...
| Info |
|---|
Подключите устройств семейства Рутокен ЭЦП к компьютеру. |
Перед началом работы, установите следующие пакеты:
...
Загрузите модуль librtpkcs11ecp.so и установите:
| Code Block |
|---|
sudo rpm -i librtpkcs11ecp-2.0.4.0-1.x86_64.rpm |
Создание ключей и сертификатов
Для начала установите libpkcs11.so для того, чтобы OpenSSLL смог общаться к РутокенамРутокеном.
Способ 1
Для этого соберите библиотеку libp11 из репозитория. Вместе с ней идет libpkcs11.so начиная с версии 0.4.
...
Вы можете пропустить данный раздел, если у вас уже имеются необходимые RSA ключи.
Если ключей нет, ниже команда по для их созданию:
| Code Block |
|---|
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45 |
...
| Code Block |
|---|
openssl OpenSSL> openssl engine dynamic -pre SO_PATH:/usr/lib64/engines-1.1/libpkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib64/librtpkcs11ecp.so OpenSSL> req -engine pkcs11 -new -key 0:45 -keyform engine -out request.req |
Поместите Сохраните сертификат его на токентокене:
| Code Block |
|---|
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -l -y cert -w cert.crt --id 45 |
Проверьте, что токен подключен и сертификаты с ключами на нем имеютсясохранены сертификаты и ключи.
Добавление сертификата в список доверенных
Создайте базу данных доверенных сертификатов
...
Выгрузите ваш сертификат с токена (если вы пользовались вышеописанной инструкцией для получения сертификата, то ID = 45):
| Code Block |
|---|
pkcs11-tool --module=/usr/lib64/librtpkcs11ecp.so -l -r -y cert -d <ID> -o cert.crt |
...
Добавьте сертификат в доверенные:
| Code Block |
|---|
sudo cp cert.crt /etc/pki/ca-trust/source/anchors/ # команда вводится из директории, в которую был помещён сертификат sudo update-ca-trust force-enable sudo update-ca-trust extract # может занять некоторое время |
...