...
Создаем ключевую пару RSA длины 2048 бит c id "45" (его стоит запомнить, он понадобится при создании сертификата). Аутентификация на токене происходит под сущностью пользователя.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
|
...
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O
|
Создание сертификата и импорт его на
...
Рутокен через OpenSSL 1.1.x
Запускаем openssl
Формируем самоподписанный сертификат или заявку на сертификат:
engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
req -engine pkcs11 -x509 -new -key 0:45 -keyform engine -out client.pem -subj "/C=RU/ST=Moscow/L=Moscow/O=Aktiv/OU=dev/CN=testuser/emailAddress=testuser@mail.com"
|
Сохраняем сертификат на токенРутокене:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id 45
|
Занесение сертификата в список доверенных
Теперь нам необходимо записать его в файл Записываем сертификат в список доверенных сертификатов:
mkdir ~/.eid
chmod 0755 ~/.eid
cat client.pem >> ~/.eid/authorized_certificates
chmod 0644 ~/.eid/authorized_certificates
|
...