Статус: Участник
Группы: Участники
Зарегистрирован: 07.10.2016(UTC) Сообщений: 16  Откуда: Белгород
|
Автор: pd  Автор: roysbike
root 10944 0.0 0.6 615392 13728 ? Ss окт.07 0:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx 11104 2.2 1.8 639664 36996 ? S окт.07 88:09 nginx: worker process
nginx 11105 0.0 0.4 615396 9604 ? S окт.07 0:01 nginx: cache manager process
Да, из под nginx может и работает, но мы заметили, что вы запускаете мастер процесс из под root, а именно он проводит всю инициализацию, тогда у пользователя root должен быть доступ к нужному сертификату и закрытому ключу. Т.е. из под root мне выполнить Цитата:certmgr -inst -store uMy -cont '\\.\HDIMAGE\vsopen-a493463e-6592-4bb1-b82b-b6d3cdb2d641' -provtype 75 -provname "Crypto-Pro GOST R 34.10-2001 KC2 CSP"
?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: roysbike Автор: pd Автор: roysbike
root 10944 0.0 0.6 615392 13728 ? Ss окт.07 0:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx 11104 2.2 1.8 639664 36996 ? S окт.07 88:09 nginx: worker process
nginx 11105 0.0 0.4 615396 9604 ? S окт.07 0:01 nginx: cache manager process
Да, из под nginx может и работает, но мы заметили, что вы запускаете мастер процесс из под root, а именно он проводит всю инициализацию, тогда у пользователя root должен быть доступ к нужному сертификату и закрытому ключу. Т.е. из под root мне выполнить Цитата:certmgr -inst -store uMy -cont '\\.\HDIMAGE\vsopen-a493463e-6592-4bb1-b82b-b6d3cdb2d641' -provtype 75 -provname "Crypto-Pro GOST R 34.10-2001 KC2 CSP"
? Да, в вашем случае подпись должна работать от root. В нашей инструкции по шагам у нас более строгое правило: http://www.cryptopro.ru/...ts&m=57216#post57216Автор: ElenaS Настройка nginxПользователь рабочих потоков nginx не должен отличаться от пользователя запускающего nginx (http://nginx.org/ru/docs/ngx_core_module.html#user) Но коллеги утверждают, что если с правами всё в порядке, то, в принципе, ничего не мешает запускать под одним, но работать под другим. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.10.2016(UTC) Сообщений: 16 Откуда: Белгород
|
Автор: pd Автор: roysbike Автор: pd Автор: roysbike
root 10944 0.0 0.6 615392 13728 ? Ss окт.07 0:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx 11104 2.2 1.8 639664 36996 ? S окт.07 88:09 nginx: worker process
nginx 11105 0.0 0.4 615396 9604 ? S окт.07 0:01 nginx: cache manager process
Да, из под nginx может и работает, но мы заметили, что вы запускаете мастер процесс из под root, а именно он проводит всю инициализацию, тогда у пользователя root должен быть доступ к нужному сертификату и закрытому ключу. Т.е. из под root мне выполнить Цитата:certmgr -inst -store uMy -cont '\\.\HDIMAGE\vsopen-a493463e-6592-4bb1-b82b-b6d3cdb2d641' -provtype 75 -provname "Crypto-Pro GOST R 34.10-2001 KC2 CSP"
? Да, в вашем случае подпись должна работать от root. В нашей инструкции по шагам у нас более строгое правило: http://www.cryptopro.ru/...ts&m=57216#post57216Автор: ElenaS Настройка nginxПользователь рабочих потоков nginx не должен отличаться от пользователя запускающего nginx (http://nginx.org/ru/docs/ngx_core_module.html#user) Но коллеги утверждают, что если с правами всё в порядке, то, в принципе, ничего не мешает запускать под одним, но работать под другим. Переделал из под root. Ошибка пропала, в логах nginx 2016/10/10 14:43:35 [crit] 22812#22812: *1088 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher) while SSL handshaking, client: server: 0.0.0.0:443 Клиент Astra-Linux , браузер Firefox (CryptoPro FOX) Отредактировано пользователем 10 октября 2016 г. 15:02:41(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: roysbike Переделал из под root. Ошибка пропала, в логах nginx
2016/10/10 14:43:35 [crit] 22812#22812: *1088 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher) while SSL handshaking, client: server: 0.0.0.0:443
Клиент Astra-Linux , браузер Firefox (CryptoPro FOX) На ошибку "no shared cipher" нам ещё не жаловались, а в IE как дела (или chromium-gost)? Это пробовали? - ssl_ciphers HIGH:MEDIUM:+GOST2001-GOST89;
- ssl_prefer_server_ciphers on;
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.10.2016(UTC) Сообщений: 16 Откуда: Белгород
|
Автор: pd Автор: roysbike Переделал из под root. Ошибка пропала, в логах nginx
2016/10/10 14:43:35 [crit] 22812#22812: *1088 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher) while SSL handshaking, client: server: 0.0.0.0:443
Клиент Astra-Linux , браузер Firefox (CryptoPro FOX) На ошибку "no shared cipher" нам ещё не жаловались, а в IE как дела (или chromium-gost)? Это пробовали? - ssl_ciphers HIGH:MEDIUM:+GOST2001-GOST89;
- ssl_prefer_server_ciphers on;
Цитата:ssl_ciphers HIGH:MEDIUM:+GOST2001-GOST89; Прописан
ssl_prefer_server_ciphers on; Указан
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: roysbike Цитата:ssl_ciphers HIGH:MEDIUM:+GOST2001-GOST89; Прописан
ssl_prefer_server_ciphers on; Указан CryptoFOX конечно хорош, но хорошо бы проверять в IE или "csptest -tlsc -server vsopen.ru -port 443" |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.10.2016(UTC) Сообщений: 16 Откуда: Белгород
|
Автор: pd Автор: roysbike Цитата:ssl_ciphers HIGH:MEDIUM:+GOST2001-GOST89; Прописан
ssl_prefer_server_ciphers on; Указан CryptoFOX конечно хорош, но хорошо бы проверять в IE или "csptest -tlsc -server vsopen.ru -port 443" В IE проверили, не работает Цитата:csptest -tlsc -server gost.vsopen.ru -port 443
csptest: unrecognized option `-tlsc'
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec
[ErrorCode: 0x00000002]
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: roysbike csptest -tlsc -server gost.vsopen.ru -port 443
csptest: unrecognized option `-tlsc'
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec
[ErrorCode: 0x00000002]
Подсказывают, что на юниксах не csptest, а csptestf |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.10.2016(UTC) Сообщений: 16 Откуда: Белгород
|
Автор: pd Автор: roysbike csptest -tlsc -server gost.vsopen.ru -port 443
csptest: unrecognized option `-tlsc'
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec
[ErrorCode: 0x00000002]
Подсказывают, что на юниксах не csptest, а csptestf Цитата:
./csptestf -tlsc -server gost.vsopen.ru -port 443 -v -v
6 algorithms supported:
[0] 1.2.643.2.2.21 (ГОСТ 28147-89)
[1] 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[2] 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 bit)
[3] 0x801f
[4] 1.2.643.2.2.20 (ГОСТ Р 34.10-94)
[5] 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
Cipher strengths: 256..256
Supported protocols: 0x80
Protocol version: 3.1
ClientHello: RecordLayer: TLS, Len: 85
Cipher Suites: (ff 85) (00 81) (00 32) (00 31)
*****
**** Server unexpectedly disconnected
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/WebClient.c:575:Error performing handshake.
Error number 0x80090304 (2148074244).
The Local Security Authority cannot be contacted
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/WebClient.c:2834:Socket shutdown()
Error number 0x80090304 (2148074244).
The Local Security Authority cannot be contacted
Total: SYS: 0,020 sec USR: 0,040 sec UTC: 0,070 sec
[ErrorCode: 0x80090304]
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: roysbike **** Server unexpectedly disconnected
Как говорилось ранее, у нас есть ветка на форуме с описанием установки nginx + gost_capi по шагам: http://www.cryptopro.ru/...ts&m=57216#post57216Пробовали её на чистую установку? Просто мы не видим у вас никакой специфики, которая может приводить к подобным ошибкам. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
