DE IDENTITEITSKAART EN MOZILLA EN NETSCAPE

De elektronische identiteitskaart en Mozilla® / Netscape

DE IDENTITEITSKAART EN MOZILLA EN NETSCAPE Deze handleiding is bedoeld voor iedereen die met Mozilla/Netscape e-mails willen ondertekenen met de nieuwe Identiteitskaart of die met de Mozilla/Netscape browser toegang willen verkrijgen tot beveiligde web sites.

Wat komt niet aan bod in deze handleiding: • Installatie van een kaartlezer en de bijbehorende stuurprogramma's; • Installatie van de software voor de identiteitskaart zelf. Ondersteunde Windows versies: ® • Windows 98 ® • Windows 98 Tweede Editie ® • Windows Millenium Editie ® • Windows 2000 Professional ® • Windows XP Home ® • Windows XP Professional Ondersteunde Mac OS X versies: • Mac OS X 10.2.8 of recenter • Mac OS X 10.3.4 of recenter • Mac OS X 10.4.2 of recenter Ondersteunde Linux versies: • kernel 2.6 met USB support • PC/SC Lite 1.2.9 of recenter Ondersteunde versies van Mozilla en Netscape: • Mozilla 1.4 of recenter • Netscape 7.0 of recenter

© 2006 FOD Informatie- en Communicatietechnologie (Fedict)

editie 1.1 pagina 1 van 22


CONFIGURATIE EN GEBRUIK INLEIDING Om de identiteitskaart te gebruiken met Mozilla of Netscape moet je zorgen dat je kaartlezer met bijbehorende stuurprogramma's geïnstalleerd is en de software voor de identiteitskaart geïnstalleerd is. Tevens gaan we er van uit dat u een werkende configuratie hebt van Mozila, zowel om te surfen als om e-mails te versturen. In de volgende pagina's gaan we dieper in op het gebruik van Mozilla met de identiteitskaart, meer bepaald: •

het stuurprogramma van de identiteitskaart registreren in Mozilla's Security Module

•

uw persoonlijke certificaten registreren in de Certificate Manager

•

de overheidscertificaten importeren in de Certificate Manager

•

specifieke handelingen om e-mails te ondertekenen

•

specifieke handelingen om met uw kaart toegang te krijgen tot beveiligde web sites




JAVASCRIPT ACTIVEREN Om de identiteitskaart driver voor Mozilla te installeren moet Javascript (tijdelijk) geactiveerd zijn in uw browser. Indien u een nieuwe installatie van Mozilla hebt dan zal dit wellicht al het geval zijn. U doet er echter goed aan dit na te kijken voordat u verder gaat. Start Mozilla en kies in het hoofdmenu de optie “Edit – Preferences”. Selecteer “Advanced – Scripts & Plugins” en verifiieer of Javascript geactiveerd is voor Navigator (het browser onderdeel van Mozilla).

Screenshot 1 JavaScript activeren voor installatie PKCS#11 module

Om de installatie van de driver uit te voeren moet JavaScript aangevinkt zijn voor “Navigator”, dit is het browser onderdeel van Mozilla en Netscape. JavaScript is enkel nodig voor de stap “PKCS#11 Module Installeren” zoals beschreven in het hoofdstuk 'Configuratie”. Indien u wenst kan u na deze stap JavaScript weer uitschakelen. JavaScript is niet meer nodig voor normaal gebruik van de identiteitskaart eens de installatieprocedure afgerond is.




CONFIGURATIE Mozilla is in feite een collectie van toepassingen waarvan 2 onderdelen, de browser en de e-mail client, gebruik maken van de identiteitskaart. Sommige aspecten van de configuratie zijn gemeenschappelijk, andere zijn specifiek voor de browser of de e-mail client.

ALGEMENE CONFIGURATIE De algemene configuratie • Registratie van de driver voor de identiteitskaart. Deze driver wordt soms ook een “PKCS#11 module” genoemd naar de Public Key Cryptography Standard no. 11. • Registratie van uw certificaten in de Certificate Manager • Mozilla verwijzen naar de online diensten van de federale overheid om ongeldige certificaten van derden te herkennen.

DE PKCS#11 MODULE INSTALLEREN Controleer of uw kaartlezer aangesloten is en zorg ervoor dat uw identiteitskaart niet in de kaartlezer zit. Voor Windows: Kies in het hoofdmenu de optie “Bestand – Bestand Openen”. Selecteer het bestand C:\Program Files\Belgium Identity Card\beid-pkcs11-register.html. Voor Mac OS X: Ga in Finder naar de map Applications/Belgium Identity Card en sleep het bestand beid-pkcs11-register.html naar het Mozilla of Netscape pictogram in de Applications’-map. Voor Linux: Kies in het hoofdmenu de optie “Bestand – Bestand Openen”. Selecteer het bestand /usr/local/share/beid/beid-pkcs11-register.html. Deze html pagina bevat een Javascript dat automatisch de PKCS#11 module zal registreren. Bevestig dat u de PKCS#11 module wil installeren door op OK te klikken.

Screenshot 2 Bevestig installatie van de PKCS#11 module




Als de installatie gelukt is zal u de volgende boodschap zien.

Screenshot 3 PKCS#11 installatie gelukt

U kan nu verdergaan en de certificaten op uw identiteitskaart registeren in Mozilla.

UW CERTIFICATEN REGISTREREN IN DE CERTIFICATE MANAGER Steek uw identiteitskaart in de kaartlezer en kies in het hoofdmenu de optie “Edit – Preferences”. In de Preferences dialoog selecteer “Privacy & Security – Certificates”. Klik op de “Manage Certificates” knop. Mozilla zal nu proberen uw certificaten van de kaart naar de Certificate Manager te kopiëren.

Screenshot 4 PIN ingeven voor registreren certificaten




Mozilla zal 4 certificaten vinden op uw kaart en die in twee categorieën registreren in de Certificate Manager. Elk certificaat wordt door Mozilla gebruikt voor een specifiek doel: 1. Uw persoonlijk Authenticatie Certificaat • wordt opgeslagen in “Your Certificates” in de Certificate Manager • wordt weergegeven als “uw naam en voornaam” + “Authentication” • om e-mails te tekenen en toegang te krijgen tot beveiligde web sites 2. Uw persoonlijk Handtekening Certificaat • wordt opgeslagen in “Your Certificates” in de Certificate Manager • wordt weergegeven als “uw naam en voornaam” + “Signature” • om documenten, berichten en transacties te tekenen met een wettelijk bindende handtekening, wordt door Mozilla niet gebruikt • dit certificaat wordt door de Mozilla/Netscape niet gebruikt en is ongeldig verklaard voor minderjarigen 3. Het overheidscertificaat waarmee de burgercertificaten getekend worden • wordt opgeslagen in “Authorities” in de Certificate Manager • wordt weergegeven als “Citizen CA” • om handtekeningen van derden op inkomende e-mails te controleren 4. Het overkoepelende top overheidscertificaat (zgn. “root certificate”) • wordt opgeslagen in “Authorities” in de Certificate Manager • wordt weergegeven als “Belgium Root CA” • om handtekeningen van derden op inkomende e-mails te controleren Nadat u uw persoonlijke code hebt ingegeven zal de Certificate Manager dialoog verschijnen. In de tab bladen bovenaan de dialoog vindt u verschillende categorieën terug waaronder “Your Certificates” en “Authorities”.




Screenshot 5 Certificate Manager – uw persoonlijke certificaten

Voor elk certificaat wordt ook vermeld op welk soort kaart het origineel staat, in dit geval is dat “BELPIC“. Al wat u nu nog moet doen is Mozilla vertellen dat u vanaf nu handtekeningen die met een Belgische identiteitskaart gemaakt zijn wenst te vertrouwen. Dit is van belang als u de Mozilla e-mail client in staat wil stellen handtekeningen op inkomende e-mails te verifiëren en automatisch handtekeningen gemaakt met een Belgisch burgercertificaat te aanvaarden. Indien u dit niet doet dan zal Mozilla elke handtekening met zo'n certificaat afdoen als onbetrouwbaar. Het zou niet logisch zijn zelf uw e-mails te ondertekenen met uw identiteitskaart maar dit van uw correspondenten niet te aanvaarden. Aangezien uw correspondenten ook hun identiteitskaart gebruiken, en dus certificaten gebruiken die door dezelfde overheid uitgegeven zijn als uw certificaten, volstaat het Mozilla te vertellen om alle certificaten die afkomstig zijn van de top Belgische Certificatie Authoriteit te aanvaarden. Dit doet u door in de categorie “Authorities” het topcertificaat van de Belgische overheid expliciet te vertrouwen als uitgever van certificaten. Daardoor zal de Mozilla e-




mail client automatisch een impliciet vertrouwen hebben in alle daaronder resorterende certificaten van andere burgers en dus handtekeningen aanvaarden die door uw correspondenten met hun Belgische identiteitskaart gemaakt zijn.

Screenshot 6 Specifieer de "trust settings" voor het topcertificaat van de overheid

Klik op het tab blad “Authorities” en zoek naar de twee Belgische overheidscertificaten onder de namen “Belgium Root CA” en “Citizen CA”. Selecteer het “Belgium Root CA” certificaat in de lijst en druk op de “Edit” knop. U kan dan kiezen voor welke toepassingen u het expliciete vertrouwen wil geven. Kruis minimaal de optie “for mail users” aan. Hiermee is deze procedure voltooid.




INSTELLEN VAN CRL EN OCSP Handtekeningen gemaakt met een Belgische identiteitskaart kunnen op echtheid gecontroleerd worden dankzij de bijhorende burgercertificaten. Eigenlijk zijn burgercertificaten een soort publieke getuigschriften waarmee iedereen kan controleren of een bepaalde elektronische handtekening echt met een bepaalde identiteitskaart gemaakt werd. Belgische burgercertificaten hebben een vervaldatum die gelijk is aan de vervaldatum van de identiteitskaart waartoe ze behoren. Wanneer een kaart echter verloren of gestolen wordt dan moeten ook de bijbehorende certificaten voortijdig herroepen worden. Dit heeft ook een impact voor uzelf. Als u in Mozilla een getekende e-mail ontvangt dan zal Mozilla niet alleen nakijken of het een impliciet vertrouwd certificaat is (= elk niet vervallen Belgisch burgercertificaat) maar zal Mozilla ook moeten controleren of het certificaat niet voortijdig herroepen is. Hiertoe biedt de federale overheid twee on-line diensten aan: 1. een CRL of Certificate Revokation List Dit is een zwarte lijst van alle voortijdig herroepen certificaten. Deze lijst wordt periodiek bijgewerkt en op het internet gepubliceerd. Een CRL is een bestand dat men gewoon kan downloaden en lokaal bewaren tussen twee CRL updates. Een CRL is bedoeld om door een computerprogramma gebruikt te worden, niet om door mensen gelezen te worden. 2. een OCSP server of Online Certificate Status Protocol server Dit is een speciale on-line dienst die permanent beschikbaar is en waarnaar u een certificaat kan sturen om een onmiddellijke respons te krijgen: “OK” of “niet OK”. Beide methodes hebben hetzelfde doel, nl. controleren of een bepaald certificaat herroepen is of niet. Het voordeel van een CRL is dat Mozilla een lokale kopij kan bijhouden zodat ook in off-line situaties certificaten gecontroleerd kunnen worden. Het nadeel is dat een CRL slechts periodiek gepubliceerd wordt en er in tussentijd bijkomende certificaten kunnen herroepen zijn zonder dat Mozilla het weet. Het voordeel van OCSP daarentegen is dat het tot op de minuut up-to-date kan zeggen of een certficaat herroepen is of niet. Het nadeel is dat u on-line moet zijn op het moment dat het certificaat geverifieerd wordt. Mozilla kan beide methodes samen gebruiken zodat u het beste van twee werelden hebt. Eens u Mozilla correct ingesteld hebt om de CRL en OCSP-dienst van de federale overheid te gebruiken verloopt alles volautomatisch. Mozilla zal bij de eerste gelegenheid de nieuwe CRL downloaden als de vorige vervallen is en zal voor elke




handtekening die geverifieerd wordt automatisch het corresponderend certificaat checken tegen de lokale CRL en de OCSP server van de overheid.

Importeren en Instellen van de CRL De allereerste keer moet u met Mozilla naar de betreffende CRL surfen. Zodra Mozilla herkent dat het een CRL is wordt deze gedownload en kan u Mozilla instellen om voortaan automatisch een nieuwe CRL te downloaden wanneer de vorige vervallen is. Start Mozilla en in de browser surft u naar: http://crl.eid.belgium.be/eidc0001.crl. Mozilla zal de CRL spontaan downloaden en lokaal installeren. Als dit gedaan is ziet u de volgende boodschap:

Screenshot 7 CRL geïmporteerd

Deze dialoog toont ook wanneer de volgende editie van de CRL gepubliceerd wordt. Klik op “Yes” als u wenst dat Mozilla in de toekomst automatisch nieuwe edities van de CRL moet downloaden.

Screenshot 8 Instellingen voor de CRL




De eenvoudigste methode om de lokale copij van de CRL actueel te houden is door Mozilla zelf te laten beslissen wanneer een nieuwe download nodig is op basis van de vervaldatum van de vorige CRL. Kruis daarom de optie “Enable Automatic Update for this CRL” aan en klik “OK”. Hiermee is het importeren en instellen van de CRL voltooid. U kan de instellingen voor de CRL later altijd wijzigen. Kies in het hoofdmenu de optie “Edit – Preferences”. In de Preferences dialoog selecteer “Privacy & Security – Validation”. Klik vervolgens op de knop “Manage CRLs”.

Screenshot 9 Beheer van de CRL




Instellen voor gebruik van de OCSP dienst De OCSP dienst is beschikbaar op het internet adres: http://ocsp.eid.belgium.be. U moet dit echter nergens instellen aangezien Mozilla dit adres ook vindt in de certificaten zelf. Het enige wat u moet doen is OCSP in Mozilla activeren en opdragen het adres te gebruiken dat in de certificaten zelf staat. Kies in het hoofdmenu de optie “Edit – Preferences”. In de Preferences dialoog selecteer “Privacy & Security – Validation”.

In de sectie vervolgens op de knop “OCSP” kiest u voor “Use OCSP to validate only certificates that specify an OCSP service URL”. Sluit af met “OK”. Hiermee is het instellen van gebruik van de OCSP dienst voltooid.




BROWSER CONFIGURATIE De Mozilla/Netscape browser kan de identiteitskaart gebruiken om uw identiteit te bewijzen op web sites die daarom vragen. Hiervoor maakt de browser gebruik van twee protocols: SSL en TLS. Voor de browser dient u niets specifiek te configureren om met de identiteitskaart toegang te krijgen tot beveiligde web sites zoals bijv. het elektronisch loket van een overheidsdienst. De standaard configuratie voor SSL en TLS volstaat. Hiermee is de configuratie van de browser voltooid.




E-MAIL

CONFIGURATIE

Steek uw identiteitskaart in de kaartlezer en start de Mozilla/Netscape Mail toepassing. Kies in het hoofmenu de optie “Edit – Mail & Newsgroups Account Settings”. Kies een mail account en klik op de “Security” optie. Klik in de Security dialoog, sectie Digital Signing, op de Select knop om het certificaat te selecteren waarmee u e-mails wil tekenen. Kies in de tweede dialoog uw authenticatiecertificaat en bevestig met OK.

Screenshot 10 Opties voor ondertekenen van een e-mail

Mozilla zal nu vragen of u ook een certficaat voor het versleutelen van berichten wil opgeven. Aangezien de certificaten op uw identiteitskaart enkel bedoeld zijn om handtekeningen te plaatsen en niet om gegevens te versleutelen moet u hier op de Cancel knop drukken.

Screenshot 11 Verzoek om encryptiecertificaat

U bent nu terug in de Security dialoog. U kan nu kiezen of u elke uitgaande e-mail automatisch wil ondertekenen of niet.




Indien ja, kruis dan de optie “Digitally sign messages by default” aan. Merk op dat u met uw identiteitskaart alleen kan tekenen, niet encrypteren (versleutelen).

Screenshot 12 automatisch al uw e-mails ondertekenen

Hiermee is de configuratie van de e-mail toepassing voltooid.




GEBRUIK AANMELDEN OP EEN BEVEILIGDE WEB SITE Als u op een web site komt waarop u uw identiteit moet bewijzen met uw identiteitskaart dan zal de browser vanzelf vragen om de kaart in te steken en uw persoonlijke code (PIN) in te geven.

Screenshot 13 Uw persoonlijke code (PIN ) ingeven

De browser zal uw authenticatiecertificaat en een handtekening met uw authenticatiesleutel naar de web site sturen. De web site is nu zeker van uw identiteit. Dit is bijvoorbeeld nuttig om ervoor te zorgen dat alleen uzelf toegang hebt tot uw dossiers bijvoorbeeld bij een elektronisch loket van een overheid.




BERICHTEN ONDERTEKENEN Om een ondertekend bericht te versturen dient u eerst net zoals voor een gewoon bericht, met de Compose Message knop een nieuw bericht te maken. De Compose dialoog bevat twee onderdelen die met de handtekening te maken hebben. Eerst en vooral is er de knop Security in de knoppenbalk bovenaan. Hier kan u zien wat de standaard instelling is en deze eventueel wijzigen. Merk op dat u met uw elektronische identiteitskaart alleen handtekeningen kunt plaatsen, de optie “Encrypt this message” kan u dus niet gebruiken.

Screenshot 14 Een nieuw bericht ondertekenen

Rechts onderaan in de statusbalk verschijnt een ikoon met een pennetje indien het bericht getekend zal worden. Bij het versturen van het eerste getekende bericht zal u gevraagd worden uw persoonlijke code of PIN in te geven om uw identiteitskaart te activeren.




ONDERTEKENDE BERICHTEN VAN DERDEN VERIFIËREN Als een ondertekend bericht binnenkomt in uw brievenbus dan zal Mozilla automatisch de handtekening nakijken en in de hoofding van het bericht aangeven of de handtekening geldig is en bij een certificaat hoort dat door u vertrouwd wordt. Indien u Mozilla geconfigureerd heeft zoals beschreven in de voorgaande hoofdstukken dan zullen handtekeningen die met een Belgische identiteitskaart gemaakt zijn de facto aanvaard worden tenzij het bijbehorende certificaat vervallen is of voortijdig herroepen werd. Als u een bericht opent dan verschijnt rechts in de hoofding een ikoontje dat aangeeft of de handtekening geldig is of niet. Het pennetje is gebroken, de handtekening is ongeldig, wellicht omdat het certificaat van de ondertekenaar vervallen is of voortijdig herroepen werd. Het pennetje is heel, de handtekening is geldig. Het vraagteken is een uitnodiging om op het ikoon te klikken omdat er extra informatie beschikbaar is. Door op het ikoontje te klikken krijgt u meer informatie over de handtekening en het certificaat van de ondertekenaar. Voor een ongeldige handtekening zal u zien waarom de handtekening geweigerd werd. Voor een geldige handtekening die met een identiteitskaart gemaakt werd zal u de volgende boodschap krijgen:




Screenshot 15 Extra informatie in een ondertekende e-mail

Deze boodschap betekent gewoon dat de handtekening geldig is maar Mozilla niet in staat was een verband te leggen tussen de naam van de ondertekenenaar en het email adres waarmee het bericht verzonden werd. Dit is normaal omdat de burgercertificaten wel naam en voornaam van bevatten maar geen e-mail adres. Door geen e-mail adres in het certificaat te zetten behoudt elke burger de vrijheid om een e-mail adres naar eigen keuze te nemen. Dit doet echter niets af aan de geldigheid van de handtekening. Deze praktijk is analoog aan de handtekening op papier, waarbij het ook niet uitmaakt of de brief met De Post of een koeriersdienst verzonden werd. Het zijn de handtekening en de naam van de ondertekenaar die belangrijk zijn, zowel op een papieren brief als op een e-mail.




PROBLEMEN OPLOSSEN AANMELDEN OP EEN WEB SITE LUKT NIET. Als je op een web site wil aanmelden met je identiteitskaart en er loopt iets fout dan krijg je meestal een webpagina met een foutmelding te zien (dit voor elke web site verschillend zijn).

Screenshot 16: Voorbeeld van foutboodschap bij mislukte aanmelding op een web site

De meest voorkomende oorzaken zijn: • de kaart is vervallen • de kaart werd te laat in de kaartlezer gestoken • de PKCS#11 module werd niet geïnstalleerd of is niet (meer) geregistreerd in de browser

DE KAART IS VERVALLEN Controleer de geldigheidsdatum van de kaart (deze datum is op de voorkant van de kaart gedrukt).




DE KAART WERD TE LAAT IN DE KAARTLEZER GESTOKEN Je kan best je identiteitskaart al in de kaartlezer steken voordat je de browser opstart. In elk geval moet de kaart insteken voordat je op de webpagina waarop je moet aanloggen met je identiteitskaart. Als je de kaart te laat insteekt kan het gebeuren dat de browser je niet meer kan aanloggen op de web site en je geen toegang krijgt tot het beveiligde deel van de web site. In dat geval kan je best de browser sluiten, de kaart insteken, de browser opnieuw opstarten en terug naar de web site gaan om opnieuw te proberen.

DE PKCS#11 MODULE IS NIET GEÏNSTALLEERD OF NIET GEREGISTREERD. Installeer de software voor de identiteitskaart en voer de registratieprocedure uit zoals beschreven in dit document.




DE SSL EN TLS PROTOCOLS Mozilla/Netscape kan de identiteitskaart gebruiken om uw identiteit te bewijzen op web sites die daarom vragen. Hiervoor gebruikt de browser één van twee protocols om met de web server te praten: SSL of TLS. Normaal zijn beide protocols al geactiveerd maar om zeker te zijn kan je de instellingen van je browser controleren via het “Extras – Opties” menu. Selecteer “Geavanceerd” en loop door de lijst tot je onder “Beveiliging” de opties SSL en TLS ziet staan. Zorg dat alle opties voor SSL en TLS aangevinkt zijn.

Screenshot 17 Standaard SSL en TLS instellingen

Webpagina's die SSL of TLS gebruiken kan je herkennen aan de naam in de adresbalk bovenaan je browser. Deze pagina's beginnen steeds met https//... in plaats van http://...



DE IDENTITEITSKAART EN MOZILLA EN NETSCAPE

Recommend Documents