Статус: Новичок
Группы: Участники
Зарегистрирован: 05.08.2019(UTC) Сообщений: 2
|
На сервере с настроенным nginx+gostengy+ГОСТ2012 сертификатами в случае если у одного из хостов истекает срок действия сертификата, то отказывается работать nginx. Т.е. перестают работать абсолютно все вирт хосты. В логе при этом ошибка: [emerg] 2169#2169: ENGINE_load_private_key("9867b5ab2b2c88342766gg5e99a6a7c6ddc7e324") failed (SSL: error:80015033:lib(128):gng_support_getuserkey:GNG_ERR_LICENSE error:26096080:engine routines:ENGINE_load_private_key:failed loading private key) Считаю это неправильным поведением, когда из-за одного просроченного сертификата использующимся один из хостов, перестают работать несколько десятков других хостов. Задал вопрос в комьюнити Nginx - авторы говорят пишите авторам gostengy https://forum.nginx.org/read.php?21,285094,285099Помогите пожалуйста решить эту проблему.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах
|
Автор: simpleman66 На сервере с настроенным nginx+gostengy+ГОСТ2012 сертификатами в случае если у одного из хостов истекает срок действия сертификата, то отказывается работать nginx. Т.е. перестают работать абсолютно все вирт хосты. В логе при этом ошибка: [emerg] 2169#2169: ENGINE_load_private_key("9867b5ab2b2c88342766gg5e99a6a7c6ddc7e324") failed (SSL: error:80015033:lib(128):gng_support_getuserkey:GNG_ERR_LICENSE error:26096080:engine routines:ENGINE_load_private_key:failed loading private key) Считаю это неправильным поведением, когда из-за одного просроченного сертификата использующимся один из хостов, перестают работать несколько десятков других хостов. Задал вопрос в комьюнити Nginx - авторы говорят пишите авторам gostengy https://forum.nginx.org/read.php?21,285094,285099Помогите пожалуйста решить эту проблему. При разработке у нас был другой подход, что прохождение всех проверок при старте системы, гарантирует дальнейшую работоспособность. То есть, рядовому пользователю проще сразу нарваться на ошибку, чем разбираться с ней в процессе работы. Ваша ситуация понятна, опытным пользователям такой подход может показаться наивным, но всегда можно оперативно отключать проблемные хосты на уровне конфигурации. Предлагайте свои варианты, как бы вы хотели улучшить старт системы. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.08.2019(UTC) Сообщений: 65
Сказал(а) «Спасибо»: 4 раз
|
Добрый день! Сделал все по инструкции, установил 2 rpm пакета, но engine отказывается ставиться После выполнения команды Получаю Цитата:(dynamic) Dynamic engine loading support 140478666684160:error:2506406A:DSO support routines:dlfcn_bind_func:could not bind to the requested symbol name:crypto/dso/dso_dlfcn.c:189:symname(bind_engine): /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so: undefined symbol: bind_engine 140478666684160:error:2506C06A:DSO support routines:DSO_bind_func:could not bind to the requested symbol name:crypto/dso/dso_lib.c:186: 140478666684160:error:260B6068:engine routines:dynamic_load:DSO failure:crypto/engine/eng_dyn.c:427: 140478666684160:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so 140478666684160:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:177:module=engines, value=engine_section, retcode=-1 .cnf файл Цитата:openssl_conf = openssl_def
[openssl_def] engines = engine_section
[engine_section] gostengy = gost_section
[gost_section] engine_id = gostengy dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1 В чем может быть дело? OS: Ubuntu 12, CSP 4.0 Отредактировано пользователем 5 августа 2019 г. 14:28:24(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах
|
Автор: rmussalimov Сделал все по инструкции, установил 2 rpm пакета, но engine отказывается ставиться По какой инструкции? Автор: rmussalimov name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so libcrypto.so не является engine, у вас ошибка конфигурации. У нас есть 2 engine, gost_capi (старый) и gostengy (текущий), подробнее смотрите в FAQ в начале темы. Актуальный поддерживаемый нами в настоящий момент вариант установки: https://www.cryptopro.ru...aspx?g=posts&t=12505 |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.08.2019(UTC) Сообщений: 65
Сказал(а) «Спасибо»: 4 раз
|
Автор: Дмитрий Пичулин Автор: rmussalimov Сделал все по инструкции, установил 2 rpm пакета, но engine отказывается ставиться По какой инструкции? Автор: rmussalimov name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so libcrypto.so не является engine, у вас ошибка конфигурации. У нас есть 2 engine, gost_capi (старый) и gostengy (текущий), подробнее смотрите в FAQ в начале темы. Актуальный поддерживаемый нами в настоящий момент вариант установки: https://www.cryptopro.ru...aspx?g=posts&t=12505 Установил отсюда https://update.cryptopro...t/nginx-gost/bin/185515/cprocsp-cpopenssl-110-base-5.0.11315-5.noarch.rpm cprocsp-cpopenssl-110-64-5.0.11315-5.x86_64.rpm Пытаюсь установить gostengy. Какой .so нужно записать в .cnf?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.08.2019(UTC) Сообщений: 65
Сказал(а) «Спасибо»: 4 раз
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.08.2019(UTC) Сообщений: 65
Сказал(а) «Спасибо»: 4 раз
|
Автор: Дмитрий Пичулин Т.е. проблема в том, что OpenSSL не определяет .so как engine?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах
|
Автор: rmussalimov Автор: Дмитрий Пичулин Т.е. проблема в том, что OpenSSL не определяет .so как engine? Нет, не в этом. |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close