...
| Command |
|---|
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert --id 45 -w ./client.cert.pem pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y privkey --id 45 -w ./client.key.pem |
2) )))
3)))) TODO - токен!!!!!!
Настроить использование pkcs11 для RuToken ЭЦП на клиенте
В файл /etc/strongswan.d/charon/pkcs11.conf привести к виду:
| Блок кода |
|---|
pkcs11 {
load = yes
modules {
rutoken {
path = /usr/lib/librtpkcs11ecp.so
}
}
} |
3)
Настроить доступ по закрытому ключу клиента, на который хранится на токене, в файле (Настроить доступ по сертикату на клиенте) указать местоположение закрытого ключа strongSwan-сервера в файле /etc/ipsec.secrets:
| Блок кода |
|---|
# : RSA "/etc/ipsec.d/private/client.key.pem" PIN <smartcard selector> <pin code> | %prompt # <smartcard selector> format: %smartcard[<slotnr>[@<module>]]:<keyid> : PIN %smartcard0@rutoken:45 12345678 |
Настроить strongSwan-клиента, разместив в файле /etc/ipsec.conf:
| Блок кода |
|---|
config setup
#charondebug="all"
charondebug= ike 4, cfg 2
## uniqueids=no
conn client
type=tunnel
auto=start
keyexchange=ikev2
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
# left=${MY_HOST_IP}
leftsourceip=%config
leftauth=pubkey
leftcert=%smartcard0@rutoken:45
# leftcert=/home/user/client.cert.pem
right=${PEER_HOST_IP}
rightid=${PEER_HOST_IP}
## rightsubnet=0.0.0.0/0
rightauth=pubkey
# keyingtries=%forever
# ikelifetime=28800s
# lifetime=3600s
# dpddelay=30s
# dpdtimeout=120s
# dpdaction=restart
eap_identity=%identity |
...