Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<23456>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#31 Оставлено : 27 февраля 2015 г. 14:51:24(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,505
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
Автор: kropotin Перейти к цитате
Что обозначает -inkey параметр? пароль на ключевой носитель? Первый раз я указывал в этом параметре пароль к ключевому контейнеру.


В текущей реализации, у нас используется довольно скверный механизм поиска закрытого ключа, а именно поиск закрытого ключа по сертификату, а поиск сертификата по подстроке.

В данном случае inkey подстрока имени сертификата.

Например для сертификата с именем "some.test.local", правильными строками будет и полная строка "some.test.local" так и ее часть, например "some.test".

Видимо, ваш параметр -inkey "" просто нашел первый попавшийся сертификат и вам повезло, что это был именно ваш целевой сертификат/ключ.

В nginx логика такая же, то есть правильно будет указать: ssl_certificate_key engine:gost_capi:some.test.local
Знания в базе знаний, поддержка в техподдержке
Offline kropotin  
#32 Оставлено : 27 февраля 2015 г. 14:54:37(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Автор: pd Перейти к цитате
Автор: kropotin Перейти к цитате
Что обозначает -inkey параметр? пароль на ключевой носитель? Первый раз я указывал в этом параметре пароль к ключевому контейнеру.

В текущей реализации, у нас используется довольно скверный механизм поиска закрытого ключа, а именно поиск закрытого ключа по сертификату, а поиск сертификата по подстроке.
В данном случае inkey подстрока имени сертификата.
Например для сертификата с именем "some.test.local", правильными строками будет и полная строка "some.test.local" так и ее часть, например "some.test".
Видимо, ваш параметр -inkey "" просто нашел первый попавшийся сертификат и вам повезло, что это был именно ваш целевой сертификат/ключ.
В nginx логика такая же, то есть правильно будет указать: ssl_certificate_key engine:gost_capi:some.test.local


Имя сертификата, это имя файла сертификата или CN?
Offline Дмитрий Пичулин  
#33 Оставлено : 27 февраля 2015 г. 14:55:18(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,505
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
CN
Знания в базе знаний, поддержка в техподдержке
Offline kropotin  
#34 Оставлено : 27 февраля 2015 г. 14:59:17(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Автор: pd Перейти к цитате
CN


У меня CN - это ip-адрес сервера, дабы обращаться к нему с другой машины по ip.
Ок, указал CN.
Код:

[root@tls-nginx tmp]# service nginx start
Starting nginx: Auto configuration failed
3078477560:error:8006A041:lib(128):CAPI_INIT:malloc failure:/dailybuilds/CSPbuild/CSP/samples/cp-openssl_plugin/e_gost_capi.c:3169:
3078477560:error:260B806D:engine routines:ENGINE_TABLE_REGISTER:init failed:eng_table.c:174:
3078477560:error:260BC066:engine routines:INT_ENGINE_CONFIGURE:engine configuration error:eng_cnf.c:204:section=gost_section, name=default_algorithms, value=ALL
3078477560:error:0E07606D:configuration file routines:MODULE_RUN:module initialization error:conf_mod.c:235:module=engines, value=engine_section, retcode=-1    
Offline Дмитрий Пичулин  
#35 Оставлено : 27 февраля 2015 г. 15:04:21(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,505
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
Предлагается синхронизировать gost_capi, так как в вашем логе:

Автор: kropotin Перейти к цитате
Код:
[root@tls-nginx tmp]# openssl engine
(dynamic) Dynamic engine loading support
(gost_capi) CAPIlite (CryptoAPI) gost ENGINE


А при использовании файла приложенного к FAQ должно быть:
Код:
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 114689 $)

Отредактировано пользователем 27 февраля 2015 г. 15:05:31(UTC)  | Причина: fix

Знания в базе знаний, поддержка в техподдержке
Offline kropotin  
#36 Оставлено : 27 февраля 2015 г. 15:14:42(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Автор: pd Перейти к цитате
Предлагается синхронизировать gost_capi, так как в вашем логе:

Автор: kropotin Перейти к цитате
Код:
[root@tls-nginx tmp]# openssl engine
(dynamic) Dynamic engine loading support
(gost_capi) CAPIlite (CryptoAPI) gost ENGINE


А при использовании файла приложенного к FAQ должно быть:
Код:
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 114689 $)


Не понял, что от меня требуется.
Устанавливал из архива скачанного с форума. ia32 и CentOS 6. Раньше ковырял x64 и CentOS 7.
Offline Дмитрий Пичулин  
#37 Оставлено : 27 февраля 2015 г. 15:49:45(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,505
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
Автор: kropotin Перейти к цитате
Устанавливал из архива скачанного с форума. ia32 и CentOS 6. Раньше ковырял x64 и CentOS 7.


Видимо сборка немного устарела, но не суть.

Суть в том, что ошибка в функции инициализации ngg_engine_init, работоспособность которой гарантируется вызовами "openssl engine" и "openssl cms", которые у вас отрабатывают без ошибок.

Похоже, что nginx пользуется каким-то другим openssl или находится в другом контексте, где нет доступа к CSP.
Знания в базе знаний, поддержка в техподдержке
Offline Iniki  
#38 Оставлено : 27 февраля 2015 г. 15:54:47(UTC)
Iniki

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.02.2015(UTC)
Сообщений: 3
Российская Федерация

Автор: kropotin Перейти к цитате
Автор: pd Перейти к цитате
Предлагается синхронизировать gost_capi, так как в вашем логе:

Автор: kropotin Перейти к цитате
Код:
[root@tls-nginx tmp]# openssl engine
(dynamic) Dynamic engine loading support
(gost_capi) CAPIlite (CryptoAPI) gost ENGINE


А при использовании файла приложенного к FAQ должно быть:
Код:
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 114689 $)


Не понял, что от меня требуется.
Устанавливал из архива скачанного с форума. ia32 и CentOS 6. Раньше ковырял x64 и CentOS 7.


Код:
nginx -v

Что у Вас показывает?
Offline Дмитрий Пичулин  
#39 Оставлено : 27 февраля 2015 г. 16:12:53(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,505
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
nginx должен быть не менее 1.7.9

Отредактировано пользователем 27 февраля 2015 г. 16:14:28(UTC)  | Причина: typo

Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#40 Оставлено : 27 февраля 2015 г. 16:17:05(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,505
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
Попробуйте запустить nginx не как сервис, а от имени того, где успешно работали команды "openssl engine" и "openssl cms".
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
67 Страницы«<23456>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.