Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 6 Следующий »

Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8)


Общая информация

Установка пакетов

  1. Установить пакеты:
    sudo apt install -y opensc gnutls-bin libengine-pkcs11-openssl p11-kit-modules
  2. Установить интерфейсные модули производителей (ИМП) в соответствии с инструкциями Ключевые носители (токены) PKCS в Astra Linux.
  3. Зарегистрировать установленные ИМП, для чего:
    1. Создать каталог /etc/pkcs11/modules если он не был создан ранее:
      sudo mkdir -p /etc/pkcs11/modules
    2. Для каждого используемого модуля создать файл с указанием этого модуля:
      1. ИМП Аладдин:
        echo "module: /usr/lib/libjcPKCS11-2.so" | sudo tee /etc/pkcs11/modules/aladdin.module
      2. ИМП Рутокен:
        echo "module: /usr/lib/librtpkcs11ecp.so" | sudo tee /etc/pkcs11/modules/rutoken.module
      3. ИМП Softhsm:
        echo "module: /usr/lib/x86_64-linux-gnu/softhsm/libsofthsm2.so" | sudo tee /etc/pkcs11/modules/softhsm.module
  4. Исключить использование ненужных предустановленных ИМП. Например, модуль p11-kit-trust (устанавливается по умолчанию) и opensc-pkcs11:
    echo -e "enable-in:" | sudo tee /etc/pkcs11/modules/p11-kit-trust.module
    echo -e "enable-in:" | sudo tee /etc/pkcs11/modules/opensc-pkcs11.module
    В приведенном выше примере модули исключаются для всех приложений. При необходимости можно разрешить использование модуля в отдельных приложениях, указав список имен исполняемых файлов. Разделителем в списке может быть запятая или пробел. Например, для приложений gnome-keyring p11-ki-proxy:
    echo -e "enable-in: gnome-keyring p11-ki-proxy" | sudo tee /etc/pkcs11/modules/p11-kit-trust.module
  5. Проверить список активных модулей:
    p11-kit list-modules
  6. Далее настроить инструменты для работы при одновременно подключенных ключевых носителях. После выполнения настройки соответствующий ключевому носителю ИМП будет выбираться автоматически:
    1. Инструменты csp-monitor (начиная с версии libpam-csp_1.0.9+ci9) —  с указанием интерфейсного модуля /usr/lib/x86_64-linux-gnu/p11-kit-proxy.so.
    2. Инструмент p11tool — использовать без указания интерфейсного модуля:
      p11tool --list-tokens
Token 0:
        URL: pkcs11:model=eToken%20GOST;manufacturer=Aladdin%20R.D.;serial=0B53001841176966;token=JaCarta%20PKI
        Label: JaCarta PKI
        Type: Hardware token
        Flags: RNG, Requires login, uPIN low count, SO-PIN low count
        Manufacturer: Aladdin R.D.
        Model: eToken GOST
        Serial: 0B53001841176966
        Module: /usr/lib/libjcPKCS11-2.so


Token 1:
        URL: pkcs11:model=JaCarta%20Laser;manufacturer=Aladdin%20R.D.;serial=0B53001841176966;token=Astra%20Linux
        Label: Astra Linux
        Type: Hardware token
        Flags: Requires login, uPIN uninitialized
        Manufacturer: Aladdin R.D.
        Model: JaCarta Laser
        Serial: 0B53001841176966
        Module: /usr/lib/libjcPKCS11-2.so


Token 2:
        URL: pkcs11:model=Rutoken%20ECP;manufacturer=Aktiv%20Co.;serial=413a49ed;token=SambaDC_test
        Label: SambaDC_test
        Type: Hardware token
        Flags: RNG, Requires login
        Manufacturer: Aktiv Co.
        Model: Rutoken ECP
        Serial: 413a49ed
        Module: /usr/lib/librtpkcs11ecp.so
    3. Инструмент pkcs11-tool — использовать с указанием интерфейсного модуля /usr/lib/x86_64-linux-gnu/p11-kit-proxy.so:
      pkcs11-tool --module /usr/lib/x86_64-linux-gnu/p11-kit-proxy.so -T
Available slots:
Slot 0 (0x11): Aladdin R.D. JaCarta [Main Interface] 00 00
  token label        : JaCarta PKI
  token manufacturer : Aladdin R.D.
  token model        : eToken GOST
  token flags        : login required, rng, SO PIN count low, SO PIN locked, token initialized, user PIN count low, PIN initialized
  hardware version   : 1.0
  firmware version   : 1.6
  serial num         : 0B53001841176966
  pin min/max        : 6/32
Slot 1 (0x12): Aladdin R.D. JaCarta [Main Interface] 00 00
  token label        : Astra Linux
  token manufacturer : Aladdin R.D.
  token model        : JaCarta Laser
  token flags        : login required, token initialized
  hardware version   : 1.0
  firmware version   : 1.0
  serial num         : 0B53001841176966
  pin min/max        : 4/16
Slot 2 (0x31): Aktiv Rutoken ECP 01 00
  token label        : SambaDC_test
  token manufacturer : Aktiv Co.
  token model        : Rutoken ECP
  token flags        : login required, rng, SO PIN to be changed, token initialized, PIN initialized, user PIN to be changed
  hardware version   : 60.1
  firmware version   : 30.2
  serial num         : 413a49ed
  pin min/max        : 6/32
  • Нет меток