FriBID forum

FriBID är ett fritt program för e-legitimation med BankID.

You are not logged in.

#1 2012-06-02 17:00:48

netmackan
Member
Registered: 2012-05-23

Lägga sitt "bankid på fil" på kort

Jag gjorde följande för att lägga mitt BankID på ett SafeSign smartcard, vilket fungerar bra för authentisering på test.bankid.se men vid signeringstestet så finns inte längre certet med i listan.

Jag får även följande felutskrifter:
fribid: error from OpenSSL or libP11: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
fribid: error from OpenSSL or libP11: error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error

Någon som har en idé?

----
1. Use OpenSSL to "import" the FriBid-produced PKCS#12 file
openssl pkcs12 -in "(110327 13.37) MY NAME - BankID på fil.p12" -out myname-bankid.pem

2. Use OpenSSL to "export" it to a new PKCS#12 file that can be read by Java
openssl pkcs12 -export -in myname-bankid.pem -out myname-bankid.p12

3. Create an SunPkcs11 config file pointing out the PKCS#11 module. For SafeSign the following works:
name=SafeSign
library=/usr/lib/libaetpkss.so
slotListIndex = 0

4. Use Java Keytool to import the keystore (including complete chain) to the card
keytool -importkeystore -srckeystore myname-bankid.p12 -srcstoretype pkcs12 -destkeystore NONE -deststoretype PKCS11 -providerClass sun.security.pkcs11.SunPKCS11 -providerArg sunp11-safesign.conf

5. Use Java Keytool to list the entry including the certificate chain
keytool -v -keystore NONE -storetype PKCS11 -providerClass sun.security.pkcs11.SunPKCS11 -providerArg sunp11-safesign.cfg -list

6. Configure FriBid to use the SafeSign PKCS#11 module by adding the following to ~/.config/fribid/config
[pkcs11]
module=/usr/lib/libaetpkss.so

Notice: Fribid currently always uses the first certifcate/entry in the slot so if you have other certificates on the card it might not work.
----

Offline

#2 2012-06-03 17:14:08

netmackan
Member
Registered: 2012-05-23

Re: Lägga sitt "bankid på fil" på kort

Det visade sig att OpenSSL "pkcs12 -export" bara läser en privat nyckel även om "pkcs12 -out" skriver flera, så mitt signeringscert+nyckel saknades förstås. Får prova att importera båda certen och se om det går bättre smile

Offline

Board footer

Powered by FluxBB