| Table of Contents |
|---|
Общая информация
Рутокен ЭЦП 2.0 используется для безопасного хранения и предъявления персональной информации: ключей шифрования, сертификатов, лицензий, удостоверений и других данных.
USB-токен Рутокен ЭЦП 2.0 подключается к USB-порту компьютера.
Проверка работы Рутокен ЭЦП 2.0
- Подключите Рутокен ЭЦП 2.0 к компьютеру.
- Убедитесь в том, что на USB-токене или считывателе для смарт-карт светится индикатор.
- Если на предыдущем шаге вы закрыли терминал, то откройте его. Для этого щелкните по значку Terminal.
- Для проверки корректности работы Рутокен ЭЦП 2.0 введите команду:
$ pcsc_scan - Нажмите на клавишу [ENTER].
- Если Рутокен ЭЦП 2.0 не работает, то в окне терминала отобразится сообщение об этом.
Такое сообщение в системе ALT Linux выглядит следующим образом:
Чтобы продолжить работу с токеном проверьте следующее. - Если Рутокен ЭЦП 2.0 работает, то в окне терминала отобразится сообщение об этом.
Такое сообщение в системе ALT Linux выглядит следующим образом:
- Для остановки сервиса pcscd введите команду:
$ sudo service pcscd stop
Для системы Fedora:
$ su <username> service pcscd stop - Нажмите на клавишу [ENTER].
Аутентификация в CentOS 7 и Goslinux при помощи RSA ключей
...
Загрузите модуль librtpkcs11ecp.so из Комплекта разработчика и поместите его в директорию /usr/lib64
Создание ключей и сертификатов
Для начала установите engine_pkcs11.so для того чтобы openssl смог общаться с токеном. Для этого соберите библиотеку libp11 из репозитория https://github.com/OpenSC/libp11/tree/libp11-0.4.10 . Вместе с ней идет engine_pkcs11.so начиная с версии 0.4
...
OpenSSL> req -engine pkcs11 -new -key 0:45 -keyform engine -x509 -out cert.crt -outform DER
Поместите его на токен
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -l -y cert -w cert.crt --id 45 |
Добавление сертификата в список доверенных
Проверьте, что токен подключен и сертификаты с ключами на нем имеются
...
sudo update-ca-trust extract (может занять некоторое время)
Настройте pam_pkcs11
Создайте (например, на рабочем столе) текстовый файл pam_pkcs11.conf со следующим содержимым:
...
sudo cp /home/<имя_пользователя>/Desktop/pam_pkcs11.conf /etc/pam_pkcs11/
Зарегистрируйте модуль для аутентификации в системе
Подключите модуль к системе авторизации PAM:
...
Такой подробный вывод можно отключить, убрав опцию debug для pam модуля в файле конфигурации /etc/pam.d/system-auth
Аутентификация в CentOS 7 и Goslinux при помощи ГОСТ ключей
Перед началом работы, установите следующие пакеты
...
Далее потребуется скачать сертификат с токена, если его нету, то генерируем его согласно следующему пункту
Генерация сертификата и отправка его на токен
Собирайте OpenSC новее чем 0.19.0.
...
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -l -y cert -w cert.crt --id 45
Регистрируем сертификат в системе
Скачиваем сертификат с токена
...
chmod 0644 ~/.eid/authorized_certificates
Настраиваем аутентификацию
Открываем файл /etc/pam.d/system-auth
...