Сертификаты для двухфакторной аутентификации на сайте с USB-токеном
Вопрос по статье:
https://habr.com/ru/company/aktiv-company/blog/457886/
В статье используется Рутокен PKI.
Проблема 1: если делать как в статье, то такой сертификат является самоподписанным. А нужно, чтобы никаких перечеркнутых замочков и варнингов в браузере не было. На стороне пользователя делается только настройка в Firefox в "Security Devices" (добавляется новый модуль).
Проблема 2: если сделать CSR в соответствии с мануалом, то полученный CSR не принимается CA с формулировкой "Неверный формат сертификата". Вот команды:
# делаем настройки openssl.cnf по ману
# делаем
export OPENSSL_CONF=/path/to/openssl.cnf
# форматирование токена
./rtadmin -f -q -z /usr/lib64/librtpkcs11ecp.so -u 123456
# делаем ключ как в мануале
pkcs11-tool --module=/opt/aktivco/rutokenecp/x86_64/librtpkcs11ecp.so --login --pin 123456 --keypairgen --key-type GOSTR3410:A
# делаем csr тоже по ману
openssl req -utf8 -new -keyform engine -key "pkcs11:model=Rutoken%20ECP" -engine rtengine -out req.csr
Вопрос:
Прошу уточнить команду, которой можно создать такой CSR, чтобы подать его какому-нибудь официальному CA, чтобы получить полноценный сертификат? Или в любом случае мы обречены использовать самоподписанный сертификат?