Форум Рутокен — TLS с помощью RSA ключа на Рутокен ЭЦП

Re: TLS с помощью RSA ключа на Рутокен ЭЦП

null@example.com (Евгений Мироненко) — Tue, 17 Sep 2024 17:00:16 +0000

Ахат пишет:

Да, помогло, благодарю за ответы. Дальше ошибка "ee key too small", хотя ключи 2048 бит.

Есть подозрения, что в современном openssl security level по умолчанию установлен в значение 2, поэтому эффективное значение безопасности ключа в битах должно быть не меньше 128, что соответствует длине ключа как минимум 3072 (см. https://github.com/openssl/openssl/blob … C5-L337C20 https://github.com/openssl/openssl/blob … fy.c#L3597 https://github.com/openssl/openssl/blob … tls1.h#L31 https://github.com/openssl/openssl/blob … lib.c#L385 https://github.com/openssl/openssl/blob … fy.c#L3624)

В этом ответе есть рекомендации по установке security level ниже через конфиг openssl: https://askubuntu.com/a/1233456

Предлагаю сначала без правок конфига поменять вызов на

s_client -host localhost -port 8443 -cert c:\test\openssl_1.1\cert.pem -keyform engine -key "pkcs11:id=12" -engine rtengine -cipher "DEFAULT:@SECLEVEL=1"

(см. https://github.com/openssl/openssl/issues/3619)

Re: TLS с помощью RSA ключа на Рутокен ЭЦП

null@example.com (Ахат) — Tue, 17 Sep 2024 14:07:44 +0000

Евгений Мироненко пишет:

>Скорее всего, ваш сертификат в der-кодировке, а s_client ожидает PEM. Примерно такая команда перекодирует в PEM:

openssl x509 -in c:\test\openssl_1.1\cert.crt -inform DER -out c:\test\openssl_1.1\cert.pem

Да, помогло, благодарю за ответы. Дальше ошибка "ee key too small", хотя ключи 2048 бит.

c:\test\openssl_1.1>.\openssl.exe x509 -in c:\test\openssl_1.1\cert.crt -inform DER -out c:\test\openssl_1.1\cert.pem

c:\test\openssl_1.1>set OPENSSL_CONF=C:\test\openssl_1.1\openssl.cnf

c:\test\openssl_1.1>.\openssl.exe
OpenSSL> s_client -host localhost -port 8443 -cert c:\test\openssl_1.1\cert.pem -keyform engine -key "pkcs11:id=12" -engine rtengine
engine "rtengine" set.
Enter PKCS#11 token PIN:
error setting certificate
5564:error:140AB18F:SSL routines:SSL_CTX_use_certificate:ee key too small:ssl\ssl_rsa.c:301:
error in s_client
OpenSSL> exit

c:\test\openssl_1.1>type .\cert.pem
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

В сертификате нет использования ключа (KeyUsage и EKU), неужели из-за этого?

Re: TLS с помощью RSA ключа на Рутокен ЭЦП

null@example.com (Евгений Мироненко) — Tue, 17 Sep 2024 05:26:11 +0000

Ахат пишет:

Верно ли я понял, что rtengine-1.6 или новее можно использовать для RSA ключей вместо libp11+libpkcs11 и в линуксе?

Да, верно. Функциональность rtengine одинакова вне зависимости от платформы. Только следует учитывать, что опции конфигурации OPENSSL и способ указания идентификаторов ключей у rtengine и у engine_pkcs11 могут отличаться. В отношении rtengine можно ориентироваться на https://dev.rutoken.ru/pages/viewpage.a … d=43450394

Re: TLS с помощью RSA ключа на Рутокен ЭЦП

null@example.com (Евгений Мироненко) — Tue, 17 Sep 2024 05:21:24 +0000

> В винде s_client почему-то требует доверия к сертификату:

Скорее всего, ваш сертификат в der-кодировке, а s_client ожидает PEM. Примерно такая команда перекодирует в PEM:

openssl x509 -in c:\test\openssl_1.1\cert.crt -inform DER -out c:\test\openssl_1.1\cert.pem

Re: TLS с помощью RSA ключа на Рутокен ЭЦП

null@example.com (Ахат) — Mon, 16 Sep 2024 18:41:25 +0000

Не подскажете версию opensc?

Да, древняя, за 2012 год. На свежей в линуксе:

$ pkcs11-tool --module librtpkcs11ecp.so -O
Using slot 0 with a present token (0x0)
Public Key Object; GOSTR3410-2012-256
  PARAMS OID: 06072a850302022400
  VALUE:      9e46b532be4c3124fd6b9aadf518fd343ea7738a2f49cd2d7d7bc6681f9c61d7
              a88a788152af3b51bcf6cbd62c28d6336f39f0da9ca2cb4a120a42933358357f
  label:      24071601
  ID:         24071601
  Usage:      verify
  Access:     local
Public Key Object; GOSTR3410-2012-256
  PARAMS OID: 06072a850302022400
  VALUE:      9e8d052fff3a9acf168c1718a694fbfb22df5939c461ce03794abfec58000452
              b633898b2276e12b3c165f41d2c1a22187e5b2a8b1070e14cd456e5829f78f2e
  label:      24071602
  ID:         24071602
  Usage:      verify
  Access:     local
Certificate Object; type = X.509 cert
  label:      24071601
  subject:    DN: SNILS=11223344595/......
  serial:     7C00159B7EEC95EF69F8C1798A000800159B7E
  ID:         24071601
Certificate Object; type = X.509 cert
  label:      
  subject:    DN: C=RU, CN=Ivanov/emailAddress=ivanov@mail.ru, ST=Moscow
  serial:     5F197D3E4598875D2BB0897B36D27A8D19B2F17F
  ID:         3132
Public Key Object; RSA 2048 bits
  label:      
  ID:         3132
  Usage:      encrypt, verify, wrap
  Access:     local

Как появились RSA-ключи на токене?

Ключи появились по https://dev.rutoken.ru/pages/viewpage.a … =132777032

pkcs11-tool --module rtpkcs11ecp.dll --keypairgen --key-type rsa:2048 -l --id 3132

В винде s_client почему-то требует доверия к сертификату:

OpenSSL> s_client -host localhost -port 8443 -cert c:\test\openssl_1.1\cert.crt -keyform engine -key "pkcs11:id=12" -engine rtengine
engine "rtengine" set.
Enter PKCS#11 token PIN:
unable to load certificate
9976:error:0909006C:PEM routines:get_name:no start line:crypto\pem\pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
error in s_client

Данный сертификат добавил в Доверенные корневые виндового хранилища, результат не поменялся.
В линуксе такой ошибки не было, хотя там использовалась не rtengine, а libp11 и libpkcs11 из https://github.com/OpenSC/libp11/tree/master - это сказано в инструкции https://dev.rutoken.ru/pages/viewpage.a … =132777032
Верно ли я понял, что rtengine-1.6 или новее можно использовать для RSA ключей вместо libp11+libpkcs11 и в линуксе?

Re: TLS с помощью RSA ключа на Рутокен ЭЦП

null@example.com (Евгений Мироненко) — Mon, 16 Sep 2024 17:14:42 +0000

Но если задавать переменную OPENSSL_CONF и такой конфиг, то ломается pkcs11-tool:

Это интересное поведение. Не подскажете версию opensc? Мой pkcs11-tool (opensc 0.25.1) как будто не зависит от переменной OPENSSL_CONF.

Если не задавать OPENSSL_CONF, то pkcs11-tool работает, но после добавления сертификата не видит публичный RSA ключ как отдельный объект:

Еще одно интересное поведение. Как появились RSA-ключи на токене? Существовал ли изначально публичный ключ или был только приватный? Есть вывод pkcs11-tool -O -l до импорта сертификата?

Re: TLS с помощью RSA ключа на Рутокен ЭЦП

null@example.com (Ахат) — Mon, 16 Sep 2024 16:21:39 +0000

Добавил в конфиг:

# Настройки создания запросов на сертификат
[req]
prompt = no
distinguished_name = req_distinguished_name
req_extensions = ext

# Сведения о владельце сертификата
[req_distinguished_name]
countryName = RU
commonName = Ivanov
emailAddress = ivanov@mail.ru
stateOrProvinceName = Moscow

# Расширения сертификата
[ext]
subjectSignTool = ASN1:FORMAT:UTF8,UTF8String:СКЗИ \"Рутокен ЭЦП 2.0\"
extendedKeyUsage=emailProtection
keyUsage=digitalSignature,nonRepudiation,keyEncipherment,dataEncipherment

Самоподписанный успешно создался:

c:\test\openssl_1.1>.\openssl.exe
OpenSSL> req -engine rtengine -new -key pkcs11:id=12 -keyform engine -x509 -out cert.crt -outform DER
engine "rtengine" set.
Enter PKCS#11 token PIN:
OpenSSL> exit

Но если задавать переменную OPENSSL_CONF и такой конфиг, то ломается pkcs11-tool:

C:\distr\OpenSC Project\OpenSC\tools>.\pkcs11-tool.exe --module rtPKCS11ECP.dll -T
Auto configuration failed
4480:error:25078067:DSO support routines:WIN32_LOAD:could not load the shared library:.\crypto\dso\dso_win32.c:172:filename(c:\test\openssl_1.1\rtengine.dll)
4480:error:25070067:DSO support routines:DSO_load:could not load the shared library:.\crypto\dso\dso_lib.c:244:
4480:error:260B6084:engine routines:DYNAMIC_LOAD:dso not found:.\crypto\engine\eng_dyn.c:450:
4480:error:0E07606D:configuration file routines:MODULE_RUN:module initialization error:.\crypto\conf\conf_mod.c:235:module=engines, value=engine_section, retcode=-1

Если не задавать OPENSSL_CONF, то pkcs11-tool работает, но после добавления сертификата не видит публичный RSA ключ как отдельный объект:

C:\distr\OpenSC Project\OpenSC\tools>.\pkcs11-tool.exe --module rtPKCS11ECP.dll -l -y cert -w C:\test\openssl_1.1\cert.crt --id 3132
Using slot 0 with a present token (0x0)
Logging in to "Rutoken ECP ".
Please enter User PIN: Created certificate:
Certificate Object, type = X.509 cert
  label:
  ID:         3132

C:\distr\OpenSC Project\OpenSC\tools>.\pkcs11-tool.exe --module rtPKCS11ECP.dll -O
Using slot 0 with a present token (0x0)
Public Key Object; GOSTR3410
  PARAMS OID: 06072a850302022400
  VALUE:      9e46b532be4c3124fd6b9aadf518fd343ea7738a2f49cd2d7d7bc6681f9c61d7
              a88a788152af3b51bcf6cbd62c28d6336f39f0da9ca2cb4a120a42933358357f
  label:      24071601
  ID:         24071601
  Usage:      verify
Public Key Object; GOSTR3410
  PARAMS OID: 06072a850302022400
  VALUE:      9e8d052fff3a9acf168c1718a694fbfb22df5939c461ce03794abfec58000452
              b633898b2276e12b3c165f41d2c1a22187e5b2a8b1070e14cd456e5829f78f2e
  label:      24071602
  ID:         24071602
  Usage:      verify
Certificate Object, type = X.509 cert
  label:      24071601
  ID:         24071601
Certificate Object, type = X.509 cert
  label:
  ID:         3132

- по данному выводу не ясно есть ли соответствующие ключи или сертификат без ключей.
В ПУР данный сертификат отображается в разделе Сертификаты с ключами.
Но бывает, что в ПУР RSA сертификат (не данный, другой) тоже не отображается в разделе "Сертификаты с ключами", а отображается в разделе "Сертификаты", при этом ключевая пара есть. Это зависит только от версии ПУР?

Re: TLS с помощью RSA ключа на Рутокен ЭЦП

null@example.com (Евгений Мироненко) — Mon, 16 Sep 2024 16:03:35 +0000

OpenSSL> req -engine rtengine -new -key 0:3132 -keyform engine -x509 -out cert.crt -outform DER
engine "rtengine" set.
Can't open C:\Program Files\Common Files\SSL/openssl.cnf for reading, No error
11904:error:02001003:system library:fopen:No such process:crypto\bio\bss_file.c:69:fopen('C:\Program Files\Common Files\SSL/openssl.cnf','r')
11904:error:2006D080:BIO routines:BIO_new_file:no such file:crypto\bio\bss_file.c:76:
error in req

Эта ошибка как раз подтверждает, что утилита req не может существовать без openssl.cnf. Просто если вы загружаете rtengine через dynamic engine, в openssl.cnf не должно быть упоминаний/загрузки rtengine, но могут быть все прочие настройки.

Re: TLS с помощью RSA ключа на Рутокен ЭЦП

null@example.com (Евгений Мироненко) — Mon, 16 Sep 2024 16:00:37 +0000

Вынужден вас отправить к документации на openssl: https://docs.openssl.org/master/man1/op … /#examples и к этому ответу на stackexchange: https://superuser.com/questions/947061/ … -in-config

TL/DR: для того, чтобы работала утилита req из openssl-tool, в openssl.cnf нужны дополнительные настройки.

Re: TLS с помощью RSA ключа на Рутокен ЭЦП

null@example.com (Ахат) — Mon, 16 Sep 2024 14:31:21 +0000

Через конфиг заработало, но почему не принимает distinguished_name из команды:

OpenSSL> req -engine rtengine -new -key pkcs11:id=12 -keyform engine -x509 -out cert.crt -outform DER
engine "rtengine" set.
Enter PKCS#11 token PIN:
unable to find 'distinguished_name' in config
problems making Certificate Request
12996:error:0E06D06C:configuration file routines:NCONF_get_string:no value:crypto\conf\conf_lib.c:273:group=req name=distinguished_name
error in req

OpenSSL> req -engine rtengine -new -key pkcs11:id=12 -keyform engine -x509 -out cert.crt -outform DER -subj "/C=RU/ST=Moscow/L=Moscow/O=Aktiv/OU=dev/CN=testuser/emailAddress=testuser@mail.com"
engine "rtengine" set.
Enter PKCS#11 token PIN:
unable to find 'distinguished_name' in config
problems making Certificate Request
12996:error:0E06D06C:configuration file routines:NCONF_get_string:no value:crypto\conf\conf_lib.c:273:group=req name=distinguished_name
error in req

Re: TLS с помощью RSA ключа на Рутокен ЭЦП

null@example.com (Ахат) — Mon, 16 Sep 2024 14:13:23 +0000

Евгений, благодарю за ответ.

Евгений Мироненко пишет:

Загрузка осуществляется командой:
> engine dynamic -pre SO_PATH:c:\test\openssl_1.1\rtengine.dll -pre ID:rtengine -pre LIST_ADD:1 -pre LOAD -pre pkcs11_path:rtpkcs11ecp.dll

c:\test\openssl_1.1>echo %OPENSSL_CONF%
%OPENSSL_CONF%

c:\test\openssl_1.1>.\openssl.exe
OpenSSL> engine dynamic -pre SO_PATH:c:\test\openssl_1.1\rtengine.dll -pre ID:rtengine -pre LIST_ADD:1 -pre LOAD -pre pkcs11_path:rtpkcs11ecp.dll
(dynamic) Dynamic engine loading support
[Success]: SO_PATH:c:\test\openssl_1.1\rtengine.dll
[Success]: ID:rtengine
[Success]: LIST_ADD:1
[Success]: LOAD
[Success]: pkcs11_path:rtpkcs11ecp.dll
Loaded: (rtengine) Rutoken engine

OpenSSL> req -engine rtengine -new -key 0:3132 -keyform engine -x509 -out cert.crt -outform DER
engine "rtengine" set.
Can't open C:\Program Files\Common Files\SSL/openssl.cnf for reading, No error
11904:error:02001003:system library:fopen:No such process:crypto\bio\bss_file.c:69:fopen('C:\Program Files\Common Files\SSL/openssl.cnf','r')
11904:error:2006D080:BIO routines:BIO_new_file:no such file:crypto\bio\bss_file.c:76:
error in req

Re: TLS с помощью RSA ключа на Рутокен ЭЦП

null@example.com (Евгений Мироненко) — Mon, 16 Sep 2024 13:40:08 +0000

Ахат, добрый день!

Среди ваших попыток загрузки engine была, как минимум, одна удачная, но она осталась незамеченной. Давайте разберемся.

Существует два метода загрузки engine в openssl-tool:
1. С использованием конфигурационного файла openssl.cnf
2. При помощи dynamic engine (https://github.com/openssl/openssl/blob … ic-engines)

Как произвести загрузку rtengine с использованием openssl.cnf

1. Указать в openssl.cnf, как минимум, следующие значения:

openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
rtengine = gost_section

[gost_section]
dynamic_path = c:\\test\\openssl_1.1\\rtengine.dll
pkcs11_path = c:\\windows\\system32\\rtpkcs11ecp.dll
# rand_token = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP
default_algorithms = CIPHERS, DIGEST, PKEY
# enable_rand = yes

* Я закомментировал опции rand_token и enable_rand, чтобы openssl-tool с rtengine мог работать и без токена. Если вам из соображений безопасности важно брать энтропию для случайных чисел с токена, так делать не стоит.

* На windows есть проблема с прямыми/обратными слешами. Рабочий вариант (проверил у себя перед рекомендацией) -- использовать по два обратных слеша.

2. Задать переменную окружения OPENSSL_CONF, указывающую на ваш файл openssl.cnf. В пределах одной консоли cmd.exe это делается командой set OPENSSL_CONF=C:\test\openssl_1.1\openssl.cnf

Как произвести загрузку rtengine с использованием dynamic engine

Загрузка осуществляется командой:

> engine dynamic -pre SO_PATH:c:\test\openssl_1.1\rtengine.dll -pre ID:rtengine -pre LIST_ADD:1 -pre LOAD -pre pkcs11_path:rtpkcs11ecp.dll

Загрузка openssl при помощи dynamic engine, пожалуй, имеет смысл только если вы используете openssl-tool как криптокалькулятор (однократно запустили openssl без параметров, и через командный интерфейс зовете доступные команды).

Загрузка rtengine обоими способами сразу (что вы продемонстрировали) не имеет логичного объяснения и на предвещает ничего хорошего.

Re: TLS с помощью RSA ключа на Рутокен ЭЦП

null@example.com (Ахат) — Mon, 16 Sep 2024 12:34:16 +0000

Поменял в конфиге слеши на обратные:

c:\test\openssl_1.1>.\openssl.exe engine dynamic -pre SO_PATH:c:\test\openssl_1.1\rtengine.dll -pre ID:rtengine -pre LIST_ADD:1 -pre LOAD -pre pkcs11_path:rtpkcs11ecp.dll
(dynamic) Dynamic engine loading support
[Success]: SO_PATH:c:\test\openssl_1.1\rtengine.dll
[Success]: ID:rtengine
[Success]: LIST_ADD:1
[Success]: LOAD
[Success]: pkcs11_path:rtpkcs11ecp.dll
Loaded: (rtengine) Rutoken engine
tengine.dll)5078067:DSO support routines:win32_load:could not load the shared library:crypto\dso\dso_win32.c:108:filename(c:    estopenssl_1.1
8844:error:25070067:DSO support routines:DSO_load:could not load the shared library:crypto\dso\dso_lib.c:162:
8844:error:260B6084:engine routines:dynamic_load:dso not found:crypto\engine\eng_dyn.c:434:
tengine.dll260BC066:engine routines:int_engine_configure:engine configuration error:crypto\engine\eng_cnf.c:141:section=gost_section, name=dynamic_path, value=c:       estopenssl_1.1
8844:error:0E07606D:configuration file routines:module_run:module initialization error:crypto\conf\conf_mod.c:177:module=engines, value=engine_section, retcode=-1

c:\test\openssl_1.1>type %OPENSSL_CONF%
openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
rtengine = gost_section

[gost_section]
dynamic_path = c:\test\openssl_1.1\rtengine.dll
pkcs11_path = c:\windows\system32\rtpkcs11ecp.dll
#rand_token = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP
#default_algorithms = CIPHERS, DIGEST, PKEY
#enable_rand = yes

c:\test\openssl_1.1>"C:\distr\OpenSC Project\OpenSC\tools\pkcs11-tool.exe" --module rtpkcs11ecp.dll --list-slots
Auto configuration failed
tengine.dll)25078067:DSO support routines:WIN32_LOAD:could not load the shared library:.\crypto\dso\dso_win32.c:172:filename(c: estopenssl_1.1
13156:error:25070067:DSO support routines:DSO_load:could not load the shared library:.\crypto\dso\dso_lib.c:244:
13156:error:260B6084:engine routines:DYNAMIC_LOAD:dso not found:.\crypto\engine\eng_dyn.c:450:
13156:error:0E07606D:configuration file routines:MODULE_RUN:module initialization error:.\crypto\conf\conf_mod.c:235:module=engines, value=engine_section, retcode=-1

Re: TLS с помощью RSA ключа на Рутокен ЭЦП

null@example.com (Ахат) — Mon, 16 Sep 2024 12:27:25 +0000

Филиппов Никита пишет:

Ахат, Необходимо указывать имя rtengine и в ID:rtengine.
Документация по этим опциям.

c:\test\openssl_1.1>.\openssl.exe engine dynamic -pre SO_PATH:c:/test/openssl_1.1/rtengine.dll -pre ID:rtengine -pre LIST_ADD:1 -pre LOAD -pre pkcs11_path:rtpkcs11ecp.dll
(dynamic) Dynamic engine loading support
[Success]: SO_PATH:c:/test/openssl_1.1/rtengine.dll
[Success]: ID:rtengine
[Success]: LIST_ADD:1
[Failure]: LOAD
13088:error:260B606D:engine routines:dynamic_load:init failed:crypto\engine\eng_dyn.c:507:
[Failure]: pkcs11_path:rtpkcs11ecp.dll
13088:error:260AC089:engine routines:int_ctrl_helper:invalid cmd name:crypto\engine\eng_ctrl.c:87:
13088:error:260AB089:engine routines:ENGINE_ctrl_cmd_string:invalid cmd name:crypto\engine\eng_ctrl.c:255:

c:\test\openssl_1.1>.\openssl.exe engine dynamic -pre SO_PATH:c:/test/openssl_1.1/rtengine.dll -pre ID:rtengine -pre LIST_ADD:1 -pre LOAD -pre pkcs11_path:c:/windows/system32/rtpkcs11ecp.dll
(dynamic) Dynamic engine loading support
[Success]: SO_PATH:c:/test/openssl_1.1/rtengine.dll
[Success]: ID:rtengine
[Success]: LIST_ADD:1
[Failure]: LOAD
9436:error:260B606D:engine routines:dynamic_load:init failed:crypto\engine\eng_dyn.c:507:
[Failure]: pkcs11_path:c:/windows/system32/rtpkcs11ecp.dll
9436:error:260AC089:engine routines:int_ctrl_helper:invalid cmd name:crypto\engine\eng_ctrl.c:87:
9436:error:260AB089:engine routines:ENGINE_ctrl_cmd_string:invalid cmd name:crypto\engine\eng_ctrl.c:255:

c:\test\openssl_1.1>type %OPENSSL_CONF%
openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
rtengine = gost_section

[gost_section]
dynamic_path = c:/test/openssl_1.1/rtengine.dll
pkcs11_path = c:/windows/system32/rtpkcs11ecp.dll
rand_token = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP
default_algorithms = CIPHERS, DIGEST, PKEY
enable_rand = yes

А также pkcs11-tool дает ошибку:

C:\distr\OpenSC Project\OpenSC\tools>.\pkcs11-tool.exe --module c:\windows\system32\rtpkcs11ecp.dll --list-slots
Auto configuration failed
8668:error:25078067:DSO support routines:WIN32_LOAD:could not load the shared library:.\crypto\dso\dso_win32.c:172:filename(c:/test/openssl_1.1/rtengine.dll)
8668:error:25070067:DSO support routines:DSO_load:could not load the shared library:.\crypto\dso\dso_lib.c:244:
8668:error:260B6084:engine routines:DYNAMIC_LOAD:dso not found:.\crypto\engine\eng_dyn.c:450:
8668:error:0E07606D:configuration file routines:MODULE_RUN:module initialization error:.\crypto\conf\conf_mod.c:235:module=engines, value=engine_section, retcode=-1

C:\distr\OpenSC Project\OpenSC\tools>dir c:\test\openssl_1.1
...
 Содержимое папки c:\test\openssl_1.1

16.09.2024  14:44              .
16.09.2024  14:44              ..
29.11.2023  10:05         2 266 248 libcrypto-1_1-x64.dll
29.11.2023  10:05           636 040 libssl-1_1-x64.dll
16.09.2024  14:57               366 openssl.cnf
16.09.2024  14:39             2 209 openssl.cnf.old
29.11.2023  10:05           731 272 openssl.exe
16.09.2024  14:43        17 561 090 rtengine-1.6.0.zip
16.09.2024  14:44           490 176 rtengine.dll
               7 файлов     21 687 401 байт

c:\test\openssl_1.1>dir c:\windows\system32\rtpkcs11ecp.dll
...
28.08.2024  13:31         4 732 088 rtPKCS11ECP.dll

Re: TLS с помощью RSA ключа на Рутокен ЭЦП

null@example.com (Филиппов Никита) — Mon, 16 Sep 2024 08:37:25 +0000

Ахат, Необходимо указывать имя rtengine и в ID:rtengine.
Документация по этим опциям.