Форум КриптоПро
»
Средства криптографической защиты информации
»
Linux, Solaris etc.
»
Сайт на nginx с ГОСТ шифрованием открыватся только в браузере Спутнике, в других браузерах нет
Статус: Новичок
Группы: Участники
Зарегистрирован: 01.08.2022(UTC) Сообщений: 5 
|
Всем добрый день. Установил nginx 1.22.0 с патчем от КриптоПро как описано в инструкции - https://support.cryptopr...-c-podderzhkojj-gost-tlsВыпустил сертификат с использованием криптопровайдера "Crypto-Pro GOST R 34.10-2012 KC1 CSP". Контейнер хранится под пользвоателем nginx, под которым стартует сам nginx: Код:sudo -u nginx /opt/cprocsp/bin/amd64/certmgr -l -chain -store uMy
Certmgr 1.1 (c) "Crypto-Pro", 2007-2021.
Program for managing certificates, CRLs and stores.
=============================================================================
1-------
Issuer : OGRN=1234567890123, INN=001234567890, STREET=ул. Сущёвский вал д. 18, C=RU, S=г. Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN="Тестовый УЦ ООО ""КРИПТО-ПРО"""
Subject : CN=
Serial : 0x7C00074DEF5D0D38D3941C3AEA000100074DEF
SHA1 Thumbprint : 6708f3647d6173207372ef2a7f90e25bdcf6c36e
SubjKeyID : 4873facbd9ad60a23b623591f21485b8cf9144da
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before : 23/11/2022 09:28:37 UTC
Not valid after : 23/02/2023 09:38:37 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\rngi.000\C43F
Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info : Provider Type: 80, Key Spec: 1, Flags: 0x0
CA cert URL : http://testgost2012.cryptopro.ru/CertEnroll/root2018.crt
OCSP URL : http://testgost2012.cryptopro.ru/ocsp2012g/ocsp.srf
OCSP URL : http://testgost2012.cryptopro.ru/ocsp2012gst/ocsp.srf
CDP : http://testgost2012.cryptopro.ru/CertEnroll/!0422!0435!0441!0442!043e!0432!044b!0439%20!0423!0426%20!041e!041e!041e%20!0022!041a!0420!0418!041f!0422!041e-!041f!0420!041e!0022(1).crl
CDP : http://testgost2012.cryptopro.ru/CertEnroll/testgost2012(1).crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
Certificate chain : Verified successfully.
#0:
Issuer : Тестовый УЦ ООО "КРИПТО-ПРО"
Subject : Тестовый УЦ ООО "КРИПТО-ПРО"
SHA1 Thumbprint : 927c1e1eb2b397cbc5d11712e2e3bbedc876bd7e
#1:
Subject :
SHA1 Thumbprint : 6708f3647d6173207372ef2a7f90e25bdcf6c36e
=============================================================================
[ErrorCode: 0x00000000]
Имена в "CN", "Container" и "Subject" опущены. Указал серийный номер сертификата в конфиге nginx: Код:
server {
listen 443;
server_name servername;
root /var/www/html;
index index.html index.htm index.nginx-debian.html;
sspi on;
sspi_certificate 0x7C00074DEF5D0D38D3941C3AEA000100074DEF;
sspi_protocols TLSv1.2;
location / {
}
}
"server_name" опущено. В итоге на тестовый сайт по https можно зайти через браузер Спутник. В строке адреса "зелёный двуглавый орёл" и соединение защищено. Но Chromium-gost говорит "Не удается получить доступ к сайту". В access логе nginx для Спутника: Код:
"GET / HTTP/1.1" 200 2393 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4137.1 SputnikBrowser/5.6.6280.0 (GOST) Safari/537.36"
В error логе nginx для Chromium-gost: Код:
[error] 1504#0: *9173 AcceptSecurityContext failed: 0x80090331 while SSPI handshaking, client: ip_клиента, server: 0.0.0.0:443
В syslog'е: Код:
ocess: <ssp>AcceptSecurityContext!(failed: 0x80090331)
ocess: <ssp>AddToMessageLog!CryptoPro TLS. Error 0x80090331 in TLS protocol: The client and server cannot communicate, because they do not possess a common algorithm.
ocess: <ssp>AcceptSecurityContext!(failed: 0x80090331)
Задача стоит, что бы сайт по https открывался не только в одном Спутнике, который к тому же более не разрабатывается, а и в Chromium-gost. Возникает вопрос: "Я использую неверного криптовайдера или что-то ещё делаю не так"?
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 01.08.2022(UTC) Сообщений: 5
|
Оказалось, что есть какие-то проблемы на клиенте. Именно конкретно с него не открывается сайт в Chromium-gost, но открывается в Спутнике.
Попробовали на другом клиенте, там сайт в Chromium-gost открывается.
Т.е. серверная часть настроена корректно. Вопрсо закрыт.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 10.11.2024(UTC) Сообщений: 5 Откуда: Красногорск Сказал(а) «Спасибо»: 2 раз
|
Точно такая же проблема, у одного пользователя работает, а от другого пользователя в логах на сервере nginx ошибка 0x80090331 Клиентский сертификат вместе с контейнером от проблемного пользователя перенесли пользователю у которого проблем не было, и выяснили что проблема не в клиентском сертификате. Браузеры и КриптоПро одинаковые у обоих клиентов. Через stunnel и curl от проблемного клиента такая же ошибка в логах nginx, как и из браузера. Вдруг уже разобрались в чем была проблема на клиенте, подскажите пожалуйста, как исправили ? Подозреваем что есть различия в настройках Криптопро на стороне проблемного клиента, но какие? Вроде разницы в настройках не заметили. И тогда почему к другому серверу проблемный клиент подключается без ошибки 0x80090331 :( Отредактировано пользователем 22 ноября 2024 г. 10:37:15(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 10.11.2024(UTC) Сообщений: 5 Откуда: Красногорск Сказал(а) «Спасибо»: 2 раз
|
Автор: perestoroninvv  Точно такая же проблема, у одного пользователя работает, а от другого пользователя в логах на сервере nginx ошибка 0x80090331
Клиентский сертификат вместе с контейнером от проблемного пользователя перенесли пользователю у которого проблем не было, и выяснили что проблема не в клиентском сертификате, т.к. и с этим сертификатом с подключением к "проблемному" серверу у беспроблемного клиента нет.
Браузеры и КриптоПро одинаковые у обоих клиентов.
Через stunnel и curl от проблемного клиента такая же ошибка в логах nginx, как и из браузера.
Вдруг уже разобрались в чем была проблема на клиенте, подскажите пожалуйста, как исправили ?
Подозреваем что есть различия в настройках Криптопро на стороне проблемного клиента, но какие? Вроде разницы в настройках не заметили.
И тогда почему к другому серверу проблемный клиент подключается без ошибки 0x80090331 :( Отредактировано пользователем 22 ноября 2024 г. 10:38:32(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 20.11.2014(UTC) Сообщений: 30 Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 23 раз в 20 постах
|
Добрый день! Какая версия CSP и Chromium Gost используется? Хотелось бы увидеть содержимое секции Parameters в конфиге. В первую очередь, интересуют параметры tls_client_disable_legacy_cipher_suites и tls_client_reject_legacy_cipher_suites. Код:
/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\Parameters\tls_client_disable_legacy_cipher_suites' -view
/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\Parameters\tls_client_reject_legacy_cipher_suites' -view
|
|
 1 пользователь поблагодарил Сонина Лолита за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 10.11.2024(UTC) Сообщений: 5 Откуда: Красногорск Сказал(а) «Спасибо»: 2 раз
|
Автор: Сонина Лолита Добрый день! Какая версия CSP и Chromium Gost используется? Хотелось бы увидеть содержимое секции Parameters в конфиге. В первую очередь, интересуют параметры tls_client_disable_legacy_cipher_suites и tls_client_reject_legacy_cipher_suites. Код:
/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\Parameters\tls_client_disable_legacy_cipher_suites' -view
/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\Parameters\tls_client_reject_legacy_cipher_suites' -view
Добрый день. На сервере: Код:
# /opt/cprocsp/sbin/amd64/cpconfig -ini '\config\Parameters\tls_client_disable_legacy_cipher_suites' -view
Error code:2
The system cannot find the file specified.
# /opt/cprocsp/sbin/amd64/cpconfig -ini '\config\Parameters\tls_client_reject_legacy_cipher_suites' -view
Error code:2
The system cannot find the file specified.
/etc/opt/cprocsp # grep tls_client_disable_legacy_cipher_suites config64.ini
# tls_client_disable_legacy_cipher_suites=1
/etc/opt/cprocsp # grep tls_client_reject_legacy_cipher_suites config64.ini
# tls_client_reject_legacy_cipher_suites=0
На обоих клиентах (и проблемном и рабочем): https://imgur.com/a/sMBOZFkОтредактировано пользователем 26 ноября 2024 г. 13:09:29(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 20.11.2014(UTC) Сообщений: 30 Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 23 раз в 20 постах
|
Уточните, пожалуйста, версию CSP и ChromiumGost на клиентах. Есть ли возможность собрать дамп трафика с работающего и проблемного клиентов? Можно ли подключиться к серверу с помощью утилиты csptest в режиме tlsc с этих клиентов? Код:csptest -tlsc -proto 6 -server <имя_сервера> -port <номер_порта> -v -v
|
|
1 пользователь поблагодарил Сонина Лолита за этот пост.
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
Linux, Solaris etc.
»
Сайт на nginx с ГОСТ шифрованием открыватся только в браузере Спутнике, в других браузерах нет
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
