...
- Подключить ключевой носитель к клиентскому узлу.
- Создать на токене ключевую пару, скопировать созданный открытый ключ
client1.key.pub.
гдеCommand p11tool --login --generate-rsa --bits=4096 --id=<идентификатор_ключевой_пары> --label="<метка_ключевой_пары>"
--outfile="client1.key.pub"
- <идентификатор_ключевой_пары> – идентификатор, с которым ключи будут храниться на токене;
- <метка_ключевой_пары> – название, с которым ключи будут храниться на токене. - Создать запрос на подписание клиентского сертификата
client1.cert.csr
где <IP-адрес_клиента> " -addext "subjectAltName=IP.1:<IP-адрес_клиента>"– IP-адрес клиентского узла.Command openssl req -engine pkcs11 -x509 -new -key 0:45 -keyform engine -out client1.cert.csr \
-subj "/CN=<IP-адрес_клиента>" -addext "subjectAltName=IP.1:<IP-адрес_клиента>"openssl req -key client1.key.pem -new -out client1.cert.csr \
-subj "/CN= - Отправить файл с запросом
client1.cert.csrна узел УЦ.
...
- Записать на ключевой носитель сертификат и закрытый ключ клиента:
гдеCommand p11tool --login --write --load-certificate="<путь_к_клиентскому_сертификату>" --id=<идентификатор_ключевой_пары> --label="<метка_ключевой_пары>"
- <идентификатор_ключевой_пары> – идентификатор, с которым сертификат и ключ будут храниться на токенеиспользованный при создании ключей;
- <метка_ключевой_пары> – название, с которым сертификат и ключ будут храниться на токенеиспользованное при создании ключей.
Пример команд:Command p11tool --login --write --load-certificate="client.cert.pem" --id=45 --label="mykey"
...