Примеры использования

Создание и запись сертификата на Rutoken

Важная информация
Из-за различий в реализации библиотеки pkcs11 в *nix и MS Windows сертификаты, экспортированные в память токена под ОС Windows, не будут видны в *nix, и наоборот. Это связано с различной структурой файловой системы в различных реализациях библиотеки. Поэтому перед использованием токена в *nix обязательно необходимо выполнить его форматирование, как это показано выше.

1. Создайте сертификаты, которые будут временно храниться в ~/demoCA:

# /System/Library/OpenSSL/misc/CA.pl -newca

2. Создайте ключи:

# openssl x509 -in demoCA/cacert.pem -days 3650
  -out demoCA/cacert.pem –signkey demoCA/private/cakey.pem
# /System/Library/OpenSSL/misc/CA.pl -newreq

3. Процесс подписывания:

# /System/Library/OpenSSL/misc/CA.pl -sign

4. Сконвертируйте секретный ключ и сертификат в формат DER:

# openssl rsa -in newkey.pem -outform DER -out key.der
# openssl x509 -in newcert.pem -outform DER -out cert.der

5. Отформатируйте Rutoken:

# pkcs15-init -E -p rutoken

6. Запишите сертификат и секретный ключ на Rutoken:

# pkcs11-tool --write-object cert.der --type cert --login
  --id 1 --label "user"
# pkcs11-tool --write-object key.der --type privkey --login
  --id 1 --label "user"

Настройка браузера и почтового клиента для работы с Rutoken

Чтобы настроить Firefox и Thunderbird для работы с Rutoken, необходимо посредством *nix-библиотеки PKCS11 записать на токен сертификат (например, как показано выше).

Важная информация
Перед запуском Firefox (и Thunderbird) необходимо, чтобы менеджер ресурсов pcsc-lite — pcscd — был запущен и выполнялся. Для этого подсоедините токен к USB-порту, либо настройте автоматический запуск pcscd при старте системы.

Настройка Firefox

1. Откройте настройки Firefox (Firefox | Настройки). Далее выберите пункт Дополнительно, перейдите на вкладку Шифрование и нажмите на кнопку [Устройства защиты]:

2. В окне Менеджера устройств нажмите на кнопку [Загрузить] для загрузки библиотеки поддержки PKCS#11 из комплекта OpenSC:

3. В появившемся диалоге Загрузка устройства PKCS#11 нажмите на кнопку [OK]:

4. В окне Менеджера устройств задайте Имя модуля. В качестве имени укажите путь до файла opensc-pkcs11.so. Если использовался комплект SCA, путь будет следующим:

/Library/OpenSC/lib/opensc-pkcs11.so

При сборке вручную возможны другие варианты. Для продолжения нажмите кнопку [OK].

Приведенный скриншот означает, что Rutoken был корректно распознан библиотекой pkcs11:

5. Нажмите на кнопку [Начать сеанс] и введите PIN-код пользователя Rutoken (по умолчанию: 12345678) в появившемся окне:

6. Убедитесь, что поле Состояние в правой части окна Менеджера устройств изменилось на Зарегистрирован в системе, и нажмите на кнопку [OK]. Далее нажмите на кнопку [Просмотр сертификатов], и перейдите во вкладку Ваши сертификаты:

7. Нажмите на кнопку [Просмотреть...], чтобы убедиться в корректности значений сертификата. После этого можно приступать к работе с защищенными веб-узлами.

Настройка Thunderbird

Настройка почтового клиента Thunderbird производится аналогично настройке Firefox.

Единственное отличие заключается в том, что после просмотра и проверки сертификата необходимо установить его в качестве личного сертификата пользователя в настройках учетной записи (Инструменты | Параметры учетной записи... | Защита):

После этого можно обмениваться шифрованной и/или подписанной почтой с собеседником, имеющим сертификат.