Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<5253545556>»
Опции
К последнему сообщению К первому непрочитанному
Offline simpleman66  
#531 Оставлено : 5 августа 2019 г. 12:28:58(UTC)
simpleman66

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 2
Российская Федерация

На сервере с настроенным nginx+gostengy+ГОСТ2012 сертификатами в случае если у одного из хостов истекает срок действия сертификата, то отказывается работать nginx. Т.е. перестают работать абсолютно все вирт хосты.
В логе при этом ошибка:
[emerg] 2169#2169: ENGINE_load_private_key("9867b5ab2b2c88342766gg5e99a6a7c6ddc7e324") failed (SSL: error:80015033:lib(128):gng_support_getuserkey:GNG_ERR_LICENSE error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)

Считаю это неправильным поведением, когда из-за одного просроченного сертификата использующимся один из хостов, перестают работать несколько десятков других хостов.
Задал вопрос в комьюнити Nginx - авторы говорят пишите авторам gostengy https://forum.nginx.org/read.php?21,285094,285099

Помогите пожалуйста решить эту проблему.
Offline Дмитрий Пичулин  
#532 Оставлено : 5 августа 2019 г. 13:29:50(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Автор: simpleman66 Перейти к цитате
На сервере с настроенным nginx+gostengy+ГОСТ2012 сертификатами в случае если у одного из хостов истекает срок действия сертификата, то отказывается работать nginx. Т.е. перестают работать абсолютно все вирт хосты.
В логе при этом ошибка:
[emerg] 2169#2169: ENGINE_load_private_key("9867b5ab2b2c88342766gg5e99a6a7c6ddc7e324") failed (SSL: error:80015033:lib(128):gng_support_getuserkey:GNG_ERR_LICENSE error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)

Считаю это неправильным поведением, когда из-за одного просроченного сертификата использующимся один из хостов, перестают работать несколько десятков других хостов.
Задал вопрос в комьюнити Nginx - авторы говорят пишите авторам gostengy https://forum.nginx.org/read.php?21,285094,285099

Помогите пожалуйста решить эту проблему.

При разработке у нас был другой подход, что прохождение всех проверок при старте системы, гарантирует дальнейшую работоспособность.

То есть, рядовому пользователю проще сразу нарваться на ошибку, чем разбираться с ней в процессе работы.

Ваша ситуация понятна, опытным пользователям такой подход может показаться наивным, но всегда можно оперативно отключать проблемные хосты на уровне конфигурации.

Предлагайте свои варианты, как бы вы хотели улучшить старт системы.
Знания в базе знаний, поддержка в техподдержке
Offline rmussalimov  
#533 Оставлено : 5 августа 2019 г. 14:26:12(UTC)
rmussalimov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 65

Сказал(а) «Спасибо»: 4 раз
Добрый день!
Сделал все по инструкции, установил 2 rpm пакета, но engine отказывается ставиться
После выполнения команды
Цитата:
openssl engine


Получаю

Цитата:
(dynamic) Dynamic engine loading support
140478666684160:error:2506406A:DSO support routines:dlfcn_bind_func:could not bind to the requested symbol name:crypto/dso/dso_dlfcn.c:189:symname(bind_engine): /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so: undefined symbol: bind_engine
140478666684160:error:2506C06A:DSO support routines:DSO_bind_func:could not bind to the requested symbol name:crypto/dso/dso_lib.c:186:
140478666684160:error:260B6068:engine routines:dynamic_load:DSO failure:crypto/engine/eng_dyn.c:427:
140478666684160:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so
140478666684160:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:177:module=engines, value=engine_section, retcode=-1


.cnf файл


Цитата:
openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gostengy = gost_section

[gost_section]
engine_id = gostengy
dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1


В чем может быть дело? OS: Ubuntu 12, CSP 4.0

Отредактировано пользователем 5 августа 2019 г. 14:28:24(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#534 Оставлено : 5 августа 2019 г. 14:36:48(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Автор: rmussalimov Перейти к цитате
Сделал все по инструкции, установил 2 rpm пакета, но engine отказывается ставиться

По какой инструкции?

Автор: rmussalimov Перейти к цитате
name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so

libcrypto.so не является engine, у вас ошибка конфигурации.

У нас есть 2 engine, gost_capi (старый) и gostengy (текущий), подробнее смотрите в FAQ в начале темы.

Актуальный поддерживаемый нами в настоящий момент вариант установки: https://www.cryptopro.ru...aspx?g=posts&t=12505
Знания в базе знаний, поддержка в техподдержке
Offline rmussalimov  
#535 Оставлено : 5 августа 2019 г. 14:43:10(UTC)
rmussalimov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 65

Сказал(а) «Спасибо»: 4 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: rmussalimov Перейти к цитате
Сделал все по инструкции, установил 2 rpm пакета, но engine отказывается ставиться

По какой инструкции?

Автор: rmussalimov Перейти к цитате
name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so

libcrypto.so не является engine, у вас ошибка конфигурации.

У нас есть 2 engine, gost_capi (старый) и gostengy (текущий), подробнее смотрите в FAQ в начале темы.

Актуальный поддерживаемый нами в настоящий момент вариант установки: https://www.cryptopro.ru...aspx?g=posts&t=12505


Установил отсюда https://update.cryptopro...t/nginx-gost/bin/185515/
cprocsp-cpopenssl-110-base-5.0.11315-5.noarch.rpm
cprocsp-cpopenssl-110-64-5.0.11315-5.x86_64.rpm

Пытаюсь установить gostengy.

Какой .so нужно записать в .cnf?
Offline Дмитрий Пичулин  
#536 Оставлено : 5 августа 2019 г. 14:53:12(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Автор: rmussalimov Перейти к цитате
Какой .so нужно записать в .cnf?

Действуйте согласно инструкции: https://www.cryptopro.ru...aspx?g=posts&t=12505

При ошибках, следует уточнить систему и все шаги на данной чистой системе приводящие к ошибке.

Знания в базе знаний, поддержка в техподдержке
Offline rmussalimov  
#537 Оставлено : 5 августа 2019 г. 15:00:26(UTC)
rmussalimov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 65

Сказал(а) «Спасибо»: 4 раз
До nginx не дошел, просто поставить бы в систему
Делал по этой инструкции https://www.cryptopro.ru....aspx?g=posts&t=8544
Есть какие-либо предположения с чем связана ошибка?
Offline Дмитрий Пичулин  
#538 Оставлено : 5 августа 2019 г. 15:03:56(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Автор: rmussalimov Перейти к цитате
До nginx не дошел, просто поставить бы в систему
Делал по этой инструкции https://www.cryptopro.ru....aspx?g=posts&t=8544
Есть какие-либо предположения с чем связана ошибка?

Да, смотрите первый ответ: https://www.cryptopro.ru...&m=105554#post105554

Знания в базе знаний, поддержка в техподдержке
Offline rmussalimov  
#539 Оставлено : 5 августа 2019 г. 15:05:54(UTC)
rmussalimov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 65

Сказал(а) «Спасибо»: 4 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: rmussalimov Перейти к цитате
До nginx не дошел, просто поставить бы в систему
Делал по этой инструкции https://www.cryptopro.ru....aspx?g=posts&t=8544
Есть какие-либо предположения с чем связана ошибка?

Да, смотрите первый ответ: https://www.cryptopro.ru...&m=105554#post105554



Т.е. проблема в том, что OpenSSL не определяет .so как engine?
Offline Дмитрий Пичулин  
#540 Оставлено : 5 августа 2019 г. 15:07:28(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Автор: rmussalimov Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: rmussalimov Перейти к цитате
До nginx не дошел, просто поставить бы в систему
Делал по этой инструкции https://www.cryptopro.ru....aspx?g=posts&t=8544
Есть какие-либо предположения с чем связана ошибка?

Да, смотрите первый ответ: https://www.cryptopro.ru...&m=105554#post105554



Т.е. проблема в том, что OpenSSL не определяет .so как engine?

Нет, не в этом.

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (12)
67 Страницы«<5253545556>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.