Форум Рутокен — Rutoken ЭЦП + CA на OpenSSL (RSA)

Re: Rutoken ЭЦП + CA на OpenSSL (RSA)

null@example.com (itsec) — Wed, 06 Apr 2016 12:20:07 +0000

Виктор Ткаченко пишет:

SO_PIN по дефолту 87654321

Виктор, я менял дефолтный пароль.

Re: Rutoken ЭЦП + CA на OpenSSL (RSA)

null@example.com (Виктор Ткаченко) — Wed, 06 Apr 2016 10:48:00 +0000

SO_PIN по дефолту 87654321

Re: Rutoken ЭЦП + CA на OpenSSL (RSA)

null@example.com (itsec) — Wed, 06 Apr 2016 10:41:44 +0000

Виктор Ткаченко пишет:

$ pkcs11-tool --module LIBRARY_PATH --init-token --label LABEL --so-pin SO_PIN
$ pkcs11-tool --module LIBRARY_PATH --login --login-type so --so-pin SO_PIN --init-pin --new-pin USER_PIN
 
Где LIBRARY_PATH – путь к librtpkcs11ecp.so
LABEL – ну назовите как-нибудь
SO_PIN – PIN администратора
USER_PIN – это ваш новый PIN пользователя

# pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --init-token --label CA --so-pin 12345678

Using slot 0 with a present token (0x0)
error: PKCS11 function C_InitToken failed: rv = unknown PKCS11 error (0x200)
Aborting.

Слот у меня точно 0
# pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --list-objects --login

Using slot 0 with a present token (0x0)
Logging in to "CA".

Re: Rutoken ЭЦП + CA на OpenSSL (RSA)

null@example.com (Виктор Ткаченко) — Wed, 06 Apr 2016 10:21:58 +0000

$ pkcs11-tool --module LIBRARY_PATH --init-token --label LABEL --so-pin SO_PIN
$ pkcs11-tool --module LIBRARY_PATH --login --login-type so --so-pin SO_PIN --init-pin --new-pin USER_PIN

Где LIBRARY_PATH – путь к librtpkcs11ecp.so
LABEL – ну назовите как-нибудь
SO_PIN – PIN администратора
USER_PIN – это ваш новый PIN пользователя

Re: Rutoken ЭЦП + CA на OpenSSL (RSA)

null@example.com (itsec) — Wed, 06 Apr 2016 05:57:43 +0000

Виктор, а какой командой из под консоли мне отформатировать Рутокен ЭЦП?

Re: Rutoken ЭЦП + CA на OpenSSL (RSA)

null@example.com (itsec) — Tue, 05 Apr 2016 17:30:15 +0000

Виктор Ткаченко пишет:

Что-то типа

[openssl_def]
engines = engine_section
 
[engine_section]
pkcs11 = pkcs11_section
 
 
[pkcs11_section]
engine_id = pkcs11
dynamic_path = /usr/lib/i386-linux-gnu/openssl-1.0.0/engines/engine_pkcs11.so
MODULE_PATH = /usr/lib/librtpkcs11ecp.so
init = 0

Нужно добавить в конфиг.

Спасибо, помогло.
Еще в начале дописал строку

 openssl_conf = openssl_def

Re: Rutoken ЭЦП + CA на OpenSSL (RSA)

null@example.com (Виктор Ткаченко) — Tue, 05 Apr 2016 16:56:46 +0000

Что-то типа

[openssl_def]
engines = engine_section
 
[engine_section]
pkcs11 = pkcs11_section
 
 
[pkcs11_section]
engine_id = pkcs11
dynamic_path = /usr/lib/i386-linux-gnu/openssl-1.0.0/engines/engine_pkcs11.so
MODULE_PATH = /usr/lib/librtpkcs11ecp.so
init = 0

Нужно добавить в конфиг.

Re: Rutoken ЭЦП + CA на OpenSSL (RSA)

null@example.com (itsec) — Tue, 05 Apr 2016 16:52:27 +0000

Виктор Ткаченко пишет:

Да

Виктор, спасибо! Пошел искать эту строку =)
Кстати не подскажите, я каждый раз когда запускаю openssl, то приходится руками подгружать движок и библиотеку

engine -t dynamic -pre SO_PATH:/usr/lib/engines/engine_pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib/librtpkcs11ecp.so

Как мне это в конфиге прописать, чтобы она автоматически при запуске подгружалась?

Re: Rutoken ЭЦП + CA на OpenSSL (RSA)

null@example.com (Виктор Ткаченко) — Tue, 05 Apr 2016 16:48:23 +0000

Да

Re: Rutoken ЭЦП + CA на OpenSSL (RSA)

null@example.com (itsec) — Tue, 05 Apr 2016 16:46:42 +0000

Виктор Ткаченко пишет:

Название организации в корневом должно быть таким же, как в запросе.
Это где-то в конфиге задано.

В конфиге есть строка получается, которая требует чтобы имя организации в запросе было такое же что и в корневом сертификате?

Re: Rutoken ЭЦП + CA на OpenSSL (RSA)

null@example.com (Виктор Ткаченко) — Tue, 05 Apr 2016 16:38:34 +0000

Название организации в корневом должно быть таким же, как в запросе.

Это где-то в конфиге задано.

Re: Rutoken ЭЦП + CA на OpenSSL (RSA)

null@example.com (itsec) — Tue, 05 Apr 2016 16:25:29 +0000

Виктор Ткаченко пишет:

Все получилось?

Не совсем =)

Сертификат УЦ делал так

OpenSSL> req -engine pkcs11 -x509 -new -key 99 -keyform engine -out /etc/ssl/demoCA/ca.crt
engine "pkcs11" set.
PKCS#11 token PIN: 
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Russian
Locality Name (eg, city) []:Saratov
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Libureg
Organizational Unit Name (eg, section) []:Lib
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Запрос на сертификат клиента

OpenSSL> req -engine pkcs11 -new -key 66 -keyform engine -out /etc/ssl/demoCA/request/matrix.csr
engine "pkcs11" set.
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Russian
Locality Name (eg, city) []:Moscow
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cergont
Organizational Unit Name (eg, section) []:Cer
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

При попытке подписать ругается

OpenSSL> ca -engine pkcs11 -keyfile 99 -keyform engine -cert /etc/ssl/demoCA/ca.crt -in /etc/ssl/demoCA/request/matrix.csr -out /etc/ssl/demoCA/newcerts/matrix.crt
Using configuration from /usr/lib/ssl/openssl.cnf
engine "pkcs11" set.
Check that the request matches the signature
Signature ok
The organizationName field needed to be the same in the
CA certificate (Libureg) and the request (Cergont)
error in ca

Что-то ему не нравится в структуре сертификатов.

В конфигурационном файле OpenSSL в секции [req] поправил значение string_mask на pkix.

Не помогло. Почему может возникать такая ошибка?

Re: Rutoken ЭЦП + CA на OpenSSL (RSA)

null@example.com (Виктор Ткаченко) — Tue, 05 Apr 2016 16:17:17 +0000

Все получилось?

Re: Rutoken ЭЦП + CA на OpenSSL (RSA)

null@example.com (itsec) — Tue, 05 Apr 2016 16:15:28 +0000

Виктор Ткаченко пишет:

Так попробуйте:
openssl ca -engine pkcs11 -keyfile 99 -keyform engine -cert /home/user/ca.crt -in /home/user/test.csr -out /home/user/user-cert.pem

Виктор спасибо, но я уже успел разобраться с командой =)

ca -engine pkcs11 -keyfile 99 -keyform engine -cert /etc/ssl/demoCA/ca.crt -in /etc/ssl/demoCA/request/matrix.csr -out /etc/ssl/demoCA/newcerts/matrix.crt

Re: Rutoken ЭЦП + CA на OpenSSL (RSA)

null@example.com (Виктор Ткаченко) — Tue, 05 Apr 2016 15:58:41 +0000

Так попробуйте:

openssl ca -engine pkcs11 -keyfile 99 -keyform engine -cert /home/user/ca.crt -in /home/user/test.csr -out /home/user/user-cert.pem