XCA
XCA представляет собой кроссплатформенное GUI-приложение, предназначенное для организации внутрикорпоративного PKI. XCA предоставляет следующую функциональность:
- Генерация ключей;
- Формирование запросов на сертификаты;
- Выпуск сертификатов;
- Инициализация токенов;
- Генерация ключей на токене;
- Запись сертификатов на токен.
Установка
Для начала установим системные компоненты, необходимые для работы с смарткартами/токенами :
CCID-драйвер:
sudo apt install libccid
PC/SC:
sudo apt install libpcsclite1 pcscd
Установим XCA:
sudo apt install xca
Запуск
Запустим XCA:
Либо в меню "Пуск" - "Утилиты" - "Цифровые сертификаты XCA".
Следует создать новую базу:
Меню "Файл" - "Новая база данных"
и сохранить ее.
Работа с токенами/смарткартами
Загрузка библиотек
- Для того, чтобы XCA научился работать с токеном ему нужно дать библиотеку PKCS#11 данного токена.
Библиотеку PKCS#11 под Astra Linux с поддержкой RSA для Актив Рутокен ЭЦП можно скачать: https://www.rutoken.ru/support/download/pkcs/
Библиотеку PKCS#11 под Astra Linux с поддержкой RSA для Аладдин JaCarta PKI/GOST можно скачать: https://www.aladdin-rd.ru/support/downloads/jacarta
- Переходим в меню "Файл" - "Опции" - "Провайдер PKCS#11"
- Жмём кнопку "Добавить" и выбираем нужную библиотеку pkcs11
Путь до библиотек pkcs#11
Библиотека Актив Рутокен: /usr/lib/librtpkcs11ecp.so
Библиотека Аладдин Джакарта: /usr/lib/libjcpkcs11-2.so
Создание пар ключей
Для создания пары ключей следует перейти во вкладку "Закрытые ключи" и выбрать "Новый ключ".
В "типе ключа" выберите свой токен и тип защитного преобразования и нажмите создать.
По запросу вводим правильный PIN.
Создание запроса на сертификат
Для создания запроса на сертификат следует перейти во вкладку "Новый запрос" , заполнить информационные поля Владельца, область применения и выбрать ранее созданный ключ.
В "типе ключа" выберите свой токен и тип защитного преобразования и нажмите создать.
По запросу вводим правильный PIN.
Теперь выдадим клиенту сертификат, с помощью которого он бы смог авторизоваться и запишем этот сертификат на токен:
Кликаем по запросу на сертификат и выбираем "Подпись" и подписываем его в нашем УЦ.
XCA предложит сохранить сертификат на токен, следует согласиться.