Справочный центр

Дерево страниц

Сравнение версий

Старая версия 73

changes.mady.by.user Сергей Бутаков

Сохранено

по сравнению с

Новая версия 74

changes.mady.by.user Сергей Бутаков

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  1. Подключить ключевой носитель к клиентскому узлу.
  2. Записать на ключевой носитель сертификат клиента:
    Command

    p11tool --login --write --load-certificate="client.cert.pem" --id=45 --label="mykey"

  3. Записать на ключевой носитель закрытый ключ клиента:
    Command

    p11tool --login --write --load-privkey="client.key.pem" --id=45 --label="mykey"

  4. Включить поддержку токенов strongSwan-сервером.
    Для этого в файле /etc/strongswan.d/charon/pkcs11.conf в секции modules указать произвольное название модуля и путь до интерфейсной библиотеки используемого токена:
    Блок кода
    pkcs11 {

    # Whether to load the plugin. Can also be an integer to increase the
    # priority of this plugin.
    load = yes

    ...

    # List of available PKCS#11 modules.
    modules {
        <название_модуля> {
            path = <путь_к_интерфейсной_библиотеке_токена>
        }
    }
}
    Например, для Рутокена файл /etc/strongswan.d/charon/pkcs11.conf может полностью выглядеть так:
    Блок кода
    pkcs11 {
  load = yes

  modules {
    rutoken {
      path = /usr/lib/librtpkcs11ecp.so
    }
  }
}
  5. Настроить strongSwan-сервер на использование закрытого ключа сервера, который находится на токене.
    Для этого в файле /etc/ipsec.secrets указать строку с описанием токена и идентификатором закрытого ключа, хранящегося на токене:
    Блок кода
    : PIN <токен><токен_и_закрытый_ключ> <pin-код_токена>
#
# где <токен> указывается<токен_и_закрытый_ключ> задаются по формату: %smartcard[<номер_слота_с_токеном>[@<название_модуля>]]:<id_закрытого_ключа>
    Пример описания для вышеприведённого Рутокена:
    Блок кода
    : PIN %smartcard0@rutoken:45 12345678

...