Статус: Участник
Группы: Участники
Зарегистрирован: 12.05.2017(UTC) Сообщений: 11 
|
Да я уже что-то взял и предыдущий образ, с которым пробовал, и сделал заново в нём. И опять работает.)) Могло это быть из-за того, что в первый раз я не выполнял команду /opt/cprocsp/sbin/amd64/cpconfig -ini '\config\apppath' -add string libcurl.so /usr/lib64/libcurl.so.4 ? Вроде всё остальное делал абсолютно идентично... P.S: Разве что актуальна проблема с генерацией ключей при установленном KC2 - она не работает, т.к., видимо, пытается запросить пароль с терминала изнутри cryptsrv, который запущен в бэкграунде. Но к настройке nginx это отношения не имеет. Отредактировано пользователем 24 мая 2017 г. 0:25:42(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.04.2014(UTC) Сообщений: 31 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: vitalif  Да я уже что-то взял и предыдущий образ, с которым пробовал, и сделал заново в нём. И опять работает.))
Могло это быть из-за того, что в первый раз я не выполнял команду
/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\apppath' -add string libcurl.so /usr/lib64/libcurl.so.4
?
Вроде всё остальное делал абсолютно идентично... Если не выполнялась эта команда, то CSP не знал пути к нужной для его работы библиотеке, поэтому важно всё же настраивать по инструкции Автор: vitalif P.S: Разве что актуальна проблема с генерацией ключей при установленном KC2 - она не работает, т.к., видимо, пытается запросить пароль с терминала изнутри cryptsrv, который запущен в бэкграунде. Но к настройке nginx это отношения не имеет. Если КС1 и КС2 устанавливались в указанном порядке, то генерация работает, если в обратном, то для работы потребуются другие источники случайных чисел и без их настройки ключи генерироваться не будут. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 31.05.2017(UTC)
Сообщений: 18
Сказал(а) «Спасибо»: 1 раз
|
Не могу победить проблему: Установил стенд по инструкции, в т.ч. gost_capi с форума Все делал под рутом: Сгенерировал ключ средствами криптопро: Цитата:# ./certmgr -list -store uMy Certmgr 1.0 (c) "CryptoPro", 2007-2010. program for managing certificates, CRLs and stores ============================================================================= 1------- Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2 Subject : CN=test.local Serial : 0x12001CE2D0B8AE1C1BA49CD1C90000001CE2D0 SHA1 Hash : 0x4d3a854104699eed87167d9e488f305d22f475ef SubjKeyID : ee92f674b06bdb383123a0cab14cb86f90caeae7 Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 02/06/2017 13:46:25 UTC Not valid after : 02/09/2017 13:56:25 UTC PrivateKey Link : Yes Container : HDIMAGE\\testrcon.000\253E Provider Name : Crypto-Pro GOST R 34.10-2001 KC2 CSP Provider Info : ProvType: 75, KeySpec: 1, Flags: 0x0 CA cert URL : http://testca.cryptopro....%20Test%20Center%202.crtOCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srfCDP : http://testca.cryptopro....%20Test%20Center%202.crlExtended Key Usage : 1.3.6.1.5.5.7.3.1 ============================================================================= Экспортировал, перекодировал: Цитата:# ./certmgr -export -store uMy -dest /etc/nginx/mycert.cer Certmgr 1.0 (c) "CryptoPro", 2007-2010. program for managing certificates, CRLs and stores Exporting: ============================================================================= 1------- Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2 Subject : CN=test.local Serial : 0x12001CE2D0B8AE1C1BA49CD1C90000001CE2D0 SHA1 Hash : 0x4d3a854104699eed87167d9e488f305d22f475ef SubjKeyID : ee92f674b06bdb383123a0cab14cb86f90caeae7 Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 02/06/2017 13:46:25 UTC Not valid after : 02/09/2017 13:56:25 UTC PrivateKey Link : Yes Container : HDIMAGE\\testrcon.000\253E Provider Name : Crypto-Pro GOST R 34.10-2001 KC2 CSP Provider Info : ProvType: 75, KeySpec: 1, Flags: 0x0 CA cert URL : http://testca.cryptopro....%20Test%20Center%202.crtOCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srfCDP : http://testca.cryptopro....%20Test%20Center%202.crlExtended Key Usage : 1.3.6.1.5.5.7.3.1 ============================================================================= Export complete [ErrorCode: 0x00000000] Цитата:# openssl engine
(dynamic) Dynamic engine loading support
(4758cca) IBM 4758 CCA hardware engine support
(aep) Aep hardware engine support
(atalla) Atalla hardware engine support
(cswift) CryptoSwift hardware engine support
(chil) CHIL hardware engine support
(nuron) Nuron hardware engine support
(sureware) SureWare hardware engine support
(ubsec) UBSEC hardware engine support
(gost) Reference implementation of GOST engine
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 147098 $)
Цитата:openssl x509 -inform DER -outform PEM -in mycert.cer -out mycert.cer.pem Для тестирования подписал файл: Цитата:# openssl cms -sign -engine gost_capi -keyform ENGINE -inkey test.local -in "nginx.conf" -out "nginx.conf.signed" -outform PEM -CAfile /etc/nginx/mycert.cer.pem -nodetach -signer /etc/nginx/mycert.cer.pem
engine "gost_capi" set.
Сконфигурировал nginx: Цитата:user root;
...
server {
ssl on;
listen 443 ssl;
server_name localhost;
ssl_certificate /etc/nginx/mycert.cer.pem;
ssl_certificate_key engine:gost_capi:test.local;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols TLSv1.2;
ssl_ciphers HIGH:MEDIUM:+GOST2001-GOST89;
ssl_prefer_server_ciphers on;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
}
Но вот что в итоге: Цитата:# /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/mycert.cer.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)
Все операции проводил в linux, окончания строк проверил. Отредактировано пользователем 2 июня 2017 г. 20:09:26(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 31.05.2017(UTC)
Сообщений: 18
Сказал(а) «Спасибо»: 1 раз
|
возможно, nginx вызывает не тот openssl? В системе уже был установлен родной. Скомпилировал ваш с git, установил и создал ссылку на него. Результат работы в предыдущем сообщении, т.е. gost_capi виден. Цитата:# nginx -v
nginx version: nginx/1.12.0
Отредактировано пользователем 2 июня 2017 г. 20:01:58(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: sturi7l unsupported algorithm error Говорит о том, что в openssl, которым пользуется nginx, нет поддержки ГОСТ, совсем. Возможно, что консольный openssl отличается от используемого в nginx, или openssl в nginx использует отличную от консольной конфигурацию openssl. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 31.05.2017(UTC)
Сообщений: 18
Сказал(а) «Спасибо»: 1 раз
|
Пока без результатов: Цитата:# export
declare -x LD_LIBRARY_PATH="/usr/local/ssl/lib/:/opt/cprocsp/cp-openssl/lib/amd64/engines/:/opt/cprocsp/lib/amd64/:"
# nginx -c /etc/nginx/nginx.conf
nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/ipcert.crt.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib) Цитата:# cat /etc/ld.so.conf
/opt/cprocsp/lib/amd64
include ld.so.conf.d/*.conf
или не все пути учел? Отредактировано пользователем 5 июня 2017 г. 10:44:16(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: sturi7l или не все пути учел? ldd на nginx что говорит? |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 31.05.2017(UTC)
Сообщений: 18
Сказал(а) «Спасибо»: 1 раз
|
Цитата:# ldd /usr/sbin/nginx
linux-vdso.so.1 => (0x00007ffd27e79000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007fa14d017000)
libpthread.so.0 => /lib64/libpthread.so.0 (0x00007fa14cdfa000)
libcrypt.so.1 => /lib64/libcrypt.so.1 (0x00007fa14cbc3000)
libpcre.so.1 => /lib64/libpcre.so.1 (0x00007fa14c962000)
libssl.so.10 => /lib64/libssl.so.10 (0x00007fa14c6f3000)
libcrypto.so.10 => /lib64/libcrypto.so.10 (0x00007fa14c309000)
libz.so.1 => /lib64/libz.so.1 (0x00007fa14c0f3000)
libc.so.6 => /lib64/libc.so.6 (0x00007fa14bd31000)
/lib64/ld-linux-x86-64.so.2 (0x00007fa14d572000)
libfreebl3.so => /lib64/libfreebl3.so (0x00007fa14bb2e000)
libgssapi_krb5.so.2 => /lib64/libgssapi_krb5.so.2 (0x00007fa14b8e0000)
libkrb5.so.3 => /lib64/libkrb5.so.3 (0x00007fa14b5f8000)
libcom_err.so.2 => /lib64/libcom_err.so.2 (0x00007fa14b3f4000)
libk5crypto.so.3 => /lib64/libk5crypto.so.3 (0x00007fa14b1c2000)
libkrb5support.so.0 => /lib64/libkrb5support.so.0 (0x00007fa14afb2000)
libkeyutils.so.1 => /lib64/libkeyutils.so.1 (0x00007fa14adae000)
libresolv.so.2 => /lib64/libresolv.so.2 (0x00007fa14ab94000)
libselinux.so.1 => /lib64/libselinux.so.1 (0x00007fa14a96c000)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: sturi7l Цитата:# ldd /usr/sbin/nginx
linux-vdso.so.1 => (0x00007ffd27e79000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007fa14d017000)
libpthread.so.0 => /lib64/libpthread.so.0 (0x00007fa14cdfa000)
libcrypt.so.1 => /lib64/libcrypt.so.1 (0x00007fa14cbc3000)
libpcre.so.1 => /lib64/libpcre.so.1 (0x00007fa14c962000)
libssl.so.10 => /lib64/libssl.so.10 (0x00007fa14c6f3000)
libcrypto.so.10 => /lib64/libcrypto.so.10 (0x00007fa14c309000)
libz.so.1 => /lib64/libz.so.1 (0x00007fa14c0f3000)
libc.so.6 => /lib64/libc.so.6 (0x00007fa14bd31000)
/lib64/ld-linux-x86-64.so.2 (0x00007fa14d572000)
libfreebl3.so => /lib64/libfreebl3.so (0x00007fa14bb2e000)
libgssapi_krb5.so.2 => /lib64/libgssapi_krb5.so.2 (0x00007fa14b8e0000)
libkrb5.so.3 => /lib64/libkrb5.so.3 (0x00007fa14b5f8000)
libcom_err.so.2 => /lib64/libcom_err.so.2 (0x00007fa14b3f4000)
libk5crypto.so.3 => /lib64/libk5crypto.so.3 (0x00007fa14b1c2000)
libkrb5support.so.0 => /lib64/libkrb5support.so.0 (0x00007fa14afb2000)
libkeyutils.so.1 => /lib64/libkeyutils.so.1 (0x00007fa14adae000)
libresolv.so.2 => /lib64/libresolv.so.2 (0x00007fa14ab94000)
libselinux.so.1 => /lib64/libselinux.so.1 (0x00007fa14a96c000)
Как видите, ваш nginx работает с системным openssl |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
