Ответ от inbank (2022-07-14 23:55:37 отредактировано inbank)

  • inbank
  • Посетитель
  • Неактивен

Re: Автоматическая регистрация сертификата из Рутокен ЭЦП

Это необходимо для аутентификации пользователя.
Например, на веб-сервере.

И это прекрасно работает в linux-системах, где и создавалась ключевая пара с использованием библиотеки librtpkcs11ecp.so

Теперь я пытаюсь выполнять аналогичные вещи в windows-системе.
Для аутентификации на ssh-сервере, например, понадобилось установить фреймворк opensc (см. https://github.com/OpenSC/OpenSC/releases)
И она работает, если использовать с ssh-клиентом аналогичную библиотеку от Aktiv:

C:\Users\ovcharov>ssh -I "C:\Program Files\OpenSC Project\OpenSC\pkcs11\rtPKCS11ECP.dll" ovcharov@192.168.195.23
Enter PIN for 'Rutoken ECP <no label>':
Last login: Thu May 26 12:33:13 2022 from 192.168.224.44
ovcharov@rhel8 ~$

А вот в случае браузера и веб-сервера система желает задействовать сертификат, который находится в разделе Personal виндового хранилища сертификатов (см.картинку выше).
Но как я уже говорил, объяснить системе, что соответствующий сертификату приватный ключ надо искать на ruToken'е, не получается.

Что можно сделать? Хотел попробовать сгенерировать ещё одну ключевую пару в Windows и сертифицировать публичный ключ на том же ЦС. Но почему-то кнопочка "Generate certificate" (та что левее "Import") неактивна -- это видно на моей первой картинке
https://forum.rutoken.ru/uploads/images/2022/07/4781c0dc8eaf168a9aed10f3f2e8de2d.jpg

Ответ от inbank (2022-07-15 00:41:57 отредактировано inbank)

  • inbank
  • Посетитель
  • Неактивен

Re: Автоматическая регистрация сертификата из Рутокен ЭЦП

Выяснил, отчего "Generate certificate" неактивна. Надо залогиниться с административным PIN'ом, чтобы её активировать.
Но средство генерации csr, входящее в комплект софта к рутокену не годится -- оно предлагает только лишь ГОСТовые алгоритмы для ключей.
https://forum.rutoken.ru/uploads/images/2022/07/5645db242ef8d690d92faae223ebf5b7.jpg

а нужна пара RSA ключей, которые в linux создавались следующим образом:

$ pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --keypairgen --key-type "rsa:2048" -l --id 45 --slot-description "Aktiv Rutoken ECP 00 00"

Ответ от Аверченко Кирилл

  • Аверченко Кирилл
  • Техническая поддержка
  • Неактивен

Re: Автоматическая регистрация сертификата из Рутокен ЭЦП

inbank, да, в этом случае можно только воспользоваться браузером Firefox, в котором добавить библиотеку rtpkcs11ecp.dll в раздел Модули защиты.
Еще как менее безопасный вариант: на вашем УЦ создать файловый ключ, выпустить сертификат и создать контейнер pfx через openssl.
После этого на Windows записать этот контейнер командой:
certutil -csp "Microsoft Base Smart Card Crypto Provider" -importpfx C:\cert.pfx
В этом случае сертификат запишется на токен через криптопровайдер и его можно будет успешно использовать в Windows.