Aktuellt

Gällande smartkort och säkerhetsnycklar på macOS

Tech

Vänta med att uppdatera till macOS Big Sur

Smarta kort och Yubikey's på macOS har fungerat länge, särskilt med Chrome. Dock bara för inloggning. Men nu visar det sig att Catalina ställt till det för oss kortanvändare.

A - Om du installerat macOS Catalina

Om du har Catalina 10.15.2 => Uppdatera genast till 10.15.6 eller 10.15.7 (10.15.2 är trasig)

1 - Starta terminalen

2 - Skriv in nedanstående kommando

sudo defaults write /Library/Preferences/com.apple.security.smartcard Legacy -bool true

(du kommer att avkrävas ditt Mac-lösenord)

3 - Starta om din Mac

Testa nu att du kan logga på t.ex. denna sajt med ditt kort. Använd helst Chrome och se till att du utfört det som står i punkt B) nedan innan du testar.

4 - Om du inte hade Net iD Enterprise sedan innan...

a) Installera Net iD Enterprise 6.8.1.31 för macOS. Hämta den här om du är SITHS-kund: https://service.secmaker.com/siths/ (eller från SLL)

b) Om du vill använda Chrome för sajter som bara kräver inloggning (inte underskrift) så måste du följa instruktionerna under punkten B) nedan.

2020-10-05

B - Installera root-certifikat på din Mac (gäller både Catalina och äldre versioner)

1 - Börja med att ladda hem dessa tre filer. De innehåller SITHS-rotcertifikat

root_SITHS_Root_CA_v1_sha1.crt

root_siths-e-id-root-ca-v2.crt

root-siths-ca-crossborder-omsignerad2.crt

2 - Starta applikationen "Nyckelhanteraren"

Du hittar den här:

3 - Nyckelhanteraren

Markera "System" upptill och "Certifikat" nertill

4 - Kopiera in de tre certifikaten

Nu drar du de tre nedladdade certifikaten till nyckelringen "System"

5 - Några dialoger kommer upp

Du kommer att få några dialogrutor som frågar om du vill lägga till, dubbelkolla att det står "System". På slutet måste du bekräfta uppdateringen av "System" genom att ange ditt Mac-lösenord.

6 - Certifikaten på plats men ännu ej betrodda

Nu ligger de tre certifikaten på plats men som du ser är de rödmarkerade. Dubbelklicka på det första av dem.

7 - Certifikatet öppnat

När du öppnat certifikat nummer 1 ändrar du under "Godkännelse - När det här certifikatet används" till "Lita alltid på" så att det ser ut som på bilden nedan. När du stänger ner certifikatet med röda bollen måste du ange ditt Mac-lösenord.

8 - Samma sak med certifikat 2 och 3

Gör om punkt 7 även för certifikat 2 och 3. När du är klart ska de alla tre inte längre vara röda utan ljusblå.

9 - SITHS-kortet

Stäng av Nyckelhanteraren, sätt i ditt kort och starta sedan Nyckelhanteraren igen. Du ska nu kunna se ditt SITHS-kort högst upp i listan över nyckelringar.

Ja, det ska stå att certifikatet inte är betrott, det fungerar ändå!
(rent tekniskt beror det på att vi inte kopierat in alla de mellanliggande certifikaten, vilket alltså inte krävs för att det ska fungera)

10 - Testa

Starta Chrome (inte Safari) och surfa t.ex. till Pascal. Först kommer ett certifikatsval, tryck OK

11 - PIN-dialogen

Nu vill Chrome att du anger din pinkod (PIN1). Slår du rätt pin ska du bli inloggad.

OBS!
Om den webbtjänst du kör inte bara innefattar inloggning utan även signering/underskrift så kommer den delen inte att fungera på Mac, det gäller t.ex. Webcert/Intygstjänsten.
Det går att fixa stöd för signering/underskrift även på Mac men då måste webbtjänsten anpassas för Net iD Access istället för bara Net iD Enterprise. Det finns webbtjänster som gjort det, men tyvärr har långt ifrån alla hunnit med det.

12 - Safari

Om du trots allt skulle vilja använda Safari istället för Chrome så verkar det inte bättre än att man måste importera även de mellanliggande certifikaten för att det ska fungera.

Ladda ner dessa och importera dem på samma sätt som i punkterna 1 till 8 ovan:

int_SITHS_Type_1_CA_v1_sha1.crt

int_SITHS_Type_2_CA_v1_sha1.crt

int_SITHS_Type_3_CA_v1_sha512.crt

INT-siths-e-id-function-ca-v1.crt

INT-siths-e-id-person-hsa-id-2-ca-v1.crt

INT-siths-e-id-person-hsa-id-3-ca-v1.crt

INT-siths-e-id-person-id-2-ca-v1.crt

INT-siths-e-id-person-id-3-ca-v1.crt

root_Telia_e-legitimation_HW_CA_v3.crt