Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,505 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 474 раз в 338 постах
|
Автор: kropotin Что обозначает -inkey параметр? пароль на ключевой носитель? Первый раз я указывал в этом параметре пароль к ключевому контейнеру. В текущей реализации, у нас используется довольно скверный механизм поиска закрытого ключа, а именно поиск закрытого ключа по сертификату, а поиск сертификата по подстроке. В данном случае inkey подстрока имени сертификата. Например для сертификата с именем "some.test.local", правильными строками будет и полная строка "some.test.local" так и ее часть, например "some.test". Видимо, ваш параметр -inkey "" просто нашел первый попавшийся сертификат и вам повезло, что это был именно ваш целевой сертификат/ключ. В nginx логика такая же, то есть правильно будет указать: ssl_certificate_key engine:gost_capi:some.test.local |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.09.2014(UTC) Сообщений: 30
|
Автор: pd Автор: kropotin Что обозначает -inkey параметр? пароль на ключевой носитель? Первый раз я указывал в этом параметре пароль к ключевому контейнеру. В текущей реализации, у нас используется довольно скверный механизм поиска закрытого ключа, а именно поиск закрытого ключа по сертификату, а поиск сертификата по подстроке. В данном случае inkey подстрока имени сертификата. Например для сертификата с именем "some.test.local", правильными строками будет и полная строка "some.test.local" так и ее часть, например "some.test". Видимо, ваш параметр -inkey "" просто нашел первый попавшийся сертификат и вам повезло, что это был именно ваш целевой сертификат/ключ. В nginx логика такая же, то есть правильно будет указать: ssl_certificate_key engine:gost_capi:some.test.local Имя сертификата, это имя файла сертификата или CN?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,505 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 474 раз в 338 постах
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.09.2014(UTC) Сообщений: 30
|
Автор: pd CN У меня CN - это ip-адрес сервера, дабы обращаться к нему с другой машины по ip. Ок, указал CN. Код:
[root@tls-nginx tmp]# service nginx start
Starting nginx: Auto configuration failed
3078477560:error:8006A041:lib(128):CAPI_INIT:malloc failure:/dailybuilds/CSPbuild/CSP/samples/cp-openssl_plugin/e_gost_capi.c:3169:
3078477560:error:260B806D:engine routines:ENGINE_TABLE_REGISTER:init failed:eng_table.c:174:
3078477560:error:260BC066:engine routines:INT_ENGINE_CONFIGURE:engine configuration error:eng_cnf.c:204:section=gost_section, name=default_algorithms, value=ALL
3078477560:error:0E07606D:configuration file routines:MODULE_RUN:module initialization error:conf_mod.c:235:module=engines, value=engine_section, retcode=-1
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,505 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 474 раз в 338 постах
|
Предлагается синхронизировать gost_capi, так как в вашем логе: Автор: kropotin Код:[root@tls-nginx tmp]# openssl engine
(dynamic) Dynamic engine loading support
(gost_capi) CAPIlite (CryptoAPI) gost ENGINE
А при использовании файла приложенного к FAQ должно быть: Код:(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 114689 $)
Отредактировано пользователем 27 февраля 2015 г. 15:05:31(UTC)
| Причина: fix |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.09.2014(UTC) Сообщений: 30
|
Автор: pd Предлагается синхронизировать gost_capi, так как в вашем логе: Автор: kropotin Код:[root@tls-nginx tmp]# openssl engine
(dynamic) Dynamic engine loading support
(gost_capi) CAPIlite (CryptoAPI) gost ENGINE
А при использовании файла приложенного к FAQ должно быть: Код:(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 114689 $)
Не понял, что от меня требуется. Устанавливал из архива скачанного с форума. ia32 и CentOS 6. Раньше ковырял x64 и CentOS 7.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,505 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 474 раз в 338 постах
|
Автор: kropotin Устанавливал из архива скачанного с форума. ia32 и CentOS 6. Раньше ковырял x64 и CentOS 7. Видимо сборка немного устарела, но не суть. Суть в том, что ошибка в функции инициализации ngg_engine_init, работоспособность которой гарантируется вызовами "openssl engine" и "openssl cms", которые у вас отрабатывают без ошибок. Похоже, что nginx пользуется каким-то другим openssl или находится в другом контексте, где нет доступа к CSP. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 26.02.2015(UTC) Сообщений: 3
|
Автор: kropotin Автор: pd Предлагается синхронизировать gost_capi, так как в вашем логе: Автор: kropotin Код:[root@tls-nginx tmp]# openssl engine
(dynamic) Dynamic engine loading support
(gost_capi) CAPIlite (CryptoAPI) gost ENGINE
А при использовании файла приложенного к FAQ должно быть: Код:(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 114689 $)
Не понял, что от меня требуется. Устанавливал из архива скачанного с форума. ia32 и CentOS 6. Раньше ковырял x64 и CentOS 7. Что у Вас показывает?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,505 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 474 раз в 338 постах
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,505 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 474 раз в 338 постах
|
Попробуйте запустить nginx не как сервис, а от имени того, где успешно работали команды "openssl engine" и "openssl cms". |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close