linux, firefox, rutoken ECP
пытаюсь записать на rutoken сертификат с закрытым ключом.
debian
поставил pcscd, libccid, opensc
что сделал:
pkcs15-init --erase-card
pkcs15-init --create-pkcs15 --so-pin "00000001" --so-puk "" --pin "00000002"
pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "00000003" --so-pin "00000001" --puk ""
pkcs15-init --store-private-key file.pfx --format pkcs12 --auth-id 02 --pin "00000003"в настройках firefox (вернее iceweasel, но это не должно иметь значения) прописал security device (/usr/lib/i386-linux-gnu/opensc-pkcs11.so).
всё хорошо - firefox видит токен, запрашивает пин-код, видит сертификаты на токене, предлагает нужный сертификат при открытии сайта...
но сайт не открывает, пишет:
Secure Connection Failed
An error occurred during a connection to xxxxxxxx.A PKCS #11 module returned CKR_GENERAL_ERROR, indicating that an unrecoverable error has occurred.
(Error code: sec_error_pkcs11_general_error)
The page you are trying to view can not be shown because the authenticity of the received data could not be verified.
Please contact the website owners to inform them of this problem. Alternatively, use the command found in the help menu to report this broken site.
сертификат правильный (если его же импортировать в software security device - всё работает).
если я правильно понимаю, pkcs15-tool -D говорит, что всё хорошо, ключ и сертификат на месте:
Using reader with a card: Aktiv Rutoken ECP 00 00
PKCS#15 Card [Rutoken ECP]:
Version : 0
Serial number : 000000002B0F7860
Manufacturer ID: Aktiv Co.
Last update : 20120810220039Z
Flags : EID compliant
PIN [Security Officer PIN]
Object Flags : [0x3], private, modifiable
ID : 01
Flags : [0x99], case-sensitive, unblock-disabled, initialized, soPin
Length : min_len:8, max_len:32, stored_len:32
Pad char : 0x00
Reference : 1
Type : ascii-numeric
PIN [User PIN]
Object Flags : [0x3], private, modifiable
ID : 02
Flags : [0x19], case-sensitive, unblock-disabled, initialized
Length : min_len:4, max_len:32, stored_len:32
Pad char : 0x00
Reference : 2
Type : ascii-numeric
Private RSA Key [Private Key]
Object Flags : [0x3], private, modifiable
Usage : [0x22E], decrypt, sign, signRecover, unwrap, nonRepudiation
Access Flags : [0x0]
ModLength : 1024
Key ref : 1 (0x1)
Native : yes
Path : 3f001000100060020001
Auth ID : 02
ID : 651e1227cdfe73414aeb136965878079fca9541a
GUID : {651e1227-cdfe-7341-4aeb-136965878079}
X.509 Certificate [/C=RU/L=Moscow/O=xxxx/OU=IT/CN=xxxxxx/emailAddress=support@xxxxx]
Object Flags : [0x2], modifiable
Authority : no
Path : 3f0050000300
ID : 651e1227cdfe73414aeb136965878079fca9541a
GUID : {651e1227-cdfe-7341-4aeb-136965878079}
Encoded serial : 02 0A 275C8B65000000000330пробовал также сертификат импортировать не через pkcs15-init, а средствами firefox - тот же результат (хотя вывод pkcs15-tool -D чуть отличается, в частности появляется публичный ключ).
куда дальше копать - не представляю совершенно :(