info@studio56.it
Home
MENU
CHIUDI
STUDIO56

Utilizzare CNS e CIE con Firefox su Linux

In questo articolo andremo a descrivere il procedimento per poter utilizzare la propria CNS (Carta Nazionale dei Servizi) o la CIE (Carta d'Identità Elettronica) per l'accesso a siti web (ad esempio quelli legati alla pubblica amministrazione) tramite Firefox su Linux.

Il procedimento richiede alcuni passaggi preliminari per configurare correttamente il browser affinché i certificati contenuti nella CNS o nella CIE siano letti correttamente, ma andranno effettuati solamente una volta, dopo la quale i certificati saranno utilizzati senza ulteriori configurazioni da effettuare.

Prerequisiti

Vediamo innanzitutto quali sono i prerequisiti per poter utilizzare con successo la CNS/CIE per accedere, ad esempio, ad un sito web della pubblica amministrazione come potrebbe essere quello dell'Agenzia delle Entrate (per consultare il proprio cassetto fiscale) oppure quello del sistema sanitario regionale, per accedere al Fascicolo Sanitario Elettronico.

  • CNS/CIE in formato smart card o token USB
  • Lettore di smart card compatibile con Linux (o smart card su chiavetta, anche se non testato). Nei test effettuati è stato utilizzato un lettore Ewent EW1052 poiché le ricerche in rete ne avevano indicato la compatibilità con sistemi Linux.
  • Opzionalmente, il software Dike GoSign installato sul sistema (che servirà solamente per verificare se il certificato viene letto correttamente. qualora avessimo dei problemi a farlo riconoscere da Firefox).

Con questi prerequisiti soddisfatti è possibile passare alla fase di prima configurazione del sistema e del browser.

Configurazione

Come prima cosa, dopo aver collegato il lettore di smart card (o inserito il token USB, qualora si disponga di una CNS su chiavetta) è possibile effettuare un passaggio opzionale, per verificare se il lettore è in grado di dialogare con la smart card e leggerne il contenuto.

Per questo passo è sufficiente installare il software Dike GoSign ed utilizzare l'apposita funzione per verificare i certificati contenuti all'interno della smart card: se i certificati vengono letti correttamente abbiamo la certezza che il sistema è in grado di accedere al contenuto della smart card tramite il lettore.

Per poter leggere ed utilizzare i certificati all'interno del browser Firefox sono invece necessarie le seguenti operazioni preliminari:

  • Scaricare i driver appropriati per la lettura delle smart card.

    Le smart card presentano chip realizzati da produttori differenti, pertanto è necessario scaricare i driver corretti per la propria CNS/CIE; i produttori principali sono Incard, Oberthur e Athena; per capire di quale produttore è la propria smart card è necessario osservare il disegno del contact pad, ovvero della parte metallica. La tabella seguente mostra i layout dei contact pad dei tre produttori citati in precedenza:

    Chip Incard Chip Incard
    Chip Oberthur Chip Oberthur
    Chip Athena Chip Athena

    Una volta determinato il tipo del produttore del chip della propria CNS/CIE è possibile scaricare i driver appropriati dal sito Aruba PEC ed installarli sul proprio sistema, facendo attenzione ad utilizzare la versione a 64bit (poiché per compatibilità è presente anche la versione 32bit).

    Nel seguito di questo articolo sarà fatto riferimento al chip Incard, presente su CNS e CIE con le quali sono state effettuate le prove di funzionamento.

  • Avviare Firefox: in questo momento inizierà la procedura di configurazione dei certificati e del dispositivo di lettura al fine di poter fare accedere il browser al contenuto della smart card.

  • Scaricare ed installare in Firefox i certificati delle Authorities di InfoCert, reperibili al seguente indirizzo: https://www.firma.infocert.it/installazione/#certificati https://www.infocert.it/firma-infocert-it/driver-installazione/ (N.d.Studio56 link modificato in seguito all'aggiornamento del sito InfoCert). Per installarli all'interno del browser è sufficiente:

    • Scegliere la voce Preferenze dal menu principale
    • Cercare Certificati nel box di ricerca (per arrivare rapidamente alla voce interessata, altrimenti cercarla all'interno della sezione Privacy delle impostazioni)
    • Selezionare Mostra Certificati
    • Scegliere la scheda Authorities
    • Premere il pulsante Importa e selezionare - uno alla volta - i due certificati scaricati dal link indicato in precedenza.
  • Dopo aver importato i certificati di InfoCert, collegare il lettore di smart card ed inserire la tessera (alternativamente, inserire la chiavetta USB se si ha una CNS su token USB)
  • Tornare alla sezione dei certificati all'interno delle impostazioni di Firefox (dal menu principale scegliere Preferenze e inserire Certificati nel box di ricerca)
  • Premere il pulsante Dispositivi di sicurezza e successivamente - nella finestra che verrà aperta - premere il pulsante Carica
  • Inserire un nome mnemonico per identificare il nuovo dispositivo (ad esempio Lettore SmartCard): la scelta di questo nome non pregiudica il corretto funzionamento della procedura e può essere assegnato a piacere

  • Nell'input field sottostante al nome del nuovo dispositivo, premere Sfoglia e scegliere il file /usr/lib/libbit4ipki.so (uno dei file aggiunti al sistema nel passo di installazione dei driver) e confermare la propria scelta.

    Attenzione: nel caso in cui il produttore del chip della smart card non fosse Incard il nome del file potrebbe essere differente da quello indicato: sarà quindi necessario selezionare il file corrispondente al corretto produttore. Per i chip Oberthur infatti il file storicamente è chiamato /usr/lib/libbit4opki.so ma un rapido controllo da terminale mostrerà che sia questo file, sia quello dedicato ai chip Incard non sono altro che link verso il file /usr/lib/bit4id/libbit4xpki.so in grado di gestire entrambi i chip.

Effettuate queste operazioni, il browser sarà in grado di accedere ai certificati contenuti nella smart card, previo inserimento del PIN di sicurezza.

Verifica di corretta configurazione

Per verificare se la procedura ha avuto buon esito, ancor prima di effettuare un tentativo di accesso in uno dei siti che prevedono l'uso della CNS/CIE come metodo di autenticazione, è possibile verificare se Firefox è in grado di leggere il contenuto dei certificati presenti nella smart card.

Per effettuare il test è sufficiente:

  • Collegare il proprio lettore ed inserire la smart card
  • Aprire le Preferenze dal menu principale e inserire Certificati nel box di ricerca
  • Selezionare la voce Mostra Certificati

  • Nella scheda relativa ai propri certificati sarà presente una voce relativa al lettore di smart card collegato al PC; cliccando sopra di essa verrà attivato il pulsante (nel lato destro della finestra) per effettuare il login sulla smart card.

    Questa operazione non farà altro che richiedere il PIN della scheda che - una volta inserito correttamente - farà elencare i certificati contenuti all'interno della smart card.

Qualora dopo il login vengano mostrati correttamente i certificati presenti dentro la propria CNS/CIE allora il browser sarà in grado di utilizzarli sui siti che prevedono tali mezzi come credenziali per l'accesso.

Etichette
cns
cie
carta nazionale dei serivizi
carta identità elettronica
linux
Firefox
smart card
Categoria articolo
Linux

Categorie articoli