(no commit message)
[wiki.git] / enabling_client_certificate_auth_in_chrome.html
1 <p>So, you want to run Chrome (or Chromium), but you're annoyed by the lack of
2 client certificate authentication on Linux.  Turns out, this is relatively easy
3 to solve, there's just no UI for it as of yet.  (As of 11/13/2009.)  (Note: I'm doing this running the daily build from the chromium-daily ppa on Launchpad - if you're running Debian or Ubuntu, you can add "deb http://ppa.launchpad.net/chromium-daily/ppa/ubuntu karmic main" to your
4 /etc/apt/sources.list if you want to run this.  It may work on the official
5 Google build as well, I'm not sure.)</p>
6
7 <p>You want to use the instructions at
8 <a href="http://code.google.com/p/chromium/wiki/LinuxCertManagement">Google's page on LinuxCertManagement</a> to install the MIT
9 CA (click "Get the MIT CA" <a href="http://ist.mit.edu/services/certificates/mitca">here</a>
10 to download it).  You may also want the <a href="http://ca.csail.mit.edu/cacert">CSAIL CA</a> (specifically, the Master CA).  If you're
11 running Debian or Ubuntu, the short version of that LinuxCertManagement page is
12 to install libnss3-tools, then run "certutil -d sql:$HOME/.pki/nssdb -A -t
13 "C,," -n <certificate nickname> -i <certificate filename>" for both the MIT CA
14 and (if you want it) the CSAIL CA.</p>
15
16 <p>The easiest way to install a client cert in the nss database is simply to
17 install it on Firefox; at that point, it should be in the list of certificates
18 you get when you run "certutil -d sql:$HOME/.pki/nssdb -L".  If not, go back to
19 the LinuxCertManagement page and do it manually.</p>
20
21 Here's the last key to the puzzle: by default, Chrome on Linux runs without SSL
22 client cert auth.  So run it with the --auto-ssl-client-auth flag.  You'll
23 probably want to edit both Preferred Applications and the Main Menu entry to
24 reflect this, so links you click on outside of Chrome open this way.  (Gnome Do
25 and similar pull their data from Main Menu, among other places.)  Once you've
26 done this, you can check your work with
27 <a href="https://scripts-cert.mit.edu/~geofft/demo/detect.php">this demo page</a>.  If everything is
28 working, it should welcome you by name, and tell you that a certificate for
29 your username is installed.