Добрый день!
Версия ОС: Centos 7.9 x64
Версия КриптоПро: v5.0.10013 KC1 Release Ver:5.0.13000
Впервые выполняю настройку cpnginx по доке
https://support.cryptopr...inx-gost-binary-packages и возник ряд вопросов, ответы на которые поиск по форуму не дал:
1. В доке приведен базовый пример конфига:
server {
listen 443 sspi; #включаем SSPI
server_name nginx.corp.ru;
sspi_certificate 0x7C00013D42201F55870674C594000100013D421; # GOST Serial
sspi_certificate 0x00E3CD25AA5310D07F; # RSA cert serial
sspi_protocols TLSv1.2;
sspi_verify_client on;
sspi_client_certificate TrustedCerts;
sspi_client_verify_local_crl_only on;
location / {
proxy_pass
https://upstream.corp.loc:443;
proxy_http_version 1.1;
proxy_sspi on;
proxy_ssl_verify on;
proxy_ssl_server_name on;
proxy_ssl_certificate 0x21388B009FAE94BA4639382EB18CA056;
proxy_ssl_trusted_certificate Root;
proxy_ssl_verify_local_crl_only on;
}
}
Откуда берется строка "sspi_certificate 0x00E3CD25AA5310D07F; # RSA cert serial" и в каком случае она необходима ? ID GOST Serial я нашел в своем контейнере с сертификатом (по запросу sudo -u cpnginx /opt/cprocsp/bin/amd64/certmgr --list), а RSA cert serial не вижу.
Строка proxy_pass "https://upstream.corp.loc:443;" обязательна ? Т.е. у меня должен быть поднят еще какой-то внутренний nginx на который будет выполняться редирект или можно этот блок опустить если у меня все на одном сервере расположено ?
2. При запуске сервиса cpnginx получаю ряд ошибок, в том числе "May 31 10:58:41 <servername> cpnginx[7386]: pt/cprocsp/sbin/amd64/cpnginx -c /etc/opt/cprocsp/cpnginx/cpnginx.conf: <ssp>AddToMessageLog!CryptoPro TLS. Server license not found".
Но в то же время запрос вида /opt/cprocsp/sbin/amd64/cpconfig -license -view
возвращает мне корректную информацию об установленной лицензии
License validity:
<ID>
license - permanent
License type: Server.
Отредактировано пользователем 31 мая 2024 г. 13:47:50(UTC)
| Причина: Не указана