Platform
Mac OS X 10.11.4, Xcode-7.3. OpenSC — current (as of 2016-04-21) GitHub master
branch.
Expected behaviour
Should work as shown below but without module explicitly specified:
$ pkcs11-tool --module /Library/OpenSC/lib/opensc-pkcs11.dylib -I
Cryptoki version 2.20
Manufacturer OpenSC Project
Library OpenSC smartcard framework (ver 0.15)
Using slot 1 with a present token (0x4)
$
Actual behaviour
$ pkcs11-tool -I
sc_dlopen failed: dlopen(opensc-pkcs11.dylib, 1): image not found
error: Failed to load pkcs11 module
Aborting.
$
The culprit is line 14 in config.h
:
#define DEFAULT_PKCS11_PROVIDER "opensc-pkcs11.dylib"
that does not specify the complete path to /Library/OpenSC/lib/opensc-pkcs11.dylib
. I could only track it back to commit c3527f4 of 2015-11-12 which did not go far enough (did not add the actual path).
A fix would be to prepend the complete path (LIBDIR/LIB_PRE
) to opensc-pkcs11${DYN_LIB_EXT}
.
A work-around would be to add /Library/OpenSC/lib
to the default search path, or to sym-link opensc-pkcs11.dylib
into a directory that already is on that path. But since by the time config.h
is written to disk, LIBDDIR
is known — it makes sense to just include it in the DEFAULT_PKCS11_PROVIDER
.
Steps to reproduce
Insert your hardware token and type pkcs11-tool -I
or pkcs11-tool -M
.
Logs
Nothing gets logged because loading of the PKCS11 module fails (prior to any interactions with the token).
Содержание
- Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
- Сообщений 9
- #1 Тема от Георгий 2019-03-06 18:34:41 (2019-03-07 13:35:46 отредактировано Георгий)
- Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
- #2 Ответ от Анатолий Убушаев 2019-03-07 10:55:31
- Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
- #3 Ответ от Георгий 2019-03-07 13:34:58 (2019-03-07 13:36:08 отредактировано Георгий)
- Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
- #4 Ответ от Анатолий Убушаев 2019-03-12 13:23:03
- Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
- #5 Ответ от Георгий 2019-03-12 15:22:51
- Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
- #6 Ответ от Анатолий Убушаев 2019-03-12 16:47:58 (2019-03-12 16:48:14 отредактировано Анатолий Убушаев)
- Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
- #7 Ответ от Георгий 2019-03-12 17:39:47
- Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
- #8 Ответ от Анатолий Убушаев 2019-03-13 11:20:12 (2019-03-13 11:29:19 отредактировано Анатолий Убушаев)
- Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
- #9 Ответ от Анатолий Убушаев 2019-03-13 14:08:38
- Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
- Big Sur: проблемы с librtpkcs11ecp.dylib и sc_auth identities (Страница 1 из 2)
- Сообщений с 1 по 15 из 20
- #1 Тема от nyasnov 2020-12-28 13:48:40
- Big Sur: проблемы с librtpkcs11ecp.dylib и sc_auth identities
- #2 Ответ от Николай Киблицкий 2020-12-28 15:22:20
- Re: Big Sur: проблемы с librtpkcs11ecp.dylib и sc_auth identities
- #3 Ответ от nyasnov 2020-12-28 16:24:14
- Re: Big Sur: проблемы с librtpkcs11ecp.dylib и sc_auth identities
- Error failed to load pkcs11 module
- Answered by:
- Question
- Answers
- All replies
- Linux — How can I display and import the certificates delivered by smart card reader?
- 1 Answer 1
Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
Форум Рутокен → Рутокен для Linux → Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
Сообщений 9
#1 Тема от Георгий 2019-03-06 18:34:41 (2019-03-07 13:35:46 отредактировано Георгий)
- Георгий
- Посетитель
- Неактивен
Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
Пытаюсь использовать РУТОКЕН ЭЦП 2.0 FLASH под операционной системой AstraLinux 1.4.
Делаю всё вот по этой инструкции:
https://dev.rutoken.ru/pages/viewpage.a … d=21331970
В настоящее время в статье ссылка librtpkcs11ecp.so битая. Но я вместо неё использую https://download.rutoken.ru/Rutoken/PKC … cs11ecp.so
В любом случае проблема возникает дальше, при вызове команды:
Путь к файлу и права заданы верно.
Утилиты file и ldd дают следующий вывод:
Старая версия (1.3.2) библиотеки librtpkcs11ecp.so (по ссылке https://download.rutoken.ru/Rutoken/PKC … s11ecp.so) работает более корректно.
Но она не видит рутокена:
Подскажите в чем проблема?
Если проблема в librtpkcs11ecp.so, то не могли бы вы сделать сборку этой библиотеки для AstraLinux 1.4 x64?
Версии до 1.3.2 не видят рутокен, а более новые версии не работают в астре.
#2 Ответ от Анатолий Убушаев 2019-03-07 10:55:31
- Анатолий Убушаев
- Посетитель
- Неактивен
Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
Здравствуйте, Георгий!
Подскажите пожалуйста разрядность ОС AstraLinux 1.4.
#3 Ответ от Георгий 2019-03-07 13:34:58 (2019-03-07 13:36:08 отредактировано Георгий)
- Георгий
- Посетитель
- Неактивен
Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
#4 Ответ от Анатолий Убушаев 2019-03-12 13:23:03
- Анатолий Убушаев
- Посетитель
- Неактивен
Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
Георгий, добрый день!
Извиняемся за столь долгий ответ.
На данный момент не имеем возможности воспроизвести Ваш случай, т.к. дистрибутив Astra Linux 1.4 не является общедоступным. У нас есть только дистрибутив Astra Linux 1.5 Smolensk, проверяя на нём с данной проблемой не столкнулись.
Возможно ли подключиться к Вам удаленно? Если, да, то скачайте и запустите наш клиент TeamViewerQS , и напишите как будете готовы.
Спасибо за понимание.
#5 Ответ от Георгий 2019-03-12 15:22:51
- Георгий
- Посетитель
- Неактивен
Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
Проблема воспроизводится так же на AstraLinux Orel 1.10.
Раньше дистрибутив был в открытом доступе по ссылке
http://mirror.yandex.ru/astra/frozen/or … _14.16.iso
Сейчас похоже его там нет.
Проверить можно вот не этом образе: https://yadi.sk/d/qF1nT-ghNp2z1A
В этом образе должны быть необходимые инструменты разработчика, чтобы скомпилировать библиотеку.
Подключиться удаленно сейчас, к сожалению, нет возможности.
#6 Ответ от Анатолий Убушаев 2019-03-12 16:47:58 (2019-03-12 16:48:14 отредактировано Анатолий Убушаев)
- Анатолий Убушаев
- Посетитель
- Неактивен
Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
Георгий, спасибо за предоставленный образ.
Подскажите пожалуйста следующую информацию:
— Запущен ли сервис pcscd?
— Установлены ли пакеты libccid, libpcsclite1, OpenSC и pcsc-tools?
#7 Ответ от Георгий 2019-03-12 17:39:47
- Георгий
- Посетитель
- Неактивен
Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
Пакеты libccid, libpcsclite1, OpenSC установлены.
Пакета с названием pcsc-tools в астре нет. Но утилита pkcs11-tool присутствует
Сервис pcsc не запущен. В каком пакете он находится?
#8 Ответ от Анатолий Убушаев 2019-03-13 11:20:12 (2019-03-13 11:29:19 отредактировано Анатолий Убушаев)
- Анатолий Убушаев
- Посетитель
- Неактивен
Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
Георгий, спасибо за предоставленную информацию.
Без установленного и запущенного сервиса pcscd Рутокен и любая другая смарт-карта/токен работать не будут. По этой причине утилита pkcs11-tool токен и не определяет.
Воспроизвели данный случай у себя на стенде, установили Astra версии 1.10 и столкнулись с такой же проблемой, пакеты pcscd и pcsc-tools не устанавливаются также в официальном репозитории предназначенном для версии 1.10 такие пакеты отсутствуют.
Решение: подключение НЕ официального репозитория для Debian 7 Wheezy.
После добавления репозитория в файл /etc/apt/sources.list нужно запустить apt-get update и apt-get -f install , после установить pcscd и pcsc-tools. Убедиться, что служба pcscd запущена, командой
, если не запущена
, после проверяем видимость Рутокен в системе командой
и после уже повторите операцию с утилитой pkcs11-tool.
Для версии 1.4 должно быть аналогично.
Насколько это корректно для Вас и не нарушает ли это какие либо требования т.к это специализированная версия, нам неизвестно. Рекомендуем Вам обратиться в компанию «РусБИТех» (разработчик данного дистрибутива) по вопросу корректной установки данных пакетов.
#9 Ответ от Анатолий Убушаев 2019-03-13 14:08:38
- Анатолий Убушаев
- Посетитель
- Неактивен
Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4
Георгий, ещё как вариант, можем посоветовать Вам обновить ОС до версии 1.5, если это возможно.
Источник
Big Sur: проблемы с librtpkcs11ecp.dylib и sc_auth identities (Страница 1 из 2)
Форум Рутокен → Рутокен для Mac → Big Sur: проблемы с librtpkcs11ecp.dylib и sc_auth identities
Сообщений с 1 по 15 из 20
#1 Тема от nyasnov 2020-12-28 13:48:40
- nyasnov
- Посетитель
- Неактивен
Big Sur: проблемы с librtpkcs11ecp.dylib и sc_auth identities
Пытаюсь установить рутокен lite в Big Sur согласно инструкциям:
Даже попап от связки ключей появляется, что токен подключен.
Однако команда sc_auth identities не возвращает ничего.
Команды pkcs11-tool также не работают, т. к. не могут загрузить dylib:
Судя по всему, какой-то косяк с подписями библиотеки, и в интернете ни у кого этой проблемы якобы нет. Что можно сделать? Инструкция не предлагает никаких вариантов.
#2 Ответ от Николай Киблицкий 2020-12-28 15:22:20
- Николай Киблицкий
- Техническая поддержка
- Неактивен
Re: Big Sur: проблемы с librtpkcs11ecp.dylib и sc_auth identities
Здравствуйте, nyasnov.
Вы пытаетесь применить инструкцию по настройке Рутокен ЭЦП для настройки носителя Рутокен lite, вам нужно пользоваться руководством: «Работа с Рутокен Lite в операционных системах macOS»
Судя по отчету команды «pcsctest» ваш носитель настроен и готов к работе.
Уточните, пожалуйста, какая перед вами стоит цель?
#3 Ответ от nyasnov 2020-12-28 16:24:14
- nyasnov
- Посетитель
- Неактивен
Re: Big Sur: проблемы с librtpkcs11ecp.dylib и sc_auth identities
Да, я пользуюсь этой инструкцией и хочу для начала сменить пароль командой
Но не получается по вышеописанным причинам.
Цель — работа в личном кабинете ИП.
При проверке наличия возможности использования ЭП сайт сообщает следующее:
[OK] Установлен и настроен плагин для браузера «КриптоПро ЭЦП Browser plug-in» версии 2.0.12438 и выше.
[OK] Установлен криптопровайдер с поддержкой алгоритмов шифрования ГОСТ 34.10-2001, ГОСТ 28147-89, ГОСТ Р 34.11-2012 (например, сертифицированная версия КриптоПро CSP 4.0 R3)
[не OK] В хранилище сертификатов «Личные» установлен КСКПЭП, выданный индивидуальному предпринимателю удостоверяющим центром.
Получите и установите личный сертификат индивидуального предпринимателя.
Убедитесь, что КСКПЭП не просрочен и установлен в хранилище сертификатов «Личные». Рекомендуем вручную проверить доступ к сертификату в хранилице «Личные». Для этого выберите Пуск — Выполнить, ввести «certmgr.msc» и нажать Enter. В левой части открывшегося окна выберите папку «Личные»- «Реестр» -«Сертификаты». В правой части в списке должен находиться личный сертификат (см. п.«Как проверить установку сертификатов?» в «Руководство по установке и настройке программного обеспечения для работы с электронной подписью»)
Из чего делаю вывод, что система не может найти сертификат, а ошибки с загрузкой dylib намекают, что какие-то проблемы с токеном.
Источник
Error failed to load pkcs11 module
This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.
Answered by:
Question
Answers
- Proposed as answer by MatthiasHeil Saturday, May 7, 2011 7:17 AM
- Marked as answer by Markus Vilcinskas Microsoft employee Monday, September 26, 2011 6:46 PM
On Thu, 5 May 2011 11:42:20 +0000, Toni666 wrote:
When i log in as «Britta Simon» i see Approved in Requests.
I try to do «Complete a request with one-time passwords» and use one-time password which i get as Administrator
but get this error:
Specified name or server name of the CA is invalid.
This means that in whatever profile template you’re using, you’ve selected
the wrong CA.
When i log in as «Britta Simon» and try to do «Manage my infoRequest a temporary smart card»
I got an error «Not a valid Base CSP smart card».
Does the profile template require a permanent smart card before you can be
issued a temporary one?
If I try to do «Manage my infoRequest a permanent smart card»
I got an error «Specified name or server name of the CA is invalid.»
As above, you’ve got the wrong CA specified in the profile template.
I use Gemalto .NET cards
So i changed smart card provider name from «Microsoft Smart Card Base CSP» to «Gemalto .NET» in «Our Domain Smart Card Profile Template»
but it didnt help, i got an error:
PKCS#11 smart card self-service control error: PKCS11 Error: Failed to load PKCS11 module .
That’s because the card you’re using is in fact a Base CSP card and not a
P11 card.
Paul Adare
MVP — Identity Lifecycle Manager
http://www.identit.ca
It is now pitch dark. If you proceed, you will likely fall into a pit.
- Marked as answer by Markus Vilcinskas Microsoft employee Monday, September 26, 2011 6:46 PM
On Fri, 22 Apr 2011 07:35:45 +0000, Toni666 wrote:
If on «Set up server certificates» i choose:
Create and configure certificates manually installation starts fine but later i have problems
Did you actually enroll the 3 CM agent certificates?
Paul Adare
MVP — Identity Lifecycle Manager
http://www.identit.ca
Transistor: A sibling, opposite of transbrother.
Sorry for the delay, I was sick.And i have a lot of Questions..
Yes i created i DomainCA/Certificate Templates: FIM CM User Agent, FIM CM Key Recovery Agent, FIM CM Enrollment Agent.I have also created on FIM CM Portal/Administration/Manage Profile templates: «Our Company Smart Card Profile Template» and «Our Company User Profile Template»
When i Login on CM Portal (Loged in as Domain Admin):
Manager operationsCommon TasksEnroll a user for a new set of certificates or a smart card For a user i choose «Britta»- because she is member of FIM CM Subscribers group
I can choose Profile Template: Smart Card Profile Template or User Profile Template
But I got an error: Current user [Domainadministrator] is not authorized to initiate this operation [Enroll] on Domain User Profile Template
I have checked in Active Directory Sites and Services in Profile Templates and Domain Admins group have all permisions.
As we will use Gemalto .NET cards do i need in Domain Smart Card Profile Template in Provider name choose Gemalto .NET?
And is there any factory PIN on Gemalto Smart Cards ?
I ask that because when i log in on Computer as «Britta Simon» — member of FIM CM Subscribers group and Request a temporary smart card i got an error that my PIN is not good..
The question is certainly from a beginner but please explain to me what Middleware is? What it should be?
Источник
Linux — How can I display and import the certificates delivered by smart card reader?
I use Linux Mint Debian Edition.
I have OmniKey AG CardMan smart card reader connected to the computer through USB.
Firstly I installed PCSC Lite / PCSC-Tools
sudo apt-get install pcscd pcsc-tools
Then I installed the driver (it installs ifdokccid.so ) downloaded from https://www.hidglobal.com/driver
sudo service pcscd start to start the service.
which caused the LED on smart card reader to flash.
- Then, when I type: pcsc_scan
PC/SC device scanner V 1.4.27 (c) 2001-2011, Ludovic Rousseau Compiled with PC/SC lite version: 1.8.17 Using reader plug’n play mechanism Scanning present readers. and
Possibly identified card (using /usr/share/pcsc/smartcard_list.txt):
Question
How can I verify that smart card reader is working properly? Is there any possibility to display more information and/or import certificates stored on the smart card and inserted to mentioned smart card reader? Is there any GUI to manage my certificates?
1 Answer 1
Make sure you have a driver for the card reader (IFD), so that pcscd will know how to talk to it. Otherwise it might not go any further than making the reader blink.
Most USB readers are standard CCID based and will work with the standard ifd-ccid, but HID OmniKey isn’t always compatible and will often need its own omnikey_ifdokccid driver.
Try running pcsc_scan to check whether pcscd can communicate with the reader and the card (some readers only accept EMV cards for odd reasons).
You also need a driver for the smart card itself. It usually comes in the form of a PKCS#11 module, such as libccpkip11.so for CryptoTech or opensc-pkcs11.so for the generic OpenSC-based driver, and is needed because some smartcards have a different internal structure for storing the data. This module is what actually talks to the card via pcscd as well; programs do not use pcscd directly.
Linux does not have a global certificate store; each program has to support loading certificates from a PKCS#11 module like it has to support loading them from a file. Fortunately that is getting somewhat automated; many software will accept pkcs11: URLs directly in place of plain filenames; but it’s not completely universal and sometimes you will need to specify the module/slot/id/serial separately.
There are some tools for working with PKCS#11 tokens. From the command line, p11tool and pkcs11-tool are the primary tools; the latter requires the PKCS#11 module to be specified, the former tries to load all installed modules. Start with checking whether the module recognizes a token as present at all, then ask it to list objects in the token:
To view the token’s contents graphically, your main choices are:
Use KeyStore Explorer; it has File → Open Special → Open PKCS#11.
Load the PKCS#11 module into Mozilla Firefox through Settings → Security devices, then use Firefox’s certificates browser. (It will show a merged list of local and token certificates.)
Источник
Ubuntu 16.04
Trying to install pam….
When I log into my server I get the following….
ERROR:pam_pkcs11.c:323: load_pkcs11_mosule() failed loading /usr/lib/opensc-pkcs11.so: stat() failed: No such file or directory.
I am new to pam…is there a config file that is missing….
is there an example I can look at?
I see the following online…..
ln -s /usr/lib/pkcs11/opensc-pkcs11.so /usr/lib/
Is that the solution?
do I have a missing file?
Can you help with this problem?
Provide an answer of your own, or ask
Bill Eccles
for more information if necessary.
To post a message you must log in.
- Remove From My Forums
-
Question
-
On my Domain Controller (WinSer 2008 64bit) i installed CA
I created users FIMCMAgent, FIMCMKRAgent, FIMCMAuthAgent, FIMCMManagerAgent, FIMCMWebAgent, FIMCMEnrollAgent…give them all permisions..
Now on another server trying to install FIM CM with above mentioned users.
and i got this error:
«Specified FIM CM Agent Certificate Template must meet all of the following requirements.
1. Private key must be exportable.
2. At least one of the configured CSPs must be installed on the local computer and SHA256, 3DES, DES, and
AES algorithms must be supported.»
If on «Set up server certificates» i choose:
Create and configure certificates manually installation starts fine but later i have problems
when on Forefront Identity Manager Certificate Management home page,
i click: Enroll a user for a new set of certificates or a smart card
choose name Britta and press Search
i got an error: Current user does not have access to any profile templates.
if i try to Enroll a user for a new set of certificates or a smart card from another Domain Admin rights computer
and choose Administrator and press Search then i can Select a Profile Template
but i got an error:
Please note the following information and contact your system administrator:
Access is denied. Domain_namebsimon does not have Enroll access right to the Domain_nameAdministrator user.
To continue press the browser’s BACK button. If this error persists, please contact your system administrator.
Please can you help me to resolve my problem??
Answers
-
Ensure that the CNG Key Isolation service is started
/Matthias
-
Proposed as answer by
Saturday, May 7, 2011 7:17 AM
-
Marked as answer by
Markus VilcinskasMicrosoft employee
Monday, September 26, 2011 6:46 PM
-
Proposed as answer by
-
On Thu, 5 May 2011 11:42:20 +0000, Toni666 wrote:
When i log in as «Britta Simon» i see Approved in Requests.
I try to do «Complete a request with one-time passwords» and use one-time password which i get as Administrator
but get this error:Specified name or server name of the CA is invalid.
This means that in whatever profile template you’re using, you’ve selected
the wrong CA.When i log in as «Britta Simon» and try to do «Manage my infoRequest a temporary smart card»
I got an error «Not a valid Base CSP smart card».
Does the profile template require a permanent smart card before you can be
issued a temporary one?If I try to do «Manage my infoRequest a permanent smart card»
I got an error «Specified name or server name of the CA is invalid.»
As above, you’ve got the wrong CA specified in the profile template.
I use Gemalto .NET cards
So i changed smart card provider name from «Microsoft Smart Card Base CSP» to «Gemalto .NET» in «Our Domain Smart Card Profile Template»but it didnt help, i got an error:
PKCS#11 smart card self-service control error: PKCS11 Error: Failed to load PKCS11 module .That’s because the card you’re using is in fact a Base CSP card and not a
P11 card.
Paul Adare
MVP — Identity Lifecycle Manager
http://www.identit.ca
It is now pitch dark. If you proceed, you will likely fall into a pit.-
Marked as answer by
Markus VilcinskasMicrosoft employee
Monday, September 26, 2011 6:46 PM
-
Marked as answer by
Ruslan777 |
|
Статус: Новичок Группы: Участники
|
Добрый день! После установки DEB-пакетов увидел, что в каталоге /opt/cprocsp/lib/amd64/ После этого установил opensc и попробовал получить информацию о поддерживаемых CSP механизмах. Код:
выдала обнадеживающий результат: Код:
После этого попытался сгенерировать ключевую пару: Код:
, но получаю ошибку: Код:
Решил проверить, работает ли хеширование. Для этого создал файл «abc» с текстом «abc» и вызвал команду: Код:
Хеш успешно вычислился и сохранился в файл abc.hash. Решил проверить, нет ли у меня в вызове команд ошибки, сделав генерацию ключевой пары и создание подписи через токен JaCarta ГОСТ: Код:
Ключевая пара в токене успешно сгенерировалась и 64-байта записались в файл abc.sgn. В чем может быть проблема с генерацией ключевой пары через PKCS#11 API CryptoPro CSP 4? |
|
|
Дмитрий Пичулин |
|
Статус: Сотрудник Группы: Администраторы Сказал(а) «Спасибо»: 28 раз |
Автор: Ruslan777 В чем может быть проблема с генерацией ключевой пары через PKCS#11 API CryptoPro CSP 4? Проблем может быть много, мы мало тестировали pkcs11-tool, особенно в части генерации ключей. Попробуйте сгенерировать ключ штатными средствами CSP, а подписывать через pkcs11-tool, ведь цель подпись? Или в чём глобальная задача? Интерфейс pkcs11 очень капризный. Мы конечно можем его подстроить под конкретное приложение, но хотелось бы понимать задачи, которые можно решить с помощью pkcs11-tool, но нельзя решить штатными средствами КриптоПро CSP. |
Знания в базе знаний, поддержка в техподдержке |
|
|
WWW |
Ruslan777 |
|
Статус: Новичок Группы: Участники
|
Дмитрий, да, цель — подпись. У нас есть универсальный плагин для браузеров (Windows, Mac OS X, Linux), который поддерживает работу с токенами через PKCS#11 интерфейс. Плагин замечательно работает с Рутокен и JaCarta, но не работает через ваш PKCS#11 модуль «/opt/cprocsp/lib/amd64/libcppkcs11.so». При этом я опробовал два подхода: Я сначала предположил, что проблема может быть в неправильной работе моего кода с PKCS#11 в Linux, поэтому решил обкатать сценарий выпуска PKCS#10-запроса, установки сертификата и создания ЭЦП через универсальный инструмент — pkcs11-tool. Но сейчас все мои предположения сводятся к тому, что у КриптоПро модуль PKCS#11 для Linux получился слишком сырым. Отредактировано пользователем 11 апреля 2019 г. 12:45:33(UTC) |
|
|
Дмитрий Пичулин |
|
Статус: Сотрудник Группы: Администраторы Сказал(а) «Спасибо»: 28 раз |
Проверили pkcs11-tool на совместимость с нами, вариант с CKM_GOSTR3410_WITH_GOSTR3411 нормально работает. 1. Перечисляем объекты: Код:
Цитата: … 2. Находим нужный ключ и сохраняем его ID Код:
|
Знания в базе знаний, поддержка в техподдержке |
|
|
WWW |
Ruslan777 |
|
Статус: Новичок Группы: Участники
|
Дмитрий, у меня почему-то не получается увидеть в списке объектов ключ после того, как был вызван метод Для генерации ключей используются шаблоны со следующими атрибутами: [Закрытый ключ] [Открытый ключ] Вызов метода C_GenerateKeyPair проходит с результатом CKR_OK, но при вызове Код:
я не вижу новых объектов — только следующие 9 объектов: Код:
При этом, если в шаблон закрытого ключа добавить атрибут CKA_TOKEN, то метод C_GenerateKeyPair возвращает ошибку CKR_TEMPLATE_INCONSISTENT, Может быть у вас есть готовый пример, как можно создать ключевую пару через PKCS#11 для CryptoPro CSP 4? Отредактировано пользователем 11 апреля 2019 г. 19:45:56(UTC) |
|
|
Дмитрий Пичулин |
|
Статус: Сотрудник Группы: Администраторы Сказал(а) «Спасибо»: 28 раз |
Автор: Ruslan777 Вызов метода C_GenerateKeyPair проходит с результатом CKR_OK, но при вызове Код:
я не вижу новых объектов … При этом, если в шаблон закрытого ключа добавить атрибут CKA_TOKEN, то метод C_GenerateKeyPair возвращает ошибку CKR_TEMPLATE_INCONSISTENT, Может быть у вас есть готовый пример, как можно создать ключевую пару через PKCS#11 для CryptoPro CSP 4? Всё верно по —list-objects, временные объекты могут быть перечислены только в рамках работы сессии, в которой они созданы. Между вызовами приложения временные объекты, очевидно, не выживают. Всё верно по CKA_TOKEN, по умолчанию слот настроен в режиме только на чтение, постоянные объекты в нём не создать. Как выяснили выше, если цель — подпись, то сделать её можно и на слоте по умолчанию, ключ можно создать средствами КриптоПро CSP. |
Знания в базе знаний, поддержка в техподдержке |
|
|
WWW |
Ruslan777 |
|
Статус: Новичок Группы: Участники
|
Цитата: Всё верно по CKA_TOKEN, по умолчанию слот настроен в режиме только на чтение, постоянные объекты в нём не создать. Может быть в этом и кроется корень всех проблем. Дмитрий, я нашел файл: /etc/opt/cprocsp/config64.ini и заполнил блок [PKCS11slot0]: Код:
Сейчас у меня команда Код:
выдает такую ошибку: Код:
Отредактировано пользователем 12 апреля 2019 г. 12:14:50(UTC) |
|
|
Дмитрий Пичулин |
|
Статус: Сотрудник Группы: Администраторы Сказал(а) «Спасибо»: 28 раз |
Автор: Ruslan777 выдает такую ошибку: Код:
Попробуйте так: Код:
|
Знания в базе знаний, поддержка в техподдержке |
|
|
WWW |
Ruslan777 |
|
Статус: Новичок Группы: Участники
|
Не помогло. Вернулась прежняя ошибка — CKR_TEMPLATE_INCONSISTENT Код:
При программной генерации через PKCS#11 ключевая пара создается, но как и раньше не выводится командой Отредактировано пользователем 12 апреля 2019 г. 13:28:44(UTC) |
|
|
Ruslan777 |
|
Статус: Новичок Группы: Участники
|
Если в шаблон закрытого ключа добавить атрибут CKA_TOKEN, то метод C_GenerateKeyPair также возвращает ошибку CKR_TEMPLATE_INCONSISTENT. |
|
|
Пользователи, просматривающие эту тему |
Guest |
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Description of problem: Unable to login using smartcard after adding coolkey module to /etc/pki/nssdb. pklogin_finder shows an error load_pkcs11_module() failed. Version-Release number of selected component (if applicable): RHEL 6.5 coolkey-1.1.0-29.el6 pam_pkcs11-0.6.2-13.el6 How reproducible: always Steps to Reproduce: 1. Setup kerberos for smartcard login. 2. Login to RHEL 6.5 Client machine using the smart card and check if the kerberos creds can be obtained. 3. Add the coolkey module to /etc/pki/nssdb/ as follows modutil -add "CoolKey PKCS#11 Module" -dbdir /etc/pki/nssdb -libfile /usr/lib/pkcs11/libcoolkeypk11.so 4. Logout and try to select the smartcard login option. Actual results: The smart card login option cannot be selected. Login as local user and execute pklogin_finder debug, fails to recognize the card with error: load_pkcs11_module() failed Expected results: Should be able to login using smartcard and kerberos credentials should be valid Additional info:
Comment 2
Bob Relyea
2013-09-06 21:23:08 UTC
The basic problem is pk11install only works with paths, not sql: or dbm: paths.
Comment 4
Roshni
2013-09-09 18:35:45 UTC
When the build in the errata is installed, the PKCS#11 Coolkey Module is automatically added to /etc/pki/nssdb and smartcard login works fine. If the PKCS#11 Coolkey Module is deleted and added back again, the issue described in this bug is seen (unable to login using smartcard)
Comment 5
Bob Relyea
2013-09-09 18:39:44 UTC
Roshni, please to ls -s /etc/pki/nssdb if pkcs11.txt does not have group other read, hand change it. There is an NSS bug against this issue.
Comment 6
Roshni
2013-09-09 20:41:42 UTC
I changed the permission of group other to read for the file pkcs11.txt, the issue still exists.
Comment 7
Bob Relyea
2013-09-09 21:51:26 UTC
Roshni, can you point me to your machines that are misbehaving?
Comment 9
Roshni
2013-09-16 17:13:28 UTC
Bob, The machine is ready, you can have a look at the issue. Let me know if you need any more information from my side.
Comment 12
Bob Relyea
2013-11-12 01:19:16 UTC
this was ultimately not a coolkey bug, the fix was elsewhwere, so no docs needed for coolkey.
Comment 13
errata-xmlrpc
2013-11-21 23:06:13 UTC
Since the problem described in this bug report should be resolved in a recent advisory, it has been closed with a resolution of ERRATA. For information on the advisory, and where to find the updated files, follow the link below. If the solution does not work for you, open a new bug report. http://rhn.redhat.com/errata/RHBA-2013-1699.html