Table of Contents | ||||
---|---|---|---|---|
|
Info |
---|
Подключите устройств семейства Рутокен ЭЦП 2.0 к компьютеру |
Перед началом работы, установите следующие пакеты:
...
Для начала установите libpkcs11.so для того, чтобы openssl OpenSSLL смог общаться с токеномк Рутокенам.
Способ 1
Для этого соберите библиотеку libp11 из репозитория. Вместе с ней идет libpkcs11 libpkcs11.so начиная начиная с версии 0.4.
Способ 2
Скачайте два пакета libp11 и engine_pkcs11 из репозитория федорыFedora и установите их их с помощью команд:
Code Block | ||||
---|---|---|---|---|
| ||||
sudo rpm-i <rpm_name> |
...
Вы можете пропустить данный раздел, если у вас уже имеются необходимые RSA ключи.
Если ключей нет, ниже команда по их созданию:
Code Block |
---|
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45 |
Параметр id задает идентификатор ключевой пары.
Теперь создайте самоподписанный сертификат:
Code Block |
---|
openssl OpenSSL> openssl engine dynamic -pre SO_PATH:/usr/lib64/engines-1.1/libpkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib64/librtpkcs11ecp.so OpenSSL> req -engine pkcs11 -new -key 0:45 -keyform engine -x509 -out cert.crt -outform DER |
Поместите его на токен:
Code Block |
---|
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -l -y cert -w cert.crt --id 45 |
...
Code Block |
---|
sudo cp cert.crt /etc/pki/ca-trust/source/anchors/ # команда вводится из директории, в которую был помещён сертификасертификат sudo update-ca-trust force-enable sudo update-ca-trust extract # может занять некоторое время |
...
Code Block |
---|
sudo vim /etc/pam.d/system-auth # Для работы в гритере входа по Рутокена на экране приветствия sudo vim /etc/pam.d/password-auth |
...
Вывод команды pkcs11_inspect -> <имя_пользователя>
Попробуйте аутентифицироваться аутентифицироваться:
Code Block |
---|
su lo1ol |
В гритере аналогичноэкране приветствия аналогично: