Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

6 Страницы«<23456>
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#61 Оставлено : 2 марта 2017 г. 14:07:53(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: efremovvk Перейти к цитате
При установке cprocsp-cpopenssl-gost-64 пакет ругался на отсутствие файла openssl.cnf из пакета cprocsp-cpopenssl-64. Ставил его с параметром игнорирования зависимостей, чтобы не ставить cprocsp-cpopenssl-64.

Ещё при старте NginX в лог кидается ошибка:
[emerg] 18680#0: PEM_read_bio_X509_AUX("/etc/nginx/cert.cer") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: TRUSTED CERTIFICATE)

/etc/nginx/cert.cer Создавал, исходя из комментариев под этим постом.

Если вы делаете что-то не по инструкции, можете ожидать помощи с малой вероятностью.

Если что-то по инструкции не получается, с большой вероятностью, нет смысла переходить к следующим шагам, но есть смысл описать подробно шаг и в чём проблема.

Например, вы перешли к шагу nginx, но выдаёт ли команда "openssl engine" список с "gost_capi"?



Знания в базе знаний, поддержка в техподдержке
Offline efremovvk  
#62 Оставлено : 13 марта 2017 г. 11:00:32(UTC)
efremovvk

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.02.2017(UTC)
Сообщений: 6
Российская Федерация
Откуда: СПБ

Сказал(а) «Спасибо»: 3 раз
Ubuntu 14.04.5 LTS x64

Идём по инструкции.
Nginx запускаю от пользователя root

Из комментариев, создал файл сертификата:
# certmgr -export -store uMy -dest /etc/nginx/nginx.cer
Export complete
[ErrorCode: 0x00000000]

# openssl x509 -inform DER -outform PEM -in nginx.cer -out nginx.cer.pem
Тут ничего не сказал

Конфиг Nginx
# cat conf.d/ssl.conf
# HTTPS server
server {
listen 443 ssl;
server_name localhost;

ssl_certificate /etc/nginx/cert.cer;
ssl_certificate_key engine:gost_capi:gost.worksimply.ru;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols TLSv1;
ssl_ciphers HIGH:MEDIUM:+GOST2001-GOST89;
ssl_prefer_server_ciphers on;

location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
}

При старте в логе:
[emerg] 17092#0: SSL_CTX_use_PrivateKey_file("/etc/nginx/engine:gost_capi:gost.worksimply.ru") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/nginx/engine:gost_capi:gost.worksimply.ru','r') error:20074002:BIO routines:FILE_CTRL:system lib error:140B0002:SSL routines:SSL_CTX_use_PrivateKey_file:system lib)

# openssl engine
(rsax) RSAX engine support
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 147820 $)

# certmgr -list -store uMy
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : CN=gost.worksimply.ru
Serial : 0x12001A75F8D156B927B863FEFA0000001A75F8
SHA1 Hash : 0xb34a956762ba2d07d4e09112a6917f640c64b89f
SubjKeyID : 5d23895eb6470d1952dc83e014602ad7c85fcd87
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 13/03/2017 07:00:58 UTC
Not valid after : 13/06/2017 07:10:58 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\testrcon.000\253E
Provider Name : Crypto-Pro GOST R 34.10-2001 KC2 CSP
Provider Info : ProvType: 75, KeySpec: 1, Flags: 0x0
CA cert URL : http://testca.cryptopro....%20Test%20Center%202.crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro....%20Test%20Center%202.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1
=============================================================================

[ErrorCode: 0x00000000]

При установке alien -kci cprocsp-cpopenssl-gost-64-4.0.0-4.x86_64.rpm устанавливается, но выдается с ошибкой
Warning, /var/opt/cprocsp/cp-openssl/openssl.cnf doesn't exist
На всякий случай поставил туда файл, идентичный поправленному /etc/ssl/openssl.cnf
Offline Дмитрий Пичулин  
#63 Оставлено : 13 марта 2017 г. 11:12:57(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: efremovvk Перейти к цитате
[emerg] 17092#0: SSL_CTX_use_PrivateKey_file("/etc/nginx/engine:gost_capi:gost.worksimply.ru") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/nginx/engine:gost_capi:gost.worksimply.ru','r') error:20074002:BIO routines:FILE_CTRL:system lib error:140B0002:SSL routines:SSL_CTX_use_PrivateKey_file:system lib)

Какая у вас версия nginx?

Похоже, что ваш nginx не понимает синтаксиса "engine:" в ssl_certificate_key и пытается открыть ваш параметр как обычный файл.

Напоминаем, что поддержка синтаксиса "engine:" добавлена начиная с версии nginx 1.7.9, подробнее: http://nginx.org/ru/docs...html#ssl_certificate_key

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
efremovvk оставлено 13.03.2017(UTC)
Offline efremovvk  
#64 Оставлено : 13 марта 2017 г. 11:32:32(UTC)
efremovvk

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.02.2017(UTC)
Сообщений: 6
Российская Федерация
Откуда: СПБ

Сказал(а) «Спасибо»: 3 раз
Да, запустилось, спасибо.
Цитата:

Для успешного соединения через браузер Internet Explorer необходимо установить на компьютер пользователя сертификат (или цепочку сертификатов) доверенного Центра сертификации.


Тут какой сертификат имеется в виду?


PS, для остальных. На Ubuntu 14 ставим новые пакеты http://nginx.org/ru/linux_packages.html


Offline Дмитрий Пичулин  
#65 Оставлено : 13 марта 2017 г. 11:38:25(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: efremovvk Перейти к цитате
Цитата:

Для успешного соединения через браузер Internet Explorer необходимо установить на компьютер пользователя сертификат (или цепочку сертификатов) доверенного Центра сертификации.

Тут какой сертификат имеется в виду?

Имеется ввиду, что у пользователя должно быть доверие к тестовому УЦ (cryptopro.ru/certsrv), иначе вылезет сообщение об ошибке ("Возникла проблема с сертификатом безопасности этого веб-сайта"), обойти которое можно будет выбором "Продолжить открытие этого веб-сайта (не рекомендуется)".

Чтобы соединение устанавливалось успешно, читай выше.

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
efremovvk оставлено 13.03.2017(UTC)
Offline efremovvk  
#66 Оставлено : 20 марта 2017 г. 16:23:01(UTC)
efremovvk

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.02.2017(UTC)
Сообщений: 6
Российская Федерация
Откуда: СПБ

Сказал(а) «Спасибо»: 3 раз
Коллеги!
Может, у других тоже такая же проблема будет.
Сервер соединяется с API сервиса через КриптоПРО CSP.
Curl крипропрошный использует только сам Криптопро!
Т.е. Nginx, php и другой софт на вашем сервере будет использовать базовый Curl.
Или настраивайте в софте, либо заменяйте curl.
Либо, собирайте новый curl.
Offline valery.kazantsev  
#67 Оставлено : 6 апреля 2017 г. 15:18:20(UTC)
valery.kazantsev

Статус: Участник

Группы: Участники
Зарегистрирован: 15.04.2015(UTC)
Сообщений: 23
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 1 раз
Коллеги, здравствуйте! Подскажите какие варианты решения есть с патчем "одновременной работы" для Nginx Plus?
Offline Дмитрий Пичулин  
#68 Оставлено : 6 апреля 2017 г. 15:27:07(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: valery.kazantsev Перейти к цитате
Коллеги, здравствуйте! Подскажите какие варианты решения есть с патчем "одновременной работы" для Nginx Plus?

Нам мало что известно про nginx plus.

Если есть возможность его пересобрать, то пересобрать с нашим патчем: https://github.com/deemr...9ead811db756c2a67e9ff93a

Пользователи на форуме указывали, что в версии 1.11.xx nginx есть возможность настройки нескольких вариантов сертификатов для сервера из коробки. Возможно в nginx plus версии 1.11.xx (если такая версия существует) также присутствует данный функционал.

Так как продукт платный, возможно есть возможность договориться официально и напрямую с авторами nginx plus.

Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#69 Оставлено : 13 апреля 2017 г. 12:20:45(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: valery.kazantsev Перейти к цитате
Коллеги, здравствуйте! Подскажите какие варианты решения есть с патчем "одновременной работы" для Nginx Plus?

nginx обновил стабильную ветку до 1.12.0, теперь можно использовать одновременную работу ГОСТ и RSA из коробки, подробнее: https://www.cryptopro.ru...ts&m=79047#post79047

С большой вероятностью теперь это верно и для nginx plus.
Знания в базе знаний, поддержка в техподдержке
Offline Devilcraft  
#70 Оставлено : 26 апреля 2017 г. 18:48:10(UTC)
Devilcraft

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.04.2017(UTC)
Сообщений: 1
Российская Федерация
Откуда: Санкт-Петербург

Добрый день!
Пытаемся развернуть у себя тестовый стенд на CentOS. И стопоримся на шаге установки сертификата.

Запрос из инструкции:
Автор: ElenaS Перейти к цитате
/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 75 -provname "Crypto-Pro GOST R 34.10-2001 KC1 CSP" -rdn 'CN=www.aaa.ru' -cont '\\.\HDIMAGE\test_container' -certusage 1.3.6.1.5.5.7.3.1-ku -du -ex -ca http://cryptopro.ru/certsrv


Возвращает ошибку:

CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.
Creating request...
Error: An internal error occurred./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:445: 0x80090020
Error: An internal error occurred./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:990: 0x80090020
[ErrorCode: 0x80090020]

Возможно, что-то упускаем.
Offline ElenaS  
#71 Оставлено : 27 апреля 2017 г. 14:29:33(UTC)
Елена Серебренникова

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.04.2014(UTC)
Сообщений: 31
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Автор: Devilcraft Перейти к цитате


Возможно, что-то упускаем.


Добрый день! ответьте на личное сообщение, попробуем разобраться.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline ElenaS  
#72 Оставлено : 28 апреля 2017 г. 13:30:34(UTC)
Елена Серебренникова

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.04.2014(UTC)
Сообщений: 31
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Автор: Devilcraft Перейти к цитате
Добрый день!
Пытаемся развернуть у себя тестовый стенд на CentOS. И стопоримся на шаге установки сертификата.

Запрос из инструкции:
Автор: ElenaS Перейти к цитате
/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 75 -provname "Crypto-Pro GOST R 34.10-2001 KC1 CSP" -rdn 'CN=www.aaa.ru' -cont '\\.\HDIMAGE\test_container' -certusage 1.3.6.1.5.5.7.3.1-ku -du -ex -ca http://cryptopro.ru/certsrv


Возвращает ошибку:

CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.
Creating request...
Error: An internal error occurred./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:445: 0x80090020
Error: An internal error occurred./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:990: 0x80090020
[ErrorCode: 0x80090020]

Возможно, что-то упускаем.


Выяснили, что не мог отработать ДСЧ. При установке на CentOS и возникновении такой ошибки проверьте в конфиге /etc/opt/cprocsp/config64.ini и повысьте при необходимости приоритет для биологического датчика случайных чисел в секции [Random\BIO_TUI\Default]
Также ошибка с этим номером может возникать после отработки ДСЧ (это будет видно), если мы забудем выполнять действие от рута.
Важна установка пакетов именно в том порядке, в котором указано в инструкции, тогда ошибки не будет.

Отредактировано пользователем 5 мая 2017 г. 16:32:35(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут.
Наша база знаний.
Offline aledin  
#73 Оставлено : 27 июня 2017 г. 15:19:48(UTC)
aledin

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.08.2016(UTC)
Сообщений: 6
Российская Федерация
Откуда: Челябинск

Сказал(а) «Спасибо»: 2 раз
Добрый день!
Так же пробуем запустить тестовый стенд на CentOS 6.5 при проверке вроде все хорошо:

# openssl version
OpenSSL 1.0.2l 25 May 2017

# openssl engine
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 147820 $)

# nginx -v
nginx version: nginx/1.12.0

В openssl.cnf вставляем после oid_section = new_oids

openssl_conf = openssl_def
[openssl_def]
engines = engine_section
[engine_section]
gost_capi = gost_section
[gost_section]
engine_id = gost_capi
dynamic_path = /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1

При этом перестает работать доступ по ssh. Отключаем строчку с openssl_conf

#openssl_conf = openssl_def

Вновь начинает работать ssh. После перезагрузки при проверке openssl engine все так же хорошо:

# openssl engine
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 147820 $)

Но Nginx начинает ругаться

nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/cert.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)

Как реализовать совместную работу ssh и nginx?

UPD:
Разобрались в чем дело, работе мешал SELinux, отключили его и всё запустилось.

Отредактировано пользователем 28 июня 2017 г. 13:06:54(UTC)  | Причина: Не указана

Offline xtn46418  
#74 Оставлено : 29 сентября 2017 г. 13:10:43(UTC)
xtn46418

Статус: Участник

Группы: Участники
Зарегистрирован: 29.09.2017(UTC)
Сообщений: 14

Сказал(а) «Спасибо»: 1 раз
Добрый день!
Подскажите, пожалуйста, после установки КриптоПро, gost_capi, OpenSSL и настройки конфигруций
выполнение команды openssl engine приводит к ошибке:

UserPostedImage
Offline Дмитрий Пичулин  
#75 Оставлено : 29 сентября 2017 г. 13:23:51(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: xtn46418 Перейти к цитате
Добрый день!
Подскажите, пожалуйста, после установки КриптоПро, gost_capi, OpenSSL и настройки конфигруций
выполнение команды openssl engine приводит к ошибке:

UserPostedImage

Ошибка вполне говорящая, не удаётся найти файл и даже путь указан, проверьте наличие файла.

Знания в базе знаний, поддержка в техподдержке
Offline xtn46418  
#76 Оставлено : 29 сентября 2017 г. 16:34:26(UTC)
xtn46418

Статус: Участник

Группы: Участники
Зарегистрирован: 29.09.2017(UTC)
Сообщений: 14

Сказал(а) «Спасибо»: 1 раз
в том то и дело, что /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so есть, вернее это линк на libgost_capi.so.0. , который в этой же папке

UserPostedImage

Отредактировано пользователем 29 сентября 2017 г. 16:36:11(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#77 Оставлено : 29 сентября 2017 г. 17:07:53(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: xtn46418 Перейти к цитате
в том то и дело, что /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so есть, вернее это линк на libgost_capi.so.0. , который в этой же папке

UserPostedImage

Какой вывод команды:
Код:
ldd /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so

Вы действовали строго по инструкции и вот такой результат?

В сторону более актуальной темы (Настройка nginx для работы с сертификатами ГОСТ 2012 года) смотрели: https://www.cryptopro.ru...aspx?g=posts&t=12505
Знания в базе знаний, поддержка в техподдержке
Offline xtn46418  
#78 Оставлено : 29 сентября 2017 г. 17:21:45(UTC)
xtn46418

Статус: Участник

Группы: Участники
Зарегистрирован: 29.09.2017(UTC)
Сообщений: 14

Сказал(а) «Спасибо»: 1 раз
да, конечно, по инструкции все
UserPostedImage
Offline Дмитрий Пичулин  
#79 Оставлено : 29 сентября 2017 г. 17:28:44(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: xtn46418 Перейти к цитате
да, конечно, по инструкции все
UserPostedImage

Что-то пошло не так, если ldd говорит, что связанная с gost_capi библиотека "libcrypto.so.1.0.0 => not found", то gost_capi не загрузится, а библиотека libcrypto это часть openssl.

У вас какая-то особенная система? Что говорит ldd на само приложение openssl? Раз openssl стартует, значит где-то в системе имеется libcrypto.
Знания в базе знаний, поддержка в техподдержке
Offline xtn46418  
#80 Оставлено : 29 сентября 2017 г. 17:32:29(UTC)
xtn46418

Статус: Участник

Группы: Участники
Зарегистрирован: 29.09.2017(UTC)
Сообщений: 14

Сказал(а) «Спасибо»: 1 раз
LSB Version: :core-4.1-amd64:core-4.1-noarch
Distributor ID: CentOS
Description: CentOS Linux release 7.4.1708 (Core)
Release: 7.4.1708
Codename: Core


RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
6 Страницы«<23456>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.