1 Тема от DrDiver (2019-12-20 08:33:47 отредактировано DrDiver)

  • DrDiver
  • Посетитель
  • Неактивен

Linux Debian 10 удаление сертификата.

Возник следующий вопрос. Используем в организации для двухфакторной авторизации rutoken ecp.

Сейчас возникла необходимость в обновлении сертификатов пользователей. Сертификаты сгенерированны по алгоритму RSA

Вариант с 

$ pkcs15-init -E
$ pkcs15-init --create-pkcs15 --so-pin "87654321" --so-puk ""
$ pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "12345678" --puk "" --so-pin "87654321" --finalize

не устраивает, т.к. на токенах есть действующие сертификаты ГОСТ для других целей.

Пробовал при помощи 

pkcs11-tool --module /opt/aktivco/rutokenecp/x86_64/librtpkcs11ecp.so --delete-object --type cert --label 'NAME:NAME’s LLC ID' --pin 12345678 -v --login

но остается закрытый ключ и как его достать я понять не могу (может и нет смысла его удалять).
Так же не нашел способа менять token label (или token name).

2 Ответ от Павел Анфимов

  • Павел Анфимов
  • Администратор
  • Неактивен

Re: Linux Debian 10 удаление сертификата.

Здравствуйте, DrDiver!

Для работы с утилитами PKCS#15 нужно создать файловую структуру, которой нет на токене изначально.

Предлагаем вам использовать только PKCS#11 интерфейс, чтобы сохранить ГОСТ-сертификаты, и настроить вход в Линукс по инструкции:
https://dev.rutoken.ru/pages/viewpage.a … Id=3440665

3 Ответ от DrDiver

  • DrDiver
  • Посетитель
  • Неактивен

Re: Linux Debian 10 удаление сертификата.

Павел Анфимов пишет:

Здравствуйте, DrDiver!
Предлагаем вам использовать только PKCS#11 интерфейс, чтобы сохранить ГОСТ-сертификаты, и настроить вход в Линукс по инструкции:
https://dev.rutoken.ru/pages/viewpage.a … Id=3440665

примерно так и настроено (но в качестве генератора ключей используется веб-портал с EJBCA)

на данный момент удаляю сертификат с токена командой

pkcs11-tool --module <LIB_PATH> -b --id <ID_OBJ> --type cert --pin $PIN
pkcs11-tool --module <LIB_PATH> -b --id <ID_OBJ> --type pubkey --pin $PIN
pkcs11-tool --module <LIB_PATH> -b --id <ID_OBJ> --type privkey --pin $PIN

но столкнулся со следующей проблемой:
Есть часть токенов на которые сертификаты были записаны на ОС Windows (через mozillla с подключением виндовой библиотеки). При попытке удалить сертификаты на linux при помощи вышеуказанных команд пишет 

Using slot 0 with a present token (0x0)
error: PKCS11 function C_DestroyObject() failed: rv = CKR_FUNCTION_FAILED (0x6)
Aborting.

Просьба уточнить есть ли способ удалять подобные сертификаты с linux?

4 Ответ от Павел Анфимов

  • Павел Анфимов
  • Администратор
  • Неактивен

Re: Linux Debian 10 удаление сертификата.

DrDriver, ОС Windows (через mozillla с подключением виндовой библиотеки) я так понимаю использовалась rtPKCS11.dll, вместо rtPKCS11ECP.dll.

Удаление таких объектов появится в следующей версии rtPKCS11ECP. Напишите на hotline@rutoken.ru, чтобы мы вас оповестили о выходе новой версии.

5 Ответ от DrDiver

  • DrDiver
  • Посетитель
  • Неактивен

Re: Linux Debian 10 удаление сертификата.

Павел Анфимов пишет:

DrDriver, ОС Windows (через mozillla с подключением виндовой библиотеки) я так понимаю использовалась rtPKCS11.dll, вместо rtPKCS11ECP.dll.

Удаление таких объектов появится в следующей версии rtPKCS11ECP. Напишите на hotline@rutoken.ru, чтобы мы вас оповестили о выходе новой версии.

Действительно.
Проверил с rtPKCS11ECP - позволяет удалять.
Но если выгружать сертификат в .p12 с закрытым ключом и записывать при помощи рутокен панели - тоже не дает удалять (видимо использует rtPKCS11.dll)

а что необходимо написать на hotline@rutoken.ru ?

6 Ответ от Павел Анфимов

  • Павел Анфимов
  • Администратор
  • Неактивен

Re: Linux Debian 10 удаление сертификата.

DrDiver, верно, Панель управления импортирует через rtPKCS11.dll.
Но импорт RSA в p12 возможен и через pkcs11-tool + openssl. Руководство как это сделать: https://dev.rutoken.ru/pages/viewpage.a … Id=4227146

На hotline@rutoken.ru напишите, что ожидаете выход версии rtPKCS11ECP в возможностью удалять объекты, созданные rtPKCS11.dll.