Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Автор: stufford  Не хочет без рута..You cannot open privileged ports (<=1024) as non-root На тривиальные вопросы обычно уже есть ответ. Постарайтесь использовать форум для решения нерешённых задач. Почему nginx запускается от root, коротко: http://unix.stackexchang...x-starts-process-as-root |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.01.2017(UTC) Сообщений: 30  Откуда: moscow Сказал(а) «Спасибо»: 2 раз
|
Автор: pd Автор: stufford Не хочет без рута..You cannot open privileged ports (<=1024) as non-root На тривиальные вопросы обычно уже есть ответ. Постарайтесь использовать форум для решения нерешённых задач. Почему nginx запускается от root, коротко: http://unix.stackexchang...x-starts-process-as-root Дмитрий, благодарю за ссылку. Все понял, запустил nginx от www-data Вопрос в другом - а той ли дорогой я иду? Мне нужно, что бы php увидел контейнер и сертификат на сервере. Apache то тоже запускает мастер под рутом, чилды от www-data Может я зря колбашу все порты на nginx и apache? может есть более красивое решение? Дмитрий, надеюсь на Ваш совет :)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Автор: stufford может есть более красивое решение? Смотрите в сторону nginx прокси, который только принимает TLS-соединения и распределяет потоки дальше. Этот подход позволяет минимизировать зависимости сервисов от особенностей друг друга. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
nginx обновил стабильную ветку до версии 1.12.0, что дало возможность организовать одновременную работу на ГОСТ и RSA сертификатах прямо из коробки. Да, теперь патчить nginx не нужно совсем, ура!Однако, для типичной работы ГОСТ TLS в nginx (сначала ГОСТ потом RSA), следует использовать приоритеты шифросюит (сначала ГОСТ потом всё остальное), например так: Код:ssl_ciphers GOST2001-GOST89-GOST89:HIGH;
Как обычно, наша версия nginx с динамической компоновкой и встроенной библиотекой gost_capi доступна на GitHub: https://github.com/deemru/nginx/releases/latest |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 24.04.2017(UTC) Сообщений: 1
|
Подскажите смогу ли я использовать данный модель из ruby через OpenSSL ?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Автор: voe Подскажите смогу ли я использовать данный модель из ruby через OpenSSL ? Если Ruby умеет использовать OpenSSL ENGINE, то противоречий не наблюдается. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.05.2017(UTC) Сообщений: 11
|
Здравствуйте!
Не получается задействовать одновременно ГОСТ и RSA в nginx (linux redhat/centos 7). Не работает ни в 3.9, ни в 4.0.
Точнее, вообще не получается задействовать RSA при включённом в openssl.cnf gost_capi - даже если убрать ГОСТ сертификат и шифр из конфига nginx и оставить 2 стандартные строчки с RSAшным сертификатом+ключом - соединение установить невозможно. Лучшее чего я добиваюсь - это
4146502016:error:140943FC:SSL routines:ssl3_read_bytes:sslv3 alert bad record mac:../ssl/record/rec_layer_s3.c:1385:SSL alert number 20
при попытке сделать openssl s_client -connect localhost:8159 -tls1 -cipher AES256-SHA.
При этом, если просто ОТКЛЮЧИТЬ gost_capi в openssl.cnf, та же конфигурация работает. Такая шляпа что со стандартным RHEL'овским OpenSSL 1.0.1, что с вашим cpopenssl (1.0.2).
Ответьте пожалуйста, что делать?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Автор: vitalif Точнее, вообще не получается задействовать RSA при включённом в openssl.cnf Покажите конфиг. Где брали и как устанавливали gost_capi? |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.05.2017(UTC) Сообщений: 11
|
gost_capi брал из состава дистрибутива криптопро 3.9 и 4.0 для linux amd64 в rpm. Engine gost_capi в cpopenssl подключен был сразу после установки, также проверял, отдельно подключая его в обычный openssl. RSA перестает работать даже с простейшей конфигурацией nginx из 2-х строчек ssl_certificate xxx.pem; ssl_certificate_key xxx.key; При подключенном gost_capi даже перестает работать генерация сертификата в openssl, например самоподписанного /opt/cprocsp/cp-openssl/bin/amd64/openssl req -days 3650 -x509 -new -nodes -keyout test-rsa2.key -out test-rsa2.pem Если при этом убрать gost_capi в /var/opt/cprocsp/cp-openssl/openssl.cnf - начинает работать nginx обычный, не патченый. Из репозитория с офиц сайта nginx. Гост (без rsa) через gost_capi в нем работает нормально. Я все это гонял на чистых виртуалках, так что воспроизводится просто - по сути, надо скачать образ виртуалки centos 7 amd64 и просто поставить пакеты криптопро 3.9 или 4.0. Дальше, вне зависимости от kc1 или kc2, команда выше (генерация rsa серта) уже работать не будет Отредактировано пользователем 18 мая 2017 г. 11:01:42(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Автор: vitalif gost_capi брал из состава дистрибутива криптопро 3.9 и 4.0 для linux amd64 в rpm. ... Вы не прислали конфиг openssl. Похоже, что вы неверно установили gost_capi. По этой инструкции пробовали развернуть стенд? |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
