cTaBp, добрый день!
Полагаю, вы уже попробовали выполнить эту операцию, и у вас ничего не получилось.
Рутокен ЭЦП -- это не флешка. Приватные криптографические ключи -- как сгенерированные на токене, так и импортированные на токен -- не могут быть с токена извлечены. Это модель безопасности Рутокен.Просто токен воткнут в промышленный сервер и не хотелось рисковать. А копий закрытого ключа+сертификата не сохранилось.
Можете попробовать воспользоваться программами восстановления данных с жесткого диска. Успешное обнаружение удаленного приватного ключа может все-таки подтолкнуть вас больше не сохранять ключи на жестком диске.
Мне это все досталось в наследство...поэтому имею то что имею...то есть ключи в единственном числе...на токене. Вот и хотел создать копию. Но тем не менее...спасибо за инфу)
]]>pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -r -y privkey --id 01 > ./key.txt
Полагаю, вы уже попробовали выполнить эту операцию, и у вас ничего не получилось.
Рутокен ЭЦП -- это не флешка. Приватные криптографические ключи -- как сгенерированные на токене, так и импортированные на токен -- не могут быть с токена извлечены. Это модель безопасности Рутокен.
Просто токен воткнут в промышленный сервер и не хотелось рисковать. А копий закрытого ключа+сертификата не сохранилось.
Можете попробовать воспользоваться программами восстановления данных с жесткого диска. Успешное обнаружение удаленного приватного ключа может все-таки подтолкнуть вас больше не сохранять ключи на жестком диске.
]]>cTaBp, добрый день.
Для того чтобы увидеть закрытый ключ, необходимо указать пин-код
pkcs11-tool -L --module /usr/lib64/librtpkcs11ecp.so -O -l -p пин-код токена.
Для большей безопасности рекомендуем генерировать ключевую пару сразу на токене.
Например, использовав следующую команду:
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
День добрый. Да...я так и предполагал. Просто токен воткнут в промышленный сервер и не хотелось рисковать. А копий закрытого ключа+сертификата не сохранилось.
Я правильно понимаю, что сертификат и закрытый ключ можно выгрузить так
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -r -y cert --id 01 > ./cert.txt
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -r -y privkey --id 01 > ./key.txt
а затем произвести импорт закрытого ключа и сертификата на другой токен, который после импорта можно будет использовать взамен текущего токена?
Спасибо.
---Генерация закрытого ключа
openssl genrsa -aes128 -out keys.pem -passout stdin 1024
---Создание самоподписанного сертификата на основе сгенерированного ключа.
openssl req -new -key keys.pem -out cert.csr
openssl x509 -req -days 365 -in cert.csr -signkey keys.pem -out cert.cert
---Импорт ключа на токен
openssl rsa -inform PEM -in keys.pem -out keys.der -outform DER
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --login --pin 123456 --write-object keys.der --type privkey --id 1 --label key1
---Импорта сертификата на токен
openssl x509 -in cert.cert -out cert.der -outform der
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --write-object cert.der --type cert --id 1 --label key1 --pin 123456
Параметры id и label использовались одни и те же при импорте ключа и сертификата.
Теперь, при просмотре информации с токена выводится такая информация
pkcs11-tool -L --module /usr/lib64/librtpkcs11ecp.so -O
Available slots:
Slot 0 (0x0): Aktiv Rutoken ECP 00 00
token label : Rutoken ECP <no label>
token manufacturer : Aktiv Co.
token model : Rutoken ECP
token flags : login required, rng, token initialized, PIN initialized
hardware version : 54.1
firmware version : 23.0
............
Using slot 0 with a present token (0x0)
Certificate Object; type = X.509 cert
label: key1
subject: DN: C=RU, L=Moscow, O=Company, CN=master
ID: 01
То есть визуально вижу только сертификат (type = X.509 cert)
Хотелось бы понять, можно ли увидеть закрытый ключ (который был записан на токен и по которому не вижу никакой инфы), а главное - можно ли скопировать ключ с токена?
Спасибо.