Настройка ГОСТ для OpenSSL и работа с ним

Недавно на работе возникла необходимость настроить генерацию ключевой пары и запроса на сертификат x.509 с помощью OpenSSL и алогритмов ГОСТ. После изучения материала по данной теме было найдено определенное решение и построен соответсвующий алгоритм действий, который и хотелось бы описать.

Настройка OpenSSL

Итак для генерации ключей по ГОСТ у OpenSSL идет библиотека libgost.so, которая поставляется с OpenSSL, не не входит в конфигурацию по умолчанию. Подробнее можно прочитать здесь. В кратце порядок дествий следующий:

  • в глобальную секцию настроек добавить

    openssl_conf = openssl_def
    
    
    
  • Затем добавить секцию с описание заданной конфигурации

    [openssl_def]                                                                   
    engines = engine_section
    
    
    
  • Теперь надо дабавить секцию с описание движка шифрования

    [engine_section]                                                                
    gost = gost_section
    
    
    
  • И напоследок добавть секцию с описание параметров указанного выше движка

    [gost_section]                                                                  
    engine_id = gost                                                                
    dynamic_path = /usr/lib/ssl/engines/libgost.so                                  
    default_algorithms = ALL                                                        
    CRYPT_PARAMS = id-Gost28147-89-CryptoPro-A-ParamSet 
    
    
    

Расширение OpenSSL сертификата дополнительными полями:

В файле openssl.conf нужно:

  • Задать секцию расширений

    req_extensions = v3_req # The extensions to add to a certificate request
    
    
    
  • Описать поля, которые будут входить в секцию расширений

    [ v3_req ]
    certificatePolicies = 1.2.643.100.113.1, 1.2.643.100.113.2
    1.2.643.100.111 = ASN1:UTF8String:ATLAS NCM
    keyUsage = critical, Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment
    subjectAltName = DER:3014A012060355042DA00B0309000400FFFFFFFFFFFF
    
    
    
  • Для добавления кастомных полей в поле subject сертификата, в секцию [ newoids ] вписать нужные поля, например:

    [ v3_req ]
    inn = 1.2.643.3.131.1.1
    ogrn = 1.2.643.100.1
    
    
    
    

Основные команды по работе с OpenSSL:

Сгенерировать закрытый ключ c помощью ГОСТ:

openssl genpkey -algorithm gost2001 -pkeyopt paramset:A -out file.key

Вытащить закрытый ключ из полученного файла (без первых 3-х байт):

openssl asn1parse -in file.key -offset 35 -out key

Генерируем запрос на сертификат:

openssl req -new -key file.key -subj "сабжект" -out file.req

Для самоподписанного сертификатв выполнить для запроса команду:

openssl x509 -req -days 365 -in file.req -signkey test.key -out cert.cer

Посмотреть сертификат можно:

openssl x509 -in cert.cer -noout -text

Выгрузить в контейнер PKCS#12:

openssl pkcs12 -export -out test.p12 -in cert.cer -inkey test.key
 
comments powered by Disqus