С того же носителя серт нормально установился и под маком и под виндой, не требуя никаких допдействий.
Подскажите пожалуйста что поправить.

Получил Рутокен ЭЦП 3.0 3220 Type-C Планирую использовать для ssh-ключей, по меньшей мере.

Дано есть Рутокен ЭЦП PKI Type-C (см https://forum.rutoken.ru/post/15402/#p15402)

Окружение:
Fedora Linux 41

❯ rpm -q pcsc-lite-ccid pcsc-lite pcsc-tools opensc librtpkcs11ecp
pcsc-lite-ccid-1.6.1-2.fc41.x86_64
pcsc-lite-2.3.1-1.fc41.x86_64
pcsc-tools-1.7.0-4.fc41.x86_64
opensc-0.26.1-1.fc41.x86_64
librtpkcs11ecp-2.17.5.0-1.x86_64

pkcs11-tool
ЭЦП PKI

❯ pkcs11-tool -L          
Available slots:
Slot 0 (0x0): Aktiv Rutoken ECP 00 00
  token label        : Rutoken ECP
  token manufacturer : Aktiv Co.
  token model        : PKCS#15
  token flags        : login required, rng, token initialized, PIN initialized
  hardware version   : 0.0
  firmware version   : 0.0
  serial num         : 000000003c51753a
  pin min/max        : 4/32
  uri                : pkcs11:model=PKCS%2315;manufacturer=Aktiv%20Co.;serial=000000003c51753a;token=Rutoken%20ECP

❯ pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -L 
Available slots:
Slot 0 (0x0): Aktiv Rutoken ECP 00 00
  token label        : Rutoken ECP <no label>
  token manufacturer : Aktiv Co.
  token model        : Rutoken ECP
  token flags        : login required, rng, token initialized, PIN initialized
  hardware version   : 54.1
  firmware version   : 23.0
  serial num         : 3c51753a
  pin min/max        : 4/32
  uri                : pkcs11:model=Rutoken%20ECP;manufacturer=Aktiv%20Co.;serial=3c51753a;token=Rutoken%20ECP%20<no%20label>
Slot 1 (0x1): 
  (empty)

ЭЦП 3.0 3220

❯ pkcs11-tool -L                                       
Available slots:
Slot 0 (0x0): Aktiv Rutoken ECP 00 00
  (token not recognized)

❯ pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -L 
Available slots:
Slot 0 (0x0): Aktiv Rutoken ECP 00 00
  token label        : Rutoken ECP <no label>
  token manufacturer : Aktiv Co.
  token model        : Rutoken ECP
  token flags        : login required, rng, SO PIN to be changed, token initialized, PIN initialized, user PIN to be changed
  hardware version   : 65.4
  firmware version   : 30.2
  serial num         : 45154e94
  pin min/max        : 6/32
  uri                : pkcs11:model=Rutoken%20ECP;manufacturer=Aktiv%20Co.;serial=45154e94;token=Rutoken%20ECP%20<no%20label>
Slot 1 (0x1): 
  (empty)

Для обоих токенов испольнование модуля приводит к выводу списка пустых слотов по 14й включительно, я не стал добавлять это в сообщение.

Видно, что штатный модуль для pkcs11 вообще не распознает новый токен.

pkcs15-tool
ЭЦП PKI

❯ pkcs15-tool -k -v
Using reader with a card: Aktiv Rutoken ECP 00 00
Connecting to card in reader Aktiv Rutoken ECP 00 00...
Using card driver Rutoken ECP and Lite driver.
Trying to find a PKCS#15 compatible card...
Found Rutoken ECP!
Card has 1 Private key(s).

Private RSA Key [oberon]
    Object Flags   : [0x03], private, modifiable
    Usage          : [0x0E], decrypt, sign, signRecover
    Access Flags   : [0x00]
    Algo_refs      : 0
    ModLength      : 2048
    Key ref        : 1 (0x01)
    Native         : yes
    Path           : <cut>
    Auth ID        : 02
    ID             : <cut>
    MD:guid        : <cut>

это мой ключ, отлично работает в ssh

ЭЦП 3.0 3220

❯ pkcs15-tool -k -v
Using reader with a card: Aktiv Rutoken ECP 00 00
Connecting to card in reader Aktiv Rutoken ECP 00 00...
Using card driver Rutoken ECP and Lite driver.
Trying to find a PKCS#15 compatible card...
P:693654; T:0x139759383082368 23:11:31.268 [pkcs15-tool] pkcs15-din-66291.c:208:sc_pkcs15emu_din_66291_init_ex: called
PKCS#15 binding failed: Unsupported card

Тут результат настораживает, утилита не знает такой токен. Пока не в курсе, чем мне это аукнется, продолжаю эксперименты.

На этом же компьютере в другой системе, виндовс 10, все работает хорошо

Как можно разрешить проблему в линуксе минт.

Для регистрации сертификата с рутокена на Windows надо поставить галочку Зарегистрировать на РутокенПанели.
Сертификат с рутокена помещается в личные.

Подскажите пожалуйста, какую аналогичную команду надо вызывать на Ubuntu?
рутокен виден, пытаюсь скопировать сертификат - скачивается только закрытый ключ...

с уважением Дмитрий

при выполнении действия:
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --keypairgen --key-type GOSTR3410-2012-512:A -l --id 3132

возникает ошибка:
error: Unknown key pair type GOST-2012-512:A
Aborting.

Вывод lsusb и lsusb -tv:

Показывает Aladdin Knowledge Systems eToken Pro 64k (4.2)

В cptools носитель/контейнер не отображается.

pcsc_scan зависает при подключении токена на стадии см. рис.ниже:

Запуск pcscd -afd выдает кучу событий от winscard._svc.c вида:

Все начинается с Looking for a driver fo VID: ... PID ... и пошло, поехало

Кстати, ошибка запуска pcscd -afd для отображения дебага была связана с тем, что необходимо было как остановить как сам сервис, так и сокет командами systemctl stop. В противном случае стартовать pcscd не получится из-за ошибки, связанной с тем, что сокет используется сервисом, даже после остановки его командой systemctl stop.

Прошу помочь/направить в решении проблемы при работе на ОС АЛЬТ Линукс 10.2

Установленные пакеты:

Версия ядра:

ERROR:pam_pkcs11.c:646: no valid certificate which meets all requirements found
Error 2336L No matching certificate found

Настраивал по инструкции - https://dev.rutoken.ru/pages/viewpage.a … =165281830

На виртуальный Альт Сервер 10 средствами zVirt проброшен порт с подключенным рутокеном.
При просмотре USB-устройств выдаётся следующее:
$ lsusb
Bus 002 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 001 Device 003: ID 0627:0001 Adomax Technology Co., Ltd QEMU USB Tablet
Bus 001 Device 002: ID 0a89:0030 Aktiv Rutoken ECP
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

Библиотеки установлены:
$ sudo rpm -q pcsc-lite-ccid libpcsclite pcsc-tools opensc
pcsc-lite-ccid-1.5.2-alt1.x86_64
libpcsclite-1.9.9-alt1.x86_64
pcsc-tools-1.6.0-alt1.x86_64
opensc-0.24.0-alt1.x86_64

OpenCT не установлен:
$ rpm -q openct
пакет openct не установлен

В Info.plist нужные записи есть.
Тем не менее, pcsc_scan устройство не находит:
$ sudo pcsc_scan
Using reader plug'n play mechanism
Scanning present readers...
Waiting for the first reader... / SCardGetStatusChange: Command cancelled

В режиме отладки pcscd выдаёт следующее:
$ sudo /usr/sbin/pcscd -afd
00000000 [140031843997888] debuglog.c:390:DebugLogSetLevel() debug level=debug
00000040 [140031843997888] utils.c:82:GetDaemonPid() Can't open /var/run/pcscd/pcscd.pid: No such file or directory
00000074 [140031843997888] configfile.l:293:DBGetReaderListDir() Parsing conf directory: /etc/reader.conf.d
00000023 [140031843997888] configfile.l:329:DBGetReaderListDir() Skipping non regular file: ..
00000005 [140031843997888] configfile.l:369:DBGetReaderList() Parsing conf file: /etc/reader.conf.d/libccidtwin
00000024 [140031843997888] configfile.l:329:DBGetReaderListDir() Skipping non regular file: .
00000005 [140031843997888] pcscdaemon.c:666:main() pcsc-lite 1.9.9 daemon ready.
00002351 [140031843997888] hotplug_libudev.c:300:get_driver() Looking for a driver for VID: 0x1D6B, PID: 0x0002, path: /dev/bus/usb/001/001
00000106 [140031843997888] hotplug_libudev.c:300:get_driver() Looking for a driver for VID: 0x1D6B, PID: 0x0002, path: /dev/bus/usb/001/001
00000099 [140031843997888] hotplug_libudev.c:300:get_driver() Looking for a driver for VID: 0x1D6B, PID: 0x0002, path: /dev/bus/usb/001/001
00000116 [140031843997888] hotplug_libudev.c:300:get_driver() Looking for a driver for VID: 0x0627, PID: 0x0001, path: /dev/bus/usb/001/003
00000203 [140031843997888] hotplug_libudev.c:300:get_driver() Looking for a driver for VID: 0x1D6B, PID: 0x0003, path: /dev/bus/usb/002/001
00000078 [140031843997888] winscard_msg_srv.c:256:ProcessEventsServer() Common channel packet arrival
00000011 [140031843997888] winscard_msg_srv.c:267:ProcessEventsServer() ProcessCommonChannelRequest detects: 7
00000005 [140031843997888] pcscdaemon.c:133:SVCServiceRunLoop() A new context thread creation is requested: 7
00003423 [140031827207744] winscard_svc.c:340:ContextThread() Authorized PC/SC client
00000009 [140031827207744] winscard_svc.c:343:ContextThread() Thread is started: dwClientID=7, threadContext @0x55bbaddaece0
00000008 [140031827207744] winscard_svc.c:361:ContextThread() Received command: CMD_VERSION from client 7
00000007 [140031827207744] winscard_svc.c:373:ContextThread() Client is protocol version 4:4
00000004 [140031827207744] winscard_svc.c:396:ContextThread() CMD_VERSION for client 7, rv=SCARD_S_SUCCESS
00000036 [140031827207744] winscard_svc.c:361:ContextThread() Received command: ESTABLISH_CONTEXT from client 7
00000009 [140031827207744] winscard.c:215:SCardEstablishContext() Establishing Context: 0x4CF1F593
00000003 [140031827207744] winscard_svc.c:465:ContextThread() ESTABLISH_CONTEXT for client 7, rv=SCARD_S_SUCCESS
00000062 [140031843997888] winscard_msg_srv.c:256:ProcessEventsServer() Common channel packet arrival
00000018 [140031843997888] winscard_msg_srv.c:267:ProcessEventsServer() ProcessCommonChannelRequest detects: 10
00000006 [140031843997888] pcscdaemon.c:133:SVCServiceRunLoop() A new context thread creation is requested: 10
00002149 [140031802029632] winscard_svc.c:340:ContextThread() Authorized PC/SC client
00000010 [140031802029632] winscard_svc.c:343:ContextThread() Thread is started: dwClientID=10, threadContext @0x55bbadd97490
00000009 [140031802029632] winscard_svc.c:361:ContextThread() Received command: CMD_VERSION from client 10
00000008 [140031802029632] winscard_svc.c:373:ContextThread() Client is protocol version 4:4
00000005 [140031802029632] winscard_svc.c:396:ContextThread() CMD_VERSION for client 10, rv=SCARD_S_SUCCESS
00000027 [140031802029632] winscard_svc.c:361:ContextThread() Received command: ESTABLISH_CONTEXT from client 10
00000009 [140031802029632] winscard.c:215:SCardEstablishContext() Establishing Context: 0x5E492B5C
00000002 [140031802029632] winscard_svc.c:465:ContextThread() ESTABLISH_CONTEXT for client 10, rv=SCARD_S_SUCCESS
00000038 [140031827207744] winscard_svc.c:361:ContextThread() Received command: CMD_GET_READERS_STATE from client 7
00000033 [140031827207744] winscard_svc.c:361:ContextThread() Received command: RELEASE_CONTEXT from client 7
00000007 [140031827207744] winscard.c:229:SCardReleaseContext() Releasing Context: 0x4CF1F593
00000002 [140031827207744] winscard_svc.c:480:ContextThread() RELEASE_CONTEXT for client 7, rv=SCARD_S_SUCCESS
00000028 [140031827207744] winscard_svc.c:354:ContextThread() Client die: 7
00000011 [140031827207744] winscard_svc.c:1071:MSGCleanupClient() Thread is stopping: dwClientID=7, threadContext @0x55bbaddaece0
00000005 [140031827207744] winscard_svc.c:1079:MSGCleanupClient() Freeing SCONTEXT @0x55bbaddaece0
00000006 [140031843997888] winscard_msg_srv.c:256:ProcessEventsServer() Common channel packet arrival
00000020 [140031843997888] winscard_msg_srv.c:267:ProcessEventsServer() ProcessCommonChannelRequest detects: 12
00000003 [140031843997888] pcscdaemon.c:133:SVCServiceRunLoop() A new context thread creation is requested: 12
00002107 [140031793636928] winscard_svc.c:340:ContextThread() Authorized PC/SC client
00000010 [140031793636928] winscard_svc.c:343:ContextThread() Thread is started: dwClientID=12, threadContext @0x55bbaddad970
00000007 [140031793636928] winscard_svc.c:361:ContextThread() Received command: CMD_VERSION from client 12
00000006 [140031793636928] winscard_svc.c:373:ContextThread() Client is protocol version 4:4
00000005 [140031793636928] winscard_svc.c:396:ContextThread() CMD_VERSION for client 12, rv=SCARD_S_SUCCESS
00000032 [140031793636928] winscard_svc.c:361:ContextThread() Received command: ESTABLISH_CONTEXT from client 12
00000006 [140031793636928] winscard.c:215:SCardEstablishContext() Establishing Context: 0x5261E2ED
00000002 [140031793636928] winscard_svc.c:465:ContextThread() ESTABLISH_CONTEXT for client 12, rv=SCARD_S_SUCCESS
00000022 [140031793636928] winscard_svc.c:361:ContextThread() Received command: CMD_GET_READERS_STATE from client 12
00000034 [140031802029632] winscard_svc.c:361:ContextThread() Received command: RELEASE_CONTEXT from client 10
00000009 [140031802029632] winscard.c:229:SCardReleaseContext() Releasing Context: 0x5E492B5C
00000006 [140031802029632] winscard_svc.c:480:ContextThread() RELEASE_CONTEXT for client 10, rv=SCARD_S_SUCCESS
00000026 [140031802029632] winscard_svc.c:354:ContextThread() Client die: 10
00000011 [140031802029632] winscard_svc.c:1071:MSGCleanupClient() Thread is stopping: dwClientID=10, threadContext @0x55bbadd97490
00000002 [140031802029632] winscard_svc.c:1079:MSGCleanupClient() Freeing SCONTEXT @0x55bbadd97490
00000006 [140031843997888] winscard_msg_srv.c:256:ProcessEventsServer() Common channel packet arrival
00000015 [140031843997888] winscard_msg_srv.c:267:ProcessEventsServer() ProcessCommonChannelRequest detects: 7
00000005 [140031843997888] pcscdaemon.c:133:SVCServiceRunLoop() A new context thread creation is requested: 7
00002002 [140031827207744] winscard_svc.c:340:ContextThread() Authorized PC/SC client
00000008 [140031827207744] winscard_svc.c:343:ContextThread() Thread is started: dwClientID=7, threadContext @0x55bbadd97490
00000007 [140031827207744] winscard_svc.c:361:ContextThread() Received command: CMD_VERSION from client 7
00000007 [140031827207744] winscard_svc.c:373:ContextThread() Client is protocol version 4:4
00000004 [140031827207744] winscard_svc.c:396:ContextThread() CMD_VERSION for client 7, rv=SCARD_S_SUCCESS
00000033 [140031827207744] winscard_svc.c:361:ContextThread() Received command: ESTABLISH_CONTEXT from client 7
00000006 [140031827207744] winscard.c:215:SCardEstablishContext() Establishing Context: 0x7C834197
00000003 [140031827207744] winscard_svc.c:465:ContextThread() ESTABLISH_CONTEXT for client 7, rv=SCARD_S_SUCCESS
00000047 [140031793636928] winscard_svc.c:361:ContextThread() Received command: CMD_WAIT_READER_STATE_CHANGE from client 12
00000007 [140031793636928] winscard_svc.c:842:MSGSendReaderStates() Send reader states: 12
^C08903853 [140031843993152] pcscdaemon.c:193:signal_thread() Received signal: 2
00000037 [140031843993152] pcscdaemon.c:227:signal_thread() Preparing for suicide
00001216 [140031843997888] hotplug_libudev.c:709:HPStopHotPluggables() Hotplug stopped
01000230 [140031843997888] readerfactory.c:1377:RFCleanupReaders() entering cleaning function
00000043 [140031843997888] winscard_svc.c:155:ContextsDeinitialize() remaining threads: 2
00000010 [140031843997888] pcscdaemon.c:799:at_exit() cleaning /var/run/pcscd

Подскажите, куда копать?

Подскажите, пожалуйста, почему так происходит?

Моя конфигурация:

sssd.conf
---

[sssd]
domains = test.blue.white.red
config_file_version = 2
services = nss, pam, ifp
debug_level=10

[domain/test.blue.white.red]
ad_gpo_map_interactive = +fly-dm
ad_update_samba_machine_account_password = True
krb5_renew_interval = 600s
krb5_renewable_lifetime = 7d
krb5_ccname_template = FILE:%d/krb5cc_%U
ad_gpo_access_control = disabled
ad_domain = test.blue.white.red
krb5_realm = TEST.BLUE.WHITE.RED
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u@%d
access_provider = ad
enumerate = False
krb5_auth_timeout = 120
ignore_group_members = True
debug_level=10

[ifp]
allowed_uids = 0, 33, 114, 106
debug_level=10

[pam]
#pam_pwd_expiration_warning = 7
pam_cert_auth = True
p11_child_timeout = 240
pam_cert_db_path = /etc/ssl/certs/ca-certificates.crt
p11_uri = PKCS11:model=Rutoken%20ECP%20NFC;serial=424a928f
pam_p11_allowed_services = +cinnamon-screensaver, +mate-screensaver, +lightdm
debug_level=10

#[certmap/test.blue.white.red/nt_principal]
#maprule = (|(userPrincipalName={subject_nt_principal})(samAccountName={subject_nt_principal.short_name}))

---
krb5.conf
---
# File modified by /bin/astra-ad-sssd-client
[libdefaults]
default_realm = TEST.BLUE.WHITE.RED
canonicalize = true
pkinit_anchors = FILE:/etc/ssl/certs/ca-certificates.crt
default_ccache_name = FILE:/tmp/krb5cc_%{uid}
pkinit_eku_checking = none
pkinit_kdc_hostname = dc.test.blue.white.red
#pkinit_identities = PKCS11:librtpkcs11ecp.so
#pkinit_identities = /usr/lib/librtpkcs11ecp.so
default_tgs_enctypes =  aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
default_tkt_enctypes =  aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
preferred_enctypes =  aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5

[realms]
    TEST.BLUE.WHITE.RED = {
        kdc = test.blue.white.red
        admin_server = test.blue.white.red
        default_domain = test.blue.white.red
    }

[domain_realm]
    test.blue.white.red = TEST.BLUE.WHITE.RED
    .test.blue.white.red = TEST.BLUE.WHITE.RED
---

Эпилог:
Реализовал связку OpenVPN 2.6.9 + gost engine.
Соединение успешно поднято, была проблема что openvpn --show-ciphers не отображал гост шифровальщики. Как я понял openvpn их ищет из криптопровайдеров. ( решилось когда подключил криптопровайдеров из module =...gostprov.so в openssl)

Вопрос. Как подключить криптопровайдеры, используя только либы от рутокен?

Вопрос. Если ли актуальный мануал по настройке всего этого добра?

У меня Рутокен ЭЦП 2.0 Flash, нужно настроить аутентификацию в РЕД ОС с помощью Pin кода Рутокен. Пользуюсь инструкцией https://dev.rutoken.ru/pages/viewpage.a … d=66814591 . Проблема в том что не получается настроить автоблокировку c PIN, те при входе на экране приветствия получилось сделать вход по PIN, но при блокировке экрана запрашивается пароль.

Название графической оболочки MATE → mate-screensaver , соответственно пишу в pkcs11_eventmgr.conf:

 # Вызываем функцию блокировки экрана
        action = "mate-screensaver-command --lock";

Т.е был создан /etc/pam_pkcs11/pkcs11_eventmgr.conf со следующий содержимым:

pkcs11_eventmgr
{
    # Запуск в бэкграунде
    daemon = true;
      
    # Настройка сообщений отладки
    debug = false;
  
    # Время опроса в секундах
    polling_time = 1;
  
    # Установка тайм-аута на удаление карты
    # По-умолчанию 0
    expire_time = 0;
  
    # Выбор pkcs11 библиотеки для работы с Рутокен
    pkcs11_module = /usr/lib64/librtpkcs11ecp.so;
  
    # Действия с картой
    # Карта вставлена:
    event card_insert {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore ;
  
        action = "/bin/false";
    }
  
    # Карта извлечена
    event card_remove {
        on_error = ignore;
          
        # Вызываем функцию блокировки экрана
        action = "mate-screensaver-command --lock";
    }
  
    # Карта долгое время извлечена
    event expire_time {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore;
  
        action = "/bin/false";
    }
}

Далее создан /etc/xdg/autostart/smartcard-screensaver.desktop, со следующим содержимым:

[Desktop Entry]
Type=Application
Name=Smart Card Screensaver
Comment=Application to lock screen on smart card removal.
Exec=/usr/bin/pkcs11_eventmgr daemon

После сделана перезагрузка компьютера. Выполнен вход по PIN.
Далее при установке блокировки экрана все равно пароль, а не PIN.
При том что в терминале и при входе в систему удается авторизоваться по PIN (т.е. проблема только с блокировкой экрана).