GUIDA OPERATIVA Installazione del lettore di Smart Card e del software per la firma digitale e cifratura in Linux Ubuntu, Fedora e Red Hat INDICE 1. Premessa...2 2. Installare driver, librerie e software per la firma digitale...3 2.1 Primo passo...3 2.1.1 installare il demone pcscd PCSC-Lite (Resource Manager) versione 1.4.x-x...3 2.2 Secondo passo...5 2.2.1 installare il driver del mini-lettore ACR38...5 2.3 Terzo passo...5 2.3.1 installare libreria e driver del lettore Smart Card...5 2.4 Quarto passo...6 2.4.1 collegare il lettore ACR38 ad una porta USB e individuare il dispositivo...6 2.5 Quinto passo...8 2.5.1 installare DikeL...8 3. Installazione del certificato root...9 3.1 Browser Mozilla Firefox...9 3.2 Client di posta Mozilla Thunderbird...12 4. Predisporre il software all utilizzo del lettore di Smart Card...14 4.1 Browser Mozilla Firefox...14 4.1.1 Caricare il dispositivo PKCS#11...14 4.1.2 Indicare il percorso della libreria...14 4.1.3 Accedere al dispositivo...15 4.1.4 Visualizzare i propri certificati...16 4.2 Client di posta Mozilla Thunderbird...17 5. Posta elettronica firmata e cifrata; autenticazione...20 5.1 firmare un messaggio di posta...20 5.2 inviare un messaggio di posta cifrato...20 5.3 autenticazione con la Smart Card...20 Pagina 1 di 20
1. Premessa Lo scopo del presente documento è fornire, come guida operativa, una sintesi composta da: cinque passi che descrivono le procedure d installazione necessarie ad abilitare l uso del lettore della Smart Card, rilasciata dal Sistema Universitario Piemontese, sulle postazioni utente dotate di un sistema operativo Linux per il quale la InfoCert S.p.A. ha realizzato e collaudato una versione del software per la firma digitale dei documenti: Dike Free. installazione del certificato radice pubblico della Certification Authority InfoCert S.p.A. procedure per la predisposizione, del browser e del client di posta, all uso dei certificati contenuti sulla Smart Card, rilasciata dal Sistema Universitario Piemontese. Per la sua ampia diffusione guida è stato scelto il sistema operativo Ubuntu nell illustrare i comandi, nelle figure e negli esempi nella presente guida, con delle eccezioni, dove diversamente specificato, per i sistemi operativi Red Hat 7.3 e Fedora (core 3 o 4). Pagina 2 di 20
2. Installare driver, librerie e software per la firma digitale 2.1 Primo passo 2.1.1 installare il demone pcscd PCSC-Lite (Resource Manager) versione 1.4.x-x Per Red Hat, CentOS o Fedora From desktop click on Applications -> Add\Remove Software Under the Browse tab click on Development -> click on the box next to Development Libraries Click on the Optional Packages Button, then search for and click on the box next to libusb-devel Click on Close and Apply Click on Continue in the Package Selection pop-up Click on Continue when the Dependencies Added pop-up appears Still in package Manager Click on the Search Tab Enter gcc into the search box on click on Search Search for and click the box next to gcc-c++ and click on Apply Click on Continue in the Package Selection pop-up Click on Continue when the Dependencies Added pop-up appears In alternativa si può scaricare il pacchetto libusb-devel adatto al proprio sistema operativo e alla propria architettura: http://rpmfind.net/linux/rpm2html/search.php?query=libusb-devel quindi installare i pacchetti gcc e gcc-c++, e poi installare libusb, da una finestra del terminale (in shell), con RPM (si può anche utilizzare YUM se presente in Fedora o Red Hat). Per Ubuntu: installare il pacchetto PCSC-Lite con Gebi ------------------------------------------------------------ PCSC-Lite installazione dipendenze ------------------------------------------------------------ I seguenti 3 pacchetti sono prerequisiti necessari: - libc6-dev - libusb-dev - gcc c++ il pacchetto gcc c++ è già incluso nell'installazione standard di Ubuntu. Usare Synaptic o Aptitude per scaricare e installare gli altri due pacchetti necessari. Ad esempio: # apt-get install libc6-dev # apt-get install libusb-dev Ricercare il pacchetto per la propria versione di Ubuntu: http://packages.ubuntu.com/search?searchon=names&keywords=pcscd Pagina 3 di 20
Ad esempio per la versione 7.10 (gutsy), si individua il link adatto alla propria architettura, al fondo della pagina: http://packages.ubuntu.com/gutsy/pcscd e per l'architettura i386 il package appropriato pcscd_1.4.3-1_i386.deb è attualmente disponibile alla pagina: http://packages.ubuntu.com/gutsy/i386/pcscd/download Importante: sono necessari i privilegi di root per installare PCSC-Lite Per Red Hat, CentOS o Fedora ------------------------------------------------------------ PCSC-Lite installazione demone pcscd ------------------------------------------------------------ Estrarre i files dall'archivio pcsc-lite-1.4.x.tar.gz: # tar zxvf pcsc-lite-1.4.x.tar.gz Build PCSC: #./configure --enable-libusb # make # make install Avviare il demone pcscd: # /usr/local/sbin/pcscd Controllare che il demone sia in esecuzione: # ps -e grep pcsc si dovrebbe ottenere un output come questo: # 02515? 00:00:00 pcscd ------------------------------------------------------------ Disinstallazione (di versioni precedenti la 1.4.3-1) ------------------------------------------------------------ Dalla cartella di pcsc-lite: #make uninstall NOTA: se necessario e/o richiesto dal sistema installare anche libhal-dev Pagina 4 di 20
2.2 Secondo passo 2.2.1 installare il driver del mini-lettore ACR38 scaricare il driver dal sito del produttore: http://www.bit4id.com/italiano/download/download_file/linux.zip scompattare l'archivio, portarsi nella cartella ACR38_LINUX_100706_P eseguire l'installazione con i seguenti comandi: sudo./configure sudo make sudo make install 2.3 Terzo passo 2.3.1 installare libreria e driver del lettore Smart Card Scaricare il package libacru, adatto alla propria architettura, alla pagina: http://packages.ubuntu.com/gutsy/libacr38u ed installarlo con Gebi, oppure, con Aptitude, da shell dare il comando: sudo apt-get install libacr38u Pagina 5 di 20
2.4 Quarto passo 2.4.1 collegare il lettore ACR38 ad una porta USB e individuare il dispositivo Usare il comando lsusb per vedere se il dispositivo lettore di smart card è riconosciuto dal sistema operativo. Ecco un esempio dell'output del comando lsusb dalla shell Ubuntu: Consiglio: se è possibile provare le porte USB disponibili, spostando il cavo USB di collegamento del lettore, facendo in modo che il dispositivo risulti presente sul bus 001 2.4.1.1 Installare pacchetto pcsc-tools 1.4.9-1 utile per individuare correttamente le Smart Card che vengono inserite nel lettore. Per installare pcsc-tools in Ubuntu: sudo apt-get install pcsc-tools Usare il comando pcsc_scan per verificare sia l'atr (messaggio di presentazione della carta) della Smart Card che il corretto funzionamento del dispositivo lettore. Nella pagina seguente sono visibili alcuni esempi, dell output in shell, di tale comando Pagina 6 di 20
Esempio di output corretto del comando pcsc_scan con la smart card inserita: Esempio di output corretto del comando pcsc_scan senza la smart card inserita: Pagina 7 di 20
2.5 Quinto passo 2.5.1 installare DikeL Scaricare e installare il pacchetto DikeL, adatto al proprio sistema operativo e alla propria architettura, scaricare anche la relativa documentazione in pdf, dalla pagina seguente: https://www.firma.infocert.it/installazione/installazione_dike.php assicurarsi d'avere soddisfatto tutti i prerequisiti e d'avere portato a termine le istruzioni all'interno della documentazione in formato.pdf Se tutti i passi sono stati eseguiti correttamente da riga di comando sarà possibile dare il comando: dike si otterrà così l'esecuzione grafica del programma, dal menu Strumenti scegliere Scelta Lettore e quindi selezionare il lettore ACS ACR38U 00 00 come in figura 1: Figura 1 Per il corretto utilizzo del software Dike fare riferimento alla guida del programma stesso richiamabile con il tasto funzione F1 Ulteriori informazioni sono disponibili sul sito Infocert alla pagina: https://www.firma.infocert.it/installazione/installazione_dike.php Pagina 8 di 20
3. Installazione del certificato root Collegarsi al sito InfoCert alla pagina: https://www.firma.infocert.it/installazione/certificato.php nella sezione 1 individuare e cliccare con il pulsante destro del mouse il link al certificato e procedere al download del file: certificato CA InfoCert Servizi di Certificazione [CER - 1 KB] 3.1 Browser Mozilla Firefox Aprire il browser Mozilla Firefox. Da Modifica -> Preferenze -> Avanzate -> Mostra certificati scegliere la scheda Autorità poi -> Importa: Pagina 9 di 20
Scegliere il certificato root dalla posizione nella quale è stato appena scaricato e quindi Apri: Si apre la finestra seguente: Pagina 10 di 20
Mettere il segno di spunta nelle tre caselle -> OK: Nella finestra Gestione certificati ora è presente il certificato Infocert: Scegliere OK. Importazione correttamente completata. Pagina 11 di 20
3.2 Client di posta Mozilla Thunderbird La procedura è sostanzialmente la stessa da effettuare per il browser Mozilla Firefox: da Modifica -> Impostazioni account -> Sicurezza -> Visualizza certificati Si apre la finestra Gestione certificati -> Importa Pagina 12 di 20
Selezionare il certificato root InfoCert_Servizi_di_Certificazione.cer dalla posizione nella quale è stato salvato in precedenza, quindi scegliere Apri: Mettere il segno di spunta alle tre caselle Dai fiducia a questa CA -> OK Il certificato radice INFOCERT SPA ora risulta installato: Scegliere OK. Importazione correttamente completata. Pagina 13 di 20
4. Predisporre il software all utilizzo del lettore di Smart Card 4.1 Browser Mozilla Firefox 4.1.1 Caricare il dispositivo PKCS#11 Aprire Firefox da modifica -> preferenze -> cifratura -> avanzate (scheda cifratura) -> dispositivi di sicurezza -> Carica -> immettere, nel campo "Nome file modulo" il valore: /usr/lib/libbit4ipki.so 4.1.2 Indicare il percorso della libreria Attendere qualche istante e selezionare OK Pagina 14 di 20
4.1.3 Accedere al dispositivo Nella finestra Gestione dispositivi è ora visibile il Nuovo modulo PKCS#11 ACS ACR38U 00 00 nello stato Non presente: Scegliere Accedi Viene richiesto l inserimento della password, inserire quindi il pin della smart card e poi -> OK Pagina 15 di 20
La Smart Card è stata correttamente riconosciuta come CNS (Carta Nazionale dei Servizi) e lo stato è cambiato da Non Presente Non Connesso a Connesso come in figura: 4.1.4 Visualizzare i propri certificati Sulla Smart Card, scegliendo Modifica -> Preferenze -> Avanzate -> Mostra certificati -> Certificati personali sono visibili i propri certificati digitali La procedura si è conclusa con successo. Pagina 16 di 20
4.2 Client di posta Mozilla Thunderbird La procedura è sostanzialmente la stessa da effettuare per il browser Mozilla Firefox: Selezionare Dispositivi di sicurezza: Seguire quindi i passi da 4.1.1 a 4.1.4(gli stessi già effettuati in Mozilla Firefox) per caricare e testare il Dispositivo ACR38U Pagina 17 di 20
Ultimato il passo 4.1.4 scegliere Seleziona: Si apre la finestra Selezione certificato -> OK Si apre la seguente finestra -> OK Pagina 18 di 20
E ora presente il valore CNS User Certificate per Firma digitale e Cifratura: La procedura si è conclusa correttamente Pagina 19 di 20
5. Posta elettronica firmata e cifrata; autenticazione Ultimate le procedure descritte in precedenza sarà possibile firmare e cifrare i propri messaggi di posta elettronica, nonché autenticarsi ai servizi offerti dal portale, con la Smart Card inserita nel lettore procedere come segue: 5.1 firmare un messaggio di posta aprire Thunderbird; da Scrivi -> compilare il proprio messaggio -> al termine, da Sicurezza -> selezionare: Apponi firma digitale e controllare che, tale voce, abbia il segno di spunta visualizzando nuovamente il menu a tendina Sicurezza; inviare quindi l e-mail. 5.2 inviare un messaggio di posta cifrato è prerequisito essenziale il possesso di un certificato, valido ed attendibile, del destinatario, quindi, quando si intende scambiare posta cifrata per la prima volta, è necessario richiedere, al corrispondente destinatario, l invio di un suo messaggio di posta elettronica firmato. Una volta ricevuto il messaggio firmato si deve dare fiducia all autenticità del certificato che lo accompagna: dal menu Strumenti scegliere Impostazioni account - > scegliere la voce Sicurezza, del proprio account personale, poi - > Visualizza certificati - > si apre la finestra Gestione Certificati - > scegliere la scheda Certificati altrui - > selezionare il certificato che si vuole gestire e scegliere Modifica - > Modificare le impostazioni di affidabilità contrassegnando: Dai fiducia all autenticità di questo certificato quindi scegliere OK. Ripetere quest ultima procedura (una tantum) per ciascun certificato dei destinatari di posta firmata e cifrata. 5.3 autenticazione con la Smart Card Dal mese di novembre 2008 sarà possibile autenticarsi all area MyUnito, del portale d Ateneo, con la propria Smart Card. Sarà sufficiente, con un clic sulla scritta stessa del collegamento, scegliere: Accedi con Smart-Card ed inserire, quando richiesto, il pin della propria Smart Card. Pagina 20 di 20