Все верно.

Встречал:
* библиотека или утилита openssl, к которым подключен rtengine (утилита -- https://dev.rutoken.ru/pages/viewpage.a … =180715764 ; программный интерфейс можно посмотреть в SDK: https://www.rutoken.ru/support/download/get/sdk.html -- директория sdk/openssl);
* библиотека rtpkcs11ecp с функцией расширения C_EX_PKCS7Sign: https://dev.rutoken.ru/pages/viewpage.a … KCS7Sign()
* библиотека pki-core-cpp: https://dev.rutoken.ru/pages/viewpage.a … d=20119788

До тех пор, пока неясны ограничения, исключающие эти варианты, сложно порекомендовать что-то другое.

Спасибо еще раз за помощь.

и уже в качестве факультатива проконсультируйте по вот такому вопросу.
Вы мне рекомендовали для диагностики пакет OpenSC - я его вставил в свой пакет, чтобы он уже был, он работает без установки в ОС, просто из папки.
с помощью утилиты OpenSC у меня получилось сделать сырую подпись.

сертификат ключа есть уже в отдельном файле.

правильно ли я понимаю, что ее можно использовать для получения нужного мне cms pkcs7 если:
1) вычислить хэш подписанных данных
2) создать атрибуты для подписи в формате ASN.1
3) создать сырую подпись для созданных атрибутов
4) вручную собрать через синтаксис ASN.1 нужный мне pkcs7

Если логика правильная - вы случайно не встречали какой-либо пакет, который поддерживает такую сборку?
ибо писать это на php я буду не быстро.

Спасибо.

Чтобы исключить вероятность недопонимания и опечаток, хотелось бы попросить на таком же скриншоте показать последовательный вызов следующих команд в одном терминале cmd.exe:

set OPENSSL_CONF=C:\sign1c\openssl.cnf

echo %OPENSSL_CONF%

type %OPENSSL_CONF%

openssl engine -v

REM В этой команде нужно исправить значение XXXXXX на реальный пин-код
openssl cms -sign -binary -nosmimecap -in 1.txt -out 1.res -outform PEM -keyform engine -inkey "pkcs11:model=Rutoken%20ECP?pin-value=XXXXXX" -engine rtengine -signer certfile.crt

1. После создания/изменения конфигурационного файла openssl, вы применяли следующую команду?
(замените \path\to\openssl.cnf на путь к вашему конфигурационному файлу)

set OPENSSL_CONF=C:\path\to\openssl.cnf

да, применял.
Хотя это всего лишь установка переменной окружения в операционной системе.
перед запуском я проверяю ее, что она установлена

C:\sign1c>echo %OPENSSL_CONF%
с:\sign1c\openssl.cnf

в таком виде оно дает ошибку о неизвестной команде OPENSSL_CONF
а если добавить перед ней set - то в итоге она установит неправильно переменную окруженя, считая, что переменная окружения - весь текст после знака "="

C:\sign1c>echo %OPENSSL_CONF%
C:\sign1c\openssl.cnf openssl cms -sign -binary -nosmimecap -in 1.txt -out 1.res -outform PEM -keyform engine -inkey pkcs11:model=Rutoken%20ECP -engine rtengine -signer certfile.crt

это приводит вот к такому результату

engine "dynamic" set.
cms: Unrecognized flag pre

я реально не понимаю почему оно не грузит engine, хотя динамическая загрузка работает без ошибок

1. После создания/изменения конфигурационного файла openssl, вы применяли следующую команду?
(замените \path\to\openssl.cnf на путь к вашему конфигурационному файлу)

set OPENSSL_CONF=C:\path\to\openssl.cnf

Если нет, попробуйте её применить и попробовать заново ввести команду для подписи.

2. Попробуйте указать путь к конфигурационному файлу openssl перед командой для подписания (замените \path\to\openssl.cnf на путь к вашему конфигурационному файлу):

OPENSSL_CONF=C:\path\to\openssl.cnf openssl cms -sign -binary -nosmimecap -in 1.txt -out 1.res -outform PEM -keyform engine -inkey "pkcs11:model=Rutoken%20ECP?pin-value=XXXXXX" -engine rtengine -signer certfile.crt

3. Попробуйте указать путь к библиотеке rtengine в команде для подписания файла:

openssl cms -sign -binary -nosmimecap -in 1.txt -out 1.res -outform PEM -keyform engine -inkey "pkcs11:model=Rutoken%20ECP?pin-value=XXXXXX" -engine dynamic -pre SO_PATH:c:\sign1c\lib\rtengine.dll -pre ID:rtengine -pre LIST_ADD:1 -pre LOAD -pre pkcs11_path:rtpkcs11ecp.dll -signer certfile.crt

что имеем у заказчика на машине:

Вот openssl.cnf

-----------------------------8<----------------------------
[ openssl_def ]
engines = engine_section

[ engine_section ]
rtengine = rtengine_section
gost = gost_section

[ rtengine_section ]
dynamic_path = "c:\\sign1c\\lib\\rtengine.dll"
#enable_rand = yes
#pkcs11_path = "c:\sign1c\lib\rtpkcs11ecp.dll"
pkcs11_path = "c:\\windows\\system32\\rtpkcs11ecp.dll"

#rand_token = pkcs11:model=Rutoken%20ECP
default_algorithms = ALL

[gost_section]

engine_id = gost
dynamic_path = ./gost.dll
default_algorithms = ALL

-----------------------------8<----------------------------

Вот вызов openssl с динамичным вызовом библиотек Engine, он проходит нормально

openssl.exe engine dynamic -pre SO_PATH:C:\sign1c\lib\rtengine.dll -pre ID:rtengine -pre LIST_ADD:1 -pre LOAD -pre pkcs11_path:rtpkcs11ecp.dll
(dynamic) Dynamic engine loading support
[Success]: SO_PATH:C:\sign1c\lib\rtengine.dll
[Success]: ID:rtengine
[Success]: LIST_ADD:1
[Success]: LOAD
[Success]: pkcs11_path:rtpkcs11ecp.dll
Loaded: (rtengine) Rutoken engine

но когда я делаю вызов openssl для подписи = получаю ошибку invalid engine rtengine:

помогите советом куда копать.

проще говоря, чтобы бухгалтер на моей странице увидела перечень параметров, скопировала нужный URI и без бубна запустилась командная строка?
т.е. для сложных случаев можно будет просто запускать OpenSC - но не всем бухгалтерам это будет под силу с первого или второго раза.

В вашем случае, команда будет выглядеть следующим образом:
openssl cms -sign -binary -nosmimecap -in etalon.file -out signed_cms -outform PEM -keyform engine -inkey "pkcs11:model=Rutoken%20ECP?pin-value=123456" -engine rtengine -signer xn.crt

полностью рабочая и создается PEM с сертификатом.
Но не решена самая главная часть - оно запрашивает ручной ввод ПИН.

создание подписи работает только при "pkcs11:model=Rutoken%20ECP"

если указать
"pkcs11:model=Rutoken%20ECP;" - то получаем сразу ошибку (т.е. добавление в конце параметра точки с запятой обрушает систему с той же ошибкой.)

Указание
"pkcs11:model=Rutoken%20ECP;pin-value=123456" или
"pkcs11:model=Rutoken%20ECP;pin-value=123456;" или
"pkcs11:pin-value=123456;"
"pkcs11:pin-value=123456"

приводит к той же ошибке

cannot load signing key file from engine
unable to load signing key file

есть какой то другой способ указать PIN, чтобы система не падала?

После чего, выполните команду:
set OPENSSL_CONF=C:\Путь_до_файла\openssl.cnf

Так как у вас подключен один Рутокен с одним сертификатом, вы можете использовать команду:
openssl cms -sign -binary -nosmimecap -in etalon.file -out signed_cms -outform PEM -keyform engine -inkey "pkcs11:model=Rutoken%20ECP" -engine rtengine -signer xn.crt

Если на Рутокене будет несколько сертификатов, нужно будет указывать id ключегой пары.
Для этого, придётся конвертировать полученный id из pkcs11-uri с помощью pkcs11-tool и сконвертировать его в формат ASCII.
Для этого, можно воспользоваться онлайн конвертаторами: https://www.rapidtables.com/convert/num … ascii.html

Подробнее, описано в:
https://dev.rutoken.ru/pages/viewpage.a … 1%82%D1%8C

Так же, при использовании openssl, не нужно указывать раздел object и type в pkcs11-uri. Указание ID закрытого ключа будет достаточно.

C:\Program Files\OpenSC Project\OpenSC\tools>pkcs11-tool -L --module C:\windows\system32\rtpkcs11ecp.dll
Available slots:
Slot 0 (0x0): Aktiv Rutoken ECP 0
  token label        : Rutoken ECP <no label>
  token manufacturer : Aktiv Co.
  token model        : Rutoken ECP
  token flags        : login required, rng, SO PIN count low, token initialized, PIN initialized
  hardware version   : 20.5
  firmware version   : 23.2
  serial num         : 3b235b65
  pin min/max        : 6/32
  uri                : pkcs11:model=Rutoken%20ECP;manufacturer=Aktiv%20Co.;serial=3b235b65;token=Rutoken%20ECP%20<no%20label>
Slot 1 (0x1):
  (empty)
Slot 2 (0x2):
  (empty)
Slot 3 (0x3):
  (empty)
Slot 4 (0x4):
  (empty)
Slot 5 (0x5):
  (empty)
Slot 6 (0x6):
  (empty)
Slot 7 (0x7):
  (empty)
Slot 8 (0x8):
  (empty)
Slot 9 (0x9):
  (empty)
Slot 10 (0xa):
  (empty)
Slot 11 (0xb):
  (empty)
Slot 12 (0xc):
  (empty)
Slot 13 (0xd):
  (empty)
Slot 14 (0xe):
  (empty)

C:\Program Files\OpenSC Project\OpenSC\tools>pkcs11-tool -I --module C:\windows\system32\rtpkcs11ecp.dll
Cryptoki version 2.40
Manufacturer     Aktiv Co.
Library          Rutoken ECP PKCS #11 library (ver 2.14)
Using slot 0 with a present token (0x0)

C:\Program Files\OpenSC Project\OpenSC\tools>pkcs11-tool --pin 123456 -t --module C:\windows\system32\rtpkcs11ecp.dll

Using slot 0 with a present token (0x0)
C_SeedRandom() and C_GenerateRandom():
  seeding (C_SeedRandom) not supported
  ERR: C_GenerateRandom(buf1,0) failed: CKR_ARGUMENTS_BAD (0x7)
Digests:
  all 4 digest functions seem to work
  MD5: OK
  SHA-1: OK
  SHA256: OK
Ciphers: not implemented
Signatures (currently only for RSA)
  testing key 0 (ViPNet PrivateKey)  -- non-RSA, skipping
Signatures: no private key found in this slot
Verify (currently only for RSA)
  testing key 0 (ViPNet PrivateKey) -- non-RSA, skipping
Decryption (currently only for RSA)
  testing key 0 (ViPNet PrivateKey) -- non-RSA, skipping
1 errors

C:\Program Files\OpenSC Project\OpenSC\tools>pkcs11-tool --login --list-objects --type privkey --module C:\windows\system32\rtpkcs11ecp.dll

Using slot 0 with a present token (0x0)
Logging in to "Rutoken ECP <no label>".
Please enter User PIN:
Private Key Object; GOSTR3410-2012-256
  PARAMS OID: 06072a850302022400
  label:      ViPNet PrivateKey
  ID:         cd2fd3a6000000004050bdab05f2da01
  Usage:      sign, unwrap, derive
  Access:     sensitive, always sensitive, never extractable, local
  uri:        pkcs11:model=Rutoken%20ECP;manufacturer=Aktiv%20Co.;serial=3b235b65;token=Rutoken%20ECP%20<no%20label>;id=%cd2fd3a6000000004050bdab05f2da01;object=ViPNet%20PrivateKey;type=private

C:\Program Files\OpenSC Project\OpenSC\tools>pkcs11-tool --login --list-objects --type privkey --module C:\windows\system32\rtpkcs11ecp.dll

Using slot 0 with a present token (0x0)
Logging in to "Rutoken ECP <no label>".
Please enter User PIN:
Private Key Object; GOSTR3410-2012-256
  PARAMS OID: 06072a850302022400
  label:      ViPNet PrivateKey
  ID:         cd2fd3a6000000004050bdab05f2da01
  Usage:      sign, unwrap, derive
  Access:     sensitive, always sensitive, never extractable, local
  uri:        pkcs11:model=Rutoken%20ECP;manufacturer=Aktiv%20Co.;serial=3b235b65;token=Rutoken%20ECP%20<no%20label>;id=%cd2fd3a6000000004050bdab05f2
da01;object=ViPNet%20PrivateKey;type=private

Вот тут я подставил URI из вывода OpenSC

D:\Slava>openssl cms -sign -binary -nosmimecap -in etalon.file -out signed_cms -outform PEM -keyform engine -inkey "pkcs11:model=Rutoken%20ECP;manufacturer=Aktiv%20Co.;serial=3b235b65;token=Rutoken%20ECP%20<no%20label>;id=%cd2fd3a6000000004050bdab05f2da01;pin-value=123456;object=ViPNet%20PrivateKey;" -engine rtengine -signer xn.crt

engine "rtengine" set.
cannot load signing key file from engine
10824:error:8208D0F5:lib(130):parse_attr:wrong uri:C:\j\workspace\rtengine-build\315609d0\engine\standalone\p11_uri.c:114:
10824:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:crypto\engine\eng_pkey.c:78:
unable to load signing key file
                                                                                                  ↑

openssl cms -sign -binary -nosmimecap -in etalon.file -out signed_cms -outform PEM -keyform engine -inkey "pkcs11:model=Rutoken%20ECP;manufacturer=Aktiv%20Co.;serial=3b235b65;token=Rutoken%20ECP%20<no%20label>;id=%cd2fd3a6000000004050bdab05f2da01;pin-value=123456;object=ViPNet%20PrivateKey;" -engine rtengine -signer xn.crt

cannot load signing key file from engine
10928:error:8208D0F5:lib(130):parse_attr:wrong uri:C:\j\workspace\rtengine-build\315609d0\engine\standalone\p11_uri.c:114:
10928:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:crypto\engine\eng_pkey.c:78:
unable to load signing key file

openssl cms -sign -binary -nosmimecap -in etalon.file -out signed_cms -outform PEM -keyform engine -inkey "pkcs11:model=Rutoken%20ECP;manufacturer=Aktiv%20Co.;serial=3b235b65;token=Rutoken%20ECP%20<no%20label>;pin-value=123456" -engine rtengine -signer xn.crt

engine "rtengine" set.
cannot load signing key file from engine
2016:error:8208D0F5:lib(130):parse_attr:wrong uri:C:\j\workspace\rtengine-build\315609d0\engine\standalone\p11_uri.c:114:
2016:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:crypto\engine\eng_pkey.c:78:
unable to load signing key file

А вот командная строка создания подписи через pkcs11-tool, которая успешно прошла и создала мне файл подписи на 64 байта - как я понимаю, это просто сырая подпись в бинарном виде.

pkcs11-tool --sign --id cd2fd3a6000000004050bdab05f2da01 --mechanism GOSTR3410-2012-256 --input-file etalon.file --output-file data.sig --module C:\windows\system32\rtpkcs11ecp.dll
Using slot 0 with a present token (0x0)
Logging in to "Rutoken ECP <no label>".
Please enter User PIN:
Using signature algorithm GOSTR3410-WITH-GOSTR3411-12-256

вопрос - как сделать, чтбы стандартный механизм работал или как собрать cms pkcs#7 (detached signature) из сырой подписи?

Я же нормально токеном авторизуюсь и подписываю документы через PLugin в браузере  - тут никаких проблем нет.

Вот все, что я смог добиться от tools

C:\Program Files\OpenSC Project\OpenSC\tools>pkcs11-tool -I
Cryptoki version 3.0
Manufacturer     OpenSC Project
Library          OpenSC smartcard framework (ver 0.26)
Using slot 3 with a present token (0xc)

C:\Program Files\OpenSC Project\OpenSC\tools>pkcs11-tool -L
Available slots:
Slot 0 (0x0): Aktiv Co. ruToken 0
  (empty)
Slot 1 (0x4): Aktiv Co. ruToken 1
  (empty)
Slot 2 (0x8): Aktiv Co. ruToken 2
  (empty)
Slot 3 (0xc): Aktiv Rutoken ECP 0
  (token not recognized)

C:\Program Files\OpenSC Project\OpenSC\tools>pkcs11-tool --pin 123456 -t
Using slot 3 with a present token (0xc)
error: PKCS11 function C_GetTokenInfo failed: rv = CKR_TOKEN_NOT_RECOGNIZED (0xe1)
Aborting.

C:\Program Files\OpenSC Project\OpenSC\tools>pkcs11-tool --pin 123456 -t
Using slot 3 with a present token (0xc)
error: PKCS11 function C_GetTokenInfo failed: rv = CKR_TOKEN_NOT_RECOGNIZED (0xe1)
Aborting.

C:\Program Files\OpenSC Project\OpenSC\tools>pkcs11-tool --pin 123456 -t -v
Using slot 3 with a present token (0xc)
error: PKCS11 function C_GetTokenInfo failed: rv = CKR_TOKEN_NOT_RECOGNIZED (0xe1)
Aborting.

C:\Program Files\OpenSC Project\OpenSC\tools>pkcs11-tool --test --login
Using slot 3 with a present token (0xc)
error: PKCS11 function C_GetTokenInfo failed: rv = CKR_TOKEN_NOT_RECOGNIZED (0xe1)
Aborting.

C:\Program Files\OpenSC Project\OpenSC\tools>pkcs11-tool --login --list-objects --type privkey
Using slot 3 with a present token (0xc)
error: PKCS11 function C_GetTokenInfo failed: rv = CKR_TOKEN_NOT_RECOGNIZED (0xe1)
Aborting.