Статус: Новичок
Группы: Участники
Зарегистрирован: 05.09.2016(UTC)
Сообщений: 1
|
Добрый день. Тестируем сейчас возможность использования Система Ubuntu 16.04.1 LTS, КриптоПро 4 версии самый последний (Остроградский). Сервер Apache 2.4.18, пересобранный нашим админом с учетом патча для возможного использования engine. Конфигурация apache (в /etc/apache2/sites-enabled/default-ssl.conf): Код: SSLEngine on
SSLCertificateFile "/home/admin.old/server.pem"
SSLCertificateKeyFile "engine:gost_capi:172.16.1.147"
ProxyPass "/" "http://172.16.1.174/testtls.php"
Список пакетов (dpkg -l|grep cprocsp):
ii cprocsp-compat-debian 1.0.0-1 all CryptoPro CSP compatibility extension for non-LSB Debian/Ubuntu
ii cprocsp-cpopenssl-gost-64 4.0.0-4 amd64 OpenSSL capi_gost engine. Build 9763.
ii cprocsp-curl-64 4.0.0-4 amd64 CryptoPro Curl shared library and binaris. Build 9758.
ii lsb-cprocsp-base 4.0.0-4 all CryptoPro CSP library. Build 9758.
ii lsb-cprocsp-capilite-64 4.0.0-4 amd64 CryptoAPI lite. Build 9758.
ii lsb-cprocsp-kc2-64 4.0.0-4 amd64 CryptoPro CSP KC2. Build 9758.
ii lsb-cprocsp-rdr-64 4.0.0-4 amd64 CryptoPro CSP readers. Build 9758.
При попытке запустить apache2 выдается такая ошибка:
root@ubuntu1:/etc/apache2# systemctl status apache2.service
● apache2.service - LSB: Apache2 web server
Loaded: loaded (/etc/init.d/apache2; bad; vendor preset: enabled)
Drop-In: /lib/systemd/system/apache2.service.d
└─apache2-systemd.conf
Active: failed (Result: exit-code) since Вт 2016-09-06 11:18:24 KRAT; 9s ago
Docs: man:systemd-sysv-generator(8)
Process: 16592 ExecStop=/etc/init.d/apache2 stop (code=exited, status=0/SUCCESS)
Process: 16535 ExecReload=/etc/init.d/apache2 reload (code=exited, status=1/FAILURE)
Process: 16885 ExecStart=/etc/init.d/apache2 start (code=exited, status=1/FAILURE)
сен 06 11:18:24 ubuntu1 apache2[16885]: * The apache2 configtest failed.
сен 06 11:18:24 ubuntu1 apache2[16885]: Output of config test was:
сен 06 11:18:24 ubuntu1 apache2[16885]: AH00526: Syntax error on line 136 of /etc/apache2/sites-enabled/default-ssl.conf:
сен 06 11:18:24 ubuntu1 apache2[16885]: SSLCertificateKeyFile: file '/etc/apache2/engine:gost_capi:172.16.1.147' does not exist or is empty
сен 06 11:18:24 ubuntu1 apache2[16885]: Action 'configtest' failed.
сен 06 11:18:24 ubuntu1 apache2[16885]: The Apache error log may have more information.
сен 06 11:18:24 ubuntu1 systemd[1]: apache2.service: Control process exited, code=exited status=1
сен 06 11:18:24 ubuntu1 systemd[1]: Failed to start LSB: Apache2 web server.
сен 06 11:18:24 ubuntu1 systemd[1]: apache2.service: Unit entered failed state.
сен 06 11:18:24 ubuntu1 systemd[1]: apache2.service: Failed with result 'exit-code'.
Что надо исправить, чтобы получить возможность запустить apache с gost_capi engine? И поддерживает ли apache работу одновременно по ГОСТ и RSA аналогично nginx?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Автор: dimbozh  Цитата:сен 06 11:18:24 ubuntu1 apache2[16885]: SSLCertificateKeyFile: file '/etc/apache2/engine:gost_capi:172.16.1.147' does not exist or is empty Что надо исправить, чтобы получить возможность запустить apache с gost_capi engine? И поддерживает ли apache работу одновременно по ГОСТ и RSA аналогично nginx? Мы настоятельно рекомендуем использовать nginx, так как начиная с версии nginx 1.7.9 из коробки поддерживается ГОСТ, а начиная с 1.11.0 одновременная работа с RSA, без необходимости каких-либо патчей. Ваша ошибка, с большой вероятностью, свидетельствует об отсутствии нашего патча в используемом вами mod_ssl. У нас нет информации о возможностях одновременной работы ГОСТ и RSA в Apache. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.10.2016(UTC) Сообщений: 1  Откуда: Ростов-на-Дону
|
Добрый день при использовании в nginx опции ssl_verify_client on; в логах nginx появляются такие записи
2016/10/05 17:49:23 [alert] 12259#12259: *14 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 172.16.4.4, server: 0.0.0.0:443
У клиента спрашивается сертификат, но дальше соединение сбрасывается.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Автор: mboy Добрый день при использовании в nginx опции ssl_verify_client on; в логах nginx появляются такие записи
2016/10/05 17:49:23 [alert] 12259#12259: *14 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 172.16.4.4, server: 0.0.0.0:443
У клиента спрашивается сертификат, но дальше соединение сбрасывается. Опять двадцать пять? https://www.cryptopro.ru...ts&m=69349#post69349 |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.10.2016(UTC) Сообщений: 16 Откуда: Белгород
|
Добрый день. Не получается запустить шифрование по ГОСТ. Система Astra-Linux (Смоленкс) Используем КриптоПРО CSP 4.0 +gost_capi + nginx. Контейнер выдал УЦ. Получил список файлов Цитата:CA.cer
header.key
masks2.key
masks.key
name.key
primary2.key
primary.key
vsopen.ru.cer
Ставили так. Установили CSP 4.0 (./install) Встало без ошибок Создали контейнер Заменили файлы в контейнере на те, что выдал УЦ. certmgr -inst -store uCa -file /root/CA.cerУстановили КС2 Выполнили из под nginx. Цитата:
certmgr -inst -store uMy -cont '\\.\HDIMAGE\vsopen-a493463e-6592-4bb1-b82b-b6d3cdb2d641' -provtype 75 -provname "Crypto-Pro GOST R 34.10-2001 KC2 CSP"
Настроили openssl в связке gost_capi Проверели подпись с помощью openssl Цитата:openssl cms -sign -engine gost_capi -keyform ENGINE -inkey vsopen.ru -in "doc.txt" -out "doc.signed.txt" -outform PEM -CAfile vsopen.ru.cer -nodetach -signer vsopen.ru.cer
Прошло без ошибок, файл подписался Система Цитата:
Astra Linux (Smolensk) 1.5
Linux version 4.2.0-23-generic
Nginx Цитата:
nginx version: nginx/1.10.1
openssl engine
(rsax) RSAX engine support
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 134591 $)
Nginx conf Цитата:server { listen 443 ssl; server_name gost.vsopen.ru www.gost.vsopen.ru; error_log /var/log/nginx/gost.vsopne.ru.log debug; ssl_certificate /etc/nginx/ssl/cprocsp/vsopen.ru.cer; ssl_certificate_key engine:gost_capi:vsopen.ru; ssl_session_timeout 5m; ssl on; ssl_protocols TLSv1; Nginx процесс в nginx.conf прописан worker=1 и пользователь nginx Цитата:
root 10944 0.0 0.6 615392 13728 ? Ss окт.07 0:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx 11104 2.2 1.8 639664 36996 ? S окт.07 88:09 nginx: worker process
nginx 11105 0.0 0.4 615396 9604 ? S окт.07 0:01 nginx: cache manager process
nginx# certmgr -list -store uMyЦитата:
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores
=============================================================================
1-------
Issuer :XXXX
Subject : XXXX CN=*.vsopen.ru
Serial : XXXXX
SHA1 Hash : XXXXX
SubjKeyID : XXXXXX
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 17/12/2015 08:04:00 UTC
Not valid after : 17/12/2016 08:05:00 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\vsopen.000\4B9A
Provider Name : Crypto-Pro GOST R 34.10-2001 KC2 CSP
Provider Info : ProvType: 75, KeySpec: 1, Flags: 0x0
Extended Key Usage : 1.2.643.2.2.34.25
1.2.643.2.2.34.6
1.3.6.1.5.5.7.3.1
1.3.6.1.5.5.7.3.4
=============================================================================
[ErrorCode: 0x00000000]
nginx# certmgr -list -store urootЦитата:=============================================================================
1-------
Issuer : OGRN=1023101670437, INN=003123077111, E=serviceuc@belregion.ru, C=RU, STREET=Некрасова 9-15, S=31 Белгородская область, L=Белгород, O=ОГБУ Белгородский информационный фонд, OU=Удостоверяющий центр, CN=УЦ Администрации Белгородской области
Subject : OGRN=1023101670437, INN=003123077111, E=serviceuc@belregion.ru, C=RU, STREET=Некрасова 9-15, S=31 Белгородская область, L=Белгород, O=ОГБУ Белгородский информационный фонд, OU=Удостоверяющий центр, CN=УЦ Администрации Белгородской области
Serial : XXXX
SHA1 Hash : XX
SubjKeyID : XXXX
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 16/10/2012 12:14:44 UTC
Not valid after : 16/10/2017 12:24:22 UTC
PrivateKey Link : No
=============================================================================
[ErrorCode: 0x00000000] При старте nginx ругается на Цитата:NGINE_load_private_key("vsopen.ru") failed (SSL: error:26096080:engine routines:ENGINE_load_private_key:failed loading private key) Просим помощи, уже неделю не может понять, что делаем не так Отредактировано пользователем 10 октября 2016 г. 11:44:26(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Автор: roysbike При старте nginx ругается на Цитата:NGINE_load_private_key("vsopen.ru") failed (SSL: error:26096080:engine routines:ENGINE_load_private_key:failed loading private key) Просим помощи, уже неделю не может понять, что делаем не так - Не ждите неделю -- пишите сразу, форум всё стерпит
- gost_capi по умолчанию ведёт лог ошибок в "/var/opt/cprocsp/tmp/gost_capi.log", что там?
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.10.2016(UTC) Сообщений: 16 Откуда: Белгород
|
Автор: pd Автор: roysbike При старте nginx ругается на Цитата:NGINE_load_private_key("vsopen.ru") failed (SSL: error:26096080:engine routines:ENGINE_load_private_key:failed loading private key) Просим помощи, уже неделю не может понять, что делаем не так - Не ждите неделю -- пишите сразу, форум всё стерпит
- gost_capi по умолчанию ведёт лог ошибок в "/var/opt/cprocsp/tmp/gost_capi.log", что там?
Цитата:89B41480:0001 (ngg_store_open:4118) ERROR: CertOpenStore = 0x00000002
1354A6EF:0001 (ngg_store_open:4118) ERROR: CertOpenStore = 0x00000002
B80131DF:0001 (ngg_store_open:4118) ERROR: CertOpenStore = 0x00000002
16E479DD:0001 (ngg_store_open:4118) ERROR: CertOpenStore = 0x00000002
B845C164:0002 (ngg_support_create_pubkey_3410:1378) ERROR: CryptImportPublicKeyInfo = 0x0000006D
848C24EB:0001 (ngg_store_open:4118) ERROR: CertOpenStore = 0x00000002
8CEE8509:0001 (ngg_store_open:4118) ERROR: CertOpenStore = 0x00000002
3D8DD7A1:0001 (ngg_store_open:4118) ERROR: CertOpenStore = 0x00000002
DABA7124:0001 (ngg_store_open:4118) ERROR: CertOpenStore = 0x00000002
B845C164:0003 (ngg_support_create_pubkey_3410:1378) ERROR: CryptImportPublicKeyInfo = 0x00000006
B845C164:0004 (ngg_support_create_pubkey_3410:1378) ERROR: CryptImportPublicKeyInfo = 0x00000006
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Автор: roysbike Проверели подпись с помощью openssl Цитата:openssl cms -sign -engine gost_capi -keyform ENGINE -inkey vsopen.ru -in "doc.txt" -out "doc.signed.txt" -outform PEM -CAfile vsopen.ru.cer -nodetach -signer vsopen.ru.cer
Прошло без ошибок, файл подписался Это тоже из под nginx отрабатывает? |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.10.2016(UTC) Сообщений: 16 Откуда: Белгород
|
Автор: pd Автор: roysbike Проверели подпись с помощью openssl Цитата:openssl cms -sign -engine gost_capi -keyform ENGINE -inkey vsopen.ru -in "doc.txt" -out "doc.signed.txt" -outform PEM -CAfile vsopen.ru.cer -nodetach -signer vsopen.ru.cer
Прошло без ошибок, файл подписался Это тоже из под nginx отрабатывает? да
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Автор: roysbike
root 10944 0.0 0.6 615392 13728 ? Ss окт.07 0:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx 11104 2.2 1.8 639664 36996 ? S окт.07 88:09 nginx: worker process
nginx 11105 0.0 0.4 615396 9604 ? S окт.07 0:01 nginx: cache manager process
Да, из под nginx может и работает, но мы заметили, что вы запускаете мастер процесс из под root, а именно он проводит всю инициализацию, тогда у пользователя root должен быть доступ к нужному сертификату и закрытому ключу. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
