Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.09.2014(UTC) Сообщений: 30
|
Попробовал выполнить Код:-bash-4.1$ openssl cms -sign -engine gost_capi -keyform ENGINE -inkey "172.16.74.1" -in "temp.txt" -out "temp.signed.txt" -outform PEM -CAfile /etc/nginx/nginx.cer -nodetach -signer /etc/nginx/nginx.cer
под пользователем nginx (под которым собственно и запускается nginx, создавался запрос и устанавливался сертификат). Результат: Код:-bash-4.1$ openssl cms -sign -engine gost_capi -keyform ENGINE -inkey "172.16.74.1" -in "temp.txt" -out "temp.signed.txt" -outform PEM -CAfile /etc/nginx/nginx.cer -nodetach -signer /etc/nginx/nginx.cer
engine "gost_capi" set.
unable to write 'random state'
Погуглил: openssl не может получить доступ на запить файла .rnd, который обычно размещается в HOME директории. Код:
[root@tls-nginx ~]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
...
nginx:x:498:498:nginx user:/var/cache/nginx:/sbin/nologin
Код:
-bash-4.1$ stat /var/cache/nginx/
File: `/var/cache/nginx/'
Size: 4096 Blocks: 8 IO Block: 4096 directory
Device: fd00h/64768d Inode: 134064 Links: 7
Access: (0755/drwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2015-02-28 08:47:50.819856156 +0300
Modify: 2015-02-26 11:10:12.074985299 +0300
Change: 2015-02-26 11:10:12.074985299 +0300
Даю права: Код:[root@tls-nginx ~]# chown nginx:nginx /var/cache/nginx/
[root@tls-nginx ~]# chmod 755 /var/cache/nginx/
[root@tls-nginx ~]# stat /var/cache/nginx/
File: `/var/cache/nginx/'
Size: 4096 Blocks: 8 IO Block: 4096 directory
Device: fd00h/64768d Inode: 134064 Links: 7
Access: (0755/drwxr-xr-x) Uid: ( 498/ nginx) Gid: ( 498/ nginx)
Access: 2015-02-28 08:47:50.819856156 +0300
Modify: 2015-02-26 11:10:12.074985299 +0300
Change: 2015-02-28 09:04:11.114849033 +0300
Проверяю: Код:-bash-4.1$ openssl cms -sign -engine gost_capi -keyform ENGINE -inkey "" -in "temp.txt" -out "temp.signed.txt" -outform PEM -CAfile /etc/nginx/nginx.cer -nodetach -signer /etc/nginx/nginx.cer
engine "gost_capi" set.
Без ошибок, файл зашифровался. Проверяю работу nginx: Код:[root@tls-nginx ~]# service nginx configtest
Auto configuration failed
3077678840:error:8006A041:lib(128):CAPI_INIT:malloc failure:/dailybuilds/CSPbuild/CSP/samples/cp-openssl_plugin/e_gost_capi.c:3169:
3077678840:error:260BC066:engine routines:INT_ENGINE_CONFIGURE:engine configuration error:eng_cnf.c:204:
3077678840:error:0E07606D:configuration file routines:MODULE_RUN:module initialization error:conf_mod.c:235:module=engines, value=engine_section, retcode=-1
Не помогло.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.09.2014(UTC) Сообщений: 30
|
Под root'ом nginx запускается, но подключения к web-серверу не происходит. nginx/error.log: Код:
2015/02/28 11:18:02 [alert] 3445#0: *1 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/02/28 11:18:02 [info] 3445#0: *1 peer closed connection in SSL handshake while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/02/28 11:18:02 [alert] 3445#0: *2 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/02/28 11:18:02 [info] 3445#0: *2 SSL_do_handshake() failed (SSL: error:8006A067:lib(128):CAPI_INIT:cryptacquirecontext error:Error code= 0x-21468937 error:0B07707D:x509 certificate routines:X509_PUBKEY_get:public key decode error error:8007D08E:lib(128):CAPI_GOST_F_PKEY_GOST01CP_DECRYPT:CAPI_GOST_R_NO_PEER_KEY error:1408B093:SSL routines:SSL3_GET_CLIENT_KEY_EXCHANGE:decryption failed) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/02/28 11:18:02 [alert] 3445#0: *3 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/02/28 11:18:02 [info] 3445#0: *3 SSL_do_handshake() failed (SSL: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/02/28 11:18:02 [info] 3445#0: *4 client closed connection while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,391 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 715 раз в 620 постах
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.09.2014(UTC) Сообщений: 30
|
Автор: maxdm А кто клиент? Internet Explorer 11
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.03.2015(UTC) Сообщений: 20
Сказал(а) «Спасибо»: 1 раз
|
Добрый день! Пытался настроить ГОСТ через nginx, на данный момент не могу победить ошибку в логе nginx:
2015/03/02 06:55:25 [notice] 17082#0: signal process started 2015/03/02 06:56:52 [alert] 17097#0: *1 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 192.168.154.133, server 0.0.0.0:443
Клиентом является IE 11. Соединение разрывается во время рукопожатия, когда от сервера должны прийти последние пакеты (ChangeCipherSpec, Finished, Application Data)
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
Автор: 4ertu на данный момент не могу победить ошибку в логе nginx: 2015/03/02 06:56:52 [alert] 17097#0: *1 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 192.168.154.133, server 0.0.0.0:443
Это известное поведение, которое не должно мешать работе. По сути, является мусором в логе nginx. Будет исправлено в новой версии openssl. Пруф: http://rt.openssl.org/Ti...ser=guest&pass=guestЗеркало: http://openssl.6102.n7.n...ST-TLS-used-tt55056.html |
|
1 пользователь поблагодарил pd за этот пост.
|
plint оставлено 01.02.2018(UTC)
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
Пришлите вашу кофигурацию nginx -- попробуем воспроизвести разрыв во время рукопожатия. Отредактировано пользователем 2 марта 2015 г. 16:14:24(UTC)
| Причина: по смыслу |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.03.2015(UTC) Сообщений: 20
Сказал(а) «Спасибо»: 1 раз
|
Конф файл: Отредактировано пользователем 2 марта 2015 г. 17:03:13(UTC)
| Причина: Не указана Вложение(я): nginx config.txt (4kb) загружен 19 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
Оказалось, что ошибка на стороне клиента в модуле cpsspap: Код:КриптоПро TLS. Такое расширение CLIENT_HELLO не посылалось: 0x3374
В текущей реализации cpsspap, есть проблема работы с TLS Next Protocol Negotiation. Для обхода проблемы, укажите прокси сервер (можно фиктивный) и пропишите тестируемый сайт в исключения ("не использовать прокси-сервер для адресов, начинающихся с:"), это должно принудительно активировать http1.1 через прокси. |
|
1 пользователь поблагодарил pd за этот пост.
|
4ertu оставлено 03.03.2015(UTC)
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.03.2015(UTC) Сообщений: 20
Сказал(а) «Спасибо»: 1 раз
|
Автор: pd
Для обхода проблемы, укажите прокси сервер (можно фиктивный) и пропишите тестируемый сайт в исключения ("не использовать прокси-сервер для адресов, начинающихся с:"), это должно принудительно активировать http1.1 через прокси.
К сожалению данное решение не помогло. Рукопожатие отваливается на стороне сервера при использовании протокола TLSv1 на сервере и клиенте. Замечено, что при использовании протоколов TLSv1.1 и TLSv1.2 на стороне сервера и клиента, рукопожатие не доходит до этого шага (отваливается сразу после Server Hello). При использовании SSLv3 от сервера возвращается пакет Alert (Handshake Failure). На клиентe стоит КриптоПро 3.6.5365 КС 1 с установленной лицензией, проверки со стороны клиента во вкладке "настройки TLS" отключены. Возможно стоит обновить до КриптоПро 4.0? Отредактировано пользователем 3 марта 2015 г. 11:38:08(UTC)
| Причина: Не указана Пользователь 4ertu прикрепил следующие файлы: wireshark screen.PNG (33kb) загружен 23 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close