Портал документации Рутокен

Page tree

Versions Compared

Old Version 12

changes.mady.by.user Ксения Шаврова

Saved on

compared with

New Version 13

changes.mady.by.user Ксения Шаврова

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Table of Contents
maxLevel3
minLevel2

...

Tip

Подключите Рутокен ЭЦП 2.0

...

к компьютеру


Проверка работы Рутокен ЭЦП 2.0

...

Вы можете пропустить данный раздел, если у вас уже имеются необходимые RSA ключи:

Code Block
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

Теперь создайте самоподписанный сертификат сертификат:

Code Block
openssl

OpenSSL> engine dynamic -pre SO_PATH:/usr/lib64/engines/engine_pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1  -pre LOAD -pre MODULE_PATH:/usr/lib64/librtpkcs11ecp.so

OpenSSL> req -engine pkcs11 -new -key 0:45 -keyform engine -x509 -out cert.crt -outform DER

Поместите его на Рутокен ЭЦП 2.0:

Code Block
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -l -y cert -w cert.crt --id 45

...

Проверьте, что Рутокен ЭЦП 2.0 подключен и сертификаты с ключами на нем имеются:

Code Block
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -O -l

...

Создайте базу данных доверенных сертификатов:

Code Block
sudo mkdir /etc/pam_pkcs11/nssdb

sudo chmod 0644 /etc/pam_pkcs11/nssdb

sudo certutil -d /etc/pam_pkcs11/nssdb -N (создание базы данных)

sudo modutil -dbdir /etc/pam_pkcs11/nssdb/ -add p11-kit-trust -libfile /usr/lib64/pkcs11/p11-kit-trust.so

...

Выгрузите ваш сертификат с Рутокена ЭЦП 2.0:

Code Block
pkcs11-tool --module=/usr/lib64/librtpkcs11ecp.so -l -r -y cert -d <ID> -o cert.crt

...

Добавьте сертификат в доверенные:

Code Block
sudo cp cert.crt /etc/pki/ca-trust/source/anchors/ (команда вводится из директории, в которую был помещён сертификат)

sudo update-ca-trust force-enable

sudo update-ca-trust extract (может занять некоторое время)

...

Code Block
sudo pkcs11_inspect


На выходе вы увидите что-то такоесообщение:

Скопируйте строчку с описанием сертификата в файл /etc/pam_pkcs11/subject_mapping в формате

Вывод команды pkcs11_inspect -> <имя_пользователя>

Попробуйте аутентифицироваться аутентифицироваться:


Code Block
su oleg


Вывод будет примерно следующим:

...

Перед началом работы, установите следующие пакеты:

Code Block
sudo yum install ccid opensc pam_pkcs11 gdm-plugin-smartcard p11-kit

sudo yum remove coolkey

...

Открываем файл /etc/pam.d/system-auth:

Code Block
sudo vim /etc/pam.d/system-auth

...