...
Параметры, задаваемые в этой строке:
--module <arg> | путь к библиотеке pkcs11 (обязательный параметр) |
| генерация ключевой пары |
-- key-type <arg> | задает тип и длину ключа. В нашем случае тип – rsa, длина - 2048 бит (с длиной ключа 1024 бит возникают проблемы) |
-l | запрос PIN-кода токена до каких-либо операций с ним (обязательный параметр) |
--id <arg> | определяет id создаваемого объекта (понадобится при создании сертификата) |
6. Переходим к созданию сертификата.
...
Code Block | ||
---|---|---|
| ||
OpenSSL> req -engine pkcs11 -new -key 0:45 -keyform engine -x509 -out cert.pem -text |
Здесь:
-key | указывает закрытый ключ (в нашем случае 0:45 – слот:ID ключа) |
| выдает самоподписанный сертификат |
8. Конвертируем сертификат PEM в CRT:
...
Code Block | ||
---|---|---|
| ||
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w cert.crt --id 45 |
Здесь:
-y <arg> | тип объекта (может быть cert, privkey, pubkey, data) |
| записать объект на токен |
10. Остается только добавить сертификат PEM в список доверенных:
...
- Выполните пп.1-4 основной инструкции.
Необходимо узнать ID сертификата, записанного на токен.
Code Block language bash pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O
Добавим сертификат в список доверенных:
Code Block $ mkdir ~/.eid $ chmod 0755 ~/.eid $ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --type cert -r --id ID_вашего_сертификата | openssl x509 -inform der >> ~/.eid/authorized_certificates $ chmod 0644 ~/.eid/authorized_certificates
- Выполните перезагрузку.