stunnel и сертификаты

Добрый день!
Есть сертификаты, используемые для работы с stunnel

cafile = /keys/ca.crt
cert = /keys/user.crt
key = /keys/user.key

Подскажите, как их записать в рутокен флаш для использования со стороны клиента, и возможно ли это?

Спасибо.

Re: stunnel и сертификаты

У Вас имеется Ваш ключ в формате pkcs12 ?

(2012-06-14 16:31:25 отредактировано iUkka)

Re: stunnel и сертификаты

Алексей Несененко пишет:

У Вас имеется Ваш ключ в формате pkcs12 ?

Боюсь что нет. Есть шанс как либо конвертнуть? или такой ключ делается только на стороне сервера?

Добавлено: Допустим что возможно, что делать дальше?

Re: stunnel и сертификаты

Посмотрите как должен выглядеть конфиг sTunnel в случае использования Рутокен

http://www.stunnel.org/static/stunnel.html, поиск по слову engine.

Вам надо на токен записать только ключ, сертификат следует хранить в файле, так как sTunnel не умеет считывать сертификаты с токена, только ключи.

Для записи ключа на токен можно воспользоваться приложением XCA. Сначала импортируете с помощью него ключ из файла, затем сохраняете на токен.

Re: stunnel и сертификаты

Виктор Ткаченко пишет:

Посмотрите как должен выглядеть конфиг sTunnel в случае использования Рутокен

http://www.stunnel.org/static/stunnel.html, поиск по слову engine.

Вам надо на токен записать только ключ, сертификат следует хранить в файле, так как sTunnel не умеет считывать сертификаты с токена, только ключи.

Для записи ключа на токен можно воспользоваться приложением XCA. Сначала импортируете с помощью него ключ из файла, затем сохраняете на токен.

Спасибо а наводку.
А что-то похожее под Windows есть? XCA ставится, но рутокен не видит.

(2012-06-19 13:01:26 отредактировано iUkka)

Re: stunnel и сертификаты

iUkka пишет:

Спасибо а наводку.
А что-то похожее под Windows есть? XCA ставится, но рутокен не видит.

Так. xca подгрузил рутокен-флеш и записал туда сертификаты и ключи с помощью rtPKCS11.dll

На хабре есть конфигурация только с использованием
engineCtrl=MODULE_PATH:rtPKCS11ECP.dll

Подскажите, как теперь правильно вытащить сертификаты и/или ключи для stunnel?

Добавлено: А RuToken Flash 2gb так и должен сильно греться? 5 минут в усб - по ощущениям 40+ градусов...

Re: stunnel и сертификаты

Теперь необходимо в XCA выбрать Импорт -> Ключи, выбрать ключ и импортировать его на токен.

Re: stunnel и сертификаты

Кирилл Романовский пишет:

Теперь необходимо в XCA выбрать Импорт -> Ключи, выбрать ключ и импортировать его на токен.

Загрузил.

Так. xca подгрузил рутокен-флеш и записал туда сертификаты и ключи с помощью rtPKCS11.dll

На Хабре есть статья, там есть упоминание о Rutoken Flash.
Именно поэтому я их закупил 3 штучки.

Но оказалось что с моих при помощи
engineCtrl=MODULE_PATH:rtPKCS11ECP.dll
вытащить не получается.

Мало того, XCA при помощи rtPKCS11ECP.dll их импортировать не получается, только при помощи rtPKCS11.dll

Короче говоря, проблема теперь их считать из токена в stunnel.

Re: stunnel и сертификаты

Поскольку ключи вы импортировали с помощью библиотеки rtPKCS11.dll, то и XCA должен работать с ней же. Настройте его на использование этой библиотеки.

Re: stunnel и сертификаты

Кирилл Романовский пишет:

Поскольку ключи вы импортировали с помощью библиотеки rtPKCS11.dll, то и XCA должен работать с ней же. Настройте его на использование этой библиотеки.

Хмм, видимо по изложений мыслей у меня у меня двойка.

Попробую составить вопрос по друному.
Есть: Рутокен Flash, 2gb
Есть: Установленный и рабочий XCA, который при помощи rtPKCS11.dll может записывать/генерировать на Рутокен Flash, 2GB сертификаты. При помощи других длл у меня сделать не получилось,  при помощи rtPKCS11ECP.dll XCA просто не видит токен.
Есть: Записанные на Рутокен Flash, 2gb с помощью XCA файлики:
cafile = ca.crt
cert = client.crt
key = client.key

А теперь вопрос: Может ли stunnel использовать данные c Рутокен Flash, 2gb и как должна выглядеть конфигурация?
Точнее часть типа:
engine=dynamic
engineCtrl=SO_PATH:rtPKCS11.dll
engineCtrl=ID:pkcs11
engineCtrl=LIST_ADD:1
engineCtrl=LOAD
engineCtrl=MODULE_PATH:rtPKCS11.dll
engineCtrl=INIT
engineCtrl=PIN:1234567890



Спасибо.

Re: stunnel и сертификаты

Уточните, пожалуйста, тип используемого токена, поскольку на хабрахабре в статье упоминается Рутокен ЭЦП Flash.
Пришлите скриншот окна "Информация о Rutoken" из панели управления Рутокен (надо нажать на кнопку "Информация" в главном окне программы).

Re: stunnel и сертификаты

https://forum.rutoken.ru/uploads/transfer/0/5000/5165/thumb/p172rteuds1it1gkc9afm1l8ma1.JPG

Кирилл Романовский пишет:

Уточните, пожалуйста, тип используемого токена, поскольку на хабрахабре в статье упоминается Рутокен ЭЦП Flash.
Пришлите скриншот окна "Информация о Rutoken" из панели управления Рутокен (надо нажать на кнопку "Информация" в главном окне программы).

Re: stunnel и сертификаты

Вам теперь необходимо настроить sTunnel следующим образом: прописать engine_pkcs11 вместо pkcs11_gost
engine_pkcs11 распространяется отсюда: http://www.opensc-project.org/engine_pkcs11/
для Windows возможно потребуется его собрать самому, инструкция есть здесь: http://martlaak.wikispaces.com/How+to+b … or+windows
В настройках sTunnel надо будет прописать:

engine=dynamic
engineCtrl=SO_PATH:<путь до engine_pkcs11>
engineCtrl=ID:pkcs11
engineCtrl=LIST_ADD:1
engineCtrl=LOAD
engineCtrl=MODULE_PATH:<путь до rtPKCS11.dll>
engineCtrl=INIT
[service]
engineNum=1
key=id_45

Также надо будет указать ID ключа. Сертификаты при этом не обязательно хранить на токене.

Re: stunnel и сертификаты

Кирилл Романовский пишет:

Вам теперь необходимо настроить sTunnel следующим образом: прописать engine_pkcs11 вместо pkcs11_gost
engine_pkcs11 распространяется отсюда: http://www.opensc-project.org/engine_pkcs11/
для Windows возможно потребуется его собрать самому, инструкция есть здесь: http://martlaak.wikispaces.com/How+to+b … or+windows
В настройках sTunnel надо будет прописать:

engine=dynamic
engineCtrl=SO_PATH:<путь до engine_pkcs11>
engineCtrl=ID:pkcs11
engineCtrl=LIST_ADD:1
engineCtrl=LOAD
engineCtrl=MODULE_PATH:<путь до rtPKCS11.dll>
engineCtrl=INIT
[service]
engineNum=1
key=id_45

Также надо будет указать ID ключа. Сертификаты при этом не обязательно хранить на токене.


Спасибо, engine загрузился.

Два вопроса:

1) А ID ключа где брать?
2)

Сертификаты при этом не обязательно хранить на токене.

Разве не ради этого все затевалось?

Re: stunnel и сертификаты

ID ключа можно посмотреть в свойствах ключа в XCA.
Сертификаты не хранят в себе закрытой информации, а без закрытого ключа использовать их не получится.