Настройка nginx для работы с сертификатами ГОСТ 2012 года- Page 38

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

39 Страницы«<36 373839 >

Настройка nginx для работы с сертификатами ГОСТ 2012 года

Опции

Предыдущая тема Следующая тема

pd		#371 Оставлено : 27 апреля 2021 г. 18:10:53(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах		Автор: Yuzhanin35 Добрый день. Подскажите пожалуйста, как можно настроить аутентификацию по сертификату в nginx c CryptoPro? Как я понимаю, для этого нужен клиентский сертификат и в конфигах nginx изменить следующие строки: # ssl_client_certificate путь где лежит клиентский серт # ssl_verify_client on; Каким образом клиентский сертификат нужно установить на nginx? В случае gostengy мы рекомендуем использовать optional_no_ca: https://nginx.org/ru/doc...e.html#ssl_verify_client Цитата: Параметр optional_no_ca (1.3.8, 1.2.5) запрашивает сертификат клиента, но не требует, чтобы он был подписан доверенным сертификатом CA. Это предназначено для случаев, когда фактическая проверка сертификата осуществляется внешним по отношению к nginx’у сервисом. Содержимое сертификата доступно через переменную $ssl_client_cert. Поддержку работы с другими вариантами смотрите в документациях соответствующих продуктов.
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Yuzhanin35		#372 Оставлено : 28 апреля 2021 г. 9:23:05(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 21.04.2021(UTC) Сообщений: 9 Откуда: RU Сказал(а) «Спасибо»: 1 раз		Pd,спасибо за ответ. Клиентскский сертификат генерируется (сейчас нужен тестовый) и устанавливается такими же командами как и серверный? есть ли какие-нибудь нюансы? Я к сожалению, впервые с данной связкой ПО столкнулся, секйчас пытаюсь разобраться. Был бы очень признателен, если бы расписали шаги по установке клиентского сертификата.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

pd		#373 Оставлено : 28 апреля 2021 г. 12:39:25(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах		Автор: Yuzhanin35 Pd,спасибо за ответ. Клиентскский сертификат генерируется (сейчас нужен тестовый) и устанавливается такими же командами как и серверный? есть ли какие-нибудь нюансы? Я к сожалению, впервые с данной связкой ПО столкнулся, секйчас пытаюсь разобраться. Был бы очень признателен, если бы расписали шаги по установке клиентского сертификата. Создайте новую тему с вашим вопросом.
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

lab2		#374 Оставлено : 16 июня 2021 г. 14:06:29(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 01.03.2019(UTC) Сообщений: 45 Сказал(а) «Спасибо»: 23 раз Поблагодарили: 2 раз в 1 постах		Автор: pd Кстати, есть новость, которая должна похоронить gostengy в ближайшей перспективе. У нас появились решения для nginx и apache, которые позволят работать в совершенно другом статусе, а именно в статусе сертифицированных веб-серверов из коробки: - https://www.cryptopro.ru...sp/tls/gost-nginx-apache - https://www.cryptopro.ru/products/csp/tls Добрый день. Отличная новость, нет ли мурзилки подобно этой теме по решению? И, все таки, проверка клиентского серфтиката все еще невозможна, верно? " <..> функциональность решения имеет некоторые особенности: Проверка пользовательского сертификата по заданной в конфигурации цепочке сертификатов корневых и промежуточных центров сертификации отсутствует; <..> пс. статус того стоит, но не дешевое решение...


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

pd		#375 Оставлено : 16 июня 2021 г. 14:14:47(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах		Автор: lab2 Автор: pd Кстати, есть новость, которая должна похоронить gostengy в ближайшей перспективе. У нас появились решения для nginx и apache, которые позволят работать в совершенно другом статусе, а именно в статусе сертифицированных веб-серверов из коробки: - https://www.cryptopro.ru...sp/tls/gost-nginx-apache - https://www.cryptopro.ru/products/csp/tls Добрый день. Отличная новость, нет ли мурзилки подобно этой теме по решению? И, все таки, проверка клиентского серфтиката все еще невозможна, верно? " <..> функциональность решения имеет некоторые особенности: Проверка пользовательского сертификата по заданной в конфигурации цепочке сертификатов корневых и промежуточных центров сертификации отсутствует; <..> пс. статус того стоит, но не дешевое решение... Актуальные решения для nginx и apache пока только через техподдержку. Остальное без изменений, вариант gostengy более не развивается.
		Знания в базе знаний, поддержка в техподдержке
		WWW
1 пользователь поблагодарил pd за этот пост.		lab2 оставлено 16.06.2021(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

UArtX		#376 Оставлено : 17 июня 2021 г. 12:57:39(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 02.06.2020(UTC) Сообщений: 38 Сказал(а) «Спасибо»: 15 раз		перестал запускаться nginx (сертификат действ.й проверен на др. сервере) nginx: [emerg] ENGINE_load_private_key(".domen.ru") failed (SSL: error:80016034:lib(128):gng_support_getuserkey:GNG_ERR_LICENSE error:26096080:engine routines:ENGINE_load_private_key:failed loading private key) перестал подписывать cryptcp (chmod ставили 777)* sudo /opt/cprocsp/bin/amd64/cryptcp -sign -thumbprint 10882bdfe1bd7f2192bafa96c14e4b2e5871dxxx -nochain -der temp/zayavlenie.pdf temp/zayavlenie.pdf.sig1 CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2019. Утилита командной строки для подписи и шифрования файлов. Будет использован следующий сертификат: Субъект:.domen.ru, *** Действителен с 16.06.2020 13:24:51 по 16.09.2021 13:34:51 Папка 'temp/': temp/zayavlenie.pdf... Подпись данных... Ошибка: Отказано в доступе. /dailybuildsbranches/CSP_5_0r0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:351: 0x80090010 [ErrorCode: 0x80090010] лицензия сервера sudo /opt/cprocsp/sbin/amd64/cpconfig -license -view License validity: ххххх-U0000-ххххх-ххххх-хххх license - permanent License type: Server. устновлен.е по cryptopro dpkg-query --list \| grep csp && /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine ii cprocsp-cpopenssl-110-64 5.0.11803-6 amd64 OpenSSL-110. Build 11803. ii cprocsp-cpopenssl-110-base 5.0.11803-6 all Openssl-110 common Build 11803. ii cprocsp-cpopenssl-110-devel 5.0.11803-6 all Openssl-110 devel Build 11803. ii cprocsp-cpopenssl-110-gost-64 5.0.11803-6 amd64 OpenSSL-110 gostengy engine. Build 11803. ii cprocsp-curl-64 5.0.11455-5 amd64 CryptoPro Curl shared library and binaris. Build 11455. ii cprocsp-rsa-64 5.0.11455-5 amd64 CryptoPro RSA CSP. Build 11455. ii lsb-cprocsp-base 5.0.11455-5 all CryptoPro CSP directories and scripts. Build 11455. ii lsb-cprocsp-ca-certs 5.0.11455-5 all CA certificates. Build 11455. ii lsb-cprocsp-capilite-64 5.0.11455-5 amd64 CryptoAPI lite. Build 11455. ii lsb-cprocsp-kc1-64 5.0.11455-5 amd64 CryptoPro CSP KC1. Build 11455. ii lsb-cprocsp-kc2-64 5.0.11455-5 amd64 CryptoPro CSP KC2. Build 11455. ii lsb-cprocsp-rdr-64 5.0.11455-5 amd64 CryptoPro CSP readers. Build 11455. (rdrand) Intel RDRAND engine (dynamic) Dynamic engine loading support (gostengy) CryptoPro GostEngy ($Revision: 211453 $) Обнаружено - Перестала работать авторизация через ЕСИА. Настройки и др. не проводилось. Подскажите, куда смотреть?** Отредактировано пользователем 17 июня 2021 г. 13:04:57(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

pd		#377 Оставлено : 17 июня 2021 г. 13:28:24(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах		Автор: UArtX Действителен с 16.06.2020 13:24:51 по 16.09.2021 13:34:51 Проверьте в cptools, кажется, что сегодня (17.06.2021) как раз что-то истекло.
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

UArtX		#378 Оставлено : 17 июня 2021 г. 15:25:35(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 02.06.2020(UTC) Сообщений: 38 Сказал(а) «Спасибо»: 15 раз		Автор: pd Автор: UArtX Действителен с 16.06.2020 13:24:51 по 16.09.2021 13:34:51 Проверьте в cptools, кажется, что сегодня (17.06.2021) как раз что-то истекло. Посмотрели с помощью cptools, все сертификаты в норме - по датам. Предварительно - возможно проблема с сертификатами от УЦ ФФОМС Отредактировано пользователем 17 июня 2021 г. 16:32:54(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

pd		#379 Оставлено : 18 июня 2021 г. 11:29:02(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах		Автор: UArtX Автор: pd Автор: UArtX Действителен с 16.06.2020 13:24:51 по 16.09.2021 13:34:51 Проверьте в cptools, кажется, что сегодня (17.06.2021) как раз что-то истекло. Посмотрели с помощью cptools, все сертификаты в норме - по датам. Предварительно - возможно проблема с сертификатами от УЦ ФФОМС Не сертификаты, а контейнеры протестируйте соответствующие.
		Знания в базе знаний, поддержка в техподдержке
		WWW
1 пользователь поблагодарил pd за этот пост.		UArtX оставлено 18.06.2021(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

UArtX		#380 Оставлено : 18 июня 2021 г. 12:30:32(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 02.06.2020(UTC) Сообщений: 38 Сказал(а) «Спасибо»: 15 раз		Автор: pd Автор: UArtX Автор: pd Автор: UArtX Действителен с 16.06.2020 13:24:51 по 16.09.2021 13:34:51 Проверьте в cptools, кажется, что сегодня (17.06.2021) как раз что-то истекло. Посмотрели с помощью cptools, все сертификаты в норме - по датам. Предварительно - возможно проблема с сертификатами от УЦ ФФОМС Не сертификаты, а контейнеры протестируйте соответствующие. Код: `Ошибка: Контейнер закрытого ключа ключ действителен по 16/06/2021 13:24:50 использование ключа запрещено. Срок действия закрытого ключа истек` При этом сертификат Действителен с 16.06.2020 13:24:51 по 16.09.2021 13:34:51 Спасибо! Отредактировано пользователем 18 июня 2021 г. 12:31:25(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

39 Страницы«<36 373839 >

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close