...
При использовании пассивного ключевого носителя необходимо средствами ОС создать закрытый ключ и сертификат клиента, подписать сертификат клиента в УЦ, а затем записать закрытый ключ и сертификат клиента на токен.
...
Использование активного ключевого носителя
При использовании активного ключевого носителя необходимо средствами токена создать ключевую пару (закрытый и открытый ключи) на токене, средствами ОС с помощью открытого ключа создать сертификат клиента, подписать сертификат клиента в УЦ, а затем записать сертификат клиента на токен.
На клиентском узле:
- Подключить ключевой носитель к клиентскому узлу.
- Создать на токене ключевую пару, скопировать созданный открытый ключ
client1.key.pub.Command p11tool --login --generate-rsa --bits=4096 --id=<идентификатор_ключевой_пары> --label="<метка_ключевой_пары>" --outfile="client1.key.pub"
- Записать на ключевой носитель сертификат и закрытый ключ клиента:
гдеCommand p11tool --login --write --load-certificate="<путь_к_клиентскому_сертификату>" --id=<идентификатор_ключевой_пары> --label="<метка_ключевой_пары>"
p11tool --login --write --load-privkey="<путь_к_клиентскому_закрытому_ключу>" --id=<идентификатор_ключевой_пары> --label="<метка_ключевой_пары>"
- <идентификатор_ключевой_пары> – идентификатор, с которым сертификат и ключ будут храниться на токене;
- <метка_ключевой_пары> – название, с которым сертификат и ключ будут храниться на токене.
Пример команд:Command p11tool --login --write --load-certificate="client.cert.pem" --id=45 --label="mykey"
p11tool --login --write --load-privkey="client.key.pem" --id=45 --label="mykey"
- Для безопасности удалить файл с закрытым ключом клиента
client1.key.pem
Настройка использования ключевого носителя (токена) в качестве второго фактора аутентификации
...