История страницы

...

1. Подписать запрос client1.cert.csr с помощью сертификата УЦ и сохранить подписанный сертификат клиента client1.cert.pem в каталоге /etc/ipsec.d/certs/:
   

   Command
   sudo pki --issue --lifetime 3650 --cacert /etc/ipsec.d/cacerts/ca.cert.pem --cakey /etc/ipsec.d/private/ca.key.pem \     --in client1.cert.csr --type pkcs10 --flag clientAuth  --flag ikeIntermediate --outform pem \   | sudo tee /etc/ipsec.d/certs/client1.cert.pem

2. Скопировать сертификат клиента client1.cert.pem на клиентский узел в домашний каталог пользователя.  

На клиентском узле в домашнем каталоге пользователя:

1. Подключить ключевой носитель к клиентскому узлу.
2. Записать на ключевой носитель сертификат и закрытый ключ клиента:
   

   Command
   p11tool --login --write --load-certificate="<путь_к_клиентскому_сертификату>" --id=<идентификатор_ключевой_пары> --label="<метка_ключевой_пары>" p11tool --login --write --load-privkey="<путь_к_клиентскому_закрытому_ключу>" --id=<идентификатор_ключевой_пары> --label="<метка_ключевой_пары>"

   где
     - <идентификатор_ключевой_пары> – идентификатор, с которым сертификат и ключ будут храниться на токене;
     - <метка_ключевой_пары> – название, с которым сертификат и ключ будут храниться на токене.
   
   Пример команд:
   

   Command
   p11tool --login --write --load-certificate="client.cert.pem" --id=45 --label="mykey" p11tool --login --write --load-privkey="client.key.pem" --id=45 --label="mykey"

3. Для безопасности удалить файл с закрытым ключом клиента client1.key.pem из домашнего каталога пользователя.
   Закрытый ключ должен храниться только на ключевом носителе.

Использование активного ключевого носителя

Настройка использования ключевого носителя (токена) в качестве второго фактора аутентификации

...