Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<2425262728>»
Опции
К последнему сообщению К первому непрочитанному
Offline vitalif  
#251 Оставлено : 24 мая 2017 г. 0:24:32(UTC)
vitalif

Статус: Участник

Группы: Участники
Зарегистрирован: 12.05.2017(UTC)
Сообщений: 11
Российская Федерация

Да я уже что-то взял и предыдущий образ, с которым пробовал, и сделал заново в нём. И опять работает.))

Могло это быть из-за того, что в первый раз я не выполнял команду

/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\apppath' -add string libcurl.so /usr/lib64/libcurl.so.4

?

Вроде всё остальное делал абсолютно идентично...

P.S: Разве что актуальна проблема с генерацией ключей при установленном KC2 - она не работает, т.к., видимо, пытается запросить пароль с терминала изнутри cryptsrv, который запущен в бэкграунде. Но к настройке nginx это отношения не имеет.

Отредактировано пользователем 24 мая 2017 г. 0:25:42(UTC)  | Причина: Не указана

Offline ElenaS  
#252 Оставлено : 24 мая 2017 г. 13:54:37(UTC)
Елена Серебренникова

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.04.2014(UTC)
Сообщений: 31
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Автор: vitalif Перейти к цитате
Да я уже что-то взял и предыдущий образ, с которым пробовал, и сделал заново в нём. И опять работает.))

Могло это быть из-за того, что в первый раз я не выполнял команду

/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\apppath' -add string libcurl.so /usr/lib64/libcurl.so.4

?

Вроде всё остальное делал абсолютно идентично...


Если не выполнялась эта команда, то CSP не знал пути к нужной для его работы библиотеке, поэтому важно всё же настраивать по инструкции

Автор: vitalif Перейти к цитате
P.S: Разве что актуальна проблема с генерацией ключей при установленном KC2 - она не работает, т.к., видимо, пытается запросить пароль с терминала изнутри cryptsrv, который запущен в бэкграунде. Но к настройке nginx это отношения не имеет.


Если КС1 и КС2 устанавливались в указанном порядке, то генерация работает, если в обратном, то для работы потребуются другие источники случайных чисел и без их настройки ключи генерироваться не будут.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline sturi7l  
#253 Оставлено : 2 июня 2017 г. 18:53:47(UTC)
sturi7l

Статус: Участник

Группы: Участники
Зарегистрирован: 31.05.2017(UTC)
Сообщений: 18

Сказал(а) «Спасибо»: 1 раз
Не могу победить проблему:

Установил стенд по инструкции, в т.ч. gost_capi с форума

Все делал под рутом:

Сгенерировал ключ средствами криптопро:

Цитата:
# ./certmgr -list -store uMy
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : CN=test.local
Serial : 0x12001CE2D0B8AE1C1BA49CD1C90000001CE2D0
SHA1 Hash : 0x4d3a854104699eed87167d9e488f305d22f475ef
SubjKeyID : ee92f674b06bdb383123a0cab14cb86f90caeae7
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 02/06/2017 13:46:25 UTC
Not valid after : 02/09/2017 13:56:25 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\testrcon.000\253E
Provider Name : Crypto-Pro GOST R 34.10-2001 KC2 CSP
Provider Info : ProvType: 75, KeySpec: 1, Flags: 0x0
CA cert URL : http://testca.cryptopro....%20Test%20Center%202.crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro....%20Test%20Center%202.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1
=============================================================================


Экспортировал, перекодировал:

Цитата:
# ./certmgr -export -store uMy -dest /etc/nginx/mycert.cer
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores

Exporting:
=============================================================================
1-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : CN=test.local
Serial : 0x12001CE2D0B8AE1C1BA49CD1C90000001CE2D0
SHA1 Hash : 0x4d3a854104699eed87167d9e488f305d22f475ef
SubjKeyID : ee92f674b06bdb383123a0cab14cb86f90caeae7
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 02/06/2017 13:46:25 UTC
Not valid after : 02/09/2017 13:56:25 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\testrcon.000\253E
Provider Name : Crypto-Pro GOST R 34.10-2001 KC2 CSP
Provider Info : ProvType: 75, KeySpec: 1, Flags: 0x0
CA cert URL : http://testca.cryptopro....%20Test%20Center%202.crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro....%20Test%20Center%202.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1
=============================================================================
Export complete

[ErrorCode: 0x00000000]


Цитата:
# openssl engine
(dynamic) Dynamic engine loading support
(4758cca) IBM 4758 CCA hardware engine support
(aep) Aep hardware engine support
(atalla) Atalla hardware engine support
(cswift) CryptoSwift hardware engine support
(chil) CHIL hardware engine support
(nuron) Nuron hardware engine support
(sureware) SureWare hardware engine support
(ubsec) UBSEC hardware engine support
(gost) Reference implementation of GOST engine
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 147098 $)


Цитата:
openssl x509 -inform DER -outform PEM -in mycert.cer -out mycert.cer.pem


Для тестирования подписал файл:

Цитата:
# openssl cms -sign -engine gost_capi -keyform ENGINE -inkey test.local -in "nginx.conf" -out "nginx.conf.signed" -outform PEM -CAfile /etc/nginx/mycert.cer.pem -nodetach -signer /etc/nginx/mycert.cer.pem
engine "gost_capi" set.


Сконфигурировал nginx:

Цитата:
user root;

...

server {

ssl on;

listen 443 ssl;
server_name localhost;

ssl_certificate /etc/nginx/mycert.cer.pem;
ssl_certificate_key engine:gost_capi:test.local;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols TLSv1.2;
ssl_ciphers HIGH:MEDIUM:+GOST2001-GOST89;
ssl_prefer_server_ciphers on;

location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
}


Но вот что в итоге:

Цитата:
# /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/mycert.cer.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)


Все операции проводил в linux, окончания строк проверил.

Отредактировано пользователем 2 июня 2017 г. 20:09:26(UTC)  | Причина: Не указана

Offline sturi7l  
#254 Оставлено : 2 июня 2017 г. 19:57:46(UTC)
sturi7l

Статус: Участник

Группы: Участники
Зарегистрирован: 31.05.2017(UTC)
Сообщений: 18

Сказал(а) «Спасибо»: 1 раз
возможно, nginx вызывает не тот openssl?
В системе уже был установлен родной. Скомпилировал ваш с git, установил и создал ссылку на него. Результат работы в предыдущем сообщении, т.е. gost_capi виден.

Цитата:
# nginx -v
nginx version: nginx/1.12.0

Отредактировано пользователем 2 июня 2017 г. 20:01:58(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#255 Оставлено : 2 июня 2017 г. 20:48:24(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: sturi7l Перейти к цитате
unsupported algorithm error

Говорит о том, что в openssl, которым пользуется nginx, нет поддержки ГОСТ, совсем.

Возможно, что консольный openssl отличается от используемого в nginx, или openssl в nginx использует отличную от консольной конфигурацию openssl.
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#256 Оставлено : 2 июня 2017 г. 20:50:43(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: sturi7l Перейти к цитате
В системе уже был установлен родной. Скомпилировал ваш с git, установил и создал ссылку на него. Результат работы в предыдущем сообщении, т.е. gost_capi виден.

Натравите на него nginx: https://stackoverflow.co...ork-with-updated-openssl

Знания в базе знаний, поддержка в техподдержке
Offline sturi7l  
#257 Оставлено : 5 июня 2017 г. 10:38:32(UTC)
sturi7l

Статус: Участник

Группы: Участники
Зарегистрирован: 31.05.2017(UTC)
Сообщений: 18

Сказал(а) «Спасибо»: 1 раз
Пока без результатов:

Цитата:
# export
declare -x LD_LIBRARY_PATH="/usr/local/ssl/lib/:/opt/cprocsp/cp-openssl/lib/amd64/engines/:/opt/cprocsp/lib/amd64/:"

# nginx -c /etc/nginx/nginx.conf
nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/ipcert.crt.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)


Цитата:
# cat /etc/ld.so.conf
/opt/cprocsp/lib/amd64
include ld.so.conf.d/*.conf


или не все пути учел?

Отредактировано пользователем 5 июня 2017 г. 10:44:16(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#258 Оставлено : 5 июня 2017 г. 11:25:23(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: sturi7l Перейти к цитате
или не все пути учел?

ldd на nginx что говорит?

Знания в базе знаний, поддержка в техподдержке
Offline sturi7l  
#259 Оставлено : 5 июня 2017 г. 11:40:56(UTC)
sturi7l

Статус: Участник

Группы: Участники
Зарегистрирован: 31.05.2017(UTC)
Сообщений: 18

Сказал(а) «Спасибо»: 1 раз
Цитата:
# ldd /usr/sbin/nginx
linux-vdso.so.1 => (0x00007ffd27e79000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007fa14d017000)
libpthread.so.0 => /lib64/libpthread.so.0 (0x00007fa14cdfa000)
libcrypt.so.1 => /lib64/libcrypt.so.1 (0x00007fa14cbc3000)
libpcre.so.1 => /lib64/libpcre.so.1 (0x00007fa14c962000)
libssl.so.10 => /lib64/libssl.so.10 (0x00007fa14c6f3000)
libcrypto.so.10 => /lib64/libcrypto.so.10 (0x00007fa14c309000)
libz.so.1 => /lib64/libz.so.1 (0x00007fa14c0f3000)
libc.so.6 => /lib64/libc.so.6 (0x00007fa14bd31000)
/lib64/ld-linux-x86-64.so.2 (0x00007fa14d572000)
libfreebl3.so => /lib64/libfreebl3.so (0x00007fa14bb2e000)
libgssapi_krb5.so.2 => /lib64/libgssapi_krb5.so.2 (0x00007fa14b8e0000)
libkrb5.so.3 => /lib64/libkrb5.so.3 (0x00007fa14b5f8000)
libcom_err.so.2 => /lib64/libcom_err.so.2 (0x00007fa14b3f4000)
libk5crypto.so.3 => /lib64/libk5crypto.so.3 (0x00007fa14b1c2000)
libkrb5support.so.0 => /lib64/libkrb5support.so.0 (0x00007fa14afb2000)
libkeyutils.so.1 => /lib64/libkeyutils.so.1 (0x00007fa14adae000)
libresolv.so.2 => /lib64/libresolv.so.2 (0x00007fa14ab94000)
libselinux.so.1 => /lib64/libselinux.so.1 (0x00007fa14a96c000)
Offline Дмитрий Пичулин  
#260 Оставлено : 5 июня 2017 г. 11:42:48(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: sturi7l Перейти к цитате
Цитата:
# ldd /usr/sbin/nginx
linux-vdso.so.1 => (0x00007ffd27e79000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007fa14d017000)
libpthread.so.0 => /lib64/libpthread.so.0 (0x00007fa14cdfa000)
libcrypt.so.1 => /lib64/libcrypt.so.1 (0x00007fa14cbc3000)
libpcre.so.1 => /lib64/libpcre.so.1 (0x00007fa14c962000)
libssl.so.10 => /lib64/libssl.so.10 (0x00007fa14c6f3000)
libcrypto.so.10 => /lib64/libcrypto.so.10 (0x00007fa14c309000)
libz.so.1 => /lib64/libz.so.1 (0x00007fa14c0f3000)
libc.so.6 => /lib64/libc.so.6 (0x00007fa14bd31000)
/lib64/ld-linux-x86-64.so.2 (0x00007fa14d572000)
libfreebl3.so => /lib64/libfreebl3.so (0x00007fa14bb2e000)
libgssapi_krb5.so.2 => /lib64/libgssapi_krb5.so.2 (0x00007fa14b8e0000)
libkrb5.so.3 => /lib64/libkrb5.so.3 (0x00007fa14b5f8000)
libcom_err.so.2 => /lib64/libcom_err.so.2 (0x00007fa14b3f4000)
libk5crypto.so.3 => /lib64/libk5crypto.so.3 (0x00007fa14b1c2000)
libkrb5support.so.0 => /lib64/libkrb5support.so.0 (0x00007fa14afb2000)
libkeyutils.so.1 => /lib64/libkeyutils.so.1 (0x00007fa14adae000)
libresolv.so.2 => /lib64/libresolv.so.2 (0x00007fa14ab94000)
libselinux.so.1 => /lib64/libselinux.so.1 (0x00007fa14a96c000)

Как видите, ваш nginx работает с системным openssl
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (6)
67 Страницы«<2425262728>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.