Статус: Новичок
Группы: Участники
Зарегистрирован: 08.04.2019(UTC) Сообщений: 6 Сказал(а) «Спасибо»: 1 раз
|
Автор: Дмитрий Пичулин Автор: dmitry lavrov Уже был установлен параметр ssl_session_timeout 5m; Добавил ssl_session_cache off;
Будем мониторить, если ошибка повторится - обязательно сообщу. Спасибо! Автор: Дмитрий Пичулин UPD: Нет, ошибка всё таки у нас, не предусмотрели смену ключа при переносе ключей между провайдерами, хватало на ~60 тысяч ключей... Исправляем. Исправили: https://update.cryptopro...t/nginx-gost/bin/185515/ Добрый день. Подскажите пожалуйста, возможно ли установить данное обновление на CSP 4.0 R4? У меня при попытке обновления cprocsp-cpopenssl-110-gost-64 с 5.0.11216-5 на 5.0.11315-5 требует lsb-cprocsp-capilite-64 не ниже 5 версии. Код:
ii cprocsp-cpopenssl-110-64 5.0.11216-5 amd64 OpenSSL-110. Build 11216.
ii cprocsp-cpopenssl-110-base 5.0.11216-5 all Openssl-110 common Build 11216.
ii cprocsp-cpopenssl-110-devel 5.0.11216-5 all Openssl-110 devel Build 11216.
ii cprocsp-cpopenssl-110-gost-64 5.0.11216-5 amd64 OpenSSL-110 gostengy engine. Build 11216.
ii cprocsp-curl-64 4.0.9963-5 amd64 CryptoPro Curl shared library and binaris. Build 9963.
ii lsb-cprocsp-base 4.0.9963-5 all CryptoPro CSP directories and scripts. Build 9963.
ii lsb-cprocsp-ca-certs 4.0.9963-5 all CA certificates. Build 9963.
ii lsb-cprocsp-capilite-64 4.0.9963-5 amd64 CryptoAPI lite. Build 9963.
ii lsb-cprocsp-kc1-64 4.0.9963-5 amd64 CryptoPro CSP KC1. Build 9963.
ii lsb-cprocsp-kc2-64 4.0.9963-5 amd64 CryptoPro CSP KC2. Build 9963.
ii lsb-cprocsp-rdr-64 4.0.9963-5 amd64 CryptoPro CSP readers. Build 9963.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
Автор: ferrat У меня при попытке обновления cprocsp-cpopenssl-110-gost-64 с 5.0.11216-5 на 5.0.11315-5 требует lsb-cprocsp-capilite-64 не ниже 5 версии. Просто игнорируйте это с помощью опции --ignore-depends. |
|
1 пользователь поблагодарил pd за этот пост.
|
ferrat оставлено 08.04.2019(UTC)
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 08.04.2019(UTC) Сообщений: 6 Сказал(а) «Спасибо»: 1 раз
|
Еще раз скажу спасибо за помощь постом выше. Однако запустив нагрузку нагрузку на порт стал получать ошибки Код:[crit] 18609#18609: *103066 SSL_do_handshake() failed (SSL: error:8000601C:lib(128):gng_hash_init_common:CryptCreateHash error:14125044:SSL routines:ssl3_digest_cached_records:internal error) while SSL handshaking
Прочитал вот этот пост https://www.cryptopro.ru...ts&m=90930#post90930но он мне не помог так как у меня КС2 Код:CSP (Type:80) v4.0.9019 KC2 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
AcquireContext: OK. HCRYPTPROV: 31868211
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC2 CSP
Секция nginx Код: # HTTPS server
server {
listen 443 ssl;
#server_name localhost;
#access_log logs/access.log;
ssl_certificate /etc/nginx/cert/certname;
ssl_certificate_key engine:gostengy:c:le-000000-00000-0000-00000-0000000;
ssl_session_cache shared:SSL:3m;
ssl_session_timeout 3m;
#ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://192.168.0.100:222;
proxy_set_header Host $host;
proxy_http_version 1.1;
#proxy_set_header Upgrade $http_upgrade;
proxy_set_header x-real-ip $remote_addr;
proxy_set_header Connection "upgrade";
}
}
Версии библиотек Код:ii cprocsp-cpopenssl-110-64 5.0.11315-5 amd64 OpenSSL-110. Build 11315.
ii cprocsp-cpopenssl-110-base 5.0.11315-5 all Openssl-110 common Build 11315.
ii cprocsp-cpopenssl-110-devel 5.0.11315-5 all Openssl-110 devel Build 11315.
ii cprocsp-cpopenssl-110-gost-64 5.0.11315-5 amd64 OpenSSL-110 gostengy engine. Build 11315.
ii cprocsp-cpopenssl-64 5.0.11315-5 amd64 OpenSSL. Build 11315.
ii cprocsp-cpopenssl-base 5.0.11315-5 all Openssl common Build 11315.
ii cprocsp-cpopenssl-devel 5.0.11315-5 all Openssl devel Build 11315.
ii cprocsp-cpopenssl-gost-64 5.0.11315-5 amd64 OpenSSL capi_gost engine. Build 11315.
ii cprocsp-curl-64 4.0.9963-5 amd64 CryptoPro Curl shared library and binaris. Build 9963.
ii lsb-cprocsp-base 4.0.9963-5 all CryptoPro CSP directories and scripts. Build 9963.
ii lsb-cprocsp-ca-certs 4.0.9963-5 all CA certificates. Build 9963.
ii lsb-cprocsp-capilite-64 4.0.9963-5 amd64 CryptoAPI lite. Build 9963.
ii lsb-cprocsp-kc1-64 4.0.9963-5 amd64 CryptoPro CSP KC1. Build 9963.
ii lsb-cprocsp-kc2-64 4.0.9963-5 amd64 CryptoPro CSP KC2. Build 9963.
ii lsb-cprocsp-rdr-64 4.0.9963-5 amd64 CryptoPro CSP readers. Build 9963.
Отредактировано пользователем 8 апреля 2019 г. 17:35:24(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
Автор: ferrat Однако запустив нагрузку нагрузку на порт стал получать ошибки Код:[crit] 18609#18609: *103066 SSL_do_handshake() failed (SSL: error:8000601C:lib(128):gng_hash_init_common:CryptCreateHash error:14125044:SSL routines:ssl3_digest_cached_records:internal error) while SSL handshaking
О какой нагрузке идёт речь? Уверены, что у вас КС2? Возникает ошибка при первом обращении или в процессе работы? Возникает однократно (не влияет на работу) или постоянно (всё останавливается спустя какое-то время)? |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 08.04.2019(UTC) Сообщений: 6 Сказал(а) «Спасибо»: 1 раз
|
Автор: Дмитрий Пичулин Автор: ferrat Однако запустив нагрузку нагрузку на порт стал получать ошибки Код:[crit] 18609#18609: *103066 SSL_do_handshake() failed (SSL: error:8000601C:lib(128):gng_hash_init_common:CryptCreateHash error:14125044:SSL routines:ssl3_digest_cached_records:internal error) while SSL handshaking
О какой нагрузке идёт речь? Уверены, что у вас КС2? Возникает ошибка при первом обращении или в процессе работы? Возникает однократно (не влияет на работу) или постоянно (всё останавливается спустя какое-то время)? Я получил данные о версии в сообщении выше командой Код:/opt/cprocsp/bin/amd64/csptest -keyset -verifycontext
Собственно удалось получить эту ошибку и без нагрузки при первичном входе на сайт, handshake произошел в итоге, но первый вход был замедлен секунды на 2. Подскажите куда дальше смотреть? Т.е. как это произошло. Я зашел через IE 11, долго ждал стартовой страницы. Оно появилось секунды через 2-3, затем в лог и увидел ошибки (6 строк указанных выше). Отредактировано пользователем 9 апреля 2019 г. 12:19:57(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
Автор: ferrat Собственно удалось получить эту ошибку и без нагрузки при первичном входе на сайт, handshake произошел в итоге, но первый вход был замедлен секунды на 2. Подскажите куда дальше смотреть?
Т.е. как это произошло. Я зашел через IE 11, долго ждал стартовой страницы. Оно появилось секунды через 2-3, затем в лог и увидел ошибки (6 строк указанных выше). Что-то здесь не сходится, при такой ошибке установить соединение, хоть и спустя 2-3 секунды никак невозможно. Предлагается начать сначала, со скриптами из этой темы и на чистой системе: https://www.cryptopro.ru...aspx?g=posts&t=12505Если ошибки останутся -- пишите. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 08.04.2019(UTC) Сообщений: 6 Сказал(а) «Спасибо»: 1 раз
|
Автор: Дмитрий Пичулин Автор: ferrat Собственно удалось получить эту ошибку и без нагрузки при первичном входе на сайт, handshake произошел в итоге, но первый вход был замедлен секунды на 2. Подскажите куда дальше смотреть?
Т.е. как это произошло. Я зашел через IE 11, долго ждал стартовой страницы. Оно появилось секунды через 2-3, затем в лог и увидел ошибки (6 строк указанных выше). Что-то здесь не сходится, при такой ошибке установить соединение, хоть и спустя 2-3 секунды никак невозможно. Предлагается начать сначала, со скриптами из этой темы и на чистой системе: https://www.cryptopro.ru...aspx?g=posts&t=12505Если ошибки останутся -- пишите. Собственно по этой инструкции я и ставил, правда не на совсем чистую систему. Удалось понять как вызвать эту ошибку: если я делаю nginx -s reload то получаю невозможно отобразить страницу. И именно в этот момент эти ошибки вылетают в лог. Помогает лишь полный перезапуск nginx -s stop. Буду пробовать переустановить на чистую, если еще появится. Спасибо
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
Автор: ferrat если я делаю nginx -s reload то получаю невозможно отобразить страницу. И именно в этот момент эти ошибки вылетают в лог. Помогает лишь полный перезапуск nginx -s stop. Мы не тестировали функционал "reload", могут быть ошибки, пользуйтесь полным перезапуском. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 10.04.2019(UTC) Сообщений: 6
Сказал(а) «Спасибо»: 1 раз
|
Люди добрые подскажите пожалуйста имеется ли возможность при использовании gostengy, Обратится к контейнеру с ключем средствами php. Указав имя контейнера ? что то вроде: openssl_pkey_get_private("c:1234567"); openssl_pkey_get_private("engine:gostengy:c:1234567"); Вообще каким либо способом можно дернуть pkey из контейнера, или возможно только через libphpcades.so или экспортом ключа из контейнера. Отредактировано пользователем 10 апреля 2019 г. 16:58:36(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
Автор: D.Vinci Люди добрые подскажите пожалуйста имеется ли возможность при использовании gostengy, Обратится к контейнеру с ключем средствами php.
Указав имя контейнера ? что то вроде:
openssl_pkey_get_private("c:1234567");
openssl_pkey_get_private("engine:gostengy:c:1234567"); Нет. |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close