...
Генерация сертификата и запись его на Рутокен
Генерируем ключевую пару с параметрами:
--key-type
: GOSTR3410-2012-512:А
(ГОСТ-2012 512 бит c парамсетом А), GOSTR3410-2012-256:A
(ГОСТ-2012 256 бит с парамсетом A)
--id
: идентификатор объекта (CKA_ID) в виде двузначных номеров символов в hex из таблицы ASCII. Используйте только ASCII-коды печатных символов, т.к. id нужно будет передать OpenSSL в виде строки. Например ASCII-кодам “3132” соответствует строка "12".
Info | ||
---|---|---|
| ||
Для удобства, можно воспользоваться онлайн-сервисом конвертации строки в ASCII-коды. |
|
...
|
Создаём самоподписанный сертификат
Чтобы использовать этот id
ключевой пары, созданной через pkcs11-tool, в OpenSSL – надо использовать hex-символы из таблицы ASCII, соответствующие этим кодам.
Info | ||
---|---|---|
| ||
Для удобства, можно воспользоваться онлайн-сервисом конвертации ACSII-кодов в строку. |
Например: для ‘--id 3132
’ в OpenSSL надо указывать "pkcs11:id=12
".
...
Регистрация сертификата в системе
Скачиваем сертификат с токена (если вы пользовались вышеописанной инструкцией для получения сертификата, то ID = 3132)
|
Конвертируем его в PEM формат
|
Добавляем сертификат в список доверенных сертификатов
...