Портал документации Рутокен

Page tree

Versions Compared

Old Version 41

changes.mady.by.user Осьминина Анастасия

Saved on

compared with

New Version 42

changes.mady.by.user Осьминина Анастасия

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Генерация ключевой пары ECDSA

Пример:

...

pkcs11-tool

...

--module

...

/путь/к/библиотеке/rtPKCS11ECP

...

--login

...

--pin

...

12345678

...

--keypairgen

...

--key-type

...

EC:secp256r1

...

--id

...

3132

...

--usage-derive

Значения параметров:

ПараметрВозможные значения
module

Для Windows:

/путь/к/файлу/rtpkcs11ecp.dll

Для Linux:

/путь/к/файлу/librtpkcs11ecp.so
key-type

Для Рутокен ЭЦП 3.0 3110 и 3220:

  • EC:secp256r1;
  • EC:secp256k1.

Для Рутокен ЭЦП 3.0 3120:

  • EC:secp256r1;
  • EC:secp256k1;
  • EC:secp384r1;
  • EC:secp521r1.

Генерация ключевой пары RSA

Пример:

...

pkcs11-tool

...

--module

...

/путь/к/библиотеке/rtPKCS11ECP

...

--login

...

--pin

...

12345678

...

--keypairgen

...

--key-type

...

RSA:2048

...

--id

...

3132

...

Значения параметров:

ПараметрВозможные значения
module

Для Windows:

/путь/к/файлу/rtpkcs11ecp.dll

Для Linux:

/путь/к/librtpkcs11ecp.so

keytype
Warning

Использовать 1024-битные ключи RSA небезоспано.
Рекомендуем использовать как минимум 2048-битные ключи.

Для Рутокен ЭЦП 2.0:

  • RSA:1024;
  • RSA:2048.

Для Рутокен ЭЦП 3.0:

  • RSA:1024;
  • RSA:2048;
  • RSA:4096.

...

Посмотреть записанные на токен объекты можно с помощью команды:

pkcs11-tool --module module /путь/к/библиотеке/rtPKCS11ECP -Ol

Формирование запроса PKCS#10 

...

ПараметрОписание
key

Название файла или URI закрытого ключа.

Если параметр не задан, будет использован файл сертификата

keyform

Формат файла закрытого ключа.

Значение по умолчанию: PEM

engine

Модуль для работы с криптографическими алгоритмами. 

Задается, если задан параметр -keyform engine

certПуть к сертификату
VerifyГлубина проверки цепочки сертификатов
CAfileПуть к доверенному сертификату
accept

TCP-порт, который будет прослушиваться в ожидании запросов.

Значение по умолчанию: 4433

WWWЭмуляция простого веб-сервера
purpose

Назначение сертификата.

Возможные значения:

  • slclient;
  • sslserver;
  • nssslserver;
  • mimesign;
  • mimeencrypt;
  • crlsign;
  • ocsphelper;
  • timestampsign;
  • codesign;
  • any.
4Использовать только IPv4

Примеры команд:

...

Ключ в файле
openssl s_server -key demoCA/private/cakey.pem -cert demoCA/cacert.pem -Verify 7 -CAfile demoCA/cacert.pem -accept 44330 -WWW -purpose any -4

...

Ключ на токене
openssl s_server -key "pkcs11:server_key_pkcs11_uri" -keyform engine -engine rtengine -cert demoCA/cacert.pem -Verify 7 -CAfile demoCA/cacert.pem -accept 44330 -WWW -purpose any -4
Запуск SSL/TLS клиента
Формат команды:
...
ПараметрОписание
key
Название файла или URI закрытого ключа.
Если параметр не задан, будет использован файл сертификата
keyform
Формат файла закрытого ключа.
Значение по умолчанию: PEM
engine
Модуль для работы с криптографическими алгоритмами. 
Задается, если задан параметр -keyform engine
certПуть к сертификату
hostАдрес сервера, с которым нужно установить соединение
portПорт сервера, с которым нужно установить соединение
Примеры команд:
...
Ключ в файле
openssl s_client -key privatekey.pem -cert cert.cer -host 127.0.0.1 -port 44330
...
Ключ на токене
openssl s_client -key "pkcs11:client_key_pkcs11_uri" -keyform engine -engine rtengine -cert cert.cer -host 127.0.0.1 -port 44330
Приложение 1.  Парамсеты ГОСТ в OpenSSL и pkcs11-tool 
 Anchor
gost
gost
...