Статус: Участник
Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20
Сказал(а) «Спасибо»: 1 раз
|
В логах еще есть такая ошибка:
2015/03/03 10:01:12 [info] 3861#0: *1 SSL_do_handshake() failed (SSL: error:8006A067:lib(128):CAPI_INIT:cryptacquirecontext error:Error code= 0x-21468937 error:0B07707D:x509 certificate routines:X509_PUBKEY_get:public key decode error error:8007D08E:lib(128):CAPI_GOST_F_PKEY_GOST01CP_DECRYPT:CAPI_GOST_R_NO_PEER_KEY error:1408B093:SSL routines:SSL3_GET_CLIENT_KEY_EXCHANGE:decryption failed) while SSL handshaking, client: 192.168.154.138, server: 0.0.0.0:443
Подскажите, есть ли разница в использовании CSP 4.0 на сервере и CSP 3.6 на клиенте?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Нет, здесь не должно быть проблем, все проблемы похоже в привилегиях процессов. Мы у себя на ubuntu никак не можем запустить, то у одного нет прав к ключу, то у другого. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30
|
Автор: pd  Нет, здесь не должно быть проблем, все проблемы похоже в привилегиях процессов. Мы у себя на ubuntu никак не можем запустить, то у одного нет прав к ключу, то у другого. Да, по умолчанию, рабочие процессы nginx запускаюся под пользователем nginx, главный (master) от root'а. Если попытаться зашифровать файл под пользователем nginx, то выйдет ошибка, о которой я писал ранее. Она решается изменением прав на домашнюю директорию пользователя. Сейчас же у меня nginx запускается от root'а, рабочие процессы тоже от root'а (в конфигу nginx.conf: user root), под которым КриптоПро и gost_capi есс-но работает: Код:[root@tls-nginx ~]# ps axw -o pid,ppid,user,%cpu,vsz,wchan,command | egrep '(nginx|PID)'
PID PPID USER %CPU VSZ WCHAN COMMAND
5300 1 root 0.0 29088 - nginx: master process nginx
5301 5300 root 0.0 29448 - nginx: worker process
5895 5876 root 0.0 4164 - egrep (nginx|PID)
[root@tls-nginx ~]#
Вот еще лог /var/opt/cprocsp/tmp/openssl.log: Код:Opening certificate store MY
capi_get_key, contname=HDIMAGE\\user.000\40A2, provname=Crypto-Pro GOST R 34.10-2001 KC1 CSP, type=75
Отредактировано пользователем 4 марта 2015 г. 11:13:31(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20
Сказал(а) «Спасибо»: 1 раз
|
Kropotin, а у вас после внесения изменений в конфиг Openssl ssh не отвалился?
openssl_conf = openssl_def
[openssl_def]
engines = engine_section
[engine_section]
gost_capi = gost_section
[gost_section]
engine_id = gost_capi
dynamic_path = /path/to/dll/or/so/gost_capi.dll
default_algorithms = ALL
У меня ssh работает только если закомментить изменения. При этом openssl engine выдает корректную инфу.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30
|
Автор: 4ertu Kropotin, а у вас после внесения изменений в конфиг Openssl ssh не отвалился?
У меня ssh работает только если закомментить изменения.
При этом openssl engine выдает корректную инфу. Отваливается. Даже при рекомендации помещать строку "openssl_conf = openssl_def" непосредственно перед секцией "[ new_oids ]". Поэтому, чтобы подключиться по ssh, я комментирую строку, сохраняю, подключаюсь, раскомментирую и опять сохраняю. Вот такие танцы.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Мы тоже пляшем и готовим исправления на основании этого тестирования.
Ошибку сейчас воспроизвели. Фиксим. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Нашли причины ошибок:
1) В текущей версии поддерживается только провайдер КС2 (из-за того что nginx делает рабочие процессы fork-ом)
2) Рабочие процессы должны быть под тем же пользователем, что и родительский, поэтому из nginx.conf следует убрать слова "user nginx_worker;" |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20
Сказал(а) «Спасибо»: 1 раз
|
Поставил КС2 на сервер и клиент, обрывается на том же месте в рукопожатии, поменялась строка в логах:
2015/03/05 09:48:48 [alert] 13670#0: *1 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 192.168.154.143, server: 0.0.0.0:443
2015/03/05 09:48:49 [crit] 13670#0: *1 SSL_do_handshake() failed (SSL: error:1408B093:SSL routines:SSL3_GET_CLIENT_KEY_EXCHANGE:decryption failed) while SSL handshaking, client: 192.168.154.143, server: 0.0.0.0:443
2015/03/05 09:48:49 [info] 13670#0: *2 client closed connection while SSL handshaking, client: 192.168.154.143, server: 0.0.0.0:443
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Автор: 4ertu Поставил КС2 на сервер и клиент, обрывается на том же месте в рукопожатии, поменялась строка в логах Проверьте состояние рабочих процессов, они дложны быть запущены от одного и того же пользователя (у нас root): Код:root 1064 0.0 0.0 71528 5948 ? Ss 17:03 0:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
root 1066 0.0 0.0 71788 8156 ? S 17:03 0:00 nginx: worker process
На клиенте КС2 необязателен. Отредактировано пользователем 5 марта 2015 г. 18:01:49(UTC)
| Причина: typo + addon |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20
Сказал(а) «Спасибо»: 1 раз
|
Автор: pd
Проверьте состояние рабочих процессов, они дложны быть запущены от одного и того же пользователя (у нас root):
Все от рута.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
