...
- Подключить ключевой носитель к клиентскому узлу.
- Создать на токене ключевую пару:
гдеCommand p11tool --login --generate-rsa --bits=<длина_ключа> --id=<идентификатор_ключевой_пары> --label="<метка_ключевой_пары>"
- <длина_ключа> – длина создаваемых ключей в битах.
Если токен позволяетподдерживает, то следует создавать ключи длиной задать 4096 бит. Иначе задавать задать максимально возможную длину ключей, поддерживаемую токеном;
- <идентификатор_ключевой_пары> – с этим идентификатором ключи будут храниться на токене;
- <метка_ключевой_пары> – с этим названием ключи будут храниться на токене. - Создать запрос на подписание клиентского сертификата
client1.cert.csr:
гдеCommand openssl req -new -engine pkcs11 -keyform engine -out client1.cert.csr \
-key pkcs11:id="%<идентификатор_ключевой_пары>" \
-subj "/CN=<IP-адрес_клиента>" -addext "subjectAltName=IP.1:<IP-адрес_клиента>"
- <идентификатор_ключевой_пары> – идентификатор, использованный при создании ключевой пары;
- <IP-адрес_клиента> – IP-адрес клиентского узла. - Отправить файл с запросом
client1.cert.csrна узел УЦ.
...