Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline alex59  
#1 Оставлено : 28 октября 2011 г. 17:31:26(UTC)
alex59

Статус: Участник

Группы: Участники
Зарегистрирован: 20.01.2011(UTC)
Сообщений: 16

Имеем сервер на Win 2008. На нём Апач + Trusted Tls + Nginx. Апач + Trusted Tls настроены и работают нормально, т.е. сертификат гост, прикрученный к серверу, виден и понятен для клиента при загрузке на порт Апача. Проблемы при настройке Nginx. В конфиге Nginx нужно указывать закрытый ключ в формате синтаксис: ssl_certificate_key файл; (директива указывает файл с секретным ключом в формате PEM для данного виртуального сервера), т.е. закрытый ключ должен быть с расширением *.key. Можно ли конвертировать закрытый ключ, выданный тестовым сервером Крипто Про в такой формат? Или есть какой-то другой вариант настройки Nginx? Конфиги, логи пр. готов предоставить.
Offline rozhkov  
#2 Оставлено : 28 октября 2011 г. 17:41:13(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

Nginx можно настроить на работу с ГОСТ, тест был на Ubuntu 10.04, все работало.
Конвертировать ключи не получится, Вам придется установить openssl с поддержкой ГОСТ и уже с помощью openssl сгенерировать ключевую пару, работать с ключами КриптоПро CSP он не будет.
Offline alex59  
#3 Оставлено : 31 октября 2011 г. 10:35:43(UTC)
alex59

Статус: Участник

Группы: Участники
Зарегистрирован: 20.01.2011(UTC)
Сообщений: 16

rozhkov написал:
Nginx можно настроить на работу с ГОСТ, тест был на Ubuntu 10.04, все работало.
Конвертировать ключи не получится, Вам придется установить openssl с поддержкой ГОСТ и уже с помощью openssl сгенерировать ключевую пару, работать с ключами КриптоПро CSP он не будет.

Т.е. в данном случае шифрование на Апач вообще не потребуется? Шифровать будет только Nginx?
Offline rozhkov  
#4 Оставлено : 31 октября 2011 г. 12:28:11(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

Если настроите на работу подобным образом, то да.
Offline alex59  
#5 Оставлено : 1 ноября 2011 г. 19:19:23(UTC)
alex59

Статус: Участник

Группы: Участники
Зарегистрирован: 20.01.2011(UTC)
Сообщений: 16

rozhkov написал:
Если настроите на работу подобным образом, то да.

Nginx использует для шифрования библиотеку Open SSL. Есть сведения что последняя версия Open SSL 1.0.0. поддерживает российские криптоалгоритмы ГОСТ. Где можно взять такую библиотеку с поддержкой российских криптоалгоритмов ГОСТ для Windows (установленная версия 1.0.0. при команде chipher не выдает алгоритмов GOST)? На openssl.net всё сборки для *nix систем. Как прикрутить Open SSL 1.0.0. с поддержкой российских криптоалгоритмов ГОСТ к уже поставленному Nginx.
Offline rozhkov  
#6 Оставлено : 1 ноября 2011 г. 20:11:41(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

Offline alex59  
#7 Оставлено : 10 ноября 2011 г. 19:05:59(UTC)
alex59

Статус: Участник

Группы: Участники
Зарегистрирован: 20.01.2011(UTC)
Сообщений: 16

Nginx не запускается, выдаёт следующую ошибку:
SSL_CTX_use_certificate_chain_file("C:/ssl/certificate.crt") failed (SSL: error:0D09B0A3:asn1 encoding routines:d2i_PublicKey:unknown public key type error:0B077066:x509 certificate routines:X509_PUBKEY_get:err asn1 lib error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)
Offline rozhkov  
#8 Оставлено : 10 ноября 2011 г. 21:21:53(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

Открытый и закрытый ключ где делали?
Закрытый я так понимаю с помощью самого openssl а выпустили по запросу также с помощью openssl или нет?
Offline alex59  
#9 Оставлено : 11 ноября 2011 г. 12:00:49(UTC)
alex59

Статус: Участник

Группы: Участники
Зарегистрирован: 20.01.2011(UTC)
Сообщений: 16

rozhkov написал:
Открытый и закрытый ключ где делали?
Закрытый я так понимаю с помощью самого openssl а выпустили по запросу также с помощью openssl или нет?

да, выпустили по запросу также с помощью openssl
Offline rozhkov  
#10 Оставлено : 11 ноября 2011 г. 13:21:19(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

Тогда очень странно, что что "unknown public key type".
Попробуйте распарсить сертификат самим openssl, либо запрос на сертификат, он выдаст или нет ошибки?
openssl req -noout -text -in файл_запроса

Отредактировано пользователем 11 ноября 2011 г. 13:23:00(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.