智能卡(USB密码)和Firefox

Question

我正在使用Firefox5.0在ubuntu11.04上运行一个GPF-隐蜱。使用智能卡是一件很棒的事情，但我没有找到任何好的方法。也许这只是缺乏理解。

首先:我的密码滴答(Smartcard)运行良好。我正在使用它对远程服务器进行ssh。我可以看到我的智能卡与gpg --card-status和ssh-add -l显示我的钥匙。一切都很好。

第二:我已经建立了一个需要Apache2 2/mod的网站

SSLVerifyClient require
SSLCACertificateFile conf/whatever/ca.crt
SSLVerifyDepth 1

通过使用openssl生成自己的CA，创建一个由我自己的CA签名的证书并将其导入firefox，我就做到了这一点。也很管用。

问题:现在我想用我的智能卡在这个网站上认证。大多数时候，我读到了一些关于将pkcs#11库加载到火狐中的内容。我试过了

• /usr/lib/pkcs11 11/libCoolkeypk11.so来自coolkey包
• 由我的智能卡制造商提拔：http://smartcard-auth.de/download-de.html

两者都不能由Firefox加载。Firefox只是说“没有任何进一步的信息无法加载模块”(在我的例子中，orginial错误消息是德语的)。我对证书和pcks#11、火狐等的内部结构一无所知。

所以我有几个问题：

• 是否有可能在网站上使用我的USB智能卡进行身份验证？
• 如果是，我需要什么库才能让Firefox/5.0使用我的智能卡？它取决于我的卡，所以每一张卡都需要一个特殊的pkcs#11驱动程序？

如果我管理它让火狐使用我的智能卡，我想我必须处理上传一个子项到我的智能卡，以使用我自己生成的CA我的网络服务器。但这是另一个故事。

如果你需要更多的信息来帮助我，请告诉我。我并没有把每一点都放在这里，以使我的问题简短。

Answer 1

您可以在网站上使用USB智能卡和密码卡进行身份验证。多年来，每个流行的浏览器都支持这种机制。

所需的驱动程序是卡特定的。对于Crypto和Firefox，您需要这里可用的PKCS#11驱动程序：http://smartcard-auth.de/download-en.html (OpenSC将在其下一个版本0.12.2中支持Crypto，然后可以交替使用)。对于Windows下的Internet和Chrome，您需要这个Minidriver：http://www.mysmartlogon.com/products/openpgp-smart-card-mini-driver.html)

如果Firefox说“无法加载模块”，请确保在Linux下使用.so文件，在Windows下使用.dll文件。

如果它有效，您需要在密码条上生成一个证书(您可以在Firefox中直接这样做，例如在CAcert.org中)，或者导入一个现有的证书。后者有点棘手，因为在编写本报告时驱动程序支持有限。