SO_PIN по дефолту 87654321
Виктор, я менял дефолтный пароль.
]]>$ pkcs11-tool --module LIBRARY_PATH --init-token --label LABEL --so-pin SO_PIN $ pkcs11-tool --module LIBRARY_PATH --login --login-type so --so-pin SO_PIN --init-pin --new-pin USER_PINГде LIBRARY_PATH – путь к librtpkcs11ecp.so
LABEL – ну назовите как-нибудь
SO_PIN – PIN администратора
USER_PIN – это ваш новый PIN пользователя
# pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --init-token --label CA --so-pin 12345678
Using slot 0 with a present token (0x0)
error: PKCS11 function C_InitToken failed: rv = unknown PKCS11 error (0x200)
Aborting.Слот у меня точно 0
# pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --list-objects --login
Using slot 0 with a present token (0x0)
Logging in to "CA".$ pkcs11-tool --module LIBRARY_PATH --init-token --label LABEL --so-pin SO_PIN
$ pkcs11-tool --module LIBRARY_PATH --login --login-type so --so-pin SO_PIN --init-pin --new-pin USER_PIN
Где LIBRARY_PATH – путь к librtpkcs11ecp.so
LABEL – ну назовите как-нибудь
SO_PIN – PIN администратора
USER_PIN – это ваш новый PIN пользователя
Что-то типа
[openssl_def] engines = engine_section [engine_section] pkcs11 = pkcs11_section [pkcs11_section] engine_id = pkcs11 dynamic_path = /usr/lib/i386-linux-gnu/openssl-1.0.0/engines/engine_pkcs11.so MODULE_PATH = /usr/lib/librtpkcs11ecp.so init = 0Нужно добавить в конфиг.
Спасибо, помогло.
Еще в начале дописал строку
openssl_conf = openssl_def[openssl_def]
engines = engine_section
[engine_section]
pkcs11 = pkcs11_section
[pkcs11_section]
engine_id = pkcs11
dynamic_path = /usr/lib/i386-linux-gnu/openssl-1.0.0/engines/engine_pkcs11.so
MODULE_PATH = /usr/lib/librtpkcs11ecp.so
init = 0Нужно добавить в конфиг.
]]>Да
Виктор, спасибо! Пошел искать эту строку =)
Кстати не подскажите, я каждый раз когда запускаю openssl, то приходится руками подгружать движок и библиотеку
engine -t dynamic -pre SO_PATH:/usr/lib/engines/engine_pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib/librtpkcs11ecp.soКак мне это в конфиге прописать, чтобы она автоматически при запуске подгружалась?
]]>Название организации в корневом должно быть таким же, как в запросе.
Это где-то в конфиге задано.
В конфиге есть строка получается, которая требует чтобы имя организации в запросе было такое же что и в корневом сертификате?
]]>Это где-то в конфиге задано.
]]>Все получилось?
Не совсем =)
Сертификат УЦ делал так
OpenSSL> req -engine pkcs11 -x509 -new -key 99 -keyform engine -out /etc/ssl/demoCA/ca.crt
engine "pkcs11" set.
PKCS#11 token PIN:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Russian
Locality Name (eg, city) []:Saratov
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Libureg
Organizational Unit Name (eg, section) []:Lib
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:Запрос на сертификат клиента
OpenSSL> req -engine pkcs11 -new -key 66 -keyform engine -out /etc/ssl/demoCA/request/matrix.csr
engine "pkcs11" set.
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Russian
Locality Name (eg, city) []:Moscow
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cergont
Organizational Unit Name (eg, section) []:Cer
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:При попытке подписать ругается
OpenSSL> ca -engine pkcs11 -keyfile 99 -keyform engine -cert /etc/ssl/demoCA/ca.crt -in /etc/ssl/demoCA/request/matrix.csr -out /etc/ssl/demoCA/newcerts/matrix.crt
Using configuration from /usr/lib/ssl/openssl.cnf
engine "pkcs11" set.
Check that the request matches the signature
Signature ok
The organizationName field needed to be the same in the
CA certificate (Libureg) and the request (Cergont)
error in caЧто-то ему не нравится в структуре сертификатов.
В конфигурационном файле OpenSSL в секции [req] поправил значение string_mask на pkix.
Не помогло. Почему может возникать такая ошибка?
]]>Так попробуйте:
openssl ca -engine pkcs11 -keyfile 99 -keyform engine -cert /home/user/ca.crt -in /home/user/test.csr -out /home/user/user-cert.pem
Виктор спасибо, но я уже успел разобраться с командой =)
ca -engine pkcs11 -keyfile 99 -keyform engine -cert /etc/ssl/demoCA/ca.crt -in /etc/ssl/demoCA/request/matrix.csr -out /etc/ssl/demoCA/newcerts/matrix.crtopenssl ca -engine pkcs11 -keyfile 99 -keyform engine -cert /home/user/ca.crt -in /home/user/test.csr -out /home/user/user-cert.pem
]]>