<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><div>On May 29, 2013, at 1:44 AM, "Jorgensen, Will A" &lt;<a href="mailto:Will@pnnl.gov">Will@pnnl.gov</a>&gt; wrote:</div><blockquote type="cite"><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; font-size: 14px; font-family: Calibri, sans-serif; "><span id="OLK_SRC_BODY_SECTION"><blockquote type="cite" style="font-family: Calibri, sans-serif; font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; font-size: 14px; font-family: Calibri, sans-serif; ">When I'm already logged in, the PIV card shows up in the keychain and the certificates show up as valid (I had to install some root certificates to get that).</div></blockquote><div style="font-family: Calibri, sans-serif; font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><br></div>Question again on why you would need to install roots for certificates on a PIV card. &nbsp;Is this a self-generated PIV Card with internal / test identities and not US Federal Government issued Identities ? &nbsp;I ask because the&nbsp;<b>System Root<span class="Apple-converted-space">&nbsp;</span></b>Keychain should already have the necessary CA Roots Certificates for proper trust validation and revocation checking for US Federal Government issued Identities. &nbsp;If not, please let me know what was not there, so that I can correct that.</span><div><br></div><div><b>Answer</b><span class="Apple-converted-space">&nbsp;</span> They are DOE certificates issued by an Entrust Managed Services SSP CA which I didn't see in the system root keychain. &nbsp;Looking at it further, I'm not sure I actually solved it anyway since the certificates in the PIV card show up as being signed by an untrusted user.<span class="Apple-converted-space">&nbsp;</span></div></div></blockquote><br></div><div>WIll,</div><div><br></div><div>Ahh, we may be at the heart of your problem....&nbsp;If your PIV Certs show up as&nbsp;signed by an untrusted user that is the root cause of you not being able to log in with Attr Matching or PKINIT. &nbsp;The PubKeyHash method does not do certificate status checking, but both Attr Matching and PKINT do verify that the certificate is trusted and valid prior to login.</div><div><br></div><div>You must resolve this first before being able move on. &nbsp;Are the DOE issued certificates not resolved (Trust Path Validation) to the "Federal Common Policy CA" Root CA Certificate ? &nbsp;Looking at the certificate I have for you at @<a href="http://pnnl.gov">pnnl.gov</a> it is signed using a "Department of Energy", "Pacific Northwest National Laboratory" Root CA Certificate. &nbsp;You need to specifically mark that Root CA Cert as trusted on your system (since it is not in System Roots and trusted) and then any certificate signed by it will appear as valid if all else is correct with the certificate.</div><div><br></div><div><blockquote style="margin: 0 0 0 40px; border: none; padding: 0px;"><div><ul class="MailOutline"><li>Launch Keychain Access (KA)</li><li>Select "Certificates" in the Category (lower left corner)</li><li>Enter "Department of Energy" in the Search Field (upper right corner)</li><li>Double-click the Certificate&nbsp;"Department of Energy" with Serial Number "998328652" to open it</li><li>Click the 'disclosure' triangle in front of the word 'Trust' in the certificate's window</li><li>Select Always Trust</li><li>Provide your Admin Account PW and the Trust will be set to Always Trust that Root</li></ul></div><div><br></div><div>Now go back to setting up Login.</div></blockquote></div><span style="background-color: transparent;"><div><span style="background-color: transparent;"><br></span></div>The unfortunate point to note is that many of the DOE labs have Root CA Certs issued by&nbsp;an Entrust Managed Services SSP CA&nbsp;that resolves to the DOE Root CA and not the "</span>Federal Common Policy CA" which Apple includes in the Trusted Root Store.<span style="background-color: transparent;"><br></span>Let me see if we need to look into including the DOE Root CA Cert in the System Roots. &nbsp;That would have solved your problem to begin with. &nbsp;Federal PKI directs only trusting the&nbsp;"Federal Common Policy CA", but let me see what I can do.<br><br><div apple-content-edited="true">
<span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-style: normal; font-variant: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; border-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">- Shawn<br>______________________________________________________<br>Shawn Geddis<span class="Apple-tab-span" style="font-weight: normal; white-space: pre; ">                                </span>&nbsp;&nbsp;<span class="Apple-tab-span" style="font-weight: normal; white-space: pre; ">                        </span>&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; <a href="mailto:geddis@me.com">geddis@me.com</a><br>Enterprise Security Consulting Engineer, Apple &nbsp; &nbsp; <a href="mailto:geddis@apple.com">geddis@apple.com</a><br><br>MacOSForge:<span class="Apple-converted-space">&nbsp;</span><b>Smart Card Services</b><span class="Apple-converted-space">&nbsp;</span>&nbsp;Project Lead: &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;<br><span class="Apple-tab-span" style="font-weight: normal; white-space: pre; ">        </span>Web:<span class="Apple-tab-span" style="font-weight: normal; white-space: pre; ">        </span><a href="http://smartcardservices.macosforge.org/">http://smartcardservices.macosforge.org/</a><br><span class="Apple-tab-span" style="font-weight: normal; white-space: pre; ">        </span>Lists:<span class="Apple-tab-span" style="font-weight: normal; white-space: pre; ">        </span>http://lists.macosforge.org/mailman/listinfo<br>______________________________________________________<br><br><br><br><br><br><br><br><br></div></span>
</div>


<br></body></html>