Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы123>
Опции
К последнему сообщению К первому непрочитанному
Offline Андрей Куликов  
#1 Оставлено : 26 декабря 2010 г. 3:54:11(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 131
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 9 раз в 8 постах
Пытаюсь подружить 3.6R3 (build 6621) с openssl s_server.
s_server из openssl 1.0.0[a|c] на Debian

При обращении к s_server из IE8 с 64-битной Windows7 - всё работает как часы.
Если на x64 Windows поставить CSP ia32 - то тоже все работает как часы.

Но если к тому же s_server обратиться из IE (и 6-й и 8-й - без разницы) из 32-разрядной винды - браузер не отвечает на SERVER_HELO.
То есть тупо нет ответа - такое ощущение что браузер просто рвет соединение.
При этом в EventViewer появляется сообщение:
"КриптоПро TLS. Неверное расширение в конце сообщения SERVER_HELLO"
Проверенно на Win XP, Win 2003

На билде 6590 все тоже самое.

Где порылась собака?
Что такого отличного в x64 по сравнению с ia32?
Offline Максим Коллегин  
#2 Оставлено : 26 декабря 2010 г. 5:42:51(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,393
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
Не должно быть особой разницы.
Цитата:
Если на x64 Windows поставить CSP ia32 - то тоже все работает как часы.
- это как осуществили?
Можно поточнее сообщение из event log - там должен быть номер расширения.
Есть возможность сделать сервер доступным снаружи?
Знания в базе знаний, поддержка в техподдержке
Offline Андрей Куликов  
#3 Оставлено : 26 декабря 2010 г. 6:09:11(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 131
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 9 раз в 8 постах
Вот сообщение как есть:
UserPostedImage

maxdm написал:
Не должно быть особой разницы.
Цитата:
Если на x64 Windows поставить CSP ia32 - то тоже все работает как часы.
- это как осуществили?

Ну как, заходим на страницу загрузки, качаем инсталяторы и x64 и x32 версию.
Обе на Windows 7 x64 ставятся и работают.
Один черт, и там и там есть опции выбора компонетов x32 и x64

Отредактировано пользователем 26 декабря 2010 г. 6:10:04(UTC)  | Причина: Не указана

Пользователь Андрей Куликов прикрепил следующие файлы:
CSP_error.png (20kb) загружен 981 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline Андрей Куликов  
#4 Оставлено : 26 декабря 2010 г. 6:18:42(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 131
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 9 раз в 8 постах
Сервак наружу не выставить, поэтому вот инструкция по воспроизведенияю:


Offline Андрей Куликов  
#5 Оставлено : 26 декабря 2010 г. 6:20:54(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 131
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 9 раз в 8 постах
Debian 5, качаем openssl 1.0.0c с openssl.org и компилируем с параметрами по умолчанию.

В соответствии с рекомендациями по обеспечению взаимодействия OpenSSL и CryptoPro CSP ( http://www.cryptocom.ru/...nSource/OpenSSL_rus.html , внизу страницы )
выполненны следующие настройки:

В конфиг-файл OpenSSL добалено следующее (по умолчанию - ./apps/openssl.cnf):

Код:
openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gost = gost_section

[gost_section]
engine_id = gost
default_algorithms = ALL
CRYPT_PARAMS = id-GostR3410-2001-CryptoPro-XchA-ParamSet



После редактирования конфиг-файла его нужно сделать видимым для openssl.
Ибо не все команды воспринимают путь к конфигу в качестве параметра.

export OPENSSL_CONF=[full_path_to_config]

Генерируем ключь:
./apps/openssl genpkey -engine gost -algorithm gost2001 -pkeyopt paramset:XA -out cpr_key.p8

Создаем запрос на сертификат:
./apps/openssl req -subj '/C=RU/CN=csp_srv/O=ilfis@mail.ru' -engine gost -new -key cpr_key.p8 -out cpr_cert.req


Затем получаем сертификат тут:
http://www.cryptopro.ru/certsrv/certrqxt.asp
Копипастим текстовое содержимое файла cpr_cert.req в формочку, и сохраняем его под именем cpr_cert_trust.cer (PEM-формат!)
Там же скачиваем корневой сертификат CryptoPro, сохраняем его под именем cpro_root_cert.cer

Далее делаем сертификат для клиента (IE) на странице
http://www.cryptopro.ru/certsrv/certrqma.asp
(для этого на Win7 сайт надо добавить в trusted sites и включить все возможные разрешения для ActiveX для trusted sites).
И устанавливаем его.
Так же устанавливаем корневой сертификат CryptoPro

Хорошо, приступаем к тестированию c OpenSSL.

Запускаем s_server:

./apps/openssl s_server -tls1 -www -accept 4333 -state -CAfile cpro_root_cert.cer -cert cpr_cert_trust.cer -key cpr_key.p8

Обращаемся браузером к этому серверу, и браузер выдает: "Internet Explorer cannot display the webpage"
При этом s_server выводит:

ACCEPT
bad gethostbyaddr
SSL_accept:before/accept initialization
SSL_accept:SSLv3 read client hello A
SSL_accept:SSLv3 write server hello A
SSL_accept:SSLv3 write certificate A
SSL_accept:SSLv3 write server done A
SSL_accept:SSLv3 flush data
SSL_accept:error in SSLv3 read client certificate A

Отредактировано пользователем 26 декабря 2010 г. 6:33:28(UTC)  | Причина: Не указана

Offline Андрей Куликов  
#6 Оставлено : 26 декабря 2010 г. 6:28:42(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 131
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 9 раз в 8 постах
Так, что-то форум плохо воспринимает угловые скобки в тексте сообщений, поэтому вразнобой получилось....

Небольшое дополнение: CSP 3.6R2 x64 вел себя точно так же.
К сожалению в евент-лог не смотрел. Но ошибку s_server выдавал точно такую же.
После обновления до билда 6590 все резко заработало на x64.
Билд 6621 продолжает работать на x64.

Но ни 6590 6621 билды на x32 не работают.
Offline Андрей Куликов  
#7 Оставлено : 26 декабря 2010 г. 6:29:47(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 131
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 9 раз в 8 постах
s_server можно добавить опцию -debug
Тогда будет видно что он не может прочитать ответ браузера на SERVER_HELLO
Ибо его нет.
Offline Максим Коллегин  
#8 Оставлено : 27 декабря 2010 г. 1:27:05(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,393
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
Пробую поставить 32-х битную на 2008R2 - не встает - как у Вас получается?
Знания в базе знаний, поддержка в техподдержке
Offline Максим Коллегин  
#9 Оставлено : 27 декабря 2010 г. 1:31:04(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,393
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
Глянул по коду - странная ошибка. Построим за пару дней стенд - отпишусь.
Знания в базе знаний, поддержка в техподдержке
Offline Андрей Куликов  
#10 Оставлено : 27 декабря 2010 г. 2:03:54(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 131
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 9 раз в 8 постах
maxdm написал:
Пробую поставить 32-х битную на 2008R2 - не встает - как у Вас получается?

На 2008 не пробовал.
На 2003 встает.

Если будет что-нибуть непонятное - бомбите на мыло - отвечу скорейшим образом.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.