...
Создаем ключевую пару RSA длины 2048 бит c ID "45" (id стоит запомнить, он понадобится при создании сертификата). Аутентификация на токене происходит под сущностью пользователя.
Code Block language bash $ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
Проверим сгенерированный ключ:
Code Block language bash $ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O
Создание сертификата и импорт его на токен
Запускаем
openssl
Code Block language bash $ openssl
Формируем самоподписанный сертификат или заявку на сертификат:
Tip title Примечание Если вы используете OpenSSL 3.0, то необходимо выполнить следующую инструкцию
Code Block language bash OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so ... OpenSSL> req -engine pkcs11 -x509 -new -key 0:45 -keyform engine -out client.pem -subj "/C=RU/ST=Moscow/L=Moscow/O=Aktiv/OU=dev/CN=testuser/emailAddress=testuser@mail.com"
Tip Если вы используете не Ubuntu 18.04, вам необходимо проверить местонахождение pkcs11.so. Он может располагаться, например, в /usr/lib/openssl/engines/. Если его найти не удается воспользуйтесь командой find.
Tip title Примечание Если при создании сертификата в OpenSSL убрать ключ
-x509,
то на выходе получим заявку на сертификат.Сохраняем сертификат на токен:
Code Block language bash $ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id 45
Занесение сертификата в список доверенных
Теперь нам необходимо записать его в файл доверенных сертификатов:
Code Block language bash mkdir ~/.eid chmod 0755 ~/.eid cat client.pem >> ~/.eid/authorized_certificates chmod 0644 ~/.eid/authorized_certificates
...