Портал документации Рутокен

Page tree

Versions Compared

Old Version 9

changes.mady.by.user Технический писатель

Saved on

compared with

New Version Current

changes.mady.by.user Кирилл Аверченко

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Table of Contents

Предварительная настройка

Если вы планируете использовать смарт-карту устройства Рутокен семейства ЭЦП 2.0 или 3.0, то в хост-машине необходимо в настройках роли добавить слой 18.layer.smartcards.sfs

Проверка модели устройства

Подключите USB-токен Рутокен к компьютеру.

Для определения названия модели USB-токена откройте откройте Терминал и введите команду:

...

В результате в окне Терминала отобразится название модели USB-токенаРутокена:

Убедитесь в том, что используете: Aktiv Rutoken ECP.

Создание ключей на

...

Рутокене

Необходимо скачать Загрузите библиотеку rtpkcs11ecp по ссылке https://www.rutoken.ru/support/download/pkcs/ и установить установите ее в систему ОС командой:

sudo dpkg -i librtpkcs11ecp-X.X.X.X-X.x86_64.deb


Создаем Создайте ключевую пару RSA длины длиной 2048 бит c ID id "45" (id его стоит запомнить, он понадобится при создании сертификата). Аутентификация на токене происходит под сущностью пользователя.:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45


Проверим Проверьте сгенерированный ключ:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O

Создание сертификата и импорт его на

...

Рутокен через OpenSSL 1.1.x

ЗапускаемЗапустите openssl:

openssl


Формируем Сформируйте самоподписанный сертификат или заявку на сертификат:

engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so

req -engine pkcs11 -x509 -new -key 0:45 -keyform engine -out client.pem -subj "/C=RU/ST=Moscow/L=Moscow/O=Aktiv/OU=dev/CN=testuser/emailAddress=testuser@mail.com"


Сохраняем Сохраните сертификат на токенРутокене:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id 45

Занесение сертификата в список доверенных

Теперь нам необходимо записать его в файл Занесите сертификат в список доверенных сертификатов:

mkdir ~/.eid
chmod 0755 ~/.eid
cat client.pem >> ~/.eid/authorized_certificates
chmod 0644 ~/.eid/authorized_certificates

Настройка pam_pkcs11

Создайте (например, на рабочем Рабочем столе) текстовый файл pam_pkcs11.conf со следующим содержимым:

...

cd /etc/pam_pkcs11/
 
sudo mv pam_pkcs11.conf pam_pkcs11.conf.default #резервное копирование
 
sudo mkdir cacerts crls
 
sudo cp /path/to/your/pam_pkcs11.conf /etc/pam_pkcs11/


Настройка Digest Mapping

Узнайте Определите поля вашего сертификата с помощью следующей команды:

...


Терминал должен запросить PIN-код рутокенаРутокена:


В окне экрана приветствия аналогичноНа экране отобразится приветствие: