...
Создание заявки на сертификат
Для упрощения настройки был создан скрипт, выполняющий все действия по настройке за вас. Скачаем егоможно воспользоваться графической утилитой по работе с Рутокенами в линукс. Скачаем ее:
Code Block | ||||
---|---|---|---|---|
| ||||
# для Astra linux sudo apt-get install git # для Ред ОС sudo yum install git git clone https://github.com/AktivCo/rutoken-linux-domain-user-2fa-tunergui-manager --recursive cd linux-domain-user-2fa-tuner |
Подключим токен и запустим скрипт (запускать не из под рута! скрипт сам запрашивает пароль администратора, когда это потребуется):
Code Block | ||||
---|---|---|---|---|
| ||||
bash ./setup.sh |
После ввода пароля в первую очередь необходимо сгенерировать ключ на токене (или использовать существующий) и создать заявку (PKCS#10-запрос) на сертификат нашего ключа.
Выберем существующий ключ или создадим новый.
После генерации ключа на экране отобразится его идентификатор на токене.
После выбора ключа вам будет предложено ввести данные для заявки. Все эти данные являются опциональными, кроме "Общего имени". Туда необходимо ввести имя пользователя, под которым мы хотим аутентифицироваться:
Выберем место, куда сохранить файл с заявкой.
...
После того, как настройщик был загружен, его можно запустить двойным щелчком по token-assistent.run. Если программа открылась вместе с терминалом, то для запуска необходимо создать ярлык, с помощью установщика token-assistent.installer. После запуска установщика появится ярлык token-assistent.desktop, который нужно использовать для запуска программы.
При первом запуске программа может запросить пароль администратора для получения обновлений. Загрузка обновлений может занять несколько минут.
После загрузки обновлений, программа предложит выбрать токен, который мы хотим использовать для локальной аутентификации. Если нужный Рутокен не появился в списке, то можно нажать на клавишу обновления списка Рутокенов:
Далее вводим PIN-код от Рутокена:
Если на Рутокене отсутствует ключевая пара и сертификат выданный УЦ для аутентификации:
Генерация ключевой пары
Откроем список объектов на Рутокене:
В первую очередь сгенерируем ключ. Для этого в окне просмотра объектов выберем опцию генерации ключевой пары:
В окне выбора алгоритма ключа необходимо указать "RSA-2048"
Метку ключа можно оставить пустой:
После генерации ключевой пары, необходимо создать заявку на сертификат для нее. В списке объектов выберем закрытый ключ из ключевой пары, для которой хотим создать заявку на сертификат:
В открывшемся окне выберем опцию создания заявки на сертификат:
Заполним данные сертификата. В графе общее имя необходимо указать имя пользователя, для которого мы создаем сертификат для аутентфиикации:
Далее нас попросят выбрать, создать ли самоподписанный сертификат или создать заявку на сертификат Выбираем "Нет":
Укажем путь, куда сохраним заявку на сертификат:
Данную заявку в дальнейшем следует отправить в Ваш УЦ, для выдачи сертификата:
Созданную заявку копируем и отправляем на сервер. Распечатать ее можно с помощью команды:
Code Block | ||||
---|---|---|---|---|
| ||||
cat cert.csr |
Создание сертификата
Переходим к серверу, который получил нашу заявку.
...
После этого полученный сертификат пользователя и УЦ отправляем клиенту.
Финальная настройка на стороне клиента
После получения сертификата пользователя и УЦ, подключим токен и запустим скрипт.
Code Block | ||||
---|---|---|---|---|
| ||||
bash ./setup.sh |
На этот раз выбираем вторую вкладку в разделе меню.
В следующем окне выбираем импортировать ли сертификат на токен или нет. Если сертификат уже загружен на токен, то выберете "Сертификат пользователя уже есть на Рутокене".
Если мы выбрали импорт сертификата, то в следующем окне указываем путь до сертификата пользователя:
В следующем окне необходимо указать идентификатор ключа, для которого был выписан сертификат. Вы его должны были запомнить после первого запуска скрипта setup.sh.
В следующем разделе указываем путь до сертификата УЦ.
...
Импорт сертификата на Рутокен
Повторно запускаем программу по работе с Рутокенами. Выбираем необходимый токен, вводим ПИН-код. Открываем просмотр объектов. В окне просмотра объектов выберем закрытый ключ, для которого выдан сертификат:
В открывшемся окне выберем опцию импорта сертификата ключа
Укажем путь до сертификата:
При желании можно задать метку сертификата:
Финальная настройка на стороне клиента
Теперь, когда на Рутокене присутствует ключевая пара и сертификат клиента. То можно приступить к финальной настройке. Для этого откроем в меню команд Рутокена выберем пункт "Настройки доменной аутентификации"
Нам необходимо получить права суперпользователя, для проведения настройки. Поэтому вводит пароль суперпользователя:
В открывшемся окне окажем путь до корневого сертификата УЦ:
Настройка завершена. Проверим, что все установлено правильно. Для этого попробуем зайти под пользователем user.
Лампочка на токене замигает и отобразится окно для ввода PIN-кода.
...