(no commit message)
[wiki.git] / doc / enabling_client_certificate_auth_in_chrome.html
index 697348fd140994c368a43b0a174b45db3f1ef2fa..c04377842a08b58d37d17f39035a7fe88e8ca7b2 100644 (file)
@@ -1,21 +1,32 @@
-<p>So, you want to run Chrome (or Chromium), but you're annoyed by the lack of
-client certificate authentication on Linux.  Turns out, this is relatively easy
-to solve, there's just no UI for it as of yet.  (As of 11/13/2009.)  (Note: I'm doing this running the daily build from the chromium-daily ppa on Launchpad - if you're running Debian or Ubuntu, you can add "deb http://ppa.launchpad.net/chromium-daily/ppa/ubuntu karmic main" to your
-/etc/apt/sources.list if you want to run this.  It may work on the official
-Google build as well, I'm not sure.)</p>
+<h3>I can visit some page in firefox and it just requests a certificate. How do I get that to work on Google Chome?</h3>
+<p>So, you want to run Chrome (or Chromium), but you're annoyed by the lack of client certificate authentication on Linux. 
+Turns out, this is relatively easy to solve, there's just no GUI for it as of yet.  (As of 12/3/2009.) 
+As far as I know, this only works with the daily build from the chromium-daily ppa on Launchpad.
+<small>It might work on the official chrome build, if it works, please tell us.</small>
+if you're running Debian or Ubuntu, you can add "deb http://ppa.launchpad.net/chromium-daily/ppa/ubuntu karmic main" to your
+/etc/apt/sources.list and then apt-get update 
+</p>
+<h3><a name="getting_certs">Installing Certificates</a></h3>
+<p> The simplest thing to do is go to the <a href="https://ca.mit.edu/ca/">usual web interface</a> and follow the instructions to install certs normally. 
+You may also want the <a href="http://ca.csail.mit.edu/cacert">CSAIL CA</a> (specifically, the Master CA).
+If this works, you should be able to skip to telling chrome to<a href="#using_certs">use certtificate by default</a>
 
-<p>You want to use the instructions at
-<a href="http://code.google.com/p/chromium/wiki/LinuxCertManagement">Google's page on LinuxCertManagement</a> to install the <a href="http://ist.mit.edu/services/certificates/mitca">MIT CA</a>.  You may also want the <a href="http://ca.csail.mit.edu/cacert">CSAIL CA</a> (specifically, the Master CA).  If you're
+Failing that, the next easiest way to install a client cert in the nss database is simply to install it on Firefox;
+At that point, it should be in the list of certificates you get when you run "certutil -d sql:$HOME/.pki/nssdb -L".
+
+<p>Otherwise, you want to look at the the instructions at
+<a href="http://code.google.com/p/chromium/wiki/LinuxCertManagement">Google's page on LinuxCertManagement</a> to install the <a href="http://ist.mit.edu/services/certificates/mitca">MIT CA</a>.  If you're
 running Debian or Ubuntu, the short version of that LinuxCertManagement page is
 to install libnss3-tools, then run "certutil -d sql:$HOME/.pki/nssdb -A -t
-"C,," -n <certificate nickname> -i <certificate filename>" for both the MIT CA
-and (if you want it) the CSAIL CA.</p>
-
-<p>The easiest way to install a client cert in the nss database is simply to
-install it on Firefox; at that point, it should be in the list of certificates
-you get when you run "certutil -d sql:$HOME/.pki/nssdb -L".  If not, go back to
-the LinuxCertManagement page and do it manually.</p>
+"C,," -n  -i " for both the MIT CA and (if you want it) the CSAIL CA.</p>
+<!--what do you pass as argumets exactly? -->
 
-<p>Here's the last key to the puzzle: Chrome on Linux currently lacks a UI for selecting a certificate, so run it with the --auto-ssl-client-auth flag. Enabling this flag configures Chrome to automatically send an certificate to websites without prompting, as Firefox will do under certain configurations. This is considered a privacy issue; see UI notes #3 in the Chromium <a href="http://dev.chromium.org/developers/design-documents/ssl-client-authentication">design document</a> and the linked <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=295922">Mozilla bug</a>. Bug <a href="http://code.google.com/p/chromium/issues/detail?id=25241">#25241</a> tracks this issue in Chrome on Linux.</p>
+<h3><a name="using_certs">Using Certificates</a></h3>
+<p>Here's the last key to the puzzle: Chrome on Linux currently lacks a UI for selecting a certificate, so run it with the --auto-ssl-client-auth flag.<p>
+To do this by default in Gnome, you want to edit both Preferred Applications and the Main Menu entry 
+this way links you click on outside of Chrome open this way.  (Gnome Do and similar pull their data from Main Menu, among other places.) 
+Once you've done this, you can check your work with <a href="https://scripts-cert.mit.edu/~geofft/demo/detect.php">this demo page</a>.  If everything is working, it should welcome you by name, and tell you that a certificate for your username is installed.</p>
 
-<p>You'll probably want to edit both Preferred Applications and the Main Menu entry (I'm assuming you run Gnome here; if not, there may be other things you want to edit) to reflect this, so links you click on outside of Chrome open this way.  (Gnome Do and similar pull their data from Main Menu, among other places.)  Once you've done this, you can check your work with <a href="https://scripts-cert.mit.edu/~geofft/demo/detect.php">this demo page</a>.  If everything is working, it should welcome you by name, and tell you that a certificate for your username is installed.</p>
+<h5> Privacy Note </h5>
+ Enabling this flag configures Chrome to automatically send an certificate to websites without prompting, as Firefox will do under certain configurations.
+This is considered a privacy issue; see UI notes #3 in the Chromium <a href="http://dev.chromium.org/developers/design-documents/ssl-client-authentication">design document</a> and the linked <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=295922">Mozilla bug</a>. Bug <a href="http://code.google.com/p/chromium/issues/detail?id=25241">#25241</a> tracks this issue in Chrome on Linux.</p>