Общая информация
Данная инструкция описывает подпись файлов с помощью утилиты osslsigncode и модулей pkcs11 engine и rtengine.
Команды в инструкции выполняются на операционной системе Ubtuntu 24.04.2. В зависимости от вашей операционной системы, команды могут отличаться.
Подготовка к работе
Для выполнения действий в этой инструкции понадобятся:
- библиотека PKCS#11;
- утилита osslsigncode;
- утилита pkcs11-tool из комплекта OpenSC.
Установка программного обеспечения
- Установите библиотеку PKCS#11:
- Перейдите в Центр загрузки.
- Нажмите Пользователям GNU/Linux и в раскрывшемся списке выберите версию для своей ОС и архитектуры.
- Примите лицензионное соглашение и дождитесь автоматического скачивания файла.
Откройте терминал в папке со скачанным файлом и выполните команду:
sudo dpkg -i librtpkcs11ecp_<версия>_<архитектура>.deb
Установите osslsigncode и комплект OpenSC:
sudo apt install osslsigncode opensc
Подписание при помощи утилиты osslsigncode и pkcs11 engine (OpenSC)
Проверка версии OpenSSL
Для подписания с помощью pkcs11 engine от OpenSC необходима версия OpenSSL 3.0.15 или выше. Чтобы посмотреть версию OpenSSL, в терминале выполните команду:
openssl version
Если установленная версия ниже 3.0.15 и обновить ее системными средствами (например, sudo apt update && sudo apt upgrade) не получается, установите нужную версию вручную по инструкции в репозитории OpenSSL.
Генерация ключевой пары и создание сертификата
Если на Рутокене уже есть ключевая пара с сертификатом, можно переходить к подписанию файла.
Сгенерируйте ключевую пару на Рутокене:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
Сгенерируйте самоподписанный сертификат:
openssl req -utf8 -x509 -keyform engine -key "pkcs11:your_pkcs11_uri" -engine pkcs11engine -out cert.cer -subj "/C=<страна>/ST=<регион>/L=<населенный_пункт>/O=<организация>/OU=<отдел>/CN=<ФИО>/emailAddress=<email>"
Сохраните сертификат на Рутокен:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w cert.cer --id 45
Подписание файла
Если на вашем устройстве одна ключевая пара, воспользуйтесь следующей командой для подписания файла:
osslsigncode sign -pkcs11engine /path/to/pkcs11.so -pkcs11module /path/to/librtpkcs11ecp.so -pkcs11cert pkcs11:your_pkcs11_uri -key "pkcs11:your_pkcs11_uri" -in /path/to/file -out /path/to/signed_file
Пример вывода команды:
osslsigncode sign -pkcs11engine /usr/lib/x86_64-linux-gnu/engines-3/pkcs11.so -pkcs11module /usr/lib/librtpkcs11ecp.so -pkcs11cert pkcs11:model=Rutoken%20ECP -key pkcs11:model=Rutoken%20ECP -in /home/user/test.exe -out /home/user/test_signed.exe Engine "pkcs11" set. Enter PKCS#11 token PIN for Rutoken ECP <no label>: Succeeded
Если у вас несколько ключевых пар на устройстве, воспользуйтесь инструкцией Использование ключей на Рутокене, чтобы указать нужную ключевую пару.
Подписание при помощи утилиты osslsigncode и rtengine
Установка и настройка rtengine
- Перейдите в Центр загрузки.
- Выберите версию модуля интеграции для своей версии OpenSSL.
- Примите лицензионное соглашение и дождитесь автоматического скачивания файла.
Откройте терминал в папке со скачанным файлом и выполните команды:
unzip rtengine-<версия>.zip sudo apt install /rtengine-<версия>/rtengine/<версия>/Linux/x64/packages/librtengine<версия>_<архитектура>.deb
Проверьте версию утилиты osslsigncode:
osslsigncode --version
Если установлена версия 2.9 или ниже, необходимо переименовать
librtengine.soвrtengine.so. Для этого выполните команду:sudo mv /usr/lib/x86_64-linux-gnu/engines-3/librtengine.so /usr/lib/x86_64-linux-gnu/engines-3/rtengine.so
Настройте OpenSSL по инструкции Установка и настройка OpenSSL для работы с rtengine.
Для работы с osslsigncode версии 2.9 или ниже в конфигурационном файле openssl.cnf необходимо указать актуальный путь до
rtengine.soвместоlibrtengine.so.
Генерация ключевой пары и создание сертификата
Если на Рутокене уже есть ключевая пара с сертификатом, можно переходить к подписанию файла.
Сгенерируйте ключевую пару на Рутокене:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
Сгенерируйте самоподписанный сертификат:
openssl req -utf8 -x509 -keyform engine -key "pkcs11:your_pkcs11_uri" -engine rtengine -out cert.cer -subj "/C=<страна>/ST=<регион>/L=<населенный_пункт>/O=<организация>/OU=<отдел>/CN=<ФИО>/emailAddress=<email>"
Сохраните сертификат на Рутокен:
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w cert.cer --id 45
Подписание файла
Чтобы подписать файл, выполните команду:
osslsigncode sign -engine rtengine -engineCtrl pkcs11_path:/path/to/librtpkcs11ecp.so -certs /path/to/cert.cer -key "pkcs11:your_pkcs11_uri" -in /path/to/file -out /path/to/signed_file
Пример вывода команды:
osslsigncode sign -engine rtengine -engineCtrl pkcs11_path:/usr/lib/librtpkcs11ecp.so -certs cert.pem -key pkcs11:model=Rutoken%20ECP -in /home/user/test.exe -out /home/user/test_signed.exe Engine "pkcs11" set. Enter PKCS#11 token PIN for Rutoken ECP <no label>: Succeeded
Для использования ключей с токена необходимо специальным образом указывать идентификатор ключа. Подробнее идентификаторы ключей описаны в инструкции Использование ключей на Рутокене.