Статус: Участник
Группы: Участники
Зарегистрирован: 20.01.2011(UTC) Сообщений: 16
|
Имеем сервер на Win 2008. На нём Апач + Trusted Tls + Nginx. Апач + Trusted Tls настроены и работают нормально, т.е. сертификат гост, прикрученный к серверу, виден и понятен для клиента при загрузке на порт Апача. Проблемы при настройке Nginx. В конфиге Nginx нужно указывать закрытый ключ в формате синтаксис: ssl_certificate_key файл; (директива указывает файл с секретным ключом в формате PEM для данного виртуального сервера), т.е. закрытый ключ должен быть с расширением *.key. Можно ли конвертировать закрытый ключ, выданный тестовым сервером Крипто Про в такой формат? Или есть какой-то другой вариант настройки Nginx? Конфиги, логи пр. готов предоставить.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC) Сообщений: 589 Откуда: Крипто-Про
|
Nginx можно настроить на работу с ГОСТ, тест был на Ubuntu 10.04, все работало. Конвертировать ключи не получится, Вам придется установить openssl с поддержкой ГОСТ и уже с помощью openssl сгенерировать ключевую пару, работать с ключами КриптоПро CSP он не будет.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 20.01.2011(UTC) Сообщений: 16
|
rozhkov написал:Nginx можно настроить на работу с ГОСТ, тест был на Ubuntu 10.04, все работало. Конвертировать ключи не получится, Вам придется установить openssl с поддержкой ГОСТ и уже с помощью openssl сгенерировать ключевую пару, работать с ключами КриптоПро CSP он не будет. Т.е. в данном случае шифрование на Апач вообще не потребуется? Шифровать будет только Nginx?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC) Сообщений: 589 Откуда: Крипто-Про
|
Если настроите на работу подобным образом, то да.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 20.01.2011(UTC) Сообщений: 16
|
rozhkov написал:Если настроите на работу подобным образом, то да. Nginx использует для шифрования библиотеку Open SSL. Есть сведения что последняя версия Open SSL 1.0.0. поддерживает российские криптоалгоритмы ГОСТ. Где можно взять такую библиотеку с поддержкой российских криптоалгоритмов ГОСТ для Windows (установленная версия 1.0.0. при команде chipher не выдает алгоритмов GOST)? На openssl.net всё сборки для *nix систем. Как прикрутить Open SSL 1.0.0. с поддержкой российских криптоалгоритмов ГОСТ к уже поставленному Nginx.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC) Сообщений: 589 Откуда: Крипто-Про
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 20.01.2011(UTC) Сообщений: 16
|
Nginx не запускается, выдаёт следующую ошибку: SSL_CTX_use_certificate_chain_file("C:/ssl/certificate.crt") failed (SSL: error:0D09B0A3:asn1 encoding routines:d2i_PublicKey:unknown public key type error:0B077066:x509 certificate routines:X509_PUBKEY_get:err asn1 lib error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC) Сообщений: 589 Откуда: Крипто-Про
|
Открытый и закрытый ключ где делали? Закрытый я так понимаю с помощью самого openssl а выпустили по запросу также с помощью openssl или нет?
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 20.01.2011(UTC) Сообщений: 16
|
rozhkov написал:Открытый и закрытый ключ где делали? Закрытый я так понимаю с помощью самого openssl а выпустили по запросу также с помощью openssl или нет? да, выпустили по запросу также с помощью openssl
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC) Сообщений: 589 Откуда: Крипто-Про
|
Тогда очень странно, что что "unknown public key type". Попробуйте распарсить сертификат самим openssl, либо запрос на сертификат, он выдаст или нет ошибки? openssl req -noout -text -in файл_запроса Отредактировано пользователем 11 ноября 2011 г. 13:23:00(UTC)
| Причина: Не указана
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close