Статус: Новичок
Группы: Участники
Зарегистрирован: 10.04.2019(UTC)
Сообщений: 6
Сказал(а) «Спасибо»: 1 раз
|
Автор: Дмитрий Пичулин  Автор: D.Vinci Люди добрые подскажите пожалуйста имеется ли возможность при использовании gostengy, Обратится к контейнеру с ключем средствами php.
Указав имя контейнера ? что то вроде:
openssl_pkey_get_private("c:1234567");
openssl_pkey_get_private("engine:gostengy:c:1234567"); Нет. Дмитрий подскажите пожалуйста это возможно только через libphpcades.so ? Или мне проще экспортировать ключ из контейнера ? Правда при этом будет страдать безопасность (((
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: D.Vinci Дмитрий подскажите пожалуйста это возможно только через libphpcades.so ? Или мне проще экспортировать ключ из контейнера ? Правда при этом будет страдать безопасность ((( Для ответа на ваши вопросы следует создать отдельную тему. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.12.2014(UTC) Сообщений: 60  Откуда: Москва Сказал(а) «Спасибо»: 4 раз
|
А есть ли сборки под FreeBSD?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: tarkhil А есть ли сборки под FreeBSD? Нет. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 08.04.2019(UTC) Сообщений: 6  Сказал(а) «Спасибо»: 1 раз
|
Удалось победить почти все ошибки, но одна остается постоянно и проявляется всегда, но замечают ее единицы Код:peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking
Иногда без (104: Connection reset by peer) Гонял по всем форумам с этой ошибкой, но проблему решить не удалось. Она сначала проявляется у одного клиента, а через неопределенное время (иногда 1 день, иногда пара часов) у многих Конфиг прикрепил ниже. Некоторые параметры кручу уже не первый раз так что это самый последний конфиг на котором пробую/ Код:user user;
#user nobody;
worker_processes 1;
worker_rlimit_nofile 200000;
events {
worker_connections 20000;
}
http {
include mime.types;
default_type application/octet-stream;
#proxy_cache all;
open_file_cache max=200000 inactive=20s;
open_file_cache_valid 30s;
open_file_cache_min_uses 2;
open_file_cache_errors on;
access_log off;
#expires 1d;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 30;
keepalive_requests 1000;
reset_timedout_connection on;
client_body_timeout 20;
send_timeout 20;
proxy_buffer_size 32k;
proxy_buffers 64 32k;
server {
listen 450 ssl;
#server_name localhost;
#access_log logs/access.log main;
ssl_certificate /etc/nginx/cert/cert.pem;
ssl_certificate_key engine:gostengy:c:le-000000-afe9-00-84a6-0000000;
ssl_session_cache shared:SSL:10m;
#ssl_session_cache off;
ssl_session_timeout 1h;
#ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
ssl_prefer_server_ciphers off;
location / {
proxy_connect_timeout 30s;
proxy_send_timeout 30s;
proxy_read_timeout 30s;
send_timeout 30s;
#proxy_pass http://192.168.0.111:000;
proxy_ssl_server_name on;
proxy_set_header Host $host;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header x-real-ip $remote_addr;
#proxy_set_header x-arr-ssl "1";
proxy_set_header Connection "upgrade";
}
}
}
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: ferrat Удалось победить почти все ошибки, но одна остается постоянно и проявляется всегда, но замечают ее единицы Код:peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking
Иногда без (104: Connection reset by peer) Гонял по всем форумам с этой ошибкой, но проблему решить не удалось. Она сначала проявляется у одного клиента, а через неопределенное время (иногда 1 день, иногда пара часов) у многих В чём проявляется данная ошибка на стороне клиента? Или это только в логе сервера вас беспокоит? Может быть это не ошибка, а предварительное подключение, которое потом переходит на ГОСТ, подробнее: https://github.com/deemr...mium-gost#принцип-работы |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 08.04.2019(UTC) Сообщений: 6 Сказал(а) «Спасибо»: 1 раз
|
Автор: Дмитрий Пичулин Автор: ferrat Удалось победить почти все ошибки, но одна остается постоянно и проявляется всегда, но замечают ее единицы Код:peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking
Иногда без (104: Connection reset by peer) Гонял по всем форумам с этой ошибкой, но проблему решить не удалось. Она сначала проявляется у одного клиента, а через неопределенное время (иногда 1 день, иногда пара часов) у многих В чём проявляется данная ошибка на стороне клиента? Или это только в логе сервера вас беспокоит? Может быть это не ошибка, а предварительное подключение, которое потом переходит на ГОСТ, подробнее: https://github.com/deemr...mium-gost#принцип-работы Там самописный софт и получается, что при такой ошибке на их стороне: Authentication failed because the remote party has closed the transport stream (судя по всему это C#) Пока я правлю конфиги вслепую, основываясь на обрывках фраз, сказанных на форумах. Улучшило ситуацию увеличение ssl буфера ssl_buffer_size до 32k Может быть есть, что я упустил.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: ferrat Там самописный софт и получается, что при такой ошибке на их стороне: Authentication failed because the remote party has closed the transport stream (судя по всему это C#)
Пока я правлю конфиги вслепую, основываясь на обрывках фраз, сказанных на форумах. Улучшило ситуацию увеличение ssl буфера ssl_buffer_size до 32k
Может быть есть, что я упустил. В таких случая сначала добиваются стабильной работы безотносительно ГОСТ, потом включают ГОСТ. Проблем с ГОСТом не видим, удачи. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.05.2019(UTC)
Сообщений: 9
Откуда: Москва
Сказал(а) «Спасибо»: 3 раз
|
Автор: Дмитрий Пичулин Автор: dmitry lavrov Уже был установлен параметр ssl_session_timeout 5m;
Добавил ssl_session_cache off;
Будем мониторить, если ошибка повторится - обязательно сообщу.
Спасибо! Автор: Дмитрий Пичулин UPD: Нет, ошибка всё таки у нас, не предусмотрели смену ключа при переносе ключей между провайдерами, хватало на ~60 тысяч ключей... Исправляем. Исправили: https://update.cryptopro...t/nginx-gost/bin/185515/ Добрый день! Nginx-GOST в целом работает, но не долго. Спустя какое то время (примерно день) все клиенты отваливаются и возникает такая ошибка: SSL_do_handshake() failed (SSL: error:0609B099:digital envelope routines:EVP_PKEY_derive_set_peer:different parameters error:80010029:lib(128): gng_pkey_decrypt_3410:GNG_ERR_INCOMPATIBLE error:1419D093:SSL routines:tls_process_cke_gost:decryption failed) while SSL handshaking Помогает systemctl restart nginx. /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 185515 $)
/usr/sbin/nginx -V
nginx version: nginx/1.14.2
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-36) (GCC)
built with OpenSSL 1.1.0i 14 Aug 2018
TLS SNI support enabled
Конфиг nginx
server {
listen 8443 ssl;
server_name server_name;
ssl on;
ssl_certificate /etc/nginx/ssl/server_gost12.cer;
ssl_certificate_key engine:gostengy:ООО;
ssl_client_certificate /etc/nginx/ssl/ca-gost/ngin.cer;
ssl_verify_client on;
ssl_session_cache off;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
ssl_prefer_server_ciphers on;
index index.html index.htm index.php;
access_log /var/log/nginx/gost.access.log combined;
error_log /var/log/nginx/gost.error.log debug;
yum list installed | grep cpro
cprocsp-cpopenssl-110-64.x86_64 5.0.11315-5 installed
cprocsp-cpopenssl-110-base.noarch 5.0.11315-5 installed
cprocsp-cpopenssl-110-devel.noarch 5.0.11315-5 installed
cprocsp-cpopenssl-110-gost-64.x86_64 5.0.11315-5 installed
cprocsp-curl-64.x86_64 5.0.11319-5 installed
lsb-cprocsp-base.noarch 5.0.11319-5 installed
lsb-cprocsp-ca-certs.noarch 5.0.11319-5 installed
lsb-cprocsp-capilite-64.x86_64 5.0.11319-5 installed
lsb-cprocsp-kc1-64.x86_64 5.0.11319-5 installed
lsb-cprocsp-kc2-64.x86_64 5.0.11319-5 installed
lsb-cprocsp-rdr-64.x86_64 5.0.11319-5 installed
Подскажите с чем это может быть связано и как решить проблему? 185515 не помог
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: Андрей Степанов SSL_do_handshake() failed (SSL: error:0609B099:digital envelope routines:EVP_PKEY_derive_set_peer:different parameters error:80010029:lib(128):gng_pkey_decrypt_3410:GNG_ERR_INCOMPATIBLE error:1419D093:SSL routines:tls_process_cke_gost:decryption failed) while SSL handshaking У нас запрещен вариант работы по, так называемым, "статическим" ключам Диффи-Хеллмана. Если вы не используете данный вариант, то расскажите как нам воспроизвести вашу проблему. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
