Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,497 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 467 раз в 334 постах
|
примерный вид сертификата в файле: Код:-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.09.2014(UTC) Сообщений: 30
|
Автор: pd примерный вид сертификата в файле: Это если сертификат в кодировке Base64. DER-кодировка поддерживается?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,497 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 467 раз в 334 постах
|
Автор: kropotin Автор: pd примерный вид сертификата в файле: Это если сертификат в кодировке Base64. DER-кодировка поддерживается? Не тестировалось. Это вопрос к разработчикам OpenSSL. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.09.2014(UTC) Сообщений: 30
|
Автор: pd Не тестировалось. Это вопрос к разработчикам OpenSSL. Провел эксперимент. Раскодировал эту последовательность по Base64. Внутри оказался сертификат в DER-кодировке. То есть Base64 это просто обертка для удобной передачи. Тут дело может быть в самом сертификате (структуре). Может надо запрос на сертификат создавать с помощью OpenSSL, а нет ./cryptcp -creatrqst? Отредактировано пользователем 27 февраля 2015 г. 13:52:50(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,497 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 467 раз в 334 постах
|
Автор: kropotin Тут дело может быть в самом сертификате (структуре). Может надо запрос на сертификат создавать с помощью OpenSSL, а нет ./cryptcp -creatrqst?
Вряд ли все так сложно, представленный выше сертификат выпущен на привычном https://www.cryptopro.ru/certsrv/Лучше проверьте окончания строк, они должны быть Unix формата, при работе на платформе Unix. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.09.2014(UTC) Сообщений: 30
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,497 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 467 раз в 334 постах
|
Автор: kropotin Мы не можем воспроизвести вашу ошибку: Код:3078485740:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE
Вот это место из pem_lib.c: Код: i=BIO_gets(bp,buf,254);
if (i <= 0)
{
PEMerr(PEM_F_PEM_READ_BIO,PEM_R_NO_START_LINE);
goto err;
}
Можно заметить, что ошибка при получении строки из файла. Если ваш файл выглядет иначе, чем представленный выше. То вряд ли вы продвинетесь. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.09.2014(UTC) Сообщений: 30
|
Автор: pd Лучше проверьте окончания строк, они должны быть Unix формата, при работе на платформе Unix. Google говорит: Цитата:Is it possible that the lines are ^M-terminated? This is a potential issue when moving files from Windows to UNIX systems. One easy way to check is to use vi in "show me the binary" mode, with vi -b /etc/apache2/domain.ssl/domain.ssl.crt/domain.com.crt.
If each line ends with a control-M, like this
-----BEGIN CERTIFICATE-----^M MIIDITCCAoqgAwIBAgIQL9+89q6RUm0PmqPfQDQ+mjANBgkqhkiG9w0BAQUFADBM^M MQswCQYDVQQGEwJaQTElMCMGA1UEChMcVGhhd3RlIENvbnN1bHRpbmcgKFB0eSkg^M THRkLjEWMBQGA1UEAxMNVGhhd3RlIFNHQyBDQTAeFw0wOTEyMTgwMDAwMDBaFw0x^M you've got a file in Windows line-terminated format, and apache doesn't love those. Ок, я сейчас переиздам серверный сертифкат в Base64-кодировке, и посмотрю на окончания строк.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.09.2014(UTC) Сообщений: 30
|
Да, окончания ^M присутствуют. убираются в редакторе. Я вот еще что подумал. Сертификат-то у меня установлен в хранилище пользователя nginx. а проверку шифрования я проводил под root'ом. Создал запрос на сертификат под root'ом, выпустил сертфикат, установил в систему. Убрал окончания строк в редакторе. Прокатила команда, но только после того как я сбросил пароль на ключевой контейнер. Код:
[root@tls-nginx tmp]# openssl cms -sign -engine gost_capi -keyform ENGINE -inkey "" -in "test.txt" -out "test.signed.txt" -outform PEM -CAfile /tmp/user.cer -nodetach -signer /tmp/user.cer
Файл зашифровался. Что обозначает -inkey параметр? пароль на ключевой носитель? Первый раз я указывал в этом параметре пароль к ключевому контейнеру. щас буду nginx пытать.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.09.2014(UTC) Сообщений: 30
|
Код:[root@tls-nginx tmp]# service nginx start
Starting nginx: nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/nginx.cer") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)
Код:
server {
listen 443 ssl;
server_name localhost;
ssl_certificate /etc/nginx/nginx.cer;
ssl_certificate_key engine:gost_capi:/etc/nginx/nginx.cer;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
}
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close