Портал документации Рутокен

Page tree

Versions Compared

Old Version 8

changes.mady.by.user Ксения Шаврова

Saved on

compared with

New Version 9

changes.mady.by.user Ксения Шаврова

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Рутокен ЭЦП 2.0 используется для безопасного хранения и предъявления персональной информации: ключей шифрования, сертификатов, лицензий, удостоверений и других данных.

USB-токен Рутокен ЭЦП 2.0 подключается к USB-порту компьютера.

Проверка работы Рутокен ЭЦП 2.0

...

Создание ключей и сертификатов

Для начала установите engine_pkcs11.so для того чтобы openssl смог общаться с токеном. Для этого соберите библиотеку libp11 из репозитория https://github.com/OpenSC/libp11/tree/libp11-0.4.10 . Вместе с ней идет engine_pkcs11.so начиная с версии 0.4

Вы можете пропустить данный раздел, если у вас уже имеются необходимые RSA ключи

Code Block
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

Теперь создайте самоподписанный сертификат 


Code Block
openssl

...



OpenSSL> engine dynamic -pre SO_PATH:/usr/lib64/engines/engine_pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1  -pre LOAD -pre MODULE_PATH:/usr/lib64/librtpkcs11ecp.so

...



OpenSSL> req -engine pkcs11 -new -key 0:45 -keyform engine -x509 -out cert.crt -outform DER


Поместите его на токен

Code Block
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -l -y cert -w cert.crt --id 45


Добавление сертификата в список доверенных 

Проверьте, что токен подключен и сертификаты с ключами на нем имеются


Code Block
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -O -l


Создайте базу данных доверенных сертификатов


Code Block
sudo mkdir /etc/pam_pkcs11/nssdb

...



sudo chmod 0644 /etc/pam_pkcs11/nssdb

...



sudo certutil -d /etc/pam_pkcs11/nssdb -N (создание базы данных)

...



sudo modutil -dbdir /etc/pam_pkcs11/nssdb/ -add p11-kit-trust -libfile /usr/lib64/pkcs11/p11-kit-trust.so


Выгрузите ваш сертификат с токена


Code Block
pkcs11-tool --module=/usr/lib64/librtpkcs11ecp.so -l -r -y cert -d <ID> -o cert.crt


Добавьте сертификат в доверенные


Code Block
sudo cp cert.crt /etc/pki/ca-trust/source/anchors/ (команда вводится из директории, в которую был помещён сертификат)

...



sudo update-ca-trust force-enable

...



sudo update-ca-trust extract (может занять некоторое время)


Настройка pam_pkcs11

Создайте (например, на рабочем столе) текстовый файл pam_pkcs11.conf со следующим содержимым:

...