Портал документации Рутокен

Page tree

Versions Compared

Old Version 1

changes.mady.by.user Дагаева

Saved on

compared with

New Version Current

changes.mady.by.user Анфимов Павел

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Table of Contents
outlinetrue
stylenone

В данной инструкции описывается

...

, как заставить модуль pam_p11 работать с библиотекой librtpkcs11ecp.so. 

Проверка модели устройства

  1. Подключите USB-токен к компьютеру.
  2. Для определения названия модели USB-токена откройте Терминал и введите команду:
$ lsusb 

В результате в окне Терминала отобразится название модели USB-токена:

Image Added

Убедитесь, что используете: Aktiv Rutoken ECP

Нам понадобится Рутокен ЭЦП За основу была взята эта статья: http://habrahabr.ru/company/aktiv-company/blog/144700/#habracut.Итак, нам понадобится Rutoken ECP, отформатированный через Панель управления Рутокен. В качестве дистрибутива использовалась Ubuntu-12.10-desktop-i386.

 

Общий порядок действий

1. Устанавливаем 1) Первым делом устанавливаем необходимые пакеты:

...

Code Block
languagebash
 $ sudo apt-get install

...

 opensc  libpam-p11 libengine-pkcs11-openssl

Стоит отметить, что при При установке opensc также устанавливаются пакеты libccid и pcscd, а при установке libpam-p11 – пакет libp11-2.

2. Устанавливаем библиотеку PKCS#11 Рутокен, предварительно загрузив установочный пакет с сайта rutoken.ru.

3.

 

Создаем файл описания модуля PKCS#11

Code Block
languagebash
 $ sudo nano /usr/share/p11-kit/modules/Rutoken.module

добавляем в редакторе строку:

module:2) Библиотеку librtpkcs11ecp.so помещаем в директорию /usr/lib/librtpkcs11ecp.so

и сохраняем файл.

4. 3) Аналогично действиям в приведенной выше статье , создадим создаем файл /usr/share/pam-configs/p11, с единственным отличием – укажем путь к нашей библиотеке:

Code Block
languagebash
Name: Pam_p11

...


Default: yes

...


Priority: 800

...


Auth-Type: Primary

...


Auth: sufficient pam_p11_opensc.so /usr/lib/librtpkcs11ecp.so

 

4) 5. Выполняем команду:

Code Block
languagebash
$ sudo pam-auth-update

В появившемся диалоге выбираем Pam_p11.

 

Note
titleИспользование существующего сертификата
Если вы желаете использовать сертификат RSA, который уже записан на ваш токен/смарт-карту, то на данном этапе перейдите к указаниям в приложении к данной инструкции (в самом низу данной страницы).

6. 5) Переходим к созданию ключевой пары:

Code Block
languagebash
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048

...

 -l --id 45

Image RemovedImage Added

Утилита pkcs11-tool входит в состав opensc.

Параметры, задаваемые в этой строке:

--module <arg>

...

путь к библиотеке pkcs11 (обязательный параметр)

...

--keypairgen

...

генерация ключевой пары
-- key-type <arg>
...
задает тип и длину ключа. В нашем случае тип – rsa, длина - 2048 бит (с длиной ключа 1024 бит возникают проблемы)
...
-l 
...
запрос 
...
PIN-кода токена 
...
 до каких-либо операций с ним (обязательный параметр)
...
--id <arg> 
...
определяет id создаваемого объекта (понадобится при создании сертификата)
...
7. 
 
6) Переходим к созданию сертификата. 
Запускаем openssl и подгружаем модуль поддержки pkcs11:
 Code Block
languagebash
$ openssl
...

OpenSSL>  engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/
...
pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1  -pre LOAD -pre MODULE_PATH:/usr/lib/librtpkcs11ecp.so
Image RemovedImage Added
7) 8. Создаем сертификат в PEM-формате: OpenSSL>  req 
 Code Block
languagebash
 OpenSSL>  req -engine pkcs11 -new -key 0:45 -keyform engine -x509 -out cert.pem
...
  -text
Image RemovedImage Added
Здесь:
-key 
...
указывает закрытый ключ (в нашем случае 0:45 – слот:ID ключа)
...
-x509
...
 
выдает самоподписанный сертификат
...
 
9. Конвертируем 8) Сконвертируем сертификат PEM в CRT:
 Code Block
languagebash
OpenSSL> x509 -in cert.pem -out cert.crt -outform DER
 
9) 10. Закрываем openssl. Теперь сохраняем сертификат  сертификат CRT на токен:Рутокен:
 Code Block
languagebash
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w cert.crt --id 45
Image RemovedImage Added
Здесь параметр :
 -y <arg>
...
тип объекта (может быть cert, privkey, pubkey, data)
...
-w <arg>
...
записать объект на токен
11. 
 
10) Остается только добавить сертификат PEM в список доверенных.:
 Code Block
languagebash
$ mkdir ~/.eid
...

$ chmod 0755 ~/.eid
...

$ less ~/cert.pem >> ~/.eid/authorized_certificates
...

$ chmod 0644 ~/.eid/authorized_certificates
 
12. На этом настройка закончена. После перезапуска ОС окно входа в систему будет выглядеть так:
Image Removed
Image Added
Приложение: настройка аутентификации с имеющимся сертификатом
Если у вас уже имеется выписанная на токен ключевая пара RSA с привязанным к ней сертификатом, то вы можете использовать их для аутентификации в Ubuntu.
Рекомендуемая длина ключа RSA - не ниже 2048 бит.
  1. Выполните пп.1-4 основной инструкции.
  2. Необходимо узнать ID сертификата, записанного на токен. 
     Code Block
    languagebash
    pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O

  3. Добавим сертификат в список доверенных: 
     Code Block
    $ mkdir ~/.eid
$ chmod 0755 ~/.eid
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --type cert -r --id ID_вашего_сертификата | openssl x509 -inform der >>  ~/.eid/authorized_certificates
$ chmod 0644 ~/.eid/authorized_certificates

  4. Выполните перезагрузку.
...