Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

39 Страницы«<2627282930>»
Опции
К последнему сообщению К первому непрочитанному
Offline vabik  
#271 Оставлено : 13 августа 2020 г. 14:20:57(UTC)
vabik

Статус: Участник

Группы: Участники
Зарегистрирован: 06.08.2020(UTC)
Сообщений: 15
Российская Федерация

Здесь может быть много нюансов:
1. Openssl не видит engine.
/opt/cprocsp/cp-openssl-1.1.0/bin/amd64/./openssl engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 211453 $)


2. Конфиг nginx настроен не правильно.
user nginx;
worker_processes 1;

events {
worker_connections 1024;
}


http {
include mime.types;
default_type application/octet-stream;

sendfile on;
keepalive_timeout 65;

# HTTP server
server {
listen 80;
server_name localhost;

location / {
root html;
index index.html index.htm;
}

error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}

}

# HTTPS server
server {
listen 443 ssl;
server_name localhost;

ssl_certificate /etc/nginx/ssl/name.pem;
ssl_certificate_key engine:gostengy:name;
ssl_certificate srvtestRSA.pem;
ssl_certificate_key srvtestRSA.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
ssl_prefer_server_ciphers on;

location / {
root html;
index index.html index.htm;
}

error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
}

3. Сертификаты выпущены не тому пользователю.
Заменили сертификат, ошибка осталась.

Как уже говорилось в этой теме: в начале лучше взять чистую систему и проверить работоспособность на ней, а потом разбираться в нюансах.
На системе был только openssl 1.0.2, и не сколько утилит.
Вы просто воспользовались скриптом и получили такой результат?
КриптоПро, пакеты устанавливал руками,
cprocsp-cpopenssl-110-64.x86_64 5.0.11803-6 installed
cprocsp-cpopenssl-110-base.noarch 5.0.11803-6 installed
cprocsp-cpopenssl-110-devel.noarch 5.0.11803-6 installed
cprocsp-cpopenssl-110-gost-64.x86_64 5.0.11803-6 installed
cprocsp-cpopenssl-base.noarch 5.0.11455-5 installed
lsb-cprocsp-base.noarch 5.0.11455-5 installed
lsb-cprocsp-capilite-64.x86_64 5.0.11455-5 installed
lsb-cprocsp-kc1-64.x86_64 5.0.11455-5 installed
lsb-cprocsp-kc2-64.x86_64 5.0.11455-5 installed
lsb-cprocsp-rdr-64.x86_64
nginx так же.
usr/sbin/nginx -V
nginx version: nginx/1.19.2
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC)
built with OpenSSL 1.0.2k-fips 26 Jan 2017
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx.......

Отредактировано пользователем 13 августа 2020 г. 15:27:44(UTC)  | Причина: Не указана

Offline Ефремов Степан  
#272 Оставлено : 13 августа 2020 г. 15:35:46(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 49
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 17 раз в 16 постах
Автор: vabik Перейти к цитате

nginx так же.
usr/sbin/nginx -V
nginx version: nginx/1.19.2
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC)
built with OpenSSL 1.0.2k-fips 26 Jan 2017
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx.......



1. Nginx собран с openssl 1.0.2 (вместо 1.1.0 или 1.1.1). Вы применяли патч перед сборкой?

Автор: vabik Перейти к цитате

КриптоПро, пакеты устанавливал руками
...

2. Почему руками, были проблемы со скриптом? Скрипт сам может установить пакеты. А если есть проблемы со скриптом, лучше воспользоваться command_list.txt.

3. Эта команда показывает сертификаты пользователя:
Код:
/opt/cprocsp/bin/amd64/certmgr -list -store umy


Если нет полного понимания схемы работы - выполняйте все от root.
Техническая поддержка здесь.
База знаний здесь.
Offline vabik  
#273 Оставлено : 13 августа 2020 г. 19:23:43(UTC)
vabik

Статус: Участник

Группы: Участники
Зарегистрирован: 06.08.2020(UTC)
Сообщений: 15
Российская Федерация

Подскажите пожлст., где ознакомиться как применить патч перед установкой nginx?
И поможет ли переустановка только nginx?
В ручную устанавливали, т.к пробовали поднять все на крипто про 4 версии.

Эта команда показывает сертификаты пользователя: Да сертификат есть.

Отредактировано пользователем 14 августа 2020 г. 6:54:38(UTC)  | Причина: Не указана

Offline Ефремов Степан  
#274 Оставлено : 16 августа 2020 г. 16:16:31(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 49
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 17 раз в 16 постах
Автор: vabik Перейти к цитате
Подскажите пожлст., где ознакомиться как применить патч перед установкой nginx?
И поможет ли переустановка только nginx?
В ручную устанавливали, т.к пробовали поднять все на крипто про 4 версии.

Эта команда показывает сертификаты пользователя: Да сертификат есть.


Не совсем понял, по какой инструкции вы настраиваете? Т.к. если делать аналогично скрипту (или чтобы не смотреть в скрипт: воспользоваться --command_list), то в списке команд будут команды аналогичные:

Код:
...
git clone https://github.com/nginx/nginx.git
cd nginx
git checkout branches/stable-1.16
cd /root/github/nginx-gost/nginx-gost && cp nginx_conf.patch ./nginx/nginx_conf.patch
cd nginx && git apply nginx_conf.patch
./auto/configure --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --user=root --group=nginx --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fPIC' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now -Wl,--as-needed -pie' && make && make install
mkdir /var/cache/nginx
...


Т.е. патч применять не сложно:
Код:
git apply nginx_conf.patch


А поможет ли переустановка nginx я вам сказать не могу, т.к. не знаю правильно ли вы выполнили установку крипто-про, openssl и др. перед этим.
Техническая поддержка здесь.
База знаний здесь.
Offline Белая Рысь  
#275 Оставлено : 16 сентября 2020 г. 1:04:13(UTC)
Белая Рысь

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2020(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
У меня концептуальный вопрос.
В скрипте install-certs.sh на 46 строке вот это вот:

-store mMy

это опечатка или mMy - это так и задумано?

И ещё момент. Ставил на стенде вот это вот всё на CentOS 7 + CryptoPro 5, всё, вроде, завелось.
А потом попытался развернуть всё то же самое на стенде без интернета.
В принципе, с install-nginx.sh вопросов не возникло: закомментировал все закачки и положил нужные файлы рядом с ним, всё собралось и завелось.
А вот с install-certs.sh возникли проблемы в силу его завязанности на интернет.
Сделал я следующее:

1. Вот тут получил сертификат: https://testgost2012.cryptopro.ru/certsrv/
2. Выгрузил его в PFX
3. Перенёс PFX на сервер и установил вот такой командой: /opt/cprocsp/bin/amd64/certmgr -install -pfx
4. Экспортировал сертификат вот такой командой: /opt/cprocsp/bin/amd64/certmgr -export -cert
5. Сконвертировал в PEM вот так: /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl x509 -inform DER
6. В nginx.conf поправил строку вот так: ssl_certificate_key engine:gostengy:<cert_hash>;

В принципе, NGINX стартует. Но. Браузеры ругаются на ERR_SSL_VERSION_OR_CIPHER_MISMATCH, при этом, в error.log веб-сервера вот такая вот красота:

2020/09/15 22:39:29 [crit] 2334#2334: *2 SSL_do_handshake() failed (SSL: error:0609B099:digital envelope routines:EVP_PKEY_derive_set_peer:different parameters error:8001102A:lib(128):gng_pkey_decrypt_3410:GNG_ERR_INCOMPATIBLE error:1419D093:SSL routines:tls_process_cke_gost:decryption failed) while SSL handshaking, client: 172.16.10.52, server: 0.0.0.0:443

Уважаемые присутствующие не могли бы поделиться мыслями, что бы это могло значить и как от этого избавиться?
Заранее спасибо.
Offline Андрей *  
#276 Оставлено : 16 сентября 2020 г. 1:09:24(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
Здравствуйте.

>mMy
- хранилище машины (m) (локальный компьютер), личное (My)

>Браузеры ругаются на ERR_SSL_VERSION_OR_CIPHER_MISMATCH

... которые поддерживают ГОСТ?

Chromium GOST пробовали?
Техническую поддержку оказываем тут
Наша база знаний
Offline Белая Рысь  
#277 Оставлено : 16 сентября 2020 г. 1:13:50(UTC)
Белая Рысь

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2020(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: Андрей * Перейти к цитате
Здравствуйте.

>mMy
- хранилище машины (m) (локальный компьютер), личное (My)

>Браузеры ругаются на ERR_SSL_VERSION_OR_CIPHER_MISMATCH

... которые поддерживают ГОСТ?

Chromium GOST пробовали?


Виндовая машина с установленным криптопро5, IE. Тестировал на zakupki.gov.ru - сертификаты, вроде, понимает.
Попробовал хромиум гост - печаль.

This site can’t provide a secure connection
192.168.51.100 sent an invalid response.
Try running Windows Network Diagnostics.
ERR_SSL_PROTOCOL_ERROR
Offline Белая Рысь  
#278 Оставлено : 16 сентября 2020 г. 6:44:19(UTC)
Белая Рысь

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2020(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: Андрей * Перейти к цитате
Здравствуйте.
- хранилище машины (m) (локальный компьютер), личное (My)


Меня смущает, что в 46 строке мы проверяем, есть ли что-то интересное в mMy, а в 49 - пытаемся удалить что-то интересное из uMy. Практически юзерско-машинный дуализм в лицах.
Offline Ефремов Степан  
#279 Оставлено : 16 сентября 2020 г. 23:48:40(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 49
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 17 раз в 16 постах
Автор: Белая Рысь Перейти к цитате
Автор: Андрей * Перейти к цитате
Здравствуйте.
- хранилище машины (m) (локальный компьютер), личное (My)


Меня смущает, что в 46 строке мы проверяем, есть ли что-то интересное в mMy, а в 49 - пытаемся удалить что-то интересное из uMy. Практически юзерско-машинный дуализм в лицах.


Про mMy - это опечатка, исправили.

С ошибкой ERR_SSL_VERSION_OR_CIPHER_MISMATCH не понятно. Думаю вы что-то упустили при установке сертификата: не сменили сертификат с KC1 на KC2; ключ не привязался к сертификату, должно быть:
Код:
certmgr -list -store umy
...
PrivateKey Link     : Yes
...

или еще что-то.
Техническая поддержка здесь.
База знаний здесь.
Offline Белая Рысь  
#280 Оставлено : 16 сентября 2020 г. 23:51:44(UTC)
Белая Рысь

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2020(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: Ефремов Степан Перейти к цитате
Автор: Белая Рысь Перейти к цитате
Автор: Андрей * Перейти к цитате
Здравствуйте.
- хранилище машины (m) (локальный компьютер), личное (My)


Меня смущает, что в 46 строке мы проверяем, есть ли что-то интересное в mMy, а в 49 - пытаемся удалить что-то интересное из uMy. Практически юзерско-машинный дуализм в лицах.


Про mMy - это опечатка, исправили.

С ошибкой ERR_SSL_VERSION_OR_CIPHER_MISMATCH не понятно. Думаю вы что-то упустили при установке сертификата: не сменили сертификат с KC1 на KC2; ключ не привязался к сертификату, должно быть:
Код:
certmgr -list -store umy
...
PrivateKey Link     : Yes
...

или еще что-то.


[root@n1 csp]# /opt/cprocsp/bin/amd64/certmgr -list -store umy
Certmgr 1.1 (c) "Crypto-Pro", 2007-2020.
Program for managing certificates, CRLs and stores.
=============================================================================
1-------
Issuer : OGRN=1234567890123, INN=001234567890, STREET=ул. Сущёвский вал д. 18, C=RU, S=г. Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN="Тестовый УЦ ООО ""КРИПТО-ПРО"""
Subject : E=test6@test.test, CN=Test6, OU=Test6, O=Test6, L=Test6, S=Test6, C=RU
Serial : 0x7C00013575B8BC9964D6E40DAF000100013575
SHA1 Hash : 2c18ab74c9c746b0cdacc394c7edc91431a87954
SubjKeyID : 83d1aefa20e663d670a9420a2a4aafd164c697ad
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (1024 bits)
Not valid before : 15/09/2020 17:40:16 UTC
Not valid after : 15/12/2020 17:50:16 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\f803dd0f.000\B10A
Provider Name : Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP
Provider Info : Provider Type: 81, Key Spec: 1, Flags: 0x0
CA cert URL : http://testgost2012.cryp.../CertEnroll/root2018.crt
OCSP URL : http://testgost2012.cryp...ro.ru/ocsp2012g/ocsp.srf
OCSP URL : http://testgost2012.cryp....ru/ocsp2012gst/ocsp.srf
CDP : http://testgost2012.cryptopro.ru/CertEnroll/!0422!0435!0441!0442!043e!0432!044b!0439%20!0423!0426%20!041e!041e!041e%20!0022!041a!0420!0418!041f!0422!041e-!041f!0420!041e!0022(1).crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
39 Страницы«<2627282930>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.