Статус: Участник
Группы: Участники
Зарегистрирован: 07.09.2020(UTC) Сообщений: 12  Откуда: Тверь Сказал(а) «Спасибо»: 4 раз
|
Автор: Ефремов Степан  Автор: iOlegK ...
Как такое может быть? )))
Очень просто) Наши библиотеки libssl и libcrypto попадают в ldconfig (/etc/ld.so.conf). При установке нашего openssl, системный Означает ли это, что, допустим есть какое то ПО которому необходим системный openssl, и данное ПО не заработает по той причине, что системный openssl использует "замененные" на криптопрошные библиотеки??
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 31.08.2017(UTC) Сообщений: 49 Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 17 раз в 16 постах
|
Автор: iOlegK Автор: Ефремов Степан
Очень просто) Наши библиотеки libssl и libcrypto попадают в ldconfig (/etc/ld.so.conf). При установке нашего openssl, системный
Означает ли это, что, допустим есть какое то ПО которому необходим системный openssl, и данное ПО не заработает по той причине, что системный openssl использует "замененные" на криптопрошные библиотеки?? Такое, наверное, возможно. Отмечу, что gostengy может работать и с системным openssl, если он версии >= 1.1. Т.е. достаточно установить один пакет (из 4) с engine и настроить конфиг системного openssl. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.09.2020(UTC) Сообщений: 12 Откуда: Тверь Сказал(а) «Спасибо»: 4 раз
|
Имеется ввиду пакет cprocsp-cpopenssl-110-gost-64-5.0.11455-5.x86_64.rpm? И в конфиге системного openssl (openssl.cnf) указать что то типо этого? [openssl_def] engines = engine_section [engine_section] gost = gost_section [gost_section] engine_id = gostengy dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so default_algorithms = ALL Отредактировано пользователем 9 сентября 2020 г. 15:30:45(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 31.08.2017(UTC) Сообщений: 49 Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 17 раз в 16 постах
|
Автор: iOlegK Имеется ввиду пакет cprocsp-cpopenssl-110-gost-64-5.0.11455-5.x86_64.rpm?
И в конфиге системного openssl (openssl.cnf) указать что то типо этого?
[openssl_def]
engines = engine_section
[engine_section]
gost = gost_section
[gost_section]
engine_id = gostengy
dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
default_algorithms = ALL Верно. Если пакет не будет ставиться - достаточно просто достать libgostengy.so. |
|
 1 пользователь поблагодарил Ефремов Степан за этот пост.
|
iOlegK оставлено 09.09.2020(UTC)
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.09.2020(UTC) Сообщений: 12 Откуда: Тверь Сказал(а) «Спасибо»: 4 раз
|
Автор: Ефремов Степан Автор: iOlegK Имеется ввиду пакет cprocsp-cpopenssl-110-gost-64-5.0.11455-5.x86_64.rpm?
И в конфиге системного openssl (openssl.cnf) указать что то типо этого?
[openssl_def]
engines = engine_section
[engine_section]
gost = gost_section
[gost_section]
engine_id = gostengy
dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
default_algorithms = ALL Верно. Если пакет не будет ставиться - достаточно просто достать libgostengy.so. Извиняюсь, что приходится возвращаться к данной теме, но проделав аналогичные действия на другом сервере со SLES 12 SP4 почему то не получается сделать так, точбы при выполнении команды openssl engine в выводе было что то аналогичное (gostengy) CryptoPro GostEngy ( $Revision: 185515 $). Были установлены 4 пакета ) cprocsp-cpopenssl-110-base-5.0.11455-5.noarch, cprocsp-cpopenssl-110-devel-5.0.11455-5.noarch, cprocsp-cpopenssl-110-64-5.0.11455-5.x86_64 и cprocsp-cpopenssl-110-gost-64-5.0.11455-5.x86_64. Дополнительно в стандартный конфиг /etc/ssl/openssl.cnf внес до раздела [ new_oids ] следующее: openssl_conf=openssl_def [openssl_def] engines = engine_section [engine_section] gostengy = gost_section [gost_section] engine_id = gostengy dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN и при проверке openssl engine ошибки: # openssl engine Error configuring OpenSSL 140449351493264:error:260B6091:engine routines:DYNAMIC_LOAD:version incompatibility:eng_dyn.c:507: 140449351493264:error:260BC066:engine routines:INT_ENGINE_CONFIGURE:engine configuration error:eng_cnf.c:191:section=gost_section, name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so 140449351493264:error:0E07606D:configuration file routines:MODULE_RUN:module initialization error:conf_mod.c:223:module=engines, value=engine_section, retcode=-1 В таком варианте все отлично, но нам надо что бы стандартная openssl работала с ГОСТ # /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine (rdrand) Intel RDRAND engine (dynamic) Dynamic engine loading support (gostengy) CryptoPro GostEngy ($Revision: 185515 $) Подскажите плиз где и что я мог упустить? Спасибо.
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
|
Автор: iOlegK Подскажите плиз где и что я мог упустить? Спасибо. gostengy требует openssl 1.1.x, возможно на сервере "стандартный" openssl версии 1.0.x, с которым библиотека gostengy несовместима. В то же время openssl от КриптоПро версии 1.1.0 и библиотека работает. Отредактировано пользователем 17 сентября 2020 г. 11:15:07(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.09.2020(UTC) Сообщений: 12 Откуда: Тверь Сказал(а) «Спасибо»: 4 раз
|
Автор: two_oceans Автор: iOlegK Подскажите плиз где и что я мог упустить? Спасибо. gostengy требует openssl 1.1.x, возможно на сервере "стандартный" openssl версии 1.0.x, с которым библиотека gostengy несовместима. В то же время openssl от КриптоПро версии 1.1.0 и библиотека работает. В том то и аномалия, что на обоих серверах одинаковая версия стандартной openssl, в общем то все пакеты одной версии: Старый сервер# rpm -qa | grep openssl | sort cprocsp-cpopenssl-110-64-5.0.11455-5.x86_64 cprocsp-cpopenssl-110-base-5.0.11455-5.noarch cprocsp-cpopenssl-110-devel-5.0.11455-5.noarch cprocsp-cpopenssl-110-gost-64-5.0.11455-5.x86_64 libopenssl-1_0_0-devel-1.0.2p-2.11.x86_64 libopenssl-devel-1.0.2p-1.13.noarch libopenssl1_0_0-1.0.2p-2.11.x86_64 libopenssl1_0_0-32bit-1.0.2p-2.11.x86_64 openssl-1.0.2p-1.13.noarch openssl-1_0_0-1.0.2p-2.11.x86_64 Новый сервер# rpm -qa | grep openssl | sort cprocsp-cpopenssl-110-64-5.0.11455-5.x86_64 cprocsp-cpopenssl-110-base-5.0.11455-5.noarch cprocsp-cpopenssl-110-devel-5.0.11455-5.noarch cprocsp-cpopenssl-110-gost-64-5.0.11455-5.x86_64 libopenssl1_0_0-1.0.2p-2.11.x86_64 libopenssl1_1-1.1.1-1.9.x86_64 openssl-1.0.2p-1.13.noarch openssl-1_0_0-1.0.2p-2.11.x86_64
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 31.08.2017(UTC) Сообщений: 49 Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 17 раз в 16 постах
|
Проверьте версии у системных openssl: openssl version
Если версия 1.0, то работать gostengy с ним не могла, не может и не должна. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.09.2020(UTC) Сообщений: 12 Откуда: Тверь Сказал(а) «Спасибо»: 4 раз
|
Автор: Ефремов Степан Проверьте версии у системных openssl: openssl version
Если версия 1.0, то работать gostengy с ним не могла, не может и не должна. Все верно говорите!) Мой коллега выполнил ln -s /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl /usr/bin/openssl и просто ничего не сказал =) Хорошо, что перед этим исходный /usr/bin/openssl сохранил 
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.11.2020(UTC) Сообщений: 17 Поблагодарили: 2 раз в 2 постах
|
Подскажите могу ли я из engine достать не только key пользователя, но и его сертификат? Если да то какие параметры надо передавать? А то хотелось бы указывать только контейнер а не экспортировать сертификат отдельно в файл.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
