...
Параметр id задает идентификатор ключевой пары.
Теперь нужно получить сертификат:
- создайте самоподписанный сертификат:
| Code Block |
|---|
openssl
OpenSSL> openssl engine dynamic -pre SO_PATH:/usr/lib64/engines-1.1/libpkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib64/librtpkcs11ecp.so
OpenSSL> req -engine pkcs11 -new -key 0:45 -keyform engine -x509 -out cert.crt -outform DER
|
- или создайте запрос на сертификат для передачи его в УЦ:
| Code Block |
|---|
openssl OpenSSL> openssl engine dynamic -pre SO_PATH:/usr/lib64/engines-1.1/libpkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib64/librtpkcs11ecp.so OpenSSL> req -engine pkcs11 -new -key 0:45 -keyform engine -out cert.crt -outform DER |
Поместите сертификат его на токен:
| Code Block |
|---|
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -l -y cert -w cert.crt --id 45 |
...
| Code Block |
|---|
auth sufficient pam_pkcs11.so pkcs11_module=/usr/lib64/librtpkcs11ecp.so |
Сохраните файл и узнайте описание поля вашего сертификата с помощью следующей команды:
| Code Block |
|---|
sudo pkcs11_inspect |
На выходе В результате вы увидите сообщение:
Скопируйте строчку с описанием сертификата в файл /etc/pam_pkcs11/subject_mapping в формате:
| Code Block |
|---|
...
<вывод команды pkcs11_ |
...
inspect> -> <имя_пользователя> |
Попробуйте аутентифицироваться:
...