Använda smartkort i Chrome OS

Den här artikeln fokuserar på de steg som krävs för att du ska kunna börja använda ditt smartkort på Chrome OS på din personliga enhet. Om du är en administratör och vill distribuera smartkort i hela organisationen läser du Implementera smartkort i Chrome OS.

Steg 1: Installera Smart Card Connector-appen

Smart Card Connector-appen ger PCSC-stöd för Chromebooks. PCSC API:t kan sedan användas av andra appar som middleware för smartkort och Citrix för att tillhandahålla ytterligare funktioner, exempelvis webbläsarintegration och virtuell sessionsomvandling. Du kan installera appen genom att gå till objektet i Chrome Web Store och klicka på Installera.

Steg 2: Installera en middleware-app för smartkort

I tillägg till anslutaren måste du installera rätt middleware-app som kan kommunicera med smartkort och erbjuda klientcertifikat som kan autentisera dig med HTTPS-webbplatser. Google har samarbetat med Charismathics för att få stöd för ett brett utbud av kort och profiler, inklusive PIV och CAC, i Chrome OS. Du kan installera appen genom att gå till objektet i Chrome Web Store och klicka på Installera.

 

Obs! Connector-appen har ett offentligt API som andra middleware-appar än Charismathics också kan använda. Du kan installera andra middleware-leverantörer som CACKey direkt från Chrome Web Store.

Steg 3: Installera alla nödvändiga rotcertifikat och mellanliggande certifikat

Beroende på vilka webbplatser du försöker få åtkomst till måste du kanske installera förtroenderötter och mellanled på din Chromebook. När dessa certifikat har identifierats kan du installera dem genom att navigera till chrome://certifikat-manager-URL och sedan gå till Auktoriteter > Importera ... När du väl har valt en fil ber Chrome dig att konfigurera förtroendeinställningar för en viss rot. Markera alla rutor som gäller och tryck sedan på OK.

 

Obs! Installation av ett rotcertifikat på en enhet är en mycket sekretess- och säkerhetskänslig åtgärd. Se till att du bara installerar förtroenderötter du erhållit och verifierat från källor du litar på.

Obs! För användare på det amerikanska försvarsdepartementet kräver de flesta webbplatser att användarna installerar flera förtroenderötter och mellanled. De är tillgängliga som officiella nedladdningar från IASE Tools > Trust Store > PKI CA Certificate Bundles: PKCS#7 > For DoD PKI Only bundle (IASE-verktyg > Förtroendeartik > PKI CA-certifikatpaket: PKCS#7 > Paket enbart för DoD PKI). När du har laddat ned paketet i Chrome OS går du till appen Filer, dubbelklickar för att montera zip-filen och drar och släpper sedan innehållet i den monterade zip-filen i nedladdningsmappen. Följ sedan importinstruktionerna i steg 3 för de följande två filerna och markera alla rutor när du konfigurerar förtroende.

Certificates_PKCS7_v5.0u1_DoD_DoDRootCA2_withCAs_FirefoxChromeOS.der.p7b

Certificates_PKCS7_v5.0u1_DoD_DoDRootCA3_withCAs_FirefoxChromeOS.der.p7b

Steg 4: Tillåt middleware att kommunicera med Smart Card Connector

Appar som Citrix och Charismathics måste kontakta Smart Card Connector för att kommunicera med dina kort och läsare. Eftersom kort och läsare innehåller känslig användarinformation visas en behörighetsrutan för användarna i Connector-appen innan de får åtkomst till någon app. Om du ser en behörighetsdialogrutan från en app från tredje part som du litar på, klickar du på TILLÅT för att gå vidare.

Nu kan du använda ditt smartkort! Gå till HTTPS-webbplatser så uppmanas du i Chrome att använda certifikat som har detekterats från ditt kort för att autentisera dig i fjärrsystem.

Kända problem

Chrome matchar inte certifikat på kort

Det här är troligtvis ett problem med konfigurationen av rotcertifikat och mellanliggande certifikat. Kontrollera att du har följt instruktionerna för att ställa in dem korrekt. Om det här problemet fortsätter att inträffa är det troligtvis bäst att skicka en felrapport med mer information.

Chrome håller anslutningen öppen efter att ett kort har tagits bort

Om en användare tar bort sitt kort avslutar Chrome inte sessionen med denna server. Detta är avsett beteende (och är även standardbeteendet på Chrome på andra plattformar). Chrome försöker bara att verifiera igen vid uppmaning av servern.  Om du testar och måste tvinga omautentisering med servern försöker du använda ett inkognitofönster som inte använder föregående session och inte behålls i efterföljande begäranden.

Ingen UI-feedback vid fel pinkod

Om användare anger fel pinkod visas ingen direkt feedback i dialogrutan i Charismathics. Användaren måste navigera till webbplatsen för att bli tillfrågad om pinkoden igen.

Certifikat som tillhandahålls filtreras inte

Alla certifikat anges i systemet oavsett typ, exempelvis visas även certifikat för e-postsignering på rullgardinsmenyn. Du måste vara känna till vilket certifikat som krävs för en viss webbplats så att du kan välja det från rullgardinsmenyn. Det kan betyda att du experimenterar och väljer det första, andra eller till och med tredje uppenbart identiska certifikatet från ditt kort när du autentiserar vissa webbplatser. Ordningen bevaras så detta är något du bara behöver göra en gång.

Anmäla fel

Förhoppningsvis går allt smidigt för dig. Om du stöter på fel tar vi gärna emot felrapport som kan hjälpa oss undersöka ärendet. Alla felrapporter måste innehålla:

  1. Beskrivning av problemet och instruktioner för att återskapa det. Helst en screencast (det finns flera Chrome-appar från tredje part som kan spela in screencast, exempelvis Screencastify).
  2. Webbplatsen du försöker ansluta till. Ange separata felrapporter för separata webbplatser.

  3. Information om system, kort och läsare.

  4. Smart Card Connector-loggar.

  5. Middleware-apploggar

  6. Export av chrome://net-internals.

När du har gjort sammanställningen skickar du den här rapporten till oss när du kontaktar support.

Information om system, kort och läsare.

  1. Chrome OS-version.

  2. Typ av smartkortläsare.

  3. Information om smartkort: smartkortleverantör, typ och profil.

Smart Card Connector-loggar.

Skärmen för Smart Card Connector har en länk längst ned där användaren kan exportera loggarna. Detta kopierar alla loggar till Urklipp. Använd en textredigeringsapp för att spara loggarna och skicka dem vidare.

Middleware-apploggar

Varje middleware-app har en egen metod för att extrahera loggar. Framför allt för Charismathics-appen kan loggar extraheras från utvecklarens konsol.

  1. Gå till chrome://extensions.

  2. Markera Utvecklarläge uppe till höger.

  3. Rulla till Charismathics-tillägget. Klicka på bakgrundssidan.

  4. Gå till avsnittet Konsol.

  5. Högerklicka och välj Spara som ... för att exportera loggarna.

Obs! Administratören kan ha inaktiverat Chrome-utvecklingsverktyg via policy. Då kan du inte få åtkomst till bakgrundssidan.

Export av chrome://net-internals.

Vissa problem kan röra hur Chrome hanterar klientanslutningar. Du kan extrahera Chrome-loggar genom att gå till chrome://net-internals/#export. Observera att loggarna bara fyllas på först när du navigerar till webbadressen. Var därför noga med att gå dit innan du kör så var noga med att du navigerar innan du kör felscenariot.

Obs! Eftersom loggarna kan vara mycket detaljerade ska du testa att begränsa loggregistreringen till enbart felscenariot. Detta hjälper oss att fokusera på de saker som går fel utan att bli distraherad av bullrig trafik, exempelvis att göra en Google-sökning medan du registrerar loggar.

Var det här till hjälp?
Hur kan vi förbättra den?