Тема от DimaG

  • DimaG
  • Посетитель
  • Неактивен

Установка сертификата WebMoney на RutokenS для работы в FIrefox Linux

Добрый день!
Имеется сертификат для авторизации в LightKeeper в виде name.p12 и RutokenS
Если я записываю этот файл средствами Windows (rtSert->Импорт сертификата из файла...), то в ОС windows все работает прекрасно.

Хочется работать с сертификатом в рутокене под ОС Linux.
Исходные данные:

Собраны и установлены
openct-0.6.20 (с поддержкой libusb)
opensc-0.12.2 (с поддержкой openct)

# openct-control init
# openct-tool list
  0 Rutoken S driver
# opensc-tool -l
# Detected readers (openct)
Nr.  Card  Features  Name
0    Yes             Rutoken S driver
1    No              OpenCT reader (detached)
# pkcs11-tool --module=/usr/lib/opensc-pkcs11.so  -L
Available slots:
Slot 0 (0xffffffff): Virtual hotplug slot
  (empty)
Slot 1 (0x1): Rutoken S driver
  token label:   Rutoken S (User PIN)
  token manuf:   Aktiv Co.
  token model:   PKCS#15
  token flags:   rng, login required, PIN initialized, token initialized
  serial num  :  **********
Slot 2 (0x5): OpenCT reader (detached)
  (empty)

В firefox (10.0.2) Правка-Настройки-Устройства защиты добавил новое устройство (библиотека /usr/lib/opensc-pkcs11.so).
Слева появился список устройств, в том числе и Rutoken S driver.
При его выделении мышкой, становится активной кнопка "Начать сеанс".
Жму, ввожe пин - принимает.
Но в окне просмотра сертификатов - пусто.

Подскажите пожалуйста как нужно записать сертификат WebMoney на токен, чтоб с ним можно было работать в ОС Linux?

Ответ от Кирилл Романовский

  • Кирилл Романовский
  • Посетитель
  • Неактивен

Re: Установка сертификата WebMoney на RutokenS для работы в FIrefox Linux

Сертификат, записанный в Windows, не будет виден из Linux. Необходимо отформатировать токен, а затем импортировать сертификат с помощью Firefox.

Ответ от DimaG

  • DimaG
  • Посетитель
  • Неактивен

Re: Установка сертификата WebMoney на RutokenS для работы в FIrefox Linux

Кирилл Романовский пишет:

Сертификат, записанный в Windows, не будет виден из Linux. Необходимо отформатировать токен, а затем импортировать сертификат с помощью Firefox.

Не получается.
Выполняю следующие команды:
pkcs15-init -E -p rutoken
pkcs15-init --create-pkcs15 --so-pin "87654321" --so-puk "" --pin "12345678"
pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "12345678" --puk ""
pkcs11-tool --module=/usr/lib/opensc-pkcs11.so  -L

Available slots:
Slot 0 (0xffffffff): Virtual hotplug slot
  (empty)
Slot 1 (0x1): Rutoken S driver
  token label:   Rutoken S (User PIN)
  token manuf:   Aktiv Co.
  token model:   PKCS#15
  token flags:   rng, login required, PIN initialized, token initialized
  serial num  :  2C326954
Slot 2 (0x5): OpenCT reader (detached)
  (empty)

В устройствах защиты RUtokenS виден, становится активной кнопка "начать сеанс". При нажатии на нее - запрос пина - все проходит штатно.
Не разобрался, как с помощью Firefox импортировать сертификат на RutokenS. При нажатии на кнопку "Import" - сертификат импортируется, но на внутренее хранилище фаерфокса (сертификат остается доступным при извлечении Rutoken)

Ответ от Кирилл Романовский

  • Кирилл Романовский
  • Посетитель
  • Неактивен

Re: Установка сертификата WebMoney на RutokenS для работы в FIrefox Linux

Да, Firefox немного некорректно работает с Rutoken S. С Рутокеном ЭЦП все нормально. Возможно, это связано с тем, что в OpenSC 0.12.х убраны некоторые возможности по работе с Рутокен S. Можно попробовать установить старую версию OpenSC (0.11.13).

Ответ от Кирилл Романовский

  • Кирилл Романовский
  • Посетитель
  • Неактивен

Re: Установка сертификата WebMoney на RutokenS для работы в FIrefox Linux

Только что проверил. На старой OpenSC все нормально работает.
На всякий случай версия Firefox: 3.6.10

Ответ от DimaG

  • DimaG
  • Посетитель
  • Неактивен

Re: Установка сертификата WebMoney на RutokenS для работы в FIrefox Linux

Кирилл Романовский пишет:

Да, Firefox немного некорректно работает с Rutoken S. С Рутокеном ЭЦП все нормально. Возможно, это связано с тем, что в OpenSC 0.12.х убраны некоторые возможности по работе с Рутокен S. Можно попробовать установить старую версию OpenSC (0.11.13).

Проверил на Рутокен ЭЦП - сертификат импортируется.
Чуть позже проверю на РутокенS с даунгрейдом OpenSC

Ответ от DimaG

  • DimaG
  • Посетитель
  • Неактивен

Re: Установка сертификата WebMoney на RutokenS для работы в FIrefox Linux

Установил opensc-0.11.13
RutokenS стал виден и работоспособен в фаерфокс.

Но перестал работать Rutoken ECP
Вот syslog подключения:

Apr 26 10:49:22 dmitry-desktop kernel: [  737.912017] usb 5-2: new full speed USB device using uhci_hcd and address 9
Apr 26 10:49:22 dmitry-desktop kernel: [  738.079262] usb 5-2: configuration #1 chosen from 1 choice
Apr 26 10:49:22 dmitry-desktop pcscd: readerfactory.c:1050:RFInitializeReader() Open Port 200000 Failed (usb:0a89/0020:libusb:005:009)
Apr 26 10:49:22 dmitry-desktop pcscd: readerfactory.c:233:RFAddReader() Aktiv Rutoken S init failed.
Apr 26 10:51:00 dmitry-desktop kernel: [  836.672042] usb 5-2: USB disconnect, address 9
Apr 26 10:51:14 dmitry-desktop kernel: [  850.020017] usb 5-2: new full speed USB device using uhci_hcd and address 10
Apr 26 10:51:14 dmitry-desktop kernel: [  850.188300] usb 5-2: configuration #1 chosen from 1 choice
Apr 26 10:51:17 dmitry-desktop ifdhandler[2806]: skipped 1 class/vendor specific interface descriptors
Apr 26 10:51:17 dmitry-desktop ifdhandler[2806]: usb_claiminterface failed: Device or resource busy
Apr 26 10:51:17 dmitry-desktop ifdhandler[2806]: usb:/dev/bus/usb/005/010: initialization failed (driver ccid)
Apr 26 10:51:17 dmitry-desktop ifdhandler[2806]: unable to open reader ccid usb /dev/bus/usb/005/010

openct-tool list не показывает устройств..
Подскажите пожалуйста, что в данной ситуации можно сделать? Необходима работа как с S так и с ECP

Ответ от DimaG

  • DimaG
  • Посетитель
  • Неактивен

Re: Установка сертификата WebMoney на RutokenS для работы в FIrefox Linux

Помогла остановка сервися pcsd.
ПОлучается, он не нужен для работы рутокена?
service pcscd stop

# openct-tool list
  0 CCID Compatible
# opensc-tool -l
Readers known about:
Nr.    Driver     Name
0      openct     CCID Compatible
1      openct     OpenCT reader (detached)

Ответ от Кирилл Романовский

  • Кирилл Романовский
  • Посетитель
  • Неактивен

Re: Установка сертификата WebMoney на RutokenS для работы в FIrefox Linux

В общем случае pcscd нужен. Суть в том, что Рутокен S работает через OpenCT, а Рутокен ЭЦП поддерживает обе middleware.
Старые версии OpenSC некорректно работают с некоторыми функциями Рутокен ЭЦП(например, не работает форматирование).
Для работы обоих токенов одновременно ознакомьтесь с темой: https://forum.rutoken.ru/topic/1667/

Также возможно установить последнюю OpenSC, собранную с поддержкой pcscd, установить OpenCT и удалить из нее поддержку Рутокен ЭЦП (описано по ссылке выше). При этом Рутокен S будет работать по схеме opensc -> pcscd -> openct-ifd-handler, но данный вариант мной проверялся не полностью. Теоретически должно все работать.

Для справки: pcscd отображает Рутокен ЭЦП как "Aktiv Rutoken ECP", а openct - "CCID Compatible"