Ответ от Евгений Мироненко

  • Евгений Мироненко
  • Техническая поддержка
  • Неактивен

Re: Rutoken ECP в Gentoo Linux

Утилиты pkcs15-init, pkcs15-tool, pkcs15-crypt, etc. работают через библиотеку opensc-pkcs11.so. Совместимости объектов между opensc-pkcs11.so и librtpkcs11ecp.so нет, поэтому необходимо однозначно выбрать, через какую библиотеку планируется выполнять обращения к токену.
С примерами обращения к токену через opensc-pkcs11.so можно ознакомиться здесь: https://github.com/OpenSC/OpenSC/wiki/A … utoken-ECP (https://www.opensc-project.org/opensc/w … RutokenECP)
Примеры работы через librtpkcs11ecp.so здесь: http://dev.rutoken.ru/pages/viewpage.ac … Id=2228266 (можно не привязываться к конкретной задаче, поскольку в большинстве примеров использования задействованы типовые операции по генерации, импорту, etc объектов).
В отношении openconnect отмечу такую особенность, что этим ПО id принимается как строка ASCII-символов (например, "abcd"), в то время как pkcs11-tool будет принимать/отображать id в виде hex-строки (например, "61626364").

Ответ от a.khusainov

  • a.khusainov
  • Посетитель
  • Неактивен

Re: Rutoken ECP в Gentoo Linux

Евгений, спасибо огромное за ценный комментарий, проблема решилась.

(вдруг кому пригодится) Грабли на которые встал я:
1. Если openconnect не может получить сертификат (см. выше), копать в сторону p11tool, он работает через него. Начинать с p11tool --list-tokens. Конкретно в моем случае он по умолчанию выбирал виртуальный токен "System Trust", на котором, разумеется, не было нужного сертификата. Вылечилось явным указанием серийника токена в pkcs#11 url: pkcs11:id=....;serial=.... .
2. p11tool по умолчанию в гентуу не настроен - мне понадобилось создать файл /etc/gnutls/pkcs11.conf со строчкой load=/usr/lib/opensc-pkcs11.so
3. По возможности, нужно собирать максимально стабильные версии библиотек. У меня несколько библиотек были собраны с accepted_keyword ~amd64, из-за чего openconnect валился с segmentation fault.