OpenSSL + ГОСТ (gostengy и gost

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

67 Страницы12 3 >»

OpenSSL + ГОСТ (gostengy и gost_capi) - Использование КриптоПро CSP в OpenSSL: apache, nginx etc

Опции

Предыдущая тема Следующая тема

Максим Коллегин		#1 Оставлено : 3 февраля 2015 г. 12:13:45(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,391 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 715 раз в 620 постах		Обсуждаем настройку и использование. Отредактировано модератором 16 июня 2021 г. 14:20:48(UTC) \| Причина: unpin
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Дмитрий Пичулин		#2 Оставлено : 3 февраля 2015 г. 14:35:47(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах		ВНИМАНИЕ! Это устаревшая инструкция! Вместо openssl+gostengy/gost_capi надо использовать легализованный в КриптоПро CSP 5.0 R2 патч на nginx: https://www.cryptopro.ru...sp/tls/gost-nginx-apache https://support.cryptopr...-c-podderzhkojj-gost-tls FAQ (обновлено 14 августа 2018) Что такое gostengy и gost_capi? gostengy и gost_capi — это библиотеки для OpenSSL, которые обеспечивают поддержку ключей и алгоритмов ГОСТ через вызовы КриптоПро CSP В терминах OpenSSL, данные библиотеки — это криптографические модули, ENGINE Какая разница между gostengy и gost_capi? gostengy для OpenSSL >= 1.1.0, поддерживает ГОСТ 2012 gost_capi для OpenSSL от 1.0.0 до 1.0.2, НЕ поддерживает ГОСТ 2012 Какие требования gostengy и gost_capi? Наличие КриптоПро CSP и OpenSSL При использовании в nginx в Linux системах, желательно использовать вариант КС2 (так как nginx использует fork для дочерних процессов). При использовании антивирусов, убедитесь в поддержке ГОСТ алгоритмов при фильтрации HTTPS или добавьте соответствующие исключения. Каков процесс развертывания gostengy и gost_capi? При соблюдении требований достаточно обеспечить загрузку ENGINE в OpenSSL через настройку конфигурационного файла или динамически, например директивой ssl_engine в nginx или SSLCryptoDevice в Apache httpd Как сконфигурировать OpenSSL? Пример подключения gostengy через конфигурационный файл OpenSSL (обычно вставляется после "oid_section = new_oids"): Код: `openssl_conf = openssl_def [openssl_def] engines = engine_section [engine_section] gostengy = gost_section [gost_section] engine_id = gostengy dynamic_path = /path/to/dll/or/so/gostengy.dll default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1` Пример подключения gost_capi: Код: `openssl_conf = openssl_def [openssl_def] engines = engine_section [engine_section] gost_capi = gost_section [gost_section] engine_id = gost_capi dynamic_path = /path/to/dll/or/so/gost_capi.dll default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1` Как проверить работоспособность OpenSSL с gostengy или gost_capi? Проверить, что ENGINE загружается: Код: `openssl engine` Пример вывода: Цитата: (dynamic) Dynamic engine loading support (gostengy) CryptoPro GostEngy ($Revision: 168568 $) Проверить возможность подписи (должно выполниться без ошибок): Код: `openssl cms -sign -engine gostengy -keyform ENGINE -inkey www.example.com -in "doc.txt" -out "doc.signed.txt" -outform PEM -CAfile /path/to/cert/www.example.com.cer -nodetach -signer /path/to/cert/www.example.com.cer` Какие операционные системы поддерживает gostengy и gost_capi? На текущий момент поддерживаются x86 и x64 системы семейства Linux и Windows Для чего может быть использован gostengy и gost_capi? gostengy в составе OpenSSL может быть использован для широкого круга задач, требующих поддержки ключей и алгоритмов ГОСТ, например для реализации защищенных SSL/TLS соединений в HTTP серверах, поддерживающих загрузку ключей из OpenSSL ENGINE, например nginx, и прочие варианты применения OpenSSL. Какие версии TLS поддерживаются? Для OpenSSL >= 1.1.0 поддерживаются версии TLS до 1.2 (рекомендуем использовать openssl-1.1.0-gost) Для OpenSSL от 1.0.0 до 1.0.2 поддерживается TLS 1.0 (при использовании openssl-1.0.2-gost до TLS 1.2 включительно) Какие версии nginx поддерживаются? Начиная с 1.7.9 возможно использовать наш криптографический модуль; Начиная с 1.11.0 возможно использовать одновременную работу ГОСТ и RSA сертификатов. Как сконфигурировать nginx? Конфигурация nginx для работы с ГОСТ происходит согласно документации с некоторыми нюансами: Пользователь рабочих потоков nginx не должен отличаться от пользователя запускающего nginx (см. user) Для сервера должен быть включен ssl Сертификат сервера конфигурируется директивой ssl_certificate Ключ сертификата конфигурируется директивой ssl_certificate_key, но вместо файла указывается зарезервированное слово "engine:", после которого следует имя OpenSSL ENGINE, в нашем случае это "gostengy" или "gost_capi", далее следует зарезервированный символ ':', за которым следует имя сертификата. Например для сертификата "www.example.com", значение ssl_certificate_key выглядело бы так: "engine:gostengy:www.example.com" Остальные директивы могут быть использованы по умолчанию Таким образом, простейшая конфигурация gostengy в nginx должна содержать: Код: `ssl on; ssl_certificate /path/to/cert/www.example.com.cer; ssl_certificate_key engine:gost_capi:www.example.com;` Как сконфигурировать nginx? Рекомендуем изучить полностью автоматизированные скрипты установки nginx + OpenSSL + gostengy + КриптоПро CSP для получения работающего стенда с одновременной работой ГОСТ и RSA: https://www.cryptopro.ru...aspx?g=posts&t=12505 А также пример настройки по шагам: http://www.cryptopro.ru/forum2/default.aspx?g=posts&m=57216#post57216 Как настроить одновременную работу ГОСТ и RSA в nginx? Начиная с версии 1.11.0 в nginx возможно использовать несколько сертификатов для сервера одновременно. Для типичной работы ГОСТ TLS в nginx (сначала ГОСТ потом RSA), следует использовать приоритет шифросюит (сначала ГОСТ потом всё остальное), например так: Код: `ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;` Можно ли использовать контейнеры без сертификатов в качестве ключей в gostengy? Можно Можно ли использовать gostengy или gost_capi в качестве прокси-сервера в nginx? Можно Как сконфигурировать Apache httpd? К сожалению нам не удалось включить изменения позволяющие работать в официальный репозиторий Apache httpd, конкретно в mod_ssl (историю рассмотрения патча можно посмотреть здесь). Однако, вы можете самостоятельно собрать mod_ssl с нашим патчем: mod_ssl_gost_capi.zip (2kb) загружен 123 раз(а). Или воспользоваться репозиторием с патчем: https://github.com/deemru/httpd Настройка по смыслу аналогична настройке nginx, только вместо ssl_certificate_key в nginx используется SSLCertificateKeyFile в Apache. Как сконфигурировать Apache httpd по шагам? Подробное описание настройки по шагам в этой теме: http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=9975 Какая лицензия используется gostengy и gost_capi? Использование серверных сертификатов требует наличия серверной лицензии у CSP Как получить gostengy и gost_capi? Выбрать наиболее свежую версию здесь: https://update.cryptopro.../support/nginx-gost/bin/ Отредактировано модератором 27 июля 2021 г. 14:14:56(UTC) \| Причина: обновление FAQ
		Знания в базе знаний, поддержка в техподдержке
		WWW
2 пользователей поблагодарили pd за этот пост.		Николай Батищев оставлено 03.11.2015(UTC), D.Vinci оставлено 10.04.2019(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

kropotin		#3 Оставлено : 11 февраля 2015 г. 14:32:14(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 01.09.2014(UTC) Сообщений: 30		А как установить gost_capi (cprocsp-cpopenssl-gost-64-4.0.0-4.x86_64.rpm) в CentOS 7? rpm -i cprocsp-cpopenssl-gost-64-4.0.0-4.x86_64.rpm выдает ошибку: cprocsp-cpopenssl-64 is needed by cpprocsp-cpopenssl-gost-64-4.0.0-4.x86_64 CryptoPro устанавливал в составе: rpm -i cprocsp-compat-altlinux rpm -i lsb-cprocsp-base rpm -i lsb-cprocsp-rdr rpm -i lsb-cprocsp-capilite rpm -i lsb-cprocsp-kc1


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Русев Андрей		#4 Оставлено : 16 февраля 2015 г. 23:58:41(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,411 Сказал(а) «Спасибо»: 34 раз Поблагодарили: 561 раз в 390 постах		Сейчас пакет cpopenssl-gost является частью нашего более крупного проекта - cpopenssl, поэтому зависит от него. Можно пробовать ставить его с игнорированием зависимостей: Код: `rpm -i cprocsp-cpopenssl-gost-64-4.0.0-4.x86_64.rpm --nodeps` При этом может быть недоступна библиотека libcrypto.so.1.0.0: Код: [root@Test-X64-Altlinux-KC2 ~]# rpm -qa\|grep cpopenssl cprocsp-cpopenssl-gost-64-4.0.0-4 [root@Test-X64-Altlinux-KC2 ~]# rpm -ql cprocsp-cpopenssl-gost-64-4.0.0-4 /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.la /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so.0 /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so.0.0.0 /opt/cprocsp/lib/hashes/cprocsp-cpopenssl-gost-64 [root@Test-X64-Altlinux-KC2 ~]# ldd /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so.0.0.0 libcrypto.so.1.0.0 => not found libcapi20.so.4 => /opt/cprocsp/lib/amd64/libcapi20.so.4 (0x00002aaaaabd3000) libpthread.so.0 => /lib64/libpthread.so.0 (0x00002aaaaae31000) libc.so.6 => /lib64/libc.so.6 (0x00002aaaab04c000) libcpext.so.4 => /opt/cprocsp/lib/amd64/libcpext.so.4 (0x00002aaaab384000) libcapi10.so.4 => /opt/cprocsp/lib/amd64/libcapi10.so.4 (0x00002aaaab520000) liburlretrieve.so.4 => /opt/cprocsp/lib/amd64/liburlretrieve.so.4 (0x00002aaaab631000) libcpasn1.so.4 => /opt/cprocsp/lib/amd64/libcpasn1.so.4 (0x00002aaaab73b000) libcplib.so.4 => /opt/cprocsp/lib/amd64/libcplib.so.4 (0x00002aaaab8ee000) librdrsup.so.4 => /opt/cprocsp/lib/amd64/librdrsup.so.4 (0x00002aaaaba05000) libasn1data.so.4 => /opt/cprocsp/lib/amd64/libasn1data.so.4 (0x00002aaaabb40000) libdl.so.2 => /lib64/libdl.so.2 (0x00002aaaac378000) libstdc++.so.6 => /usr/lib64/libstdc++.so.6 (0x00002aaaac57d000) libm.so.6 => /lib64/libm.so.6 (0x00002aaaac87d000) libgcc_s.so.1 => /lib64/libgcc_s.so.1 (0x00002aaaacafe000) /lib64/ld-linux-x86-64.so.2 (0x0000555555554000) libcpalloc.so.0 => /opt/cprocsp/lib/amd64/libcpalloc.so.0 (0x00002aaaacd0d000) libjemalloc.so.0 => /opt/cprocsp/lib/amd64/libjemalloc.so.0 (0x00002aaaace0e000) [root@Test-X64-Altlinux-KC2 ~]# ldconfig -p\|grep crypto libxmlsec1-mscrypto.so.1 (libc6,x86-64) => /opt/cprocsp/lib/amd64/libxmlsec1-mscrypto.so.1 libxmlsec1-mscrypto.so (libc6,x86-64) => /opt/cprocsp/lib/amd64/libxmlsec1-mscrypto.so libk5crypto.so.3 (libc6,x86-64) => /lib64/libk5crypto.so.3 libcrypto.so.6 (libc6,x86-64) => /lib64/libcrypto.so.6 libcrypto.so (libc6,x86-64) => /usr/lib64/libcrypto.so Подойдёт библиотека из родного openssl 1.0.0+: на этой машине её нет: Код: `[root@Test-X64-Altlinux-KC2 ~]# rpm -qa\|grep openssl openssl-0.9.8d-alt4 cprocsp-cpopenssl-gost-64-4.0.0-4 [root@Test-X64-Altlinux-KC2 ~]# rpm -ql openssl-0.9.8d-alt4\|grep crypto` А тут - порядок: Код: [root@test-x86-centos6 ~]# ldd /opt/cprocsp/cp-openssl/lib/ia32/engines/libgost_capi.so.0.0.0 linux-gate.so.1 => (0x00e27000) libcrypto.so.1.0.0 => /usr/lib/libcrypto.so.1.0.0 (0x00406000) libcapi20.so.4 => /opt/cprocsp/lib/ia32/libcapi20.so.4 (0x00110000) libpthread.so.0 => /lib/libpthread.so.0 (0x00f1b000) libc.so.6 => /lib/libc.so.6 (0x00592000) libdl.so.2 => /lib/libdl.so.2 (0x0025f000) libz.so.1 => /lib/libz.so.1 (0x00264000) libcpext.so.4 => /opt/cprocsp/lib/ia32/libcpext.so.4 (0x00278000) libcapi10.so.4 => /opt/cprocsp/lib/ia32/libcapi10.so.4 (0x00e78000) liburlretrieve.so.4 => /opt/cprocsp/lib/ia32/liburlretrieve.so.4 (0x00c41000) libcpasn1.so.4 => /opt/cprocsp/lib/ia32/libcpasn1.so.4 (0x00300000) libcplib.so.4 => /opt/cprocsp/lib/ia32/libcplib.so.4 (0x003a4000) librdrsup.so.4 => /opt/cprocsp/lib/ia32/librdrsup.so.4 (0x00c9b000) libasn1data.so.4 => /opt/cprocsp/lib/ia32/libasn1data.so.4 (0x00f36000) libstdc++.so.6 => /usr/lib/libstdc++.so.6 (0x00722000) libm.so.6 => /lib/libm.so.6 (0x0080f000) libgcc_s.so.1 => /lib/libgcc_s.so.1 (0x00839000) /lib/ld-linux.so.2 (0x003cc000) libcpalloc.so.0 => /opt/cprocsp/lib/ia32/libcpalloc.so.0 (0x003b7000) libjemalloc.so.0 => /opt/cprocsp/lib/ia32/libjemalloc.so.0 (0x00857000) [root@test-x86-centos6 ~]# rpm -qa\|grep openssl cprocsp-cpopenssl-gost-4.0.0-4.i486 openssl-devel-1.0.0-20.el6_2.1.i686 openssl-1.0.0-20.el6_2.1.i686 [root@test-x86-centos6 ~]# rpm -ql openssl-1.0.0-20.el6_2.1.i686\|grep crypto /usr/lib/.libcrypto.so.1.0.0.hmac /usr/lib/.libcrypto.so.10.hmac /usr/lib/libcrypto.so.1.0.0 /usr/lib/libcrypto.so.10 [root@test-x86-centos6 ~]# ldconfig -p\|grep libcrypto libcrypto.so.10 (libc6) => /usr/lib/libcrypto.so.10 libcrypto.so (libc6) => /usr/lib/libcrypto.so
		Официальная техподдержка. Официальная база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

kropotin		#5 Оставлено : 17 февраля 2015 г. 9:07:29(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 01.09.2014(UTC) Сообщений: 30		Как быть в моем случае? OpenSSL более свежий. CentOS 7 x64. Код: ldd /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so.0.0.0 linux-vdso.so.1 => (0x00007fffeebfe000) libcrypto.so.1.0.0 => not found libcapi20.so.4 => /opt/cprocsp/lib/amd64/libcapi20.so.4 (0x00007f8859019000) libpthread.so.0 => /lib64/libpthread.so.0 (0x00007f8858dfd000) libc.so.6 => /lib64/libc.so.6 (0x00007f8858a3c000) libcpext.so.4 => /opt/cprocsp/lib/amd64/libcpext.so.4 (0x00007f88588d3000) libcapi10.so.4 => /opt/cprocsp/lib/amd64/libcapi10.so.4 (0x00007f88587bf000) liburlretrieve.so.4 => /opt/cprocsp/lib/amd64/liburlretrieve.so.4 (0x00007f88586bb000) librdrsup.so.4 => /opt/cprocsp/lib/amd64/librdrsup.so.4 (0x00007f8858594000) libasn1data.so.4 => /opt/cprocsp/lib/amd64/libasn1data.so.4 (0x00007f8857e3d000) libpkivalidator.so.4 => /opt/cprocsp/lib/amd64/libpkivalidator.so.4 (0x00007f8857d15000) libdl.so.2 => /lib64/libdl.so.2 (0x00007f8857b10000) libstdc++.so.6 => /lib64/libstdc++.so.6 (0x00007f8857809000) libm.so.6 => /lib64/libm.so.6 (0x00007f8857507000) libgcc_s.so.1 => /lib64/libgcc_s.so.1 (0x00007f88572f0000) /lib64/ld-linux-x86-64.so.2 (0x00007f885933c000) libcpalloc.so.0 => /opt/cprocsp/lib/amd64/libcpalloc.so.0 (0x00007f88571ef000) libjemalloc.so.0 => /opt/cprocsp/lib/amd64/libjemalloc.so.0 (0x00007f88570d6000) libcplib.so.4 => /opt/cprocsp/lib/amd64/libcplib.so.4 (0x00007f8856fc5000) libocsp.so.4 => /opt/cprocsp/lib/amd64/libocsp.so.4 (0x00007f8856e79000) libcpasn1.so.4 => /opt/cprocsp/lib/amd64/libcpasn1.so.4 (0x00007f8856d00000) rpm -qa\|grep openssl openssl-libs-1.0.1e-34.el7_0.7.x86_64 openssl-1.0.1e-34.el7_0.7.x86_64 cprocsp-cpopenssl-gost-64-4.0.0-4.x86_64 rpm -ql openssl-libs-1.0.1e-34.el7_0.7.x86_64 \| grep crypto /usr/lib64/.libcrypto.so.1.0.1e.hmac /usr/lib64/.libcrypto.so.10.hmac /usr/lib64/libcrypto.so.1.0.1e /usr/lib64/libcrypto.so.10 ldconfig -p\|grep libcrypto libcrypto.so.10 (libc6,x86-64) => /lib64/libcrypto.so.10 Отредактировано пользователем 17 февраля 2015 г. 9:09:06(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Русев Андрей		#6 Оставлено : 17 февраля 2015 г. 19:35:21(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,411 Сказал(а) «Спасибо»: 34 раз Поблагодарили: 561 раз в 390 постах		Можно попробовать создать символическую ссылку и обновить кэш ldconfig, однако приложения, которым нужна libcrypto именно версии 1.0.0 могут крэшиться или работать неверно: Код: `ln -s /usr/lib64/libcrypto.so.10 /usr/lib64/libcrypto.so.1.0.0 /sbin/ldconfig /usr/lib64`
		Официальная техподдержка. Официальная база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

kropotin		#7 Оставлено : 20 февраля 2015 г. 14:40:35(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 01.09.2014(UTC) Сообщений: 30		Можно примеры конфигов, как подключать gost_capi в linux через openssl и nginx?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

kropotin		#8 Оставлено : 20 февраля 2015 г. 15:10:10(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 01.09.2014(UTC) Сообщений: 30		Прописал ssl_engine в nginx.conf. При запуске nginx выдает: Код: Feb 20 06:55:13 localhost.localdomain nginx[882]: nginx: [warn] ENGINE_by_id("gost_capi") failed (SSL: error:25066067:DSO support routines:DLFCN_LOAD:could not load the shared library:filename(/usr/lib64/openssl/engines/libgost_capi.so): /usr/lib64/openssl/engines/libgost_capi.so: cannot open shared object file: No such file or directory error:25070067:DSO support routines:DSO_load:could not load the shared library error:260B6084:engine routines:DYNAMIC_LOAD:dso not found error:2606A074:engine routines:ENGINE_by_id:no such engine:id=gost_capi) Feb 20 06:55:13 localhost.localdomain nginx[882]: nginx: configuration file /etc/nginx/nginx.conf test failed Feb 20 06:55:13 localhost.localdomain systemd[1]: nginx.service: control process exited, code=exited status=1 Feb 20 06:55:13 localhost.localdomain systemd[1]: Failed to start nginx - high performance web server. Feb 20 06:55:13 localhost.localdomain systemd[1]: Unit nginx.service entered failed state. Кинул библиотеку libgost_capi.so.0.0.0 по данному путим, сделал символическую ссылку libgost_capi.so: Код: Feb 20 06:58:52 localhost.localdomain capi20[2072]: sup_lib 06:58:52.679516 support_n_dlopen:45 p:2072 t:0x0x7fea713031d0 support_n_dlopen(/opt/cprocsp/lib/amd64/libcsp.so, 1) = (nil) fail Unknown error -1(-1) Feb 20 06:58:52 localhost.localdomain capi20[2072]: sup_lib 06:58:52.679529 support_n_dlopen:45 p:2072 t:0x0x7fea713031d0 Info: detect support_n_dlopen() retry=14 errno = Unknown error -1(-1) Feb 20 06:58:52 localhost.localdomain capi20[2072]: sup_lib 06:58:52.679667 support_n_dlopen:45 p:2072 t:0x0x7fea713031d0 support_n_dlopen(/opt/cprocsp/lib/amd64/libcsp.so, 1) = (nil) fail Unknown error -1(-1) Feb 20 06:58:52 localhost.localdomain capi20[2072]: sup_lib 06:58:52.679681 support_n_dlopen:45 p:2072 t:0x0x7fea713031d0 Info: detect support_n_dlopen() retry=15 errno = Unknown error -1(-1) Feb 20 06:58:52 localhost.localdomain capi20[2072]: sup_lib 06:58:52.679804 support_n_dlopen:45 p:2072 t:0x0x7fea713031d0 support_n_dlopen(/opt/cprocsp/lib/amd64/libcsp.so, 1) = (nil) fail Unknown error -1(-1) Feb 20 06:58:52 localhost.localdomain nginx[2072]: nginx: [warn] ENGINE_set_default("gost_capi", ENGINE_METHOD_ALL) failed (SSL: error:8006A041:lib(128):CAPI_INIT:malloc failure error:260B806D:engine routines:ENGINE_TABLE_REGISTER:init failed)


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Русев Андрей		#9 Оставлено : 25 февраля 2015 г. 14:39:23(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,411 Сказал(а) «Спасибо»: 34 раз Поблагодарили: 561 раз в 390 постах		Вы не установили КриптоПро CSP - см. FAQ выше.
		Официальная техподдержка. Официальная база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

kropotin		#10 Оставлено : 26 февраля 2015 г. 11:52:26(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 01.09.2014(UTC) Сообщений: 30		CryptoPro CSP установлен. Конфиг /etc/nginx/conf.d/example_ssl.conf Код: `server { listen 443 ssl; server_name localhost; ssl_certificate /etc/nginx/nginx.cer; ssl_certificate_key engine:gost_capi:/etc/nginx/nginx.cer; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { root /usr/share/nginx/html; index index.html index.htm; } }` Конфиг /etc/pki/tls/openssl.cnf Код: `openssl_conf = openssl_def [openssl_def] engines = engine_section [engine_section] gost_capi = gost_section [gost_section] engine_id = gost_capi dynamic_path = /opt/cprocsp/cp-openssl/lib/ia32/engines/libgost_capi.so default_algorithms = ALL` Серверный сертфикат установлен: Код: `su -s /bin/bash -l nginx -bash-4.1$ ./cryptcp -creatrqst -provtype 75 -ex -cont "\\\\.\\HDIMAGE\\nginx" -dn "CN=172.16.74.1, O=nginx, C=RU, E=admin@nginx.ru" -certusage "1.3.6.1.5.5.7.3.1" /tmp/nginx.csr ... -bash-4.1$ ./certmgr -inst -store uMy -file /etc/nginx/nginx.cer` Сертификат и СОС УЦ установлены: Код: `./certmgr -inst -store mRoot -file /tmp/nginx/uc-cert.cer ./certmgr -inst -store mCa -file /tmp/nginx/uc-cert.crl -crl` Запускаю nginx: Код: `service nginx start Starting nginx: nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/nginx.cer") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)`


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

67 Страницы12 3 >»

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close