Портал документации Рутокен

Page tree

Versions Compared

Old Version 31

changes.mady.by.user Анфимов Павел

Saved on

compared with

New Version 32

changes.mady.by.user Анфимов Павел

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Для конфигурации модуля PAM необходимо установить пакеты:

  • pcscd
  • OpenSC
  • OpenSSL
  • libpam-p11
  • libengine-pkcs11-openssl
Code Block
languagebash
sudo apt-get install pcscd opensc openssl libpam-p11 libengine-pkcs11-openssl

...

Code Block
Name: Pam_p11
Default: yes
Priority: 800
Auth-Type: Primary
Auth: sufficient pam_p11.so /usr/lib/librtpkcs11ecp.so
Tip

Если вы используете не Ubuntu 18.04, вам необходимо проверить местонахождение opensc-pkcs11.so. Он может находится, например, в

/usr/lib/opensc-pkcs11.so. Если его найти не удается воспользуйтесь командой find


  1. Обновить конфигурацию PAM:

    Code Block
    languagebash
    sudo pam-auth-update

     

  2.  В появившемся диалоге необходимо удостовериться, что выбран pam_p11. Если вы хотите отключить аутентификацию по паролям, то можно отключить Unix authentication. 

    Создание ключей на токене

  3. Создаем ключевую пару RSA длины 2048 бит c ID "45" (id стоит запомнить, он понадобится при создании сертификата). Аутентификация на токене происходит под сущностью пользователя.

    Code Block
    languagebash
    $ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

     

  4. Проверим сгенерированный ключ:

    Code Block
    languagebash
    $ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O

    Создание сертификата и импорт его на токен


  5. Запускаем openssl

    Code Block
    languagebash
    $ openssl


  6. Подгружаем модуль поддержки pkcs11

    Формируем самоподписанный сертификат, или заявку на сертификат:

    Code Block
    languagebash
    OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/ST=Moscow/L=Moscow/O=Aktiv/OU=dev/CN=testuser/emailAddress=testuser@mail.com"


    Tip

    Если вы используете не Ubuntu 18.04, вам необходимо проверить местонахождение pkcs11.so. Он может располагаться, например, в /usr/lib/openssl/engines/ . Если его найти не удается воспользуйтесь командой find


    Tip
    titleПримечание
    : если

    Если при создании сертификата в OpenSSL убрать ключ -x509, то на выходе получим заявку на сертификат.


  7. Сохраняем сертификат на токен:

    Code Block
    languagebash
    $ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id 45

    Занесение сертификата в список доверенных

  8. Теперь нам необходимо прочитать с токена сертификат с нужным ID (в нашем случае - 45) и записать его в файл доверенных сертификатов:

    Code Block
    languagebash
    mkdir ~/.eid
chmod 0755 ~/.eid
pkcs11-tool --module   -r --type cert --id 45 -l -p <PIN> > ~/.eid/authorized_certificates
chmod 0644 ~/.eid/authorized_certificates


...