«Программный комплекс С-Терра Клиент-М»не позволяет создать контейнер на токене. В данном разделе описывается создание контейнера на токене с помощью утилит «Программного комплекса С-Терра Клиент», с использованием СКЗИ, разработанного компанией S-Terra CSP.
Возможна работа с токенами следующих моделей: "JaCarta MicroSD", "Рутокен ЭЦП" (USB), "Рутокен ЭЦП Bluetooth".
На компьютере администратора должен быть установлен административный пакет продукта «Программный комплекс С-Терра Клиент» или установлен сам программный комплекс. Разница в работе будет лишь в том, что упоминаемые ниже конфигурационный файл skzi.conf и утилита cont_mgr будут находиться в каталоге C:\Program Files\S-Terra Client AdminTool st либо в каталоге C:\Program Files\S-Terra Client. Также должно быть установлено необходимое ПО для работы с токенами.
1. В файле skzi.conf, в котором содержатся настройки СКЗИ, укажите тип токена (rutoken или etoken), а также местоположение и название модуля для поддержки токена (интерфейс PKCS#11). Для Windows это обычно %WINDIR%\system32\ (x86) и %WINDIR%\SysWOW64 (x64).
Например, для функционирования токенов Рутокен в файл skzi.conf нужно добавить две строки:
TokenLibPath=rtPKCS11ECP.dll
TokenType=rutoken
Для функционирования токенов JaCarta в файл skzi.conf нужно добавить следующие строки:
TokenLibPath=jcPKCS11.dll
TokenType=etoken
2. Используя утилиту cont_mgr create, создайте контейнер с ключевой парой. Например, создадим контейнер, доступный всем пользователям (уровня компьютера), с именем conttoken на внешнем носителе, подключенном по интерфейсу PKCS#11. Пароль (PIN) для доступа к контейнеру12345678. PIN токена и пароль контейнера должен совпадать:
cont_mgr create –cont system::etoken://conttoken –PIN 12345678
3. Создайте запрос на сертификат с помощью утилиты cont_mgr request. Запрос создается на основе уже имеющейся в контейнере пары ключей для подписи. Например:
cont_mgr request –cont system::etoken://conttoken –PIN 12345678 -o myreq –n "C=ru,CN=user1,O=s-terra" –pem
Где параметр –o задает выходной файл myreq для PKCS#10-запроса, параметр –n задает Distinguished Name сертификата, параметр –pem указывает выходной формат.
4. Отправьте запрос в Удостоверяющий центр.
5. Полученный сертификат поместите на устройство, работающее под управлением ОС Android в папке S-Terra, вложенной в Android External Storage Directory.
6. Выполните импорт своего сертификата в разделе Сертификаты «Программного комплекса С-Терра Клиент-М».