在 Chrome 操作系统中使用智能卡

本文将重点介绍必须完成哪些步骤才能成功在个人设备的 Chrome 操作系统中使用智能卡。如果您是管理员并希望在整个单位中部署智能卡,请参阅在 Chrome 操作系统中部署智能卡

第 1 步:安装 Smart Card Connector 应用

Smart Card Connector 应用可为 Chromebook 提供 PCSC 支持。因此,智能卡中间件和 Citrix 等其他应用可使用此 PCSC API 提供浏览器集成和虚拟会话重定向等功能。您可以转到 Chrome 网上应用店中的对应项并点击“添加至 Chrome”,以安装该应用。

第 2 步:安装智能卡中间件应用

除了连接器之外,您还需要安装合适的中间件应用,以便与智能卡通信并提供可以向 HTTPS 网站验证您身份的客户端证书。Google 已与 Charismathics 合作,为众多卡片和配置文件(包括 PIV 和 CAC)在 Chrome 操作系统上的运作提供支持。您可以转到 Chrome 网上应用店中的对应项并点击“添加至 Chrome”,以安装该应用。

 

注意:该连接器应用提供公共 API,除了 Charismathics 之外的其他中间件应用也可以使用该 API。您可以直接从 Chrome 网上应用店安装其他中间件供应商的应用,如 CACKey

第 3 步:安装所有必要的根证书和中间证书

您可能需要在您的 Chromebook 上安装可信根证书和中间证书,具体情况根据用户要访问的网站而定。找到这些证书后,您可以转到 chrome://certificate-manager 网址,然后点击“授权中心”>“导入…”,以安装证书。选择某个文件后,Chrome 会要求您为特定根证书配置信任设置。请选中所有适用的复选框,然后按“确定”。

 

注意:在设备上安装根证书是一项攸关隐私权和安全性的敏感操作。请确保仅安装从可信来源获取并通过验证的可信根证书。

注意:对于美国国防部用户,大多数网站都要求用户安装多个可信根证书和中间证书。这些证书的官方下载地址为:IASE Tools(IASE 工具)> Trust Store(可信商店)> PKI CA Certificate Bundles: PKCS#7(PKI CA 证书软件包:PKCS#7)> For DoD PKI Only(仅限国防部 PKI)软件包。在 Chrome 操作系统中下载该软件包后,请转到“文件”应用,双击 zip 文件进行装载,然后将已装载的 zip 文件内容拖放到“下载”文件夹中。接着,按照第 3 步中的导入说明导入以下两个文件,并在配置信任设置时选中所有复选框:

Certificates_PKCS7_v5.0u1_DoD_DoDRootCA2_withCAs_FirefoxChromeOS.der.p7b

Certificates_PKCS7_v5.0u1_DoD_DoDRootCA3_withCAs_FirefoxChromeOS.der.p7b

第 4 步:允许中间件与 Smart Card Connector 通信

诸如 Citrix 和 Charismathics 的应用需要与 Smart Card Connector 通信,才能与您的卡片和读卡器互传数据。由于卡片和读卡器内包含用户的敏感信息,因此连接器应用在对任何应用授予访问权限之前会先向用户显示权限对话框。如果您看到您信任的第三方应用提示的权限对话框,请点击“允许”以继续操作。

您现在可以使用智能卡了!当您浏览 HTTPS 网站时,Chrome 会检测您卡片上的证书,并提示您使用该证书验证身份以进入远程系统。

已知问题

Chrome 不支持卡片中的证书

这很可能是由于配置根证书和中间证书过程中出现了问题。请确保您已按照相关说明正确设置了这些证书。如果问题仍未解决,您最好提交一份包含详细信息的错误报告。

移除卡片之后,Chrome 会话并未中断

用户移除卡片后,Chrome 不会终止与特定服务器的会话。这是正常运作方式(也是其他平台上 Chrome 的默认操作)。Chrome 只会在服务器提出验证请求时再次尝试进行身份验证;这是由管理员决定的安全设置。如果您正在测试并需要强制重新执行与服务器间的身份验证,请尝试使用无痕式窗口,该窗口不会使用先前的会话,也不会保留在后续请求中。

输错 PIN 码,却没有任何界面反馈

如果用户输入了错误的 PIN 码,Charismathics 不会在对话框中提供任何直接反馈。用户需要转至相应网站,以便系统再次请求输入 PIN 码。

提供的证书未经筛选

所有证书(不论类型为何)都一律提供给系统使用,例如电子邮件签名证书也会显示在下拉对话框中。您需要了解特定网站需要哪些证书,才能从下拉菜单中选择。也就是说,当您在某些网站进行身份验证时,卡片中可能有多个看似完全相同的证书,您可能需要试着逐个选择。在您每次选择时,证书的显示顺序保持不变,因此您只需要选择一次便可确认。

报告错误

希望您的操作一切顺利。如果遇到任何错误,欢迎向我们提供错误报告,以便我们调查相应问题。错误报告必须包含以下内容:

  1. 问题描述以及有关如何重现问题的说明。最好提供抓屏内容(有多个第三方 Chrome 应用可以录制屏幕内容,如 Screencastify)。
  2. 您尝试连接的网站。请分别为各个网站提交错误报告。

  3. 系统、卡片和读卡器信息

  4. Smart Card Connector 日志

  5. 中间件应用日志

  6. chrome://net-internals 导出日志

编辑完成后,请在联系支持团队时将此报告发送给我们。

系统、卡片和读卡器信息

  1. Chrome 操作系统版本

  2. 智能卡读卡器的类型

  3. 智能卡信息:智能卡供应商、类型和配置文件。

Smart Card Connector 日志

用户可通过 Smart Card Connector 屏幕底部的链接导出日志。此操作会将所有日志复制到剪贴板。使用任意文本编辑应用即可保存这些日志,然后您便可将其作为随附内容发送。

中间件应用日志

每种中间件提取日志的方法可能各不相同。拿 Charismathics 应用来说,您可以通过开发者控制台提取日志。

  1. 转到 chrome://extensions

  2. 选中右上角的开发者模式

  3. 滚动到 Charismathics 扩展程序。点击背景页面。

  4. 转到 Console(控制台)部分。

  5. 右键点击并选择 Save as…(另存为…)以导出日志。

注意:您的管理员可能会通过政策禁用 Chrome 开发工具,在这种情况下,您将无法访问背景页面。

chrome://net-internals 导出日志

有些问题可能与 Chrome 处理客户端连接的方式有关。您可以转到 chrome://net-internals/#export 提取 Chrome 日志。请注意,只有当您导航到该网址时,系统才会开始记录日志,因此请务必先导航至该网址,再重现错误场景。

注意:由于日志可能非常详细而显得冗长,因此请尽量将日志记录范围限制在错误场景中。这将有助于我们专注于出现问题的地方,而不被杂乱的日志内容分散注意力。例如,请勿在日志记录期间执行 Google 搜索。

该内容对您有帮助吗?
您有什么改进建议?