...
Создать файл конфигурации engine.conf со следующим содержимым:
openssl_conf = openssl_init
[openssl_init]
engines = engine_section[engine_section]
rtengine = rtengine_section[rtengine_section]
engine_id = rtengine
dynamic_path = /usr/lib64/librtengine.so
pkcs11_path = /usr/lib64/librtpkcs11ecp.so
rand_token = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP;serial=42665c26
default_algorithms = ALLInfo icon false Для того, чтобы узнать serial токена, можно воспользоваться командой:
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -T
При необходимости использовать pkcs11 engine указывать путь к файлу конфигурации engine.conf. Пример создания самоподписанного сертификата:
OPENSSL_CONF=/path/to/engine.conf openssl req -utf8 -engine rtengine -keyform engine -key 'pkcs11:id=12' -x509 -new -out cert.crt -subj "/C=RU/ST=Moscow/L=Moscow/O=Aktiv/OU=devNN/CN=testuser/emailAddress=testuser@mail.com"Info icon false id: идентификатор объекта (CKA_ID) в виде двузначных номеров символов в hex из таблицы ASCII. Используйте только ASCII-коды печатных символов, т.к. id нужно будет передать OpenSSL в виде строки. Например ASCII-кодам “3132” соответствует строка "12".
Для удобства, можно воспользоваться онлайн-сервисом конвертации строки в ASCII-коды.
Сохраните сертификат на токене:
...