...
- библиотека libccid, librtpkcs11ecp.so;
- пакеты libpcsclite1 и pcscd;
- opensc;
pcsc-tools.
Для установки в терминале введите команду:
Testcommand |
---|
$ sudo apt-get install libccid pcscd libpcsclite1 pcsc-tools opensc |
...
Для установки библиотеки librtpkcs11ecp.so следует перейти по указанной ссылке и скачать необходимую версию:
https://www.rutoken.ru/support/download/pkcs/
Testcommand |
---|
$ sudo dpkgapt -iinstall ./librtpkcs11ecp_1.8.2.0-1_amd64.deb |
...
Способ №1
Введите команду:
Testcommand |
---|
$ pcsc_scan |
Способ №2
Введите команду:
Testcommand |
---|
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T |
Информация | ||
---|---|---|
| ||
Для того чтобы определить путь до библиотеки librtpkcs11ecp.so введите команду:
|
Способ №3
графическая утилита XCA:
...
Для изменения pin-кода Рутокена введите команду:
Testcommand |
---|
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --login --pin ваш_старый_пин --change-pin --new-pin ваш_новый_пин |
...
Чтобы проверить наличие сертификатов и ключевых пар на Рутокене введите команду:
Testcommand |
---|
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O -l |
В результате в окне терминала отобразится информация обо всех сертификатах и ключевых парах, хранящихся на Рутокене:
...
Извлечение сертификата из токена
Testcommand |
---|
|
...
Для генерации ключевой пары в терминале следует ввести команду:
Testcommand |
---|
|
...
Для создания самоподписанного сертификата в терминале следует ввести команду:
Command | |
---|---|
|
...
| |||||
OpenSSL> |
...
req |
...
-engine |
...
pkcs11 |
...
-new |
...
-key |
...
0:45 |
...
-keyform |
...
engine |
...
-x509 |
...
-out |
...
название_вашего_сертификата.crt |
...
-outform |
...
DER
|
Примечание | ||
---|---|---|
Для того чтобы определить путь до библиотеки pkcs11.so введите команду:
2) Т.к. вышеуказанные команды должны быть неразрывны, их следует обязательно вбивать вводить в консоли openssl Иначе openssl не сможет обратиться к закрытому ключу. |
Загрузка сертификата на токен
Создав свой личный сертификат, его следует загрузить на рутокен:
Testcommand |
---|
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w название_вашего_сертификата.crt -a "Имя_сертификата_в_токене" --id 45 |
...
Проверка ключей и сертификатов в Рутокене:
Command | |||||||||
---|---|---|---|---|---|---|---|---|---|
| |||||||||
|
|
|
| ||||||
Using slot 0 with a present token (0x0) |
...
Либо воспользовавшись терминалом FLY:
Testcommand |
---|
$ sudo apt-get install opensc libengine-pkcs11-openssl libp11-2 libpam-pkcs11 libpam-p11 pcscd libccid |
...
Конвертируем сертификат в текстовый формат
Command | |
---|---|
| |
| |
$ |
...
Теперь нам необходимо прочитать с токена сертификат с нужным ID и записать его в файл доверенных сертификатов:
Добавляем сертификат в список доверенных сертификатов:
Testcommand |
---|
|
...
Для привязки токена к определенному пользователю необходимо указать его домашнюю директорию, например таким образом:
Testcommand |
---|
|
...
Информация |
---|
Важно помнить, что при регистрации нескольких токенов на одном компьютере, необходимо указывать пользователям раличные id. |
...
Настройка аутентификации
Пуск - утилиты - Терминал Fly
Testcommand |
---|
$ sudo nano /usr/share/pam-configs/p11 |
записываем в файл следующую информацию:
Name: Pam_p11 Default: yes Priority: 800 Auth-Type: Primary Auth: sufficient pam_p11_opensc. so so /usr/lib/librtpkcs11ecp .so |
записываем в файл следующую информацию
сохраняем файл, нажимаем нажав Alt + X, а затем Y
после этого выполняем, после чего выполнить команду:
Command |
---|
Test |
|
в появившемся окне ставим галку в отметить пункт Pam_p11 и нажимаем нажать OK
Проверка
Пуск - утилиты - Терминал Fly
Command |
---|
...
sudo login |
Вход выполняется с подключенным токеном к компьютеру. При графическом входе в поле Login вводится имя пользователя, в поле Password вводится <PIN пользователя>. При консольном входе все аналогично, только в момент ввода пароля будет сообщено, что требуется <PIN пользователя>.
...
Инициализация утилитой pkcs11-tool:
Testcommand |
---|
$ pkcs11-tool --slot 0 --init-token --so-pin '87654321' --label 'Название_Вашего_токена' --module /usr/lib/librtpkcs11ecp.so |
Также для очистки всех данных воспользуйтесь командойкомандами:
Testcommand |
---|
$ pkcs15-init --erase-card |
...