Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

11 Страницы«<56789>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#61 Оставлено : 2 марта 2017 г. 14:07:53(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: efremovvk Перейти к цитате
При установке cprocsp-cpopenssl-gost-64 пакет ругался на отсутствие файла openssl.cnf из пакета cprocsp-cpopenssl-64. Ставил его с параметром игнорирования зависимостей, чтобы не ставить cprocsp-cpopenssl-64.

Ещё при старте NginX в лог кидается ошибка:
[emerg] 18680#0: PEM_read_bio_X509_AUX("/etc/nginx/cert.cer") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: TRUSTED CERTIFICATE)

/etc/nginx/cert.cer Создавал, исходя из комментариев под этим постом.

Если вы делаете что-то не по инструкции, можете ожидать помощи с малой вероятностью.

Если что-то по инструкции не получается, с большой вероятностью, нет смысла переходить к следующим шагам, но есть смысл описать подробно шаг и в чём проблема.

Например, вы перешли к шагу nginx, но выдаёт ли команда "openssl engine" список с "gost_capi"?



Знания в базе знаний, поддержка в техподдержке
Offline efremovvk  
#62 Оставлено : 13 марта 2017 г. 11:00:32(UTC)
efremovvk

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.02.2017(UTC)
Сообщений: 6
Российская Федерация
Откуда: СПБ

Сказал(а) «Спасибо»: 3 раз
Ubuntu 14.04.5 LTS x64

Идём по инструкции.
Nginx запускаю от пользователя root

Из комментариев, создал файл сертификата:
# certmgr -export -store uMy -dest /etc/nginx/nginx.cer
Export complete
[ErrorCode: 0x00000000]

# openssl x509 -inform DER -outform PEM -in nginx.cer -out nginx.cer.pem
Тут ничего не сказал

Конфиг Nginx
# cat conf.d/ssl.conf
# HTTPS server
server {
listen 443 ssl;
server_name localhost;

ssl_certificate /etc/nginx/cert.cer;
ssl_certificate_key engine:gost_capi:gost.worksimply.ru;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols TLSv1;
ssl_ciphers HIGH:MEDIUM:+GOST2001-GOST89;
ssl_prefer_server_ciphers on;

location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
}

При старте в логе:
[emerg] 17092#0: SSL_CTX_use_PrivateKey_file("/etc/nginx/engine:gost_capi:gost.worksimply.ru") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/nginx/engine:gost_capi:gost.worksimply.ru','r') error:20074002:BIO routines:FILE_CTRL:system lib error:140B0002:SSL routines:SSL_CTX_use_PrivateKey_file:system lib)

# openssl engine
(rsax) RSAX engine support
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 147820 $)

# certmgr -list -store uMy
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : CN=gost.worksimply.ru
Serial : 0x12001A75F8D156B927B863FEFA0000001A75F8
SHA1 Hash : 0xb34a956762ba2d07d4e09112a6917f640c64b89f
SubjKeyID : 5d23895eb6470d1952dc83e014602ad7c85fcd87
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 13/03/2017 07:00:58 UTC
Not valid after : 13/06/2017 07:10:58 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\testrcon.000\253E
Provider Name : Crypto-Pro GOST R 34.10-2001 KC2 CSP
Provider Info : ProvType: 75, KeySpec: 1, Flags: 0x0
CA cert URL : http://testca.cryptopro....%20Test%20Center%202.crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro....%20Test%20Center%202.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1
=============================================================================

[ErrorCode: 0x00000000]

При установке alien -kci cprocsp-cpopenssl-gost-64-4.0.0-4.x86_64.rpm устанавливается, но выдается с ошибкой
Warning, /var/opt/cprocsp/cp-openssl/openssl.cnf doesn't exist
На всякий случай поставил туда файл, идентичный поправленному /etc/ssl/openssl.cnf
Offline Дмитрий Пичулин  
#63 Оставлено : 13 марта 2017 г. 11:12:57(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: efremovvk Перейти к цитате
[emerg] 17092#0: SSL_CTX_use_PrivateKey_file("/etc/nginx/engine:gost_capi:gost.worksimply.ru") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/nginx/engine:gost_capi:gost.worksimply.ru','r') error:20074002:BIO routines:FILE_CTRL:system lib error:140B0002:SSL routines:SSL_CTX_use_PrivateKey_file:system lib)

Какая у вас версия nginx?

Похоже, что ваш nginx не понимает синтаксиса "engine:" в ssl_certificate_key и пытается открыть ваш параметр как обычный файл.

Напоминаем, что поддержка синтаксиса "engine:" добавлена начиная с версии nginx 1.7.9, подробнее: http://nginx.org/ru/docs...html#ssl_certificate_key

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
efremovvk оставлено 13.03.2017(UTC)
Offline efremovvk  
#64 Оставлено : 13 марта 2017 г. 11:32:32(UTC)
efremovvk

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.02.2017(UTC)
Сообщений: 6
Российская Федерация
Откуда: СПБ

Сказал(а) «Спасибо»: 3 раз
Да, запустилось, спасибо.
Цитата:

Для успешного соединения через браузер Internet Explorer необходимо установить на компьютер пользователя сертификат (или цепочку сертификатов) доверенного Центра сертификации.


Тут какой сертификат имеется в виду?


PS, для остальных. На Ubuntu 14 ставим новые пакеты http://nginx.org/ru/linux_packages.html


Offline Дмитрий Пичулин  
#65 Оставлено : 13 марта 2017 г. 11:38:25(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: efremovvk Перейти к цитате
Цитата:

Для успешного соединения через браузер Internet Explorer необходимо установить на компьютер пользователя сертификат (или цепочку сертификатов) доверенного Центра сертификации.

Тут какой сертификат имеется в виду?

Имеется ввиду, что у пользователя должно быть доверие к тестовому УЦ (cryptopro.ru/certsrv), иначе вылезет сообщение об ошибке ("Возникла проблема с сертификатом безопасности этого веб-сайта"), обойти которое можно будет выбором "Продолжить открытие этого веб-сайта (не рекомендуется)".

Чтобы соединение устанавливалось успешно, читай выше.

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
efremovvk оставлено 13.03.2017(UTC)
Offline efremovvk  
#66 Оставлено : 20 марта 2017 г. 16:23:01(UTC)
efremovvk

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.02.2017(UTC)
Сообщений: 6
Российская Федерация
Откуда: СПБ

Сказал(а) «Спасибо»: 3 раз
Коллеги!
Может, у других тоже такая же проблема будет.
Сервер соединяется с API сервиса через КриптоПРО CSP.
Curl крипропрошный использует только сам Криптопро!
Т.е. Nginx, php и другой софт на вашем сервере будет использовать базовый Curl.
Или настраивайте в софте, либо заменяйте curl.
Либо, собирайте новый curl.
Offline valery.kazantsev  
#67 Оставлено : 6 апреля 2017 г. 15:18:20(UTC)
valery.kazantsev

Статус: Участник

Группы: Участники
Зарегистрирован: 15.04.2015(UTC)
Сообщений: 23
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 1 раз
Коллеги, здравствуйте! Подскажите какие варианты решения есть с патчем "одновременной работы" для Nginx Plus?
Offline Дмитрий Пичулин  
#68 Оставлено : 6 апреля 2017 г. 15:27:07(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: valery.kazantsev Перейти к цитате
Коллеги, здравствуйте! Подскажите какие варианты решения есть с патчем "одновременной работы" для Nginx Plus?

Нам мало что известно про nginx plus.

Если есть возможность его пересобрать, то пересобрать с нашим патчем: https://github.com/deemr...9ead811db756c2a67e9ff93a

Пользователи на форуме указывали, что в версии 1.11.xx nginx есть возможность настройки нескольких вариантов сертификатов для сервера из коробки. Возможно в nginx plus версии 1.11.xx (если такая версия существует) также присутствует данный функционал.

Так как продукт платный, возможно есть возможность договориться официально и напрямую с авторами nginx plus.

Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#69 Оставлено : 13 апреля 2017 г. 12:20:45(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: valery.kazantsev Перейти к цитате
Коллеги, здравствуйте! Подскажите какие варианты решения есть с патчем "одновременной работы" для Nginx Plus?

nginx обновил стабильную ветку до 1.12.0, теперь можно использовать одновременную работу ГОСТ и RSA из коробки, подробнее: https://www.cryptopro.ru...ts&m=79047#post79047

С большой вероятностью теперь это верно и для nginx plus.
Знания в базе знаний, поддержка в техподдержке
Offline Devilcraft  
#70 Оставлено : 26 апреля 2017 г. 18:48:10(UTC)
Devilcraft

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.04.2017(UTC)
Сообщений: 1
Российская Федерация
Откуда: Санкт-Петербург

Добрый день!
Пытаемся развернуть у себя тестовый стенд на CentOS. И стопоримся на шаге установки сертификата.

Запрос из инструкции:
Автор: ElenaS Перейти к цитате
/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 75 -provname "Crypto-Pro GOST R 34.10-2001 KC1 CSP" -rdn 'CN=www.aaa.ru' -cont '\\.\HDIMAGE\test_container' -certusage 1.3.6.1.5.5.7.3.1-ku -du -ex -ca http://cryptopro.ru/certsrv


Возвращает ошибку:

CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.
Creating request...
Error: An internal error occurred./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:445: 0x80090020
Error: An internal error occurred./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:990: 0x80090020
[ErrorCode: 0x80090020]

Возможно, что-то упускаем.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
11 Страницы«<56789>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.