Page tree
Skip to end of metadata
Go to start of metadata

Проверка модели устройства

  1. Подключите USB-токен к компьютеру.
  2. Для определения названия модели USB-токена откройте Терминал и введите команду:
$ lsusb 

В результате в окне Терминала отобразится название модели USB-токена:

Убедитесь, что используете: Aktiv Rutoken ECP

Для использования USB-токена или смарт-карты Рутокен ЭЦП с OpenSSL необходимо наличие opensc и libengine-pkcs11-openssl:

Sudo apt-get install opensc libengine-pkcs11-openssl

 Также вам понадобится библиотека librtpkcs11ecp, доступная на нашем сайте.

 

Сгенерируем ключ RSA2048:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

Где /usr/lib/librtpkcs11ecp.so – путь к библиотеке, а id 45 – идентификатор ключа.

 

Создадим запрос на сертификат:

$ openssl

Подключим библиотеку engine PKCS#11:

engine -t dynamic -pre SO_PATH:/usr/lib/engines/engine_pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib/librtpkcs11ecp.so

Где /usr/lib/librtpkcs11ecp.so – путь к библиотеке. Данную операцию необходимо выполнять каждый раз после выхода из openssl.

Создадим запрос:

req -engine pkcs11 -new -key slot_0-id_45 -keyform engine -out /home/user/test.csr

Где slot_0-id_45- местонахождение и id ключа, а /home/user/test.csr – целевое месторасположение создаваемого запроса.

 

Выписываем сертификат

С помощью OpenSSL возможно создать самоподписанный сертификат.

Создадим ключ Certification Authority (CA):

openssl genpkey -algorithm RSA -out /home/user/key.pem

Создадим сертификат CA:

openssl req -x509 -new -key /home/user/key.pem -out /home/user/ca.crt

В папке установки openssl (/etc/ssl) создадим папку demoCA, а в ней – директорию newcerts. В demoCA создадим пустые файлы index.txt и serial. В последний - добавим 01.

Подготовим сертификат пользователя:

openssl ca -keyfile /home/user/key.pem -cert /home/user/ca.crt -in /home/user/test.csr -out /home/user/user-cert.pem

Где /home/user/key.pem – ключ CA, /home/user/ca.crt – сертификат СА, /home/user/test.csr – запрос на сертификат пользователя, /home/user/user-cert.pem – целевое месторасположение созданного сертификата пользователя

Поскольку нам необходим сертификат в формате DER конвертируем его:

openssl x509 -in /home/user/user-cert.pem -out /home/user/user-cert.crt -outform DER

 

Установим сертификат на токен

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w /home/user/user-cert.crt --id 45 --label TEST

Где /home/user/user-cert.crt – сертификат пользователя.

 

  • No labels