...
- Создать закрытый ключ клиента
client1.key.pem:Command openssl genrsa -out client1.key.pem 4096
- Создать запрос на подписание клиентского сертификата
client1.cert.csr:
где <IP-адрес_клиента> – IP-адрес клиентского узла.Command openssl req -key client1.key.pem -new -out client1.cert.csr \
-subj "/CN=<IP-адрес_клиента>" -addext "subjectAltName=IP.1:<IP-адрес_клиента>" - Отправить файл с запросом
client1.cert.csrна узел УЦ.
На удостоверяющем центре:
- Подписать запрос
client1.cert.csrс помощью сертификата УЦ и сохранить подписанный сертификат клиентаclient1.cert.pemв каталоге/etc/ipsec.d/certs/:Command sudo pki --issue --lifetime 3650 --cacert /etc/ipsec.d/cacerts/ca.cert.pem --cakey /etc/ipsec.d/private/ca.key.pem \
--in client1.cert.csr --type pkcs10 --flag clientAuth --flag ikeIntermediate --outform pem \
| sudo tee /etc/ipsec.d/certs/client1.cert.pem - Скопировать подписанный Скопировать сертификат клиента
client1.cert.pemна клиентский узел в домашний каталог пользователя.
- Подключить ключевой носитель к клиентскому узлу.
- Записать на ключевой носитель сертификат и закрытый ключ клиента:
гдеCommand p11tool --login --write --load-certificate="<путь_к_клиентскому_сертификату>" --id=<идентификатор_ключевой_пары> --label="<метка_ключевой_пары>"
p11tool --login --write --load-privkey="<путь_к_клиентскому_закрытому_ключу>" --id=<идентификатор_ключевой_пары> --label="<метка_ключевой_пары>"
- <идентификатор_ключевой_пары> – идентификатор, с которым сертификат и ключ будут храниться на токене;
- <метка_ключевой_пары> – название, с которым сертификат и ключ будут храниться на токене.
Пример команд:Command p11tool --login --write --load-certificate="client.cert.pem" --id=45 --label="mykey"
p11tool --login --write --load-privkey="client.key.pem" --id=45 --label="mykey"
...