Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

20 Страницы«<1617181920>
Опции
К последнему сообщению К первому непрочитанному
Offline rrrrrr111  
#341 Оставлено : 7 февраля 2021 г. 23:28:14(UTC)
rrrrrr111

Статус: Участник

Группы: Участники
Зарегистрирован: 07.02.2021(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Цитата:


Смена KC1 на KC2 в имени провайдера, так как nginx работает с провайдером KC2:

Код:
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\\.\HDIMAGE\srvtest' -provtype 81 -provname "Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP"





получаю

GetKeyParam error
Incorrect function.
Offline rrrrrr111  
#342 Оставлено : 14 февраля 2021 г. 15:16:13(UTC)
rrrrrr111

Статус: Участник

Группы: Участники
Зарегистрирован: 07.02.2021(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Offline Marvin42  
#343 Оставлено : 16 февраля 2021 г. 16:04:25(UTC)
Marvin42

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 4

Добрый день!
Пробуем реализовать ГОСТ TLS на Linux+ngninx.
Версия ОС: Linux CentOS Linux release 8.3.2011
Версия КриптоПро CSP 5.0 R2: CSP (Type:80) v5.0.10006 KC2 Release Ver:5.0.11944 OS:Linux CPU:AMD64

Устанавливаем пакеты взятые из https://update.cryptopro.../nginx-gost/bin/211453/. в частности:
1) cprocsp-cpopenssl-110-base-5.0.11803-6.noarch.rpm
2) cprocsp-cpopenssl-110-64-5.0.11803-6.x86_64.rpm
3) cprocsp-cpopenssl-110-devel-5.0.11803-6.noarch.rpm
4) cprocsp-cpopenssl-110-gost-64-5.0.11803-6.x86_64.rpm

Первые 2 пакета устанавливаются без проблем.
При попытке установки cprocsp-cpopenssl-110-devel-5.0.11803-6.noarch.rpm возникает ошибка.

Цитата:
[root@server amd64]# sudo yum install cprocsp-cpopenssl-110-devel-5.0.11803-6.noarch.rpm
sudo: error in /etc/sudo.conf, line 19 while loading plugin "sudoers_policy"
sudo: unable to load /usr/libexec/sudo/sudoers.so: /lib64/libk5crypto.so.3: undefined symbol: EVP_KDF_ctrl, version OPENSSL_1_1_1b
sudo: fatal error, unable to load plugins


В чем может быть проблема?

Порядок действий ниже:
Offline pd  
#344 Оставлено : 16 февраля 2021 г. 16:52:26(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: Marvin42 Перейти к цитате
Добрый день!
Пробуем реализовать ГОСТ TLS на Linux+ngninx.
Версия ОС: Linux CentOS Linux release 8.3.2011
Версия КриптоПро CSP 5.0 R2: CSP (Type:80) v5.0.10006 KC2 Release Ver:5.0.11944 OS:Linux CPU:AMD64

Устанавливаем пакеты взятые из https://update.cryptopro.../nginx-gost/bin/211453/. в частности:
1) cprocsp-cpopenssl-110-base-5.0.11803-6.noarch.rpm
2) cprocsp-cpopenssl-110-64-5.0.11803-6.x86_64.rpm
3) cprocsp-cpopenssl-110-devel-5.0.11803-6.noarch.rpm
4) cprocsp-cpopenssl-110-gost-64-5.0.11803-6.x86_64.rpm

Первые 2 пакета устанавливаются без проблем.
При попытке установки cprocsp-cpopenssl-110-devel-5.0.11803-6.noarch.rpm возникает ошибка.

Цитата:
[root@server amd64]# sudo yum install cprocsp-cpopenssl-110-devel-5.0.11803-6.noarch.rpm
sudo: error in /etc/sudo.conf, line 19 while loading plugin "sudoers_policy"
sudo: unable to load /usr/libexec/sudo/sudoers.so: /lib64/libk5crypto.so.3: undefined symbol: EVP_KDF_ctrl, version OPENSSL_1_1_1b
sudo: fatal error, unable to load plugins


В чем может быть проблема?

В этой теме начинать следует с проверенного сценария по автоматическим скриптам из первых сообщений.

Мы не можем гарантировать работу пакетов во всех возможных пользовательских сценариях.

Сейчас ваша ошибка выглядит, как после установки несистемного openssl ломается работа системных утилит.

Знания в базе знаний, поддержка в техподдержке
Offline Marvin42  
#345 Оставлено : 17 февраля 2021 г. 17:35:06(UTC)
Marvin42

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 4

Log ustanovki1.txt (27kb) загружен 1 раз(а).
Цитата:
В этой теме начинать следует с проверенного сценария по автоматическим скриптам из первых сообщений.
Мы не можем гарантировать работу пакетов во всех возможных пользовательских сценариях.
Сейчас ваша ошибка выглядит, как после установки несистемного openssl ломается работа системных утилит.


Сначала запустил скрипт с указанием на папку с CSP:
[root@epsbp-test2 sb32]# sudo bash ./install-nginx.sh --csp=/home/sb32/linux-amd64

Итог (Вложение: Log ustanovki1.txt):
./install-nginx.sh: line 404: ./install.sh: Permission denied

Затем запустил скрипт с указанием на архив с CSP:
[root@server user]# sudo bash ./install-nginx.sh --csp=/home/user/linux-amd64.tgz

В конце ошибка:
Цитата:
Starting cryptsrv
Install Openssl-1.1.0
rpm: symbol lookup error: /lib64/librpmio.so.8: undefined symbol: EVP_md2, version OPENSSL_1_1_0




Также при попытке установки, например, lsb-cprocsp-devel-5.0.11944-6.noarch.rpm выходит ошибка:
Цитата:
[root@server linux-amd64]# sudo yum install lsb-cprocsp-devel-5.0.11944-6.noarch.rpm
sudo: error in /etc/sudo.conf, line 19 while loading plugin "sudoers_policy"
sudo: unable to load /usr/libexec/sudo/sudoers.so: /lib64/libk5crypto.so.3: undefined symbol: EVP_KDF_ctrl, version OPENSSL_1_1_1b
sudo: fatal error, unable to load plugins



Offline pd  
#346 Оставлено : 17 февраля 2021 г. 17:52:57(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: Marvin42 Перейти к цитате
Сначала запустил скрипт с указанием на папку с CSP:
[root@epsbp-test2 sb32]# sudo bash ./install-nginx.sh --csp=/home/sb32/linux-amd64

Итог (Вложение: Log ustanovki1.txt):
./install-nginx.sh: line 404: ./install.sh: Permission denied

Непонятно, вы от рута запускаете, зачем тогда sudo?

У рута есть доступ к /home/sb32/linux-amd64/install.sh?
Знания в базе знаний, поддержка в техподдержке
Offline Marvin42  
#347 Оставлено : 17 февраля 2021 г. 17:56:51(UTC)
Marvin42

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 4

Цитата:
Непонятно, вы от рута запускаете, зачем тогда sudo?

У рута есть доступ к /home/sb32/linux-amd64/install.sh?


Да доступ есть, почему ошибка доступа - не ясно.
С "sudo" запускал, просто копируя команду.

Есть какие-нибудь идеи на счет ошибки?:
Цитата:
Starting cryptsrv
Install Openssl-1.1.0
rpm: symbol lookup error: /lib64/librpmio.so.8: undefined symbol: EVP_md2, version OPENSSL_1_1_0
Offline pd  
#348 Оставлено : 17 февраля 2021 г. 18:06:35(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: Marvin42 Перейти к цитате
Цитата:
Непонятно, вы от рута запускаете, зачем тогда sudo?

У рута есть доступ к /home/sb32/linux-amd64/install.sh?


Да доступ есть, почему ошибка доступа - не ясно.
С "sudo" запускал, просто копируя команду.

Есть какие-нибудь идеи на счет ошибки?:
Цитата:
Starting cryptsrv
Install Openssl-1.1.0
rpm: symbol lookup error: /lib64/librpmio.so.8: undefined symbol: EVP_md2, version OPENSSL_1_1_0

Да, уже сказано ранее:

Цитата:
Сейчас ваша ошибка выглядит, как после установки несистемного openssl ломается работа системных утилит.


У вас CSP устанавливается в систему без ошибок штатным способом?

Также вы не уточнили, что у вас за система, возможно стоит потренироваться на проверенных системах, потом вернуться к своей.



Знания в базе знаний, поддержка в техподдержке
Offline Marvin42  
#349 Оставлено : 17 февраля 2021 г. 18:16:23(UTC)
Marvin42

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 4

Цитата:
У вас CSP устанавливается в систему без ошибок штатным способом?

Сам CSP устанавливается без проблем. Ошибка только при установке несистемного openssl.

Цитата:
Также вы не уточнили, что у вас за система, возможно стоит потренироваться на проверенных системах, потом вернуться к своей.

Писал в своём первом посте:

Цитата:
Пробуем реализовать ГОСТ TLS на Linux+ngninx.
Версия ОС: Linux CentOS Linux release 8.3.2011
Версия КриптоПро CSP 5.0 R2: CSP (Type:80) v5.0.10006 KC2 Release Ver:5.0.11944 OS:Linux CPU:AMD64


Ну, если на текущей версии ОС не выйдет - будем пробовать на других.
Не подскажете - есть какой-нибудь список однозначно совместимых ОС из семейства Linux?
Offline pd  
#350 Оставлено : 17 февраля 2021 г. 18:40:54(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: Marvin42 Перейти к цитате
Писал в своём первом посте:

Цитата:
Пробуем реализовать ГОСТ TLS на Linux+ngninx.
Версия ОС: Linux CentOS Linux release 8.3.2011
Версия КриптоПро CSP 5.0 R2: CSP (Type:80) v5.0.10006 KC2 Release Ver:5.0.11944 OS:Linux CPU:AMD64


Ну, если на текущей версии ОС не выйдет - будем пробовать на других.
Не подскажете - есть какой-нибудь список однозначно совместимых ОС из семейства Linux?

Вообще CentOS входит в список и на ней проверялась работоспособность, но вероятно не на 8 версии, а на 7.

Если проблема только в openssl, то engine должна работать с любым openssl >= 1.1.0.

Устанавливать несистемный openssl не обязательно, просто необходимо прописать gostengy как engine в системный openssl, аналогично как сделано в нашем openssl конфиге (/var/opt/cprocsp/cp-openssl-1.1.0/openssl.cnf), лучше посмотреть точно в какое место, но внести потребуется что-то такое:

Код:
openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gostengy = gost_section

[gost_section]
engine_id = gostengy
dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1

После этого можно убедиться (openssl engine), что engine работает и продолжать сценарий уже с системным openssl.

Но лучше взять CentOS 7 и там скрипты должны отрабатывать без ошибок из коробки.
Знания в базе знаний, поддержка в техподдержке
Offline pd  
#351 Оставлено : 17 февраля 2021 г. 18:49:38(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Кстати, есть новость, которая должна похоронить gostengy в ближайшей перспективе.

У нас появились решения для nginx и apache, которые позволят работать в совершенно другом статусе, а именно в статусе сертифицированных веб-серверов из коробки:
- https://www.cryptopro.ru...sp/tls/gost-nginx-apache
- https://www.cryptopro.ru/products/csp/tls
Знания в базе знаний, поддержка в техподдержке
Offline sil77  
#352 Оставлено : 19 февраля 2021 г. 15:01:23(UTC)
sil77

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2021(UTC)
Сообщений: 2

Добрый день подскажите по 2 шагу есть ошибка, пытался и скриптом и руками

/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn 'CN=srvtest' -cont '\\.\HDIMAGE\srvtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://testgost2012.cryptopro.ru/certsrv
CryptCP 5.0 (c) "Crypto-Pro", 2002-2020.
Command prompt Utility for file signature and encryption.
Creating request...
Press keys...
[....................................................................................................................................................]

Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP requests new container password
New password:
Confirm password:
First input and confirmation are not the same.
New password:
Confirm password:
Sending request to CA...
CURL is unavailable!
Error: Error loading type library/DLL.

../../../../CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:1154: 0x80029C4A
[ErrorCode: 0x80029c4a]


вот вывод пакетов
dpkg-query --list | grep csp
ii cprocsp-cpopenssl-110-64 5.0.11803-6 amd64 OpenSSL-110. Build 11803.
ii cprocsp-cpopenssl-110-base 5.0.11803-6 all Openssl-110 common Build 11803.
ii cprocsp-cpopenssl-110-devel 5.0.11803-6 all Openssl-110 devel Build 11803.
ii cprocsp-cpopenssl-110-gost-64 5.0.11803-6 amd64 OpenSSL-110 gostengy engine. Build 11803.
ii cprocsp-curl-64 5.0.11998-6 amd64 CryptoPro cURL shared library and application. Build 11998.
ii lsb-cprocsp-base 5.0.11998-6 all CryptoPro CSP directories and scripts. Build 11998.
ii lsb-cprocsp-ca-certs 5.0.11998-6 all CryptoPro CA certificates. Build 11998.
ii lsb-cprocsp-capilite-64 5.0.11998-6 amd64 CryptoPro CSP. CryptoAPI Lite libraries and applications. Build 11998.
ii lsb-cprocsp-kc1-64 5.0.11998-6 amd64 CryptoPro CSP KC1. Build 11998.
ii lsb-cprocsp-kc2-64 5.0.11998-6 amd64 CryptoPro CSP KC2. Build 11998.
ii lsb-cprocsp-rdr-64 5.0.11998-6 amd64 CryptoPro CSP common libraries and utilities. Build 11998.

Отредактировано пользователем 19 февраля 2021 г. 15:03:14(UTC)  | Причина: Не указана

Offline pd  
#353 Оставлено : 19 февраля 2021 г. 15:43:37(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: sil77 Перейти к цитате
Добрый день подскажите по 2 шагу есть ошибка, пытался и скриптом и руками

/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn 'CN=srvtest' -cont '\\.\HDIMAGE\srvtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://testgost2012.cryptopro.ru/certsrv
CryptCP 5.0 (c) "Crypto-Pro", 2002-2020.
Command prompt Utility for file signature and encryption.
Creating request...
Press keys...
[....................................................................................................................................................]

Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP requests new container password
New password:
Confirm password:
First input and confirmation are not the same.
New password:
Confirm password:
Sending request to CA...
CURL is unavailable!
Error: Error loading type library/DLL.

../../../../CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:1154: 0x80029C4A
[ErrorCode: 0x80029c4a]


вот вывод пакетов
dpkg-query --list | grep csp
ii cprocsp-cpopenssl-110-64 5.0.11803-6 amd64 OpenSSL-110. Build 11803.
ii cprocsp-cpopenssl-110-base 5.0.11803-6 all Openssl-110 common Build 11803.
ii cprocsp-cpopenssl-110-devel 5.0.11803-6 all Openssl-110 devel Build 11803.
ii cprocsp-cpopenssl-110-gost-64 5.0.11803-6 amd64 OpenSSL-110 gostengy engine. Build 11803.
ii cprocsp-curl-64 5.0.11998-6 amd64 CryptoPro cURL shared library and application. Build 11998.
ii lsb-cprocsp-base 5.0.11998-6 all CryptoPro CSP directories and scripts. Build 11998.
ii lsb-cprocsp-ca-certs 5.0.11998-6 all CryptoPro CA certificates. Build 11998.
ii lsb-cprocsp-capilite-64 5.0.11998-6 amd64 CryptoPro CSP. CryptoAPI Lite libraries and applications. Build 11998.
ii lsb-cprocsp-kc1-64 5.0.11998-6 amd64 CryptoPro CSP KC1. Build 11998.
ii lsb-cprocsp-kc2-64 5.0.11998-6 amd64 CryptoPro CSP KC2. Build 11998.
ii lsb-cprocsp-rdr-64 5.0.11998-6 amd64 CryptoPro CSP common libraries and utilities. Build 11998.

Не работает базовый функционал.

Возьмите чистую систему, установите CSP штатным способом, выполните указанную выше проблемную команду.

Если ошибка повторяется, дайте знать порядок воспроизведения и точное название системы.

Знания в базе знаний, поддержка в техподдержке
Offline sil77  
#354 Оставлено : 19 февраля 2021 г. 17:16:07(UTC)
sil77

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2021(UTC)
Сообщений: 2

чистый дебиан свежий
PRETTY_NAME="Debian GNU/Linux 10 (buster)"
NAME="Debian GNU/Linux"
VERSION_ID="10"
VERSION="10 (buster)"
VERSION_CODENAME=buster
ID=debian

порядок такой, сначала скачал CSP с сайта linux-amd64_deb.tgz потом зависимости и далее уже скрипт
wget https://raw.githubuserco...nx-gost/install-nginx.sh && chmod +x install-nginx.sh
./install-nginx.sh --csp=linux-amd64_deb.tgz
тут все отработало а вот второй уже ошибка что выше, руками тоже самое

на всяий случай скину вот эту инфу
/opt/cprocsp/sbin/amd64/cpconfig -license -view
License validity:
5050010037ELQF5H28KM8E6BA
Expires: 94 day(s)
License type: Demo.

~# dpkg-query --list | grep csp
ii cprocsp-cpopenssl-110-64 5.0.11803-6 amd64 OpenSSL-110. Build 11803.
ii cprocsp-cpopenssl-110-base 5.0.11803-6 all Openssl-110 common Build 11803.
ii cprocsp-cpopenssl-110-devel 5.0.11803-6 all Openssl-110 devel Build 11803.
ii cprocsp-cpopenssl-110-gost-64 5.0.11803-6 amd64 OpenSSL-110 gostengy engine. Build 11803.
ii cprocsp-curl-64 5.0.11998-6 amd64 CryptoPro cURL shared library and application. Build 11998.
ii lsb-cprocsp-base 5.0.11998-6 all CryptoPro CSP directories and scripts. Build 11998.
ii lsb-cprocsp-ca-certs 5.0.11998-6 all CryptoPro CA certificates. Build 11998.
ii lsb-cprocsp-capilite-64 5.0.11998-6 amd64 CryptoPro CSP. CryptoAPI Lite libraries and applications. Build 11998.
ii lsb-cprocsp-kc1-64 5.0.11998-6 amd64 CryptoPro CSP KC1. Build 11998.
ii lsb-cprocsp-kc2-64 5.0.11998-6 amd64 CryptoPro CSP KC2. Build 11998.
ii lsb-cprocsp-rdr-64 5.0.11998-6 amd64 CryptoPro CSP common libraries and utilities. Build 11998.

Отредактировано пользователем 19 февраля 2021 г. 17:21:18(UTC)  | Причина: Не указана

Offline alex_nur  
#355 Оставлено : 16 марта 2021 г. 10:23:25(UTC)
alex_nur

Статус: Участник

Группы: Участники
Зарегистрирован: 19.11.2020(UTC)
Сообщений: 21

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Добрый день!
Поработало в пробном периоде 3 месяца, и остановилось :)
CPCSP: CryptoPro CSP license is expired or not yet valid.
мар 15 10:38:32 srvuapp03 nginx[4473]: (o) OK
мар 15 10:38:32 srvuapp03 nginx[4473]: <capi10>CryptEncrypt!failed: LastError = 0x65B
мар 15 10:38:32 srvuapp03 nginx[4473]: nginx: [emerg] cannot load certificate key "engine:gostengy:apiportal.srvuapp03.ygd.gazprom.ru": ENGINE_load_private_key() failed (SSL: error:80016034:lib(128):gng_support_getuserkey:GNG_ERR_LICENSE
мар 15 10:38:32 srvuapp03 nginx[4473]: nginx: configuration file /etc/nginx/nginx.conf test failed

Пробовал ввести лицензию от Крипто Про CSP для АРМ:
/opt/cprocsp/sbin/amd64/cpconfig -license -set н-о-м-е-р
Invalid license number.
Error code:-2146893792
An internal error occurred.

Т.е. нужна серверная лицензия для CSP, чтобы nginx работал?
Я как-то надеялся на то, что процесс, использующий ЭЦП - один, сам криптопровайдер не "расшарен" для работы с несколькими ЭЦП (через rdp или еще каким-то образом проброшенными), и сгодится лицензия для АРМ.

Какая лицензия необходима?
На https://www.cryptopro.ru/order/ для юридических лиц в разделе CSP5:
"Лицензия на право использования СКЗИ "КриптоПро CSP" версии 5.0 на сервере
* данная лицензия не предоставляет право использования TLS-сервера в среде серверных ОС, отличных от Windows. Для использования TLS-сервера необходимо приобретать Лицензию на право использования СКЗИ "КриптоПро CSP" версии 5.0 TLS-сервер (см. раздел «КриптоПро CSP» TLS)"
Эта подойдет?

PS: Похоже необходимо использовать КриптоПро CSP TLS?
Что произойдет, если купить лицензию на 1000 одновременных подключений и подключится 1001 одновременный пользователь?

Отредактировано пользователем 16 марта 2021 г. 10:37:39(UTC)  | Причина: уточнил

Offline pd  
#356 Оставлено : 16 марта 2021 г. 13:15:34(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: alex_nur Перейти к цитате
Т.е. нужна серверная лицензия для CSP, чтобы nginx работал?

Для работы gostengy + openssl + nginx необходима обычная серверная лицензия (не TLS).

Отметим, что решение gostengy является устаревшим (deprecated).

Обратите внимание на текущие решения позволяющий работать сертифицировано из коробки: https://www.cryptopro.ru...&m=122914#post122914


Автор: alex_nur Перейти к цитате
Что произойдет, если купить лицензию на 1000 одновременных подключений и подключится 1001 одновременный пользователь?

Текущие решения (см. ссылку выше) действительно требуют наличия TLS лицензии, при подключении 1001 пользователя, пользователь подключится без ошибок.



Знания в базе знаний, поддержка в техподдержке
Offline alex_nur  
#357 Оставлено : 16 марта 2021 г. 13:30:44(UTC)
alex_nur

Статус: Участник

Группы: Участники
Зарегистрирован: 19.11.2020(UTC)
Сообщений: 21

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате

Для работы gostengy + openssl + nginx необходима обычная серверная лицензия (не TLS).


Речь о той, что на данный момент стоит 37500 руб, верно? Они не подразделяются на под Windows/Linux?

Автор: pd Перейти к цитате

Отметим, что решение gostengy является устаревшим (deprecated).
Обратите внимание на текущие решения позволяющий работать сертифицировано из коробки: https://www.cryptopro.ru...&m=122914#post122914


Прочитал, но разницу по сравнению с использованием устаревшего gostengy - не уловил. Разве что у новых (раз им необходима лицензия TLS) стоимость выше.
Касаемо сертификации из коробки. Мы ведь тоже для сборки nginx+ГОСТ используем сертифицированную версию КриптоПро CSP 5.
В целях защиты ПД, при использовании новых текущих решений, будут ли эти решения соответствовать ФЗ 152 от 27.07.2006 "О персональных данных" в части использования сертифицированных СЗИ согласно ФСТКЭК и ФСБ? Дополнительной сертификации не потребуется?

Offline pd  
#358 Оставлено : 16 марта 2021 г. 13:37:27(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: alex_nur Перейти к цитате
Речь о той, что на данный момент стоит 37500 руб, верно? Они не подразделяются на под Windows/Linux?

Верно. Не разделяются.

Автор: alex_nur Перейти к цитате
Прочитал, но разницу по сравнению с использованием устаревшего gostengy - не уловил. Разве что у новых (раз им необходима лицензия TLS) стоимость выше.
Касаемо сертификации из коробки. Мы ведь тоже для сборки nginx+ГОСТ используем сертифицированную версию КриптоПро CSP 5.
В целях защиты ПД, при использовании новых текущих решений, будут ли эти решения соответствовать ФЗ 152 от 27.07.2006 "О персональных данных" в части использования сертифицированных СЗИ согласно ФСТКЭК и ФСБ? Дополнительной сертификации не потребуется?

В новых решения явно прописывается сертифицированный статус конечного решения, в случае gostengy такого нет, и конечное решение (веб-сервер) никогда не являлось сертифицированным в комплексном смысле.

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
alex_nur оставлено 16.03.2021(UTC)
Offline alex_nur  
#359 Оставлено : 21 марта 2021 г. 14:49:35(UTC)
alex_nur

Статус: Участник

Группы: Участники
Зарегистрирован: 19.11.2020(UTC)
Сообщений: 21

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате

В новых решения явно прописывается сертифицированный статус конечного решения, в случае gostengy такого нет, и конечное решение (веб-сервер) никогда не являлось сертифицированным в комплексном смысле.


Несколько раз прочитал https://www.cryptopro.ru/products/csp/tls и https://www.cryptopro.ru...sp/tls/gost-nginx-apache .
Все таки не понял отличий от описанного в этой теме форума настройки nginx, разве что в новой сертифицированной версии gostengy не используется, а применяются готовые патчи к nginx. Но ведь и в depricated и в новой сертифицированной версии необходимо скачать исходники nginx и приложить патчи. Мы вот оттестировали решение depricated, проект только готовится к запуску, закладывали в смету одни вещи. Теперь выясняется, что есть что-то более готовое и сертифицированное, но нами еще не опробованное.
Вопросы следующие:
1. Чтобы не получилось так, что мы купим что-то дороже чем планировали, а потом настроить это не сможем под наши задачи, как можно заранее ознакомиться и опробовать без покупки, тот самый сертифицированный nginx с ГОСТ из коробки без gostengy?
2. И предусмотрены ли некие скидки чтоли, к тестовому контуру? Например, у проекта есть две площадки - тестовая и продуктивная. Итого потребуется купить два одинаковых решения nginx+ГОСТ?

Отредактировано пользователем 21 марта 2021 г. 14:50:31(UTC)  | Причина: Не указана

Offline Yuzhanin35  
#360 Оставлено : 21 апреля 2021 г. 10:49:45(UTC)
Yuzhanin35

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.04.2021(UTC)
Сообщений: 9
Откуда: RU

Сказал(а) «Спасибо»: 1 раз
Добрый день.
Подскажите пожалуйста, куда копать в данном случае.
Пробовал выполнять настройку CryptoPro на RedHat 7.6 как по указанным скриптам, так и по шагам. В результате при запуске ngingx получаю такую ошибку:
Цитата:

root@redhatnginx ~]# /etc/start-nginx.sh
spawn /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/srvtest.pem") failed (SSL: error:0609E09C:digital envelope routines:pkey_set_type:unsupported algorithm error:0B09406F:x509 certificate routines:x509_pubkey_decode:unsupported algorithm error:140AB18F:SSL routines:SSL_CTX_use_certificate:ee key too small)
send: spawn id exp6 not open


Версия nginx и openssl (мне нужно воспроизвести конфигурацию именно с такими версиями):

Цитата:
]# nginx -V
nginx version: nginx/1.14.2
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC)
built with OpenSSL 1.1.0i 14 Aug 2018
TLS SNI support enabled


При сборке nginx я указал в скрипте ветку для nginx, и качнул определенную версию openssl.
Затем в скрипте установки прописал -- with-openssl=/home/openssl-1.1.0i

Конфиг nginx:

Цитата:

user root;
worker_processes 1;

#error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;

#pid logs/nginx.pid;


events {
worker_connections 1024;
}


http {
include mime.types;
default_type application/octet-stream;

#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
# '$status $body_bytes_sent "$http_referer" '
# '"$http_user_agent" "$http_x_forwarded_for"';

#access_log logs/access.log main;

sendfile on;
#tcp_nopush on;

#keepalive_timeout 0;
keepalive_timeout 65;

#gzip on;

server {
listen 80;
server_name localhost;

#charset koi8-r;

#access_log logs/host.access.log main;

location / {
root html;
index index.html index.htm;
}

#error_page 404 /404.html;

# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}

# proxy the PHP scripts to Apache listening on 127.0.0.1:80
#
#location ~ \.php$ {
# proxy_pass http://127.0.0.1;
#}

# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
#
#location ~ \.php$ {
# root html;
# fastcgi_pass 127.0.0.1:9000;
# fastcgi_index index.php;
# fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
# include fastcgi_params;
#}

# deny access to .htaccess files, if Apache's document root
# concurs with nginx's one
#
#location ~ /\.ht {
# deny all;
#}
}
# another virtual host using mix of IP-, name-, and port-based configuration
#
#server {
# listen 8000;
# listen somename:8080;
# server_name somename alias another.alias;

# location / {
# root html;
# index index.html index.htm;
# }
#}


# HTTPS server
server {
listen 443 ssl;
server_name localhost;

ssl_certificate /etc/nginx/srvtest.pem;
ssl_certificate_key engine:gostengy:srvtest;
ssl_certificate srvtestRSA.pem;
ssl_certificate_key srvtestRSA.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
ssl_prefer_server_ciphers on;


location / {




Я правильно понимаю, что судя по ошибке, nginx обращается к системному openssl, версия которого не поддерживает ГОСТ, а не к 1.1.0i.
Помогите пожалуйста решить, данную ошибку.

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
20 Страницы«<1617181920>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.