Сертификат и ключи готовы, поместим их на наш USB-token. Смарткарты, как и USB-ключи используют для хранения сертификатов и ключей файловую систему. Многие производители в своих устройствах используют собственные проприетарные механизмы хранения ключей и сертификатов, например различные имена директорий. OpenSC реализует PKCS #15 стандарт и имеет модуль эмуляции для несовместимых механизмов хранения. Необходимо отформатировать аппаратный ключ (параметры «-EC» – сокращенные от «--erase-card» и «--create-pkcs15») перед его первым использованием (внимание! вся информация на ключе будет уничтожена!):

# pkcs15-init -EC --label 'Chiko Test Card' --no-so-pin

Connecting to card in reader Aladdin eToken PRO...

Using card driver: Siemens CardOS

About to erase card.

About to create PKCS #15 meta structure.

Параметр --no-so-pin указывает, что не будет использоваться Security Officer PIN. Это избавит вас от лишних запросов Security Officer PIN, но так вы понижаете планку безопасности (владельцу ключа будут доступны возможности создания новых профилей). Также, в случае утери PIN и PUK-кодов пользовательского профиля вы не сможете разблокировать пользовательский PIN. Выбор за вами.

На следующем шаге создается пользовательский профиль, выбираются PIN- и PUK-коды:

# pkcs15-init -P --auth-id 01 --label 'CHIKOPIN'

Connecting to card in reader Aladdin eToken PRO...

Using card driver: Siemens CardOS

Found Chiko Test Card

About to store PIN.

New user PIN required.

Please enter PIN:

Please type again to verify:

Unlock code for new user PIN required (press return for no PIN).

Please enter PIN:

Please type again to verify:

Помещаем в аппаратный ключ только что созданный секретный ключ. На ошибку в пятой строке не обращаем внимания:

# pkcs15-init -S newcert.p12 --format pkcs12 -a 01 --split-key

Connecting to card in reader Aladdin eToken PRO...

Using card driver: Siemens CardOS

Found Chiko Test Card

About to store private key.

error:23076071:PKCS12 routines:PKCS12_parse:mac verify failure

Please enter passphrase to unlock secret key:

Importing 2 certificates: