Здравствуйте!
Пробую запустить минимальный HTTPS сервер на cpnginx (без mTLS) из пакета 5.0.13000 с тестовым сертификатом ГОСТ. После импорта всех сертификатов и конфигурирования по мануалу
https://support.cryptopr...inx-gost-binary-packages cpnginx в error.log выводит ошибку
Цитата:AcquireCredentialsHandle failed: 0x80090307
и ГОСТ TLS соединение не устанавливается. Хостинг в европе, ОС Debian. Что можно попробовать в таком случае чтобы починить?
Вот лог старта более подробный.
2024/12/02 15:54:35 [notice] 103425#0: using the "epoll" event method
2024/12/02 15:54:35 [notice] 103425#0: nginx/1.22.1
2024/12/02 15:54:35 [notice] 103425#0: built by gcc 9.3.1 20200408 (Red Hat 9.3.1-2) (GCC)
2024/12/02 15:54:35 [notice] 103425#0: OS: Linux 6.1.0-10-amd64
2024/12/02 15:54:35 [notice] 103425#0: getrlimit(RLIMIT_NOFILE): 1024:524288
2024/12/02 15:54:35 [notice] 103427#0: start worker processes
2024/12/02 15:54:35 [notice] 103427#0: start worker process 103428
2024/12/02 15:54:35 [emerg] 103428#0: AcquireCredentialsHandle failed: 0x80090307
2024/12/02 15:37:57 [error] 103024#0: *11 no "sspi_certificate" is defined in server listening on SSPI port, or SSPI credentials are invalid while SSPI handshaking, client: 46.17.101.186, server: 0.0.0.0:4443
cpnginx запускается от пользователя cpnginx, ниже конфиг server.conf
Код:
server {
listen 4443 sspi;
server_name *********-server.ru;
sspi_certificate 0x***************63F49F1566000A0017A5E9;
sspi_protocols TLSv1.2;
location /info {
return 200 'Its Works!';
add_header Content-Type text/plain;
}
}
Тестовый сертификат импортирован в хранилище. CA и subCA тоже.
# sudo -u cpnginx /opt/cprocsp/bin/amd64/certmgr -list
Certmgr Ver:5.0.13000 OS:Linux CPU:AMD64 (c) "Crypto-Pro", 2007-2024.
Program for managing certificates, CRLs and stores.
=============================================================================
Issuer : ОГРН=1234567890123, ИНН=001234567890, STREET=ул. Сущёвский вал д. 18, C=RU, S=г. Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN="Тестовый УЦ ООО ""КРИПТО-ПРО"""
Subject : CN=********-server.ru
Serial : 0x***************63F49F1566000A0017A5E9
SHA1 Thumbprint : 6a45409f8face2673ff07263954bb41b63157232
SubjectKeyID : a4e12fb2e29062111891f3de5af8a06ddf506061
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before : 29/11/2024 11:48:55 UTC
Not valid after : 04/01/2025 12:32:02 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\srv.000\549D
Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info : Provider Type: 80, Key Spec: 1, Flags: 0x0
OCSP URL :
http://testgost2012.cryp...ro.ru/ocsp2012g/ocsp.srfOCSP URL :
http://testgost2012.cryp....ru/ocsp2012gst/ocsp.srfCA cert URL :
http://testgost2012.cryp...oll/testgost2012(10).crtCA cert URL :
http://testgost2012.cryp.../CertEnroll/testroot.p7bCDP :
http://testgost2012.cryptopro.ru/CertEnroll/!0422!0435!0441!0442!043e!0432!044b!0439%20!0423!0426%20!041e!041e!041e%20!0022!041a!0420!0418!041f!0422!041e-!041f!0420!041e!0022(10).crl
CDP :
http://testgost2012.cryp...oll/testgost2012(10).crlExtended Key Usage : 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
=============================================================================
csptest проблем не выявляет
# sudo -u cpnginx /opt/cprocsp/bin/amd64/csptest -a -c -a
Match: HDIMAGE\\srv.000\549D
OK.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.020 sec
[ErrorCode: 0x00000000]
