XCA

XCA представляет собой кроссплатформенное GUI-приложение, предназначенное для организации внутрикорпоративного PKI. XCA предоставляет следующую функциональность:

• Генерация ключей;
• Формирование запросов на сертификаты;
• Выпуск сертификатов;
• Инициализация токенов;
• Генерация ключей на токене;
• Запись сертификатов на токен.

Установка 

Для начала установим системные компоненты, необходимые для работы с смарткартами/токенами :

• CCID-драйвер:

  sudo apt install libccid

• PC/SC:

  sudo apt install libpcsclite1 pcscd

• Установим XCA:

  sudo apt install xca

Запуск

Запустим XCA:

Либо в меню "Пуск" - "Утилиты" - "Цифровые сертификаты XCA".

Следует создать новую базу: 

и сохранить ее.

Работа с токенами/смарткартами

Загрузка библиотек

• Для того, чтобы XCA научился работать с токеном ему нужно дать библиотеку PKCS#11 данного токена.

• Переходим в меню "Файл" - "Опции" - "Провайдер PKCS#11"
  
  
• Жмём кнопку "Добавить" и выбираем нужную библиотеку pkcs11

Создание пар ключей

Для создания пары ключей следует перейти во вкладку "Закрытые ключи" и выбрать "Новый ключ".

В "типе ключа" выберите свой токен и тип защитного преобразования и нажмите создать.

По запросу вводим правильный PIN.

Создание запроса на сертификат

Для создания запроса на сертификат следует перейти во вкладку "Новый запрос" , заполнить информационные поля Владельца, область применения  и выбрать ранее созданный ключ.

В "типе ключа" выберите свой токен и тип защитного преобразования и нажмите создать.

По запросу вводим правильный PIN.

Теперь выдадим клиенту сертификат, с помощью которого он бы смог авторизоваться и запишем этот сертификат на токен:

Кликаем по запросу на сертификат и выбираем "Подпись" и подписываем его в нашем УЦ. 
XCA предложит сохранить сертификат на токен, следует согласиться.