Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<5051525354>»
Опции
К последнему сообщению К первому непрочитанному
Offline D.Vinci  
#511 Оставлено : 10 апреля 2019 г. 16:59:52(UTC)
D.Vinci

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.04.2019(UTC)
Сообщений: 6

Сказал(а) «Спасибо»: 1 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: D.Vinci Перейти к цитате
Люди добрые подскажите пожалуйста имеется ли возможность при использовании gostengy, Обратится к контейнеру с ключем средствами php.

Указав имя контейнера ? что то вроде:

openssl_pkey_get_private("c:1234567");

openssl_pkey_get_private("engine:gostengy:c:1234567");

Нет.



Дмитрий подскажите пожалуйста это возможно только через libphpcades.so ? Или мне проще экспортировать ключ из контейнера ? Правда при этом будет страдать безопасность (((
Offline Дмитрий Пичулин  
#512 Оставлено : 10 апреля 2019 г. 17:01:16(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: D.Vinci Перейти к цитате
Дмитрий подскажите пожалуйста это возможно только через libphpcades.so ? Или мне проще экспортировать ключ из контейнера ? Правда при этом будет страдать безопасность (((

Для ответа на ваши вопросы следует создать отдельную тему.

Знания в базе знаний, поддержка в техподдержке
Offline tarkhil  
#513 Оставлено : 10 апреля 2019 г. 23:00:33(UTC)
tarkhil

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.12.2014(UTC)
Сообщений: 60
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
А есть ли сборки под FreeBSD?
Offline Дмитрий Пичулин  
#514 Оставлено : 10 апреля 2019 г. 23:08:23(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: tarkhil Перейти к цитате
А есть ли сборки под FreeBSD?

Нет.
Знания в базе знаний, поддержка в техподдержке
Offline ferrat  
#515 Оставлено : 16 апреля 2019 г. 11:07:02(UTC)
ferrat

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.04.2019(UTC)
Сообщений: 6
Мексика

Сказал(а) «Спасибо»: 1 раз
Удалось победить почти все ошибки, но одна остается постоянно и проявляется всегда, но замечают ее единицы

Код:
peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking


Иногда без (104: Connection reset by peer)
Гонял по всем форумам с этой ошибкой, но проблему решить не удалось. Она сначала проявляется у одного клиента, а через неопределенное время (иногда 1 день, иногда пара часов) у многих
Конфиг прикрепил ниже. Некоторые параметры кручу уже не первый раз так что это самый последний конфиг на котором пробую/

Код:
user  user;
#user  nobody;
worker_processes  1;
worker_rlimit_nofile 200000;
events {
    worker_connections  20000;
}


http {
    include       mime.types;
    default_type  application/octet-stream;
    #proxy_cache all;
    open_file_cache max=200000 inactive=20s;
    open_file_cache_valid 30s;
    open_file_cache_min_uses 2;
    open_file_cache_errors on;
    access_log off;
    #expires 1d;
    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    keepalive_timeout 30;
    keepalive_requests 1000;
    reset_timedout_connection on;
    client_body_timeout 20;
    send_timeout 20;
    proxy_buffer_size 32k;
    proxy_buffers 64 32k;

	
	server {
        listen       450 ssl;
        #server_name localhost;
        #access_log  logs/access.log  main;
        ssl_certificate      /etc/nginx/cert/cert.pem;
        ssl_certificate_key  engine:gostengy:c:le-000000-afe9-00-84a6-0000000;
        ssl_session_cache    shared:SSL:10m;
        #ssl_session_cache off;
        ssl_session_timeout  1h;
        #ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
        ssl_prefer_server_ciphers  off;
        location / {
                        proxy_connect_timeout       30s;
                        proxy_send_timeout          30s;
                        proxy_read_timeout          30s;
                        send_timeout                30s;
                        #proxy_pass http://192.168.0.111:000;
                        proxy_ssl_server_name on;
                        proxy_set_header Host $host;
                        proxy_http_version 1.1;
                        proxy_set_header Upgrade $http_upgrade;
                        proxy_set_header x-real-ip $remote_addr;
                        #proxy_set_header x-arr-ssl "1";
                        proxy_set_header Connection "upgrade";
        }
	}
	
	
}
Offline Дмитрий Пичулин  
#516 Оставлено : 16 апреля 2019 г. 12:13:44(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: ferrat Перейти к цитате
Удалось победить почти все ошибки, но одна остается постоянно и проявляется всегда, но замечают ее единицы

Код:
peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking


Иногда без (104: Connection reset by peer)
Гонял по всем форумам с этой ошибкой, но проблему решить не удалось. Она сначала проявляется у одного клиента, а через неопределенное время (иногда 1 день, иногда пара часов) у многих

В чём проявляется данная ошибка на стороне клиента? Или это только в логе сервера вас беспокоит?

Может быть это не ошибка, а предварительное подключение, которое потом переходит на ГОСТ, подробнее: https://github.com/deemr...mium-gost#принцип-работы

Знания в базе знаний, поддержка в техподдержке
Offline ferrat  
#517 Оставлено : 16 апреля 2019 г. 15:22:56(UTC)
ferrat

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.04.2019(UTC)
Сообщений: 6
Мексика

Сказал(а) «Спасибо»: 1 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: ferrat Перейти к цитате
Удалось победить почти все ошибки, но одна остается постоянно и проявляется всегда, но замечают ее единицы

Код:
peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking


Иногда без (104: Connection reset by peer)
Гонял по всем форумам с этой ошибкой, но проблему решить не удалось. Она сначала проявляется у одного клиента, а через неопределенное время (иногда 1 день, иногда пара часов) у многих

В чём проявляется данная ошибка на стороне клиента? Или это только в логе сервера вас беспокоит?

Может быть это не ошибка, а предварительное подключение, которое потом переходит на ГОСТ, подробнее: https://github.com/deemr...mium-gost#принцип-работы



Там самописный софт и получается, что при такой ошибке на их стороне: Authentication failed because the remote party has closed the transport stream (судя по всему это C#)
Пока я правлю конфиги вслепую, основываясь на обрывках фраз, сказанных на форумах. Улучшило ситуацию увеличение ssl буфера ssl_buffer_size до 32k
Может быть есть, что я упустил.
Offline Дмитрий Пичулин  
#518 Оставлено : 16 апреля 2019 г. 15:44:53(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: ferrat Перейти к цитате
Там самописный софт и получается, что при такой ошибке на их стороне: Authentication failed because the remote party has closed the transport stream (судя по всему это C#)
Пока я правлю конфиги вслепую, основываясь на обрывках фраз, сказанных на форумах. Улучшило ситуацию увеличение ssl буфера ssl_buffer_size до 32k
Может быть есть, что я упустил.

В таких случая сначала добиваются стабильной работы безотносительно ГОСТ, потом включают ГОСТ. Проблем с ГОСТом не видим, удачи.

Знания в базе знаний, поддержка в техподдержке
Offline Андрей Степанов  
#519 Оставлено : 6 мая 2019 г. 11:23:46(UTC)
Андрей Степанов

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.05.2019(UTC)
Сообщений: 9
Откуда: Москва

Сказал(а) «Спасибо»: 3 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: dmitry lavrov Перейти к цитате
Уже был установлен параметр ssl_session_timeout 5m;
Добавил ssl_session_cache off;

Будем мониторить, если ошибка повторится - обязательно сообщу.
Спасибо!


Автор: Дмитрий Пичулин Перейти к цитате
UPD: Нет, ошибка всё таки у нас, не предусмотрели смену ключа при переносе ключей между провайдерами, хватало на ~60 тысяч ключей... Исправляем.

Исправили: https://update.cryptopro...t/nginx-gost/bin/185515/


Добрый день! Nginx-GOST в целом работает, но не долго. Спустя какое то время (примерно день) все клиенты отваливаются и возникает такая ошибка:

SSL_do_handshake() failed (SSL: error:0609B099:digital envelope routines:EVP_PKEY_derive_set_peer:different parameters error:80010029:lib(128):gng_pkey_decrypt_3410:GNG_ERR_INCOMPATIBLE error:1419D093:SSL routines:tls_process_cke_gost:decryption failed) while SSL handshaking

Помогает systemctl restart nginx.

/opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine


/usr/sbin/nginx -V


Конфиг nginx


yum list installed | grep cpro


Подскажите с чем это может быть связано и как решить проблему? 185515 не помог
Offline Дмитрий Пичулин  
#520 Оставлено : 6 мая 2019 г. 16:51:28(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: Андрей Степанов Перейти к цитате
SSL_do_handshake() failed (SSL: error:0609B099:digital envelope routines:EVP_PKEY_derive_set_peer:different parameters error:80010029:lib(128):gng_pkey_decrypt_3410:GNG_ERR_INCOMPATIBLE error:1419D093:SSL routines:tls_process_cke_gost:decryption failed) while SSL handshaking

У нас запрещен вариант работы по, так называемым, "статическим" ключам Диффи-Хеллмана.

Если вы не используете данный вариант, то расскажите как нам воспроизвести вашу проблему.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
67 Страницы«<5051525354>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.