Erfolgsmeldung nach Monaten: Es geht mit SuSE 11.3

    Vor einiger Zeit habe ich dieses Forum mit "SuSE Linux, MOCCA Error Code 2000" "gequält". Nun, es war eine ziemliche intensive Diskussion, wurde dann aber ruhig. Ich gestehe, hab' resigniert. Nun sei euch aber auch die Erfolgsmeldung nicht vorenthalten.


    Also: OpenSuSE 11.3 (mit aktuellen rpm-Packages), Kernel 2.6.34.7-0.7, BKU Version 1.3.4-r826, Google Chrome for Linux 5.0.375.86, Zertifikate brav installiert ;-) ReinerSCT Cyberjack E-Com mit LCD-Display. Diese Kombination funktioniert.


    Übrigens, warum bin ich überhaupt draufgekommen? Wollte unbedingt den Zulassungsreader von der Staatsdruckerei testen, siehe da, es ging (unter Linux, unter Windows btw auch). Also ein klares Indiz dafür, dass mit PC/SC offensichtlich alles passt. Derart "gestärkt" musste "natürlich" auch die Bürgerkarte gleich einem intensiven Linux-Test unterzogen werden.


    Besten Dank an die MOCCA-EntwicklerInnen. Ist halt einfach so, dass sämtliche beteiligte Hard- und Software mitspielen muss ;-))

    Gratulation!


    Mit Google Chrome hat es geklappt? Ich habe es nicht hinbekommen das Zertfikat in Chromium zu installieren, obwohl sich beide Browser nur marginal voneinander unterscheiden.
    Bin bei FF geblieben obwohl ich von der JS-Engine nicht begeistert bin.


    LG
    Boe

    Also ;-)
    Hier nun der Umgang mit Chrome-SSL unter Linux
    certutil -d sql:$HOME/.pki/nssdb -L
    listet die installierten Zertifikate auf. Ist als "normaler" User einzugeben, nicht root. Ebenso wie die folgenden Kommandos
    certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n Mocca -i D /pfad/zum/Mocca-Zertifikat
    installiert das Mocca-Zertifikat.

    Anmerkung: Das merkwürdige ist, dass justament unter Linux (und übrigens auch FreeBSD) jeder Browser sein eigenes Zertifikatsmanagement hat. Dabei gäbe es doch openssl... grübel. Es gibt hier kein certmgr.msc wie unter Windows :-((

    Falls jemand das Mocca-Zertifikat nicht suchen will, hier ist es ;-)
    -----BEGIN CERTIFICATE-----
    MIIDNTCCAh2gAwIBAgIDBkpqMA0GCSqGSIb3DQEBBQUAMDsxCzAJBgNVBAYTAkFU
    MQ4wDAYDVQQKEwVNT0NDQTEcMBoGA1UECxMTTU9DQ0EgVExTIFNlcnZlciBDQTAe
    Fw0xMTAyMDIxODU4MzlaFw0xNDAyMDIxODU4MzlaMDsxCzAJBgNVBAYTAkFUMQ4w
    DAYDVQQKEwVNT0NDQTEcMBoGA1UECxMTTU9DQ0EgVExTIFNlcnZlciBDQTCCASIw
    DQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMSiQBpLDSkEMWWXNC/r5fUaBpNX
    OfPgTewfbOSADKb6aJYY1WhPkrPzKbP49HmghtXq8t4UbLcsKQq06c1T/WF/KS4y
    o/GamXmqKCiqmCoYw3ZIVwps6JAVjkjrfGbU+LDlvAsoZWVz+U047Xwzg+k34JRw
    Mx9Fp6lnT2GRu9BuS8gFxq4kgA0OWGcCyVvYZOLGiIhi3qffYdPR9o0kHQfJ0kzW
    Ggeysmg6yuCzIWinPKxwCJ9xkvJioRKOvufaldY3vYuSFPmavKFgIU3O2+av8eXd
    AXic+QlyCd4x4OCbYaByjH421PPEWWMXx3bwSDh2nptQByLvyR3TC2Uw/QUCAwEA
    AaNCMEAwDgYDVR0PAQH/BAQDAgGGMA8GA1UdEwEB/wQFMAMBAf8wHQYDVR0OBBYE
    FLyNfitFTciBHkaXHGVJj6kjFcTTMA0GCSqGSIb3DQEBBQUAA4IBAQCocRzJbS5z
    Q7xrOkwbm3Ss64ji05x3aArXkbmgzg9yLNVpr6MsVvJ412yrD5JZ0Mz2xeA9+H/q
    LzGVU6EztPpylAMQInDi5EWXSQKe/VBC6imhVviV3K9hZU3lyEmeWimBeukh8Dp2
    oI6Q3zpFllFJb7/FHVGRR0gDF3ZT3M+UG5CrWfX6TV9uwHbWrMkjzYKD/8AQ9Nil
    W4i4HsvXJ07Lod8pOWHS3GAn6IjqwCaZsjUnZh/SwK/HR6HHMAKn0FGJhFPxfjNo
    v1mPI7xN+FRFT9jlwqbAh9jVDVTSlFnwe9yDyprvzaWQ9WkMK4bar3G6B6eXM2zz
    DC46qeq5n+40
    -----END CERTIFICATE-----

    Zur Info:
    Das MOKKA Zertifikat und die ausstellende CA (plus Keys) werden bei jeder Installation neu erstellt. Ein Zert, oder eine CA für alle Installationen wäre ein ziemliches Sicherheitsrisiko. Daher ist Ihr Zert nicht weiterverwendbar.

    Danke erstmal für die Infos. Ich bin gerade dabei Das CA-Zertifikat sowohl in Chromium als auch in Opera zu installieren.
    Weiß jemand wie ich die Aufforderung zur Installation des CA-Zertifikats wieder erzwingen obwohl ich MOCCA bereits installiert habe?



    Das gepostete Zertifikat sieht IMHO wie ein RSA Schlüssel aus!?

    Die einfachste Variante das Cert neu zu installieren ist der Aufruf von http://localhost:3495/ im Browser bei dem das Zert installiert werden soll.
    Dort gibt es dann den Link zum aktuellen CA Zertifikat.


    Das CA Cert und Mocca Cert werden immer dann neu erstellt wenn das .mocca Verzeichnis im Homeverzeichnis gelöscht wird.

    Selbstverständlich können Zertifikate auch "ausgemistet" werden :-)))
    certutil -d sql:$HOME/.pki/nssdb -D -n <certificate nickname>
    "Rein gefühlsmäßig" glaube ich, dass certutil lieber mit PEM, Base64 arbeitet und nicht mit dem ca.crt vom localhost. Habe "mein" Zertifikat daher so geholt, dass ich zunächst https://localhost:3495 aufgerufen und sodann alle Warnungen in den Wind geschlagen habe. Ruft man dann die Zertifikatsinformationen auf, so ist ein Export in eine Datei möglich. Diese kann dann von certutil verarbeitet werden. Und braucht nicht gepostet zu werden ;-)

    Chromium (im Gegensatz zur Windows-Version Google Chrome) hat nur dieses Zertifikatsmanagement auf der Kommandozeile, also das certutil bzw pk12util. "Komfort" ist das freilich nicht. Wie bereits erwähnt, es enttäuscht mich, dass unter Linux (und übrigens auch FreeBSD) jeder Browser seine eigene Verwaltung hat - zusätzlich zu openssl. Wieso da die Entwicklergemeinde nicht auf Zertverwaltung von openssl zurückgreift ist mir ein Rätsel.