Ответ от eton.uno

  • eton.uno
  • Посетитель
  • Неактивен

Re: RuToken 32K150Z, *nix, Key length/algorithm not supported by card

Добрый день!
Ваша тех.поддержка так и не отвечает, решил выложить проблему сюда:
Имеется токен ЭЦП 3.0 с сертификатом от ФНС:
https://forum.rutoken.ru/uploads/images/2025/03/c7308cf3f53ecf69245584752987ed7d.jpg
При подписании документа командой:
openssl cms -sign -binary -nosmimecap -in C:\User\json.json -out C:\User\sign.sig -outform PEM -keyform engine -inkey "pkcs11:serial=45324ddd" -engine rtengine -signer C:\User\certificate.pem -passin pass:12345678
получаю ошибку:
https://forum.rutoken.ru/uploads/images/2025/03/04b154a9aceee2c93e9f4e0de85c4cdf.png
настройки openssl.cnf такие:

[ openssl_def ]
engines = engine_section
[ engine_section ]
rtengine =  rtengine_section
[ gost_section ]
gost = gost_section
dynamic_path = C:/Program Files/OpenSSL-Win64/bin/rtengine.dll
pkcs11_path = C:/Program Files/OpenSSL-Win64/bin/rtpkcs11ecp.dll
rand_token = pkcs11:model=Rutoken%20ECP;manufacturer=Aktiv%20Co.
default_algorithms = ALL
enable_rand = yes

Подскажите, как разрешить данную проблему ?

Ответ от Аверченко Кирилл

  • Аверченко Кирилл
  • Администратор
  • Неактивен

Re: RuToken 32K150Z, *nix, Key length/algorithm not supported by card

eton.uno, добрый день.

eton.uno пишет:

"pkcs11:serial=45324ddd"

- это серийный номер вашего токена?

eton.uno пишет:

-passin pass:12345678

- пин-код в случае pkcs11-uri задается непосредственно в самом URI, пример есть у нас в документации https://dev.rutoken.ru/pages/viewpage.a … =180715764
Попробуйте подставить pkcs11uri вида "pkcs11:model=Rutoken%20ECP?pin-value=12345678" если это единственный токен, подключенный к компьютеру.

Ответ от eton.uno

  • eton.uno
  • Посетитель
  • Неактивен

Re: RuToken 32K150Z, *nix, Key length/algorithm not supported by card

Аверченко Кирилл пишет:

- это серийный номер вашего токена?

Да, преобразован в формат ASCII. То же самое выдает pkcs11-tool.exe

Аверченко Кирилл пишет:

- пин-код в случае pkcs11-uri задается непосредственно в самом URI, пример есть у нас в документации https://dev.rutoken.ru/pages/viewpage.a … =180715764
Попробуйте подставить pkcs11uri вида "pkcs11:model=Rutoken%20ECP?pin-value=12345678" если это единственный токен, подключенный к компьютеру.

Пробовал:
openssl cms -sign -binary -nosmimecap -in C:\User\json.json -out C:\User\sign.sig -outform PEM -keyform engine -inkey "pkcs11:model=Rutoken%20ECP?pin-value=12345678" -engine rtengine -signer C:\User\certificate.pem
ошибка та же самая.

Ответ от Аверченко Кирилл

  • Аверченко Кирилл
  • Администратор
  • Неактивен

Re: RuToken 32K150Z, *nix, Key length/algorithm not supported by card

библиотеки rtengine.dll и rtpkcs11ecp.dll нужной разрядности?
Если не указывать pin в uri подпись работает?
Попробуйте закомментировать строки rand_token и enable_rand.

Ответ от eton.uno (2025-03-19 16:10:45 отредактировано eton.uno)

  • eton.uno
  • Посетитель
  • Неактивен

Re: RuToken 32K150Z, *nix, Key length/algorithm not supported by card

Переделал последовательность...

для файла openssl.cnf :

openssl_conf = openssl_def
[ openssl_def ]
engines = engine_section
[ engine_section ]
rtengine = gost_section
[ gost_section ]
dynamic_path = C:/Program Files/OpenSSL-Win64/bin/rtengine.dll
enable_rand = yes
pkcs11_path = C:/Program Files/OpenSSL-Win64/bin/rtpkcs11ecp.dll
rand_token = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP
default_algorithms = CIPHERS, DIGEST, PKEY, RAND

И все заработало!)

Всем огромное спасибо !!!