Table of Contents
maxLevel 3 minLevel 2

Проверка работы Рутокен ЭЦП

...

Подключите Рутокен ЭЦП

...

к компьютеру.

Убедитесь в том, что на  USB-токене или считывателе для смарт-карт светится индикатор.

...

Откройте Terminal.

Для проверки корректности работы Рутокен ЭЦП 2.0 введите команду:

Code Block
$ pcsc_scan

...

Если Рутокен ЭЦП 2.0 не работает, то в окне терминала отобразится сообщение об этом. 

Если Рутокен ЭЦП 2.0 работает, то в окне терминала отобразится сообщение об этом.

...

...

Для остановки

...

сервиса pcscd введите команду:

Code Block
$ sudo service pcscd

...

stop

...

Аутентификация в CentOS 7 и Goslinux при помощи RSA ключей

Настройка системы

Перед началом работы, установите следующие пакеты:

sudo yum install ccid opensc pam_pkcs11 gdm-plugin-smartcard p11-kit

sudo yum remove coolkey

Загрузите модуль librtpkcs11ecp.so из Комплекта разработчика и поместите его в директорию /usr/lib64 и установите

sudo rpm -i librtpkcs11ecp_1.9.15.0-1_x86_64.rpm

Создание ключей и сертификатов

Для начала установите engine_pkcs11.so для того, чтобы openssl OpenSSL смог общаться с токеном. Для этого соберите библиотеку libp11 из репозиторияhttps://github. com/OpenSC/libp11/tree/libp11-0.4.10 . Вместе с ней идет engine_pkcs11.so начиная с версии 0.4

Вы можете пропустить данный раздел, если у вас уже имеются необходимые RSA ключи:

pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

Теперь создайте самоподписанный сертификат:

openssl

OpenSSL> engine dynamic -pre SO_PATH:/usr/lib64/lib/x86_64-linux-gnu/engines/engine_pkcs11-1.1/libpkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1  -pre LOAD -pre MODULE_PATH:/usr/lib64/librtpkcs11ecp.so

OpenSSL> req -engine pkcs11 -new -key 0:45 -keyform engine -x509 -out cert.crt -outform DER

Поместите его на Рутокен ЭЦП 2.0:токен

pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -l -y cert -w cert.crt --id 45

...

Проверьте, что Рутокен ЭЦП 2.0 токен подключен и сертификаты с ключами на нем имеются:.

Добавление сертификата в список доверенных 

pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -O -l

Создайте базу данных доверенных сертификатов:

sudo mkdir /etc/pam_pkcs11/nssdb

sudo chmod 0644 /etc/pam_pkcs11/nssdb

sudo certutil -d /etc/pam_pkcs11/nssdb -N (создание базы данных)

sudo modutil -dbdir /etc/pam_pkcs11/nssdb/ -add p11-kit-trust -libfile /usr/lib64/pkcs11/p11-kit-trust.so

Выгрузите ваш сертификат с Рутокена:токена (если вы пользовались вышеописанной инструкцией для получения сертификата, то ID = 45)

pkcs11-tool --module=/usr/lib64/librtpkcs11ecp.so -l -r -y cert -d <ID> -o cert.crt

Добавьте сертификат в доверенные:

sudo cp cert.crt /etc/pki/ca-trust/source/anchors/ (команда вводится из директории, в которую был помещён сертификат)

sudo update-ca-trust force-enable

sudo update-ca-trust extract (может занять некоторое время)

Настройка pam_pkcs11

Создайте (например, на рабочем столе) текстовый файл pam_pkcs11.conf со следующим содержимым:

pam_pkcs11 {

  nullok = false;

  debug = true;

  use_first_pass = false;

  use_authtok = false;

  card_only = false;

  wait_for_card = false;

  use_pkcs11_module = rutokenecp;

 

  # Aktiv Rutoken ECP

  pkcs11_module rutokenecp {

    module = /usr/lib64/librtpkcs11ecp.so;

    slot_num = 0;

    support_thread = true;

    ca_dir = /etc/pam_pkcs11/cacerts;

    crl_dir = /etc/pam_pkcs11/crls;

    cert_policy = signature;

  }

 

  use_mappers = subject;

 

  mapper_search_path = /usr/lib64/pam_pkcs11;

 

  mapper subject {

        debug = true;

        module = internal;

        ignorecase = false;

        mapfile = file:///etc/pam_pkcs11/subject_mapping;

  }

}

Поместите

...

файл

...

в

...

каталог

...

/etc/pam_pkcs11/:

cd /etc/pam_pkcs11/

sudo mv pam_pkcs11.conf pam_pkcs11.conf.default (резервное копирование)

sudo mkdir cacerts crls

sudo cp /home/<имя_пользователя>/Desktop/pam_pkcs11.conf /etc/pam_pkcs11/

Регистрация модуля для аутентификации в системе 

Подключите модуль к системе авторизации PAM:

sudo vim /etc/pam.d/system-auth

Добавьте туда строку со следующим содержимым:

auth   sufficient pam_pkcs11.so 

pkcs11_module=/usr/lib64/librtpkcs11ecp.so debug

Сохраните файл и узнайте описание вашего сертификата с помощью следующей команды:

sudo pkcs11_inspect

На выходе вы увидите сообщение:

Image RemovedImage Added

Скопируйте строчку с описанием сертификата в файл /etc/pam_pkcs11/subject_mapping в формате

...

<вывод команды pkcs11_

...

inspect> -> <имя_пользователя>

Попробуйте аутентифицироваться:аутентифицироваться 

su oleg<username>

Вывод будет примерно следующим:

Image RemovedImage Added

Такой подробный вывод можно отключить, убрав опцию debug для pam модуля в файле конфигурации /etc/pam.d/system-auth

Аутентификация в CentOS 7 и Goslinux при помощи ГОСТ ключей

Перед началом работы, установите следующие пакеты:

sudo yum install ccid opensc pam_pkcs11 gdm-plugin-smartcard p11-kit

sudo yum remove coolkey

Проверьте, что у вас установлен openssl версии 1.1 и выше

Скачайте pam модуль и положите его по адресу /usr/lib64/securty (или /lib64/security для goslinux) https://download.rutoken.ru/Rutoken/PAM/1.0.0/x86_64/librtpam.so.1.0.0

Установите права доступа:

sudo chmod 644 /usr/lib/x86_64-linux-gnu/librtpam.so.1.0.0

Загружаем библиотеку через браузер.

https://www.rutoken.ru/support/download/pkcs/

Проверяем, что все настроили правильно:

pkcs11-tool --module /usr/lib64//librtpkcs11ecp.so -T

Далее потребуется скачать сертификат с Рутокена, если его нет, то генерируем его согласно следующему пункту

Генерация сертификата и отправка его на Рутокен

https://github.com/OpenSC/OpenSC/

Создаем ключи на Рутокене:

pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --keypairgen --key-type GOSTR3410-2012-256:B -l --id 45

Узнайте где находится файл с конфигурацией и папка с энджинами openssl с помощью команды:

openssl version -a

Скачайте rtengine, который можно найти в комплекте разработчика ( https://www.rutoken.ru/developers/sdk/ ) и поместите его в директорию энджинов

Зайдите в файл конфигурации openssl.cnf и впишите туда следующее:

# в начала файла написать

openssl_conf = openssl_def

...

# в конец файла

# OpenSSL default section

[openssl_def]

engines = engine_section

# Engine section

[engine_section]

rtengine = rtengine_section

# Engine rtengine section

[rtengine_section]

engine_id = rtengine

dynamic_path = /path/to/engine/librtengine.so

MODULE_PATH = /usr/lib64/librtpkcs11ecp.so

RAND_TOKEN = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP

default_algorithms = CIPHERS, DIGEST, PKEY, RAND

Теперь создадим самоподписанный сертификат для наших ключей на токене

openssl req -utf8 -x509 -keyform engine -key "pkcs11:id=E" -engine rtengine -out cert.cer

Загружаем его на токен

pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -l -y cert -w cert.crt --id 45

Регистрация сертификата в системе

Скачиваем сертификат с Рутокена:

pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -r -y cert --id {id} --output-file cert.crt

Конвертируем его в PEM формат:

openssl x509 -in cert.crt -out cert.pem -inform DER -outform PEM

Добавляем сертификат в список доверенных сертификатов для данного пользователя:

mkdir ~/.eid

chmod 0755 ~/.eid

cat cert.pem >> ~/.eid/authorized_certificates

chmod 0644 ~/.eid/authorized_certificates

Настройка аутентификации

Открываем файл /etc/pam.d/system-auth:

sudo vim /etc/pam.d/system-auth

И записываем в самом начале следующую строчку:

...

auth

...

Пробуем пройти аутентификацию:

su oleg

Если все прошло успешно, то появится просьба ввести пароль от токена, иначе что-то пошло не так.

Узнать причину того, что пошло не так, можно через логи в /var/log/messages