Содержание

Skip to end of metadata
Go to start of metadata

XCA


XCA представляет собой кроссплатформенное GUI-приложение, предназначенное для организации внутрикорпоративного PKI. XCA предоставляет следующую функциональность:

  • Генерация ключей;
  • Формирование запросов на сертификаты;
  • Выпуск сертификатов;
  • Инициализация токенов;
  • Генерация ключей на токене;
  • Запись сертификатов на токен.


Установка 


Для начала установим системные компоненты, необходимые для работы с смарткартами/токенами :


  • CCID-драйвер
sudo apt-get install libccid
  • PC/SC
sudo apt-get install libpcsclite1 pcscd
  • Установим XCA:  

sudo apt-get install xca


Запуск



Запустим XCA:

sudo xca

Либо в меню "Пуск" - "Утилиты" - "Цифровые сертификаты XCA"


Следует создать новую базу: 

Меню "Файл" - "Новая база данных"

и сохранить ее.


Работа с токенами/смарткартами


Загрузка библиотек


  • Для того, чтобы XCA научился работать с токеном ему нужно дать библиотеку PKCS#11 данного токена.

Библиотеку PKCS#11 под Astra Linux с поддержкой RSA для Актив Рутокен ЭЦП можно скачать: https://www.rutoken.ru/support/download/pkcs/

Библиотеку PKCS#11 под Astra Linux с поддержкой RSA для Аладдин JaCarta PKI/GOST можно скачать: https://www.aladdin-rd.ru/support/downloads/jacarta

  • Переходим в меню "Файл" - "Опции" - "Провайдер PKCS#11"

  • Жмём кнопку "Добавить" и выбираем нужную библиотеку pkcs11

Путь до библиотек pkcs#11

Библиотека Актив Рутокен: /usr/lib/librtpkcs11ecp.so

Библиотека Аладдин Джакарта: /usr/lib/libjcpkcs11-2.so



Создание пар ключей



Для создания пары ключей следует перейти во вкладку "Закрытые ключи" и выбрать "Новый ключ".

В "типе ключа" выберите свой токен и тип шифрования и нажмите создать.

По запросу вводим правильный PIN.


Создание запроса на сертификат




Для создания запроса на сертификат следует перейти во вкладку "Новый запрос" , заполнить информационные поля Владельца, область применения  и выбрать ранее созданный ключ.

В "типе ключа" выберите свой токен и тип шифрования и нажмите создать.

По запросу вводим правильный PIN.


Теперь выдадим клиенту сертификат, с помощью которого он бы смог авторизоваться и запишем этот сертификат на токен:

Кликаем по запросу на сертификат и выбираем "Подпись" и подписываем его в нашем УЦ. 
XCA предложит сохранить сертификат на токен, следует согласиться.