Mô tả
Sử dụng API này để hiển thị chứng chỉ cho nền tảng có thể sử dụng các chứng chỉ này để xác thực TLS.
Quyền
certificateProvider
Phạm vi cung cấp
Khái niệm và cách sử dụng
Cách sử dụng thông thường của API này để hiển thị chứng chỉ ứng dụng cho ChromeOS theo các bước sau:
- Tiện ích này đăng ký cho các sự kiện
onCertificatesUpdateRequested
vàonSignatureRequested
. - Tiện ích gọi
setCertificates()
để cung cấp danh sách chứng chỉ ban đầu sau khi khởi chạy. - Tiện ích này theo dõi các thay đổi trong danh sách chứng chỉ hiện có và gọi
setCertificates()
để thông báo cho trình duyệt về mọi thay đổi như vậy. - Trong quá trình bắt tay TLS, trình duyệt sẽ nhận được yêu cầu chứng chỉ máy khách. Với sự kiện
onCertificatesUpdateRequested
, trình duyệt sẽ yêu cầu Tiện ích báo cáo tất cả chứng chỉ mà trình duyệt hiện cung cấp. - Tiện ích sẽ báo cáo lại bằng các chứng chỉ hiện có, sử dụng phương thức
setCertificates()
. - Trình duyệt so khớp tất cả chứng chỉ có sẵn với yêu cầu chứng chỉ ứng dụng từ máy chủ từ xa. Các kết quả trùng khớp được trình bày cho người dùng trong một hộp thoại lựa chọn.
- Người dùng có thể chọn một chứng chỉ và từ đó phê duyệt hoặc huỷ xác thực.
- Nếu người dùng huỷ xác thực hoặc không có chứng chỉ nào khớp với yêu cầu, thì quá trình xác thực máy khách TLS sẽ bị huỷ.
- Nếu không, nếu người dùng phê duyệt việc xác thực bằng chứng chỉ do Tiện ích này cung cấp, trình duyệt sẽ yêu cầu Tiện ích ký dữ liệu để tiếp tục bắt tay TLS. Yêu cầu được gửi dưới dạng sự kiện
onSignatureRequested
. - Sự kiện này chứa dữ liệu đầu vào, khai báo thuật toán cần dùng để tạo chữ ký và tham chiếu đến một trong các chứng chỉ do Tiện ích này báo cáo. Tiện ích phải tạo chữ ký cho dữ liệu đã cho bằng cách sử dụng khoá riêng tư liên kết với chứng chỉ được tham chiếu. Việc tạo chữ ký có thể yêu cầu thêm một DigestInfo vào đầu và thêm khoảng đệm vào kết quả trước khi ký thực tế.
- Tiện ích sẽ gửi lại chữ ký cho trình duyệt bằng phương thức
reportSignature()
. Nếu không thể tính toán chữ ký, bạn phải gọi phương thức mà không cần chữ ký. - Nếu bạn đã cung cấp chữ ký, trình duyệt sẽ hoàn tất quy trình bắt tay TLS.
Trình tự các bước thực tế có thể khác. Ví dụ: người dùng sẽ không được yêu cầu chọn chứng chỉ nếu chính sách doanh nghiệp được sử dụng để tự động chọn chứng chỉ (xem AutoSelectCertificateForUrls
và Chính sách của Chrome dành cho người dùng).
Trong Tiện ích, đoạn mã này có thể trông giống như đoạn mã sau:
function collectAvailableCertificates() {
// Return all certificates that this Extension can currently provide.
// For example:
return [{
certificateChain: [new Uint8Array(...)],
supportedAlgorithms: ['RSASSA_PKCS1_v1_5_SHA256']
}];
}
// The Extension calls this function every time the currently available list of
// certificates changes, and also once after the Extension's initialization.
function onAvailableCertificatesChanged() {
chrome.certificateProvider.setCertificates({
clientCertificates: collectAvailableCertificates()
});
}
function handleCertificatesUpdateRequest(request) {
// Report the currently available certificates as a response to the request
// event. This is important for supporting the case when the Extension is
// unable to detect the changes proactively.
chrome.certificateProvider.setCertificates({
certificatesRequestId: request.certificatesRequestId,
clientCertificates: collectAvailableCertificates()
});
}
// Returns a private key handle for the given DER-encoded certificate.
// |certificate| is an ArrayBuffer.
function getPrivateKeyHandle(certificate) {...}
// Digests and signs |input| with the given private key. |input| is an
// ArrayBuffer. |algorithm| is an Algorithm.
// Returns the signature as ArrayBuffer.
function signUnhashedData(privateKey, input, algorithm) {...}
function handleSignatureRequest(request) {
// Look up the handle to the private key of |request.certificate|.
const key = getPrivateKeyHandle(request.certificate);
if (!key) {
// Handle if the key isn't available.
console.error('Key for requested certificate no available.');
// Abort the request by reporting the error to the API.
chrome.certificateProvider.reportSignature({
signRequestId: request.signRequestId,
error: 'GENERAL_ERROR'
});
return;
}
const signature = signUnhashedData(key, request.input, request.algorithm);
chrome.certificateProvider.reportSignature({
signRequestId: request.signRequestId,
signature: signature
});
}
chrome.certificateProvider.onCertificatesUpdateRequested.addListener(
handleCertificatesUpdateRequest);
chrome.certificateProvider.onSignatureRequested.addListener(
handleSignatureRequest);
Loại
Algorithm
Các loại thuật toán ký số được hỗ trợ.
Enum
"RSASSA_PKCS1_v1_5_MD5_SHA1"
Chỉ định thuật toán chữ ký RSASSA PKCS#1 phiên bản 1.5 bằng hàm băm MD5-SHA-1. Tiện ích không được thêm tiền tố DigestInfo vào đầu mà chỉ được thêm khoảng đệm PKCS#1. Thuật toán này không còn được dùng nữa và Chrome sẽ không bao giờ yêu cầu thuật toán này kể từ phiên bản 109.
"RSASSA_PKCS1_v1_5_SHA1"
Chỉ định thuật toán chữ ký RSASSA PKCS#1 phiên bản 1.5 bằng hàm băm SHA-1.
"RSASSA_PKCS1_v1_5_SHA256"
Chỉ định thuật toán chữ ký RSASSA PKCS#1 phiên bản 1.5 bằng hàm băm SHA-256.
"RSASSA_PKCS1_v1_5_SHA384"
Chỉ định thuật toán chữ ký RSASSA PKCS#1 phiên bản 1.5 bằng hàm băm SHA-384.
"RSASSA_PKCS1_v1_5_SHA512"
Chỉ định thuật toán chữ ký RSASSA PKCS#1 phiên bản 1.5 bằng hàm băm SHA-512.
"RSASSA_PSS_SHA256"
Chỉ định thuật toán chữ ký RSASSA PSS bằng hàm băm SHA-256, hàm tạo mặt nạ MGF1 và muối có cùng kích thước với hàm băm.
"RSASSA_PSS_SHA384"
Chỉ định thuật toán chữ ký RSASSA PSS bằng hàm băm SHA-384, hàm tạo mặt nạ MGF1 và muối có cùng kích thước với hàm băm.
"RSASSA_PSS_SHA512"
Chỉ định thuật toán chữ ký RSASSA PSS bằng hàm băm SHA-512, hàm tạo mặt nạ MGF1 và muối có cùng kích thước với hàm băm.
CertificateInfo
Thuộc tính
-
chứng chỉ
ArrayBuffer
Phải là mã hoá DER của chứng chỉ X.509. Hiện tại, chúng tôi chỉ hỗ trợ chứng chỉ của khoá RSA.
-
supportedHashes
Hash[]
Phải được đặt thành tất cả hàm băm được hỗ trợ cho chứng chỉ này. Tiện ích này sẽ chỉ được yêu cầu chữ ký của chuỗi đại diện được tính bằng một trong các thuật toán băm này. Các giá trị này phải được sắp xếp theo thứ tự giảm dần về mức độ ưu tiên của hàm băm.
CertificatesUpdateRequest
Thuộc tính
-
certificatesRequestId
số
Mã nhận dạng yêu cầu sẽ được truyền đến
setCertificates
.
ClientCertificateInfo
Thuộc tính
-
certificateChain
ArrayBuffer[]
Mảng phải chứa mã hoá DER của chứng chỉ ứng dụng X.509 làm phần tử đầu tiên.
Tệp này phải bao gồm đúng một chứng chỉ.
-
supportedAlgorithms
Tất cả thuật toán được hỗ trợ cho chứng chỉ này. Tiện ích này sẽ chỉ được yêu cầu ký bằng một trong các thuật toán này.
Error
Các loại lỗi mà tiện ích có thể báo cáo.
Giá trị
"GENERAL_ERROR"
Hash
Không dùng nữa. Được thay thế bằng Algorithm
.
Enum
"MD5_SHA1"
Chỉ định thuật toán băm MD5 và SHA1.
"SHA1"
Chỉ định thuật toán băm SHA1.
"SHA256"
Chỉ định thuật toán băm SHA256.
"SHA384"
Chỉ định thuật toán băm SHA384.
"SHA512"
Chỉ định thuật toán băm SHA512.
PinRequestErrorType
Các loại lỗi có thể được hiển thị cho người dùng thông qua hàm requestPin.
Enum
"INVALID_PIN"
Chỉ định mã PIN không hợp lệ.
"INVALID_PUK"
Chỉ định mã PUK không hợp lệ.
"MAX_ATTEMPTS_EXCEEDED"
Chỉ định số lần thử tối đa đã vượt quá.
"UNKNOWN_ERROR"
Chỉ định rằng lỗi không thể được biểu thị bằng các loại ở trên.
PinRequestType
Loại mã mà tiện ích yêu cầu bằng hàm requestPin.
Enum
"PIN"
Chỉ định mã được yêu cầu là mã PIN.
"PUK"
Chỉ định mã được yêu cầu là mã PUK.
PinResponseDetails
Thuộc tính
-
userInput
chuỗi không bắt buộc
Mã do người dùng cung cấp. Trống nếu người dùng đóng hộp thoại hoặc xảy ra lỗi nào đó.
ReportSignatureDetails
Thuộc tính
-
error
"GENERAL_ERROR"
không bắt buộcLỗi xảy ra trong khi tạo chữ ký (nếu có).
-
signRequestId
số
Giá trị nhận dạng yêu cầu đã nhận được qua sự kiện
onSignatureRequested
. -
Chữ ký
ArrayBuffer không bắt buộc
Chữ ký, nếu được tạo thành công.
RequestPinDetails
Thuộc tính
-
attemptsLeft
số không bắt buộc
Số lần thử còn lại. Thông tin này được cung cấp để mọi giao diện người dùng đều có thể hiển thị thông tin này cho người dùng. Chrome không được thực thi việc này, thay vào đó, tiện ích sẽ gọi stopPinRequest với errorType = MAX_ATTEMPTS_EXCEEDED khi số lượng yêu cầu ghim vượt quá.
-
errorType
PinRequestErrorType không bắt buộc
Mẫu lỗi hiển thị cho người dùng. Bạn nên đặt giá trị này nếu yêu cầu trước đó không thành công để thông báo cho người dùng về lý do không thành công.
-
requestType
PinRequestType không bắt buộc
Loại mã được yêu cầu. Mặc định là mã PIN.
-
signRequestId
số
Mã nhận dạng do Chrome cung cấp trong SignRequest.
SetCertificatesDetails
Thuộc tính
-
certificatesRequestId
số không bắt buộc
Khi được gọi để phản hồi
onCertificatesUpdateRequested
, phải chứa giá trịcertificatesRequestId
đã nhận được. Nếu không, bạn nên đặt giá trị này thành rỗng. -
clientCertificates
Danh sách các chứng chỉ ứng dụng hiện có.
-
error
"GENERAL_ERROR"
không bắt buộcLỗi xảy ra trong khi trích xuất chứng chỉ (nếu có). Lỗi này sẽ xuất hiện cho người dùng khi thích hợp.
SignatureRequest
Thuộc tính
-
thuật toán
Thuật toán chữ ký sẽ được sử dụng.
-
chứng chỉ
ArrayBuffer
Mã hoá DER của chứng chỉ X.509. Tiện ích phải ký
input
bằng khoá riêng tư được liên kết. -
input
ArrayBuffer
Dữ liệu cần ký. Xin lưu ý rằng dữ liệu này không được băm.
-
signRequestId
số
Mã nhận dạng yêu cầu sẽ được truyền đến
reportSignature
.
SignRequest
Thuộc tính
-
chứng chỉ
ArrayBuffer
Mã hoá DER của chứng chỉ X.509. Tiện ích phải ký
digest
bằng khoá riêng tư được liên kết. -
chuỗi đại diện
ArrayBuffer
Giá trị tổng quan phải được ký.
-
hàm băm
Tham chiếu đến thuật toán băm được dùng để tạo
digest
. -
signRequestId
số
Chrome 57 trở lênMã nhận dạng duy nhất mà tiện ích sẽ sử dụng nếu cần gọi một phương thức yêu cầu mã nhận dạng đó, ví dụ: requestPin.
StopPinRequestDetails
Thuộc tính
-
errorType
PinRequestErrorType không bắt buộc
Mẫu lỗi. Nếu có, thông báo này sẽ hiển thị cho người dùng. Dùng để chứa lý do dừng luồng nếu luồng đó bị lỗi, ví dụ: MAX_ATTEMPTS_EXCEEDED.
-
signRequestId
số
Mã nhận dạng do Chrome cung cấp trong SignRequest.
Phương thức
reportSignature()
chrome.certificateProvider.reportSignature(
details: ReportSignatureDetails,
callback?: function,
)
Nên được gọi để phản hồi onSignatureRequested
.
Cuối cùng, tiện ích phải gọi hàm này cho mọi sự kiện onSignatureRequested
; quá trình triển khai API sẽ ngừng chờ lệnh gọi này sau một khoảng thời gian và phản hồi bằng lỗi hết thời gian chờ khi hàm này được gọi.
Tham số
-
chi tiết
-
lệnh gọi lại
hàm không bắt buộc
Tham số
callback
có dạng như sau:() => void
Giá trị trả về
-
Promise<void>
Chrome 96 trở lênLời hứa được hỗ trợ trong Tệp kê khai V3 trở lên, nhưng lệnh gọi lại được cung cấp để đảm bảo khả năng tương thích ngược. Bạn không thể sử dụng cả hai trong cùng một lệnh gọi hàm. Lời hứa sẽ phân giải bằng cùng một loại được truyền đến lệnh gọi lại.
requestPin()
chrome.certificateProvider.requestPin(
details: RequestPinDetails,
callback?: function,
)
Yêu cầu người dùng nhập mã PIN. Mỗi lần, bạn chỉ được phép gửi một yêu cầu đang diễn ra. Các yêu cầu được đưa ra trong khi một luồng khác đang diễn ra sẽ bị từ chối. Trách nhiệm của tiện ích là thử lại sau nếu một luồng khác đang diễn ra.
Tham số
-
chi tiết
Chứa thông tin chi tiết về hộp thoại được yêu cầu.
-
lệnh gọi lại
hàm không bắt buộc
Tham số
callback
có dạng như sau:(details?: PinResponseDetails) => void
-
chi tiết
PinResponseDetails không bắt buộc
-
Giá trị trả về
-
Promise<PinResponseDetails | undefined>
Chrome 96 trở lênLời hứa được hỗ trợ trong Tệp kê khai V3 trở lên, nhưng lệnh gọi lại được cung cấp để đảm bảo khả năng tương thích ngược. Bạn không thể sử dụng cả hai trong cùng một lệnh gọi hàm. Lời hứa sẽ phân giải bằng cùng một loại được truyền đến lệnh gọi lại.
setCertificates()
chrome.certificateProvider.setCertificates(
details: SetCertificatesDetails,
callback?: function,
)
Đặt danh sách chứng chỉ để sử dụng trong trình duyệt.
Tiện ích phải gọi hàm này sau khi khởi chạy và trên mọi thay đổi trong tập hợp các chứng chỉ hiện có. Tiện ích cũng phải gọi hàm này để phản hồi onCertificatesUpdateRequested
mỗi khi nhận được sự kiện này.
Tham số
-
chi tiết
Chứng chỉ cần đặt. Hệ thống sẽ bỏ qua các chứng chỉ không hợp lệ.
-
lệnh gọi lại
hàm không bắt buộc
Tham số
callback
có dạng như sau:() => void
Giá trị trả về
-
Promise<void>
Chrome 96 trở lênLời hứa được hỗ trợ trong Tệp kê khai V3 trở lên, nhưng lệnh gọi lại được cung cấp để đảm bảo khả năng tương thích ngược. Bạn không thể sử dụng cả hai trong cùng một lệnh gọi hàm. Lời hứa sẽ phân giải bằng cùng một loại được truyền đến lệnh gọi lại.
stopPinRequest()
chrome.certificateProvider.stopPinRequest(
details: StopPinRequestDetails,
callback?: function,
)
Dừng yêu cầu ghim do hàm requestPin
bắt đầu.
Tham số
-
chi tiết
Chứa thông tin chi tiết về lý do dừng luồng yêu cầu.
-
lệnh gọi lại
hàm không bắt buộc
Tham số
callback
có dạng như sau:() => void
Giá trị trả về
-
Promise<void>
Chrome 96 trở lênLời hứa được hỗ trợ trong Tệp kê khai V3 trở lên, nhưng lệnh gọi lại được cung cấp để đảm bảo khả năng tương thích ngược. Bạn không thể sử dụng cả hai trong cùng một lệnh gọi hàm. Lời hứa sẽ phân giải bằng cùng một loại được truyền đến lệnh gọi lại.
Sự kiện
onCertificatesUpdateRequested
chrome.certificateProvider.onCertificatesUpdateRequested.addListener(
callback: function,
)
Sự kiện này sẽ kích hoạt nếu số lượng chứng chỉ được đặt thông qua setCertificates
không đủ hoặc trình duyệt yêu cầu thông tin cập nhật. Tiện ích phải gọi setCertificates
bằng danh sách chứng chỉ đã cập nhật và certificatesRequestId
đã nhận được.
Tham số
-
lệnh gọi lại
hàm
Tham số
callback
có dạng như sau:(request: CertificatesUpdateRequest) => void
-
request
-
onSignatureRequested
chrome.certificateProvider.onSignatureRequested.addListener(
callback: function,
)
Sự kiện này kích hoạt mỗi khi trình duyệt cần ký một thông báo bằng chứng chỉ do tiện ích này cung cấp thông qua setCertificates
.
Tiện ích phải ký dữ liệu đầu vào từ request
bằng thuật toán và khoá riêng tư thích hợp, đồng thời trả về dữ liệu đó bằng cách gọi reportSignature
với signRequestId
đã nhận được.
Tham số
-
lệnh gọi lại
hàm
Tham số
callback
có dạng như sau:(request: SignatureRequest) => void
-
request
-