Net iD och BankID/Nordea på samma dator, går det?

kort-BankIDkort-Nordea_VISA

Vi märker att många får problem när ska köra Net iD och smarta kort för inloggning samtidigt som man ska använda:

  • BankID på fil
  • BankID på kort
  • Nordeas e-legitimation på kort.

Men det finns det lösningar på!

Bakgrund

Det finns två väl spridda PKI-klienter på den svenska marknaden: SecMakers Net iD och Nexus Personal. BankID Säkerhetsprogram, BISP, baseras på Nexus Personal.

Net iD används dels internt på många landsting, kommuner, myndigheter och företag samt av personer som har e-legitimation från Teliasonera.

BankID Säkerhetsprogram har till skillnad från Net iD sin största spridning bland de som har BankID från:

Nordea
Handelsbanken
SEB (på kort. e-leg på fil hämtar SEB från Teliasonera)
Swedbank
SkandiaBanken
Länsförsäkringar Bank
Danske Bank
Sparbanken Öresund
Sparbanken Syd
Ikano Bank

BankID Säkerhetsprogram, BISP
Notera att Nordea och BankID har samma klient, BISP, skillnaden är att med e-legitimation från Nordea (och i vissa fall även mot Handelsbanken) så används dubbelriktad TLS/SSL för inloggning mot webbtjänster. Mot t.ex. Swedbank används en annan funktion i BISP för inloggningen.

Workaround

1) Registret

Man måste först se till att det är Net iD som sköter själva Windows-inloggningen. Detta fixar man genom att städa bort alla referenser till ”Personal” under denna registernyckel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\”Personal – XXXXXXXXXXX”

Kör man 64-bitars Windows 7 ska även denna plats rensas:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Calais\SmartCards\”Personal – XXXXXXXXXXX”

registry_cardlist

2) Autostart

Vidare tar man bort BankID Säkerhetsprogram från Autostart (eller Startup). Då laddas inte BankIDs ”certmover” vid uppstart”. Detta är viktigt, gör man inte det kan BankID Säkerhetsprogram ”ta över” och läsa in SITHS-kortet trots att BankID inte i något läge ens vill relatera till SITHS-korten. När BankID behövs anropas deras plugin och BankID klienten startas när den behövs.

3) Editera iid.cfg

a) Öppna nu följande fil/filer:
C:\Program Files\Net iD\iid.cfg

Kör man 64-bitars Windows 7 ska även denna fil justeras:
C:\Program Files (x86)\Net iD\iid.cfg

b) Leta upp sektionen som ser ut såhär:
[CSP]
DenyIssuers=

c) Ändra så att det ser ut såhär:
[CSP]
DenyIssuers=CN=Nordea CA for Smartcard users 10

d) Starta om datorn

Handhavande: Nordea (och i vissa fall Handelsbanken)

a) Starta BankID Säkerhetsprogram manuellt

b) Sätt i Nordea-kortet i läsare 2
Har du gjort enligt ovan ska Net iD inte publicera Nordea-certifikaten till MyStore. Det sköts av BankID Säkerhetsprogram och därmed ska du få BankID-klientens PIN-dialog vid inloggningen, inte Net iDs motsvarighet.

c) Logga in som vanligt via www.nordea.se

nordea_connect_001

nordea_connect_002

d) När du är klar på Internetbanken loggar du ut, drar ut Nordea-kortet och avslutar BankID Säkerhetsprogram
e) Högerklicka på Net iD och välj ”Uppdatera e-legitimationsförflyttning”/”Läs in kort på nytt” för att ”ge tillbaka” kontrollen över ditt vanliga kort till Net iD.

Handhavande: Swedbank och andra banker som stödjer inloggning med BankID

a) Starta BankID Säkerhetsprogram manuellt

b) Sätt i BankID-kortet i läsare 2

c) Logga in som vanligt, t.ex. via www.swedbank.se

swedbank

d) När du är klar på Internetbanken loggar du ut, drar ut BankID-kortet och avslutar BankID Säkerhetsprogram

e) Högerklicka på Net iD och välj ”Uppdatera e-legitimationsförflyttning”/”Läs in kort på nytt” för att ”ge tillbaka” kontrollen över ditt vanliga kort till Net iD.

Not

Om man INTE kör Nordea eller Handelsbanken kan man även genomföra detta steg för att helt utesluta krockar.

För att vara helt säker på att inte sabotera för andra operationer med SITHS-kortet (enrollment mot SITHS Admin t.ex.) raderade vi även BankIDs CSP i registret:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Personal CSP
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults\Provider\Personal CSP

registry_personal_csp

OBS! Gör INTE detta om du kör Nordea eller Handelsbanken, bara om du kör någon av de andra bankernas lösning utan dubbelriktad TLS/SSL.

Denna operation var vi lite osäkra på men det visade sig gå utmärkt att både ladda ner och använda mjuka BankID utan dess CSP registrerad. Använda BankID på kort fungerade även det alldeles utmärkt.