Статус: Участник
Группы: Участники
Зарегистрирован: 06.08.2020(UTC) Сообщений: 15
|
2020/08/11 13:17:31 [emerg] 7188#0: SSL_CTX_use certificate("/etc/nginx/ssl/xxx-xxxxxx01.cer") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib) nginx: configuration file /etc/nginx/nginx.conf test failed
Ошибка - сертификат (созданный по алгоритму ГОСТ Р 34.11-2012/34.10-2012 256 бит) не распознается (пишет, что не поддерживаемый алгоритм) Это какой-то библиотеки не хватает, или необходимы сертификаты других алгоритмов?
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах
|
В смежной теме (если я Вас с кем-то не перепутал) меня немного удивило наличие engine gost_capi с openssl 110. Насколько я знаю он поддерживает только гост-2001, а для гост-2012 нужен модуль engine gostengy.
Проблема скорее всего только в этом - сам исходный текст openssl довольно давно не имеет встроенной поддержки гост и поддержка гост добавляется именно наличием и загрузкой нужного engine. Форк openssl от КриптоПро главным образом устраняет проблемы при загрузке engine, но без самого engine поддержки гост в форке не появляется и должна быть примерно такая ошибка про неподдерживаемый алгоритм.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 06.08.2020(UTC) Сообщений: 15
|
Установленные пакеты: yum list | grep cprocsp cprocsp-cpopenssl-110-gost-64.x86_64 4.0.0-5 cprocsp-cpopenssl-110-gost-64-4.0.0-5.x86_64 cprocsp-cpopenssl-64.x86_64 4.0.9963-5 cprocsp-cpopenssl-base.noarch 4.0.9963-5 cprocsp-cpopenssl-devel.noarch 4.0.9963-5 cprocsp-cpopenssl-gost-64.x86_64 4.0.9963-5 lsb-cprocsp-base.noarch 4.0.9963-5 lsb-cprocsp-ca-certs.noarch 4.0.9963-5 lsb-cprocsp-capilite-64.x86_64 4.0.9963-5 lsb-cprocsp-devel.noarch 4.0.9963-5 lsb-cprocsp-kc1-64.x86_64 4.0.9963-5 lsb-cprocsp-kc2-64.x86_64 4.0.9963-5 lsb-cprocsp-pkcs11-64.x86_64 4.0.9963-5 lsb-cprocsp-rdr-64.x86_64 4.0.9963-5 lsb-cprocsp-rdr-accord-64.x86_64 4.0.9963-5 lsb-cprocsp-rdr-ancud-64.x86_64 4.0.9963-5 lsb-cprocsp-rdr-crypton-64.x86_64 4.0.9963-5 lsb-cprocsp-rdr-maxim-64.x86_64 4.0.9963-5 lsb-cprocsp-rdr-sobol-64.x86_64 4.0.9963-5
Что надо до установить?
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах
|
Точного названия пакета, к сожалению, не смогу подсказать - работаю под Windows. Более подробно есть в соседней теме https://www.cryptopro.ru...ts&m=55563#post55563В случае если библиотека уже есть (а вдруг в пакете обе и gost_capi и gostengy) можно подправить настройки openssl согласно этой теме либо там же ссылка на свежие пакеты. Вообще как я понял новые версии библиотеки gostengy идут с пакетами cprocsp-cpopenssl имеющими в названии 5.0.xxxxx, а не 4.0.9963.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 06.08.2020(UTC) Сообщений: 15
|
Установили версию 5. amd64]$ ./openssl engine (dynamic) Dynamic engine loading support (gostengy) CryptoPro GostEngy ($Revision: 185515 $)
amd64]$ /usr/sbin/nginx -V nginx version: nginx/1.16.1 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC) built with OpenSSL 1.0.2k-fips 26 Jan 2017 TLS SNI support enabled
Старт nginx: 2020/08/12 08:45:03 [emerg] 11915#0: SSL_CTX_use _certificate("/etc/nginx/ssl/xxxxx.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib) nginx: configuration file /etc/nginx/nginx.conf test failed
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 06.08.2020(UTC) Сообщений: 15
|
Установили версию openssl-1.1.1a, при проверки openssl version OpenSSL 1.0.2k-fips 26 Jan 2017 Подскажите пожлст., какие настройки необходимо произвести для обновления версии 1.1.1? Ошибка при старте Nginx: routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib Из конфигурации: ssl_certificate /etc/nginx/ssl/Name.pem; ssl_certificate_key engine:gostengy:Name; .......... Приняли решение переустановить все пакеты на чистую ОС. Отредактировано пользователем 14 августа 2020 г. 11:29:09(UTC)
| Причина: Не указана
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close