at du accepterer afvikling af en Java-applet, som er elektronisk underskrevet af TDC).

Firefox HTML-Installation 2

Hvis du vil vælge at gemme signaturen i PKCS#12 format, skal trykke på knappen 'Gem Digital Signatur'.

Du får en advarsel om, at din Digitale Signatur gemmes i et format, hvor du SELV skal sikre dig at den tilstadighed er beskyttet af password (du ved: mindst 8 tegn, store og små bogstaver samt tal).

Firefox HTML-Installation Advarsel

Klik på 'OK' og angiv filnavn + placering.

Du har nu signaturen som en fil i PKCS#12-format som du kan installere ved hjælpe af vejledningen i næste afsnit.

Installation af Digital Signatur i PKCS#12-format

I Firefox kan du importere signaturen i Firefox' eget keystore fra en PKCS#12-fil. Dette keystore er beskyttet af den såkaldte hovedadgangskode, og derfor er det meget vigtigt, at du sætter denne til et password der opfylder reglerne, inden du importerer signaturen:

  • Mindst 8 tegn langt
  • Mindst et stort bogstav
  • Mindst et lille bogstav
  • Mindst et tal

Du kan læse mere om valg af sikker adgangskode i artiklen Sådan vælger du en sikker adgangskode.

Du sætter hovedadgangskoden via menuen 'Funktioner' -> 'Indstillinger...'

Firefox Indstillinger

Klik på 'Sikkerhed'.

Markér 'Benyt en hovedadgangskode'.

Firefox hovedadgangskode

Herved åbnes en dialog, hvor dit valgte password skal indtastes et par gange.

Klik på 'OK'.

Firefox valg af hovedadgangskode

Du kan nu importere en signatur i PKCS#12 format fra en fil:

Vælg 'Funktioner' -> 'Indstillinger...' i menuen.

Firefox Indstillinger

Vælg 'Avanceret' og herefter fanebladet 'Kryptering'.

Klik på 'Vis certifikater'.

Firefox Kryptering

Klik på 'Importer'.

Firefox Certifikater

Udpeg PKCS#12 filen. Bemærk, at Firefox i som standard søger efter filtyperne "*.p12" og "*.pfx", mens din PKCS#12-fil højst sandsynlig har filtypen ".pkcs12". I de fleste operativsystemer skal du derfor vælge 'Alle filer' i 'Filtype' eller lignende i det vindue, hvor du udpeger din fil.

Herefter vil du blive afkrævet din valgte hovedadgangskode.

Indtast hovedadgangskode og klik på 'OK'.

Firefox indtast hovedadgangskode

Indtast herefter den kode som din PKCS#12-fil er gemt med og klik på 'OK'.

Firefox indtast pkcs12 password

Klik på 'OK'.

pkcs12 installeret korrekt

Din signatur er nu installeret i Firefox' keystore.

Firefox Certifikat installeret

Klik på 'OK' et par gange for at komme ud af konfigurationen.

Når du vælger at lægge din Digitale Signatur i Firefox' eget keystore skal du være særlig opmærksom på, at Firefox kun kræver indtastning af hovedadgangskode første gang, du skal logge ind. Du skal derfor huske at lukke browseren så snart du færdig med at anvende signaturen. Læs eventuelt afsnittet Add-on til håndtering af hovedadgangskode.

Særligt for Firefox på Microsoft Windows

Dette afsnit beskriver, hvordan du med fordel kan udnytte et særligt interface, hvis du anvender Firefox på en Microsoft Windows-platform, men indledningsvis må jeg lige fortælle lidt om, hvordan certifikatteknologien håndteres i Windows-operativsystemet. I først omgang kan det godt være at denne beskrivelse virker kompliceret, men lad dig ikke skræmme. Det er faktisk den bedste måde at håndtere Digital Signatur i Mozilla's produkter på en Windows-computer.

Microsoft har designet et API (CryptoAPI også forkortet CAPI) specielt til krypterings-funktionalitet. Det betyder, at applikationer blot kan lave operativsystemkald, når der skal laves en elektronisk underskrift eller hvis man ønsker at kryptere data. På den anden side er det samtidig muligt for udviklere af kryptosystemer at lave såkaldte Crypto Service Providere (CSP'ere), der stiller krypterings-funktionalitet til rådighed gennem dette CryptoAPI. Her der det vist på plads med en tegning:

Billede:TDCDigiSign_MozillaDS4_html_m6253b77c.gif

Microsoft har udviklet deres egen CSP, men anvender man denne, risikerer man let at miste passwordbeskyttelsen af signaturen som foreskrevet af IT- og Telestyrelsen. TDC har derfor fået udviklet en særlig CSP (kaldet TDC Digital Signatur CSP) til håndtering af den danske Digitale Signatur. Det smarte er, at programmer, der understøtter CryptoAPI, som for eksempel Internet Explorer, Outlook Express og Adobe Acrobat Reader, umiddelbart kan anvende TDC Digital Signatur CSP, fordi den stilles til rådighed gennem CryptoAPI.

Som jeg allerede har antydet på ovenstående tegning understøtter Firefox ikke CryptoAPI og derfor er der ikke umiddelbart adgang til den digitale signatur fra Firefox, når den er placeret i TDC Digital Signatur CSP. Det betyder, at man bliver nødt til at eksportere signaturen ud af CSP'en og ind i Firefox.

OG DOG!

Der er faktisk en smartere måde på en Windows-platform. TDC har fået udviklet en såkaldt driver med en anden standard-grænseflade oven på TDC Digital Signatur CSP, der hedder PKCS#11 og den er understøttet af Firefox (og Thunderbird). Tegningen kommer derfor nu til at se således ud:

Billede:TDCDigiSign_MozillaDS4_html_26fe255e.gif

Når denne metode anvendes fremfor eksport/import, ligger signaturen kun ét sted på computeren. Dette er godt, hvis du indimellem forfalder til at bruge din signatur i Internet Explorer eller andre programmer, der understøtter CryptoAPI. Samtidig er det TDC Digital Sigantur CSP, der styre password-beskyttelsen og man er derfor uafhængig af Firefox' hovedadgangskode.

Opgaven består nu i, at du "fortæller" Firefox, hvor denne PKCS#11-driver findes. Dette skal kun gøres én gang for alle i form af en konfiguration:

Vælg 'Funktioner' -> 'Indstillinger...' i menuen.

Firefox Indstillinger

Vælg 'Avanceret' og herefter fanebladet 'Kryptering'.

Klik på knappen 'Sikkerhedsmoduler'.

Firefox Kryptering

Klik på knappen 'Indlæs'.

PKCS11 moduler

Indtast "TDC Digital Signatur" (eller lign.) som 'Modulnavn' og udpeg filen "$Programmer$\DanID\Digital Signatur\capi_pkcs11.dll" som 'Modul filnavn' via 'Gennemse...'-knappen. $Programmer$ i ovenstående angiver den mappe, som programmer som standard installeres i. Det er typisk "C:\programmer".

Klik på 'OK'.

PKCS11 Navn spec

Klik på 'OK' (Vær opmærksom på, at der går et par sekunder, inden du kan trykke. Firefox insisterer nemlig på, at du læser teksten og tænker dig om i dette tilfælde).

PKCS11 accept

Klik på 'OK'.

PKCS11 kvittering

Du har nu lavet et "håndtag" til det TDC program (TDC Digital Sigantur CSP), der beskytter din Digital Signatur.

Klik på 'OK'.

PKCS11 moduler 2

Du kan checke, at Firefox nu kan "se" dine signaturer ved at trykke på knappen 'Vis certifikater'.

CAPI Certifikater

Klik på 'OK' et par gange for at komme ud af konfigurationen.

Flere Digitale Signaturer i Firefox

Jævnligt dukker spørgsmålet op:

Både min kones signatur og min signatur ligger på samme computer, men af en eller anden grund er det min kones signatur der automatisk vælges, når jeg skal logge på med Digital Signatur?

Svaret er, at Firefox som standard automatisk vælger det første (men ikke nødvendigvis det bedste certifikat) som den kan få fat på. Det kan undgås på følgende måde:

Vælg 'Funktioner' -> 'Indstillinger...' i menuen.

Firefox Indstillinger

Vælg 'Avanceret' og herefter fanebladet 'Kryptering'.

Firefox Kryptering

Vælg muligheden 'Spørg mig hver gang'.

Klik på 'OK'.

Fremover vil du få mulighed for at vælge mellem de installerede signaturer .

Artiklen er oprindeligt skrevet af: © 2007 Peter Lind Damkjær - Some Rights Reserved.

Hentet fra "http://wiki.mozilladanmark.dk/wiki/Firefox/TDC_Digital_signatur"