Пытаюсь подружить 3.6R3 (build 6621) с openssl s_server.
s_server из openssl 1.0.0[a|c] на Debian

При обращении к s_server из IE8 с 64-битной Windows7 - всё работает как часы.
Если на x64 Windows поставить CSP ia32 - то тоже все работает как часы.

Но если к тому же s_server обратиться из IE (и 6-й и 8-й - без разницы) из 32-разрядной винды - браузер не отвечает на SERVER_HELO.
То есть тупо нет ответа - такое ощущение что браузер просто рвет соединение.
При этом в EventViewer появляется сообщение:
"КриптоПро TLS. Неверное расширение в конце сообщения SERVER_HELLO"
Проверенно на Win XP, Win 2003

На билде 6590 все тоже самое.

Где порылась собака?
Что такого отличного в x64 по сравнению с ia32?

Вот сообщение как есть:



Ну как, заходим на страницу загрузки, качаем инсталяторы и x64 и x32 версию.
Обе на Windows 7 x64 ставятся и работают.
Один черт, и там и там есть опции выбора компонетов x32 и x64

Отредактировано пользователем 26 декабря 2010 г. 6:10:04(UTC)  | Причина: Не указана

Debian 5, качаем openssl 1.0.0c с openssl.org и компилируем с параметрами по умолчанию.

В соответствии с рекомендациями по обеспечению взаимодействия OpenSSL и CryptoPro CSP ( http://www.cryptocom.ru/...nSource/OpenSSL_rus.html , внизу страницы )
выполненны следующие настройки:

В конфиг-файл OpenSSL добалено следующее (по умолчанию - ./apps/openssl.cnf):




После редактирования конфиг-файла его нужно сделать видимым для openssl.
Ибо не все команды воспринимают путь к конфигу в качестве параметра.

export OPENSSL_CONF=[full_path_to_config]

Генерируем ключь:
./apps/openssl genpkey -engine gost -algorithm gost2001 -pkeyopt paramset:XA -out cpr_key.p8

Создаем запрос на сертификат:
./apps/openssl req -subj '/C=RU/CN=csp_srv/O=ilfis@mail.ru' -engine gost -new -key cpr_key.p8 -out cpr_cert.req


Затем получаем сертификат тут:
http://www.cryptopro.ru/certsrv/certrqxt.asp
Копипастим текстовое содержимое файла cpr_cert.req в формочку, и сохраняем его под именем cpr_cert_trust.cer (PEM-формат!)
Там же скачиваем корневой сертификат CryptoPro, сохраняем его под именем cpro_root_cert.cer

Далее делаем сертификат для клиента (IE) на странице
http://www.cryptopro.ru/certsrv/certrqma.asp
(для этого на Win7 сайт надо добавить в trusted sites и включить все возможные разрешения для ActiveX для trusted sites).
И устанавливаем его.
Так же устанавливаем корневой сертификат CryptoPro

Хорошо, приступаем к тестированию c OpenSSL.

Запускаем s_server:

./apps/openssl s_server -tls1 -www -accept 4333 -state -CAfile cpro_root_cert.cer -cert cpr_cert_trust.cer -key cpr_key.p8

Обращаемся браузером к этому серверу, и браузер выдает: "Internet Explorer cannot display the webpage"
При этом s_server выводит:

ACCEPT
bad gethostbyaddr
SSL_accept:before/accept initialization
SSL_accept:SSLv3 read client hello A
SSL_accept:SSLv3 write server hello A
SSL_accept:SSLv3 write certificate A
SSL_accept:SSLv3 write server done A
SSL_accept:SSLv3 flush data
SSL_accept:error in SSLv3 read client certificate A

Отредактировано пользователем 26 декабря 2010 г. 6:33:28(UTC)  | Причина: Не указана

s_server можно добавить опцию -debug
Тогда будет видно что он не может прочитать ответ браузера на SERVER_HELLO
Ибо его нет.

Глянул по коду - странная ошибка. Построим за пару дней стенд - отпишусь.