Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

6 Страницы«<3456>
Опции
К последнему сообщению К первому непрочитанному
Offline xtn46418  
#81 Оставлено : 29 сентября 2017 г. 17:34:17(UTC)
xtn46418

Статус: Участник

Группы: Участники
Зарегистрирован: 29.09.2017(UTC)
Сообщений: 14

Сказал(а) «Спасибо»: 1 раз
похоже openssl криво или не полностью установился..
ldd c каким путем вводить?

"yum install openssl
Загружены модули: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
* base: mirror.logol.ru
* extras: mirror.logol.ru
* updates: mirror.logol.ru
Пакет 1:openssl-1.0.2k-8.el7.x86_64 уже установлен, и это последняя версия.
Выполнять нечего"

Отредактировано пользователем 29 сентября 2017 г. 17:36:53(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#82 Оставлено : 29 сентября 2017 г. 17:38:35(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: xtn46418 Перейти к цитате
ldd c каким путем вводить?

С путём приложения openssl

Знания в базе знаний, поддержка в техподдержке
Offline xtn46418  
#83 Оставлено : 29 сентября 2017 г. 18:00:39(UTC)
xtn46418

Статус: Участник

Группы: Участники
Зарегистрирован: 29.09.2017(UTC)
Сообщений: 14

Сказал(а) «Спасибо»: 1 раз
UserPostedImage

Отредактировано пользователем 29 сентября 2017 г. 18:09:13(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#84 Оставлено : 29 сентября 2017 г. 18:08:08(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: xtn46418 Перейти к цитате
UserPostedImage

Как видите, именование библиотеки у вас в системе специфическое "libcrypto.so.10", а gost_capi ищет "libcrypto.so.1.0.0".

Сделайте симлинк -- должно помочь.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
xtn46418 оставлено 02.10.2017(UTC)
Offline xtn46418  
#85 Оставлено : 2 октября 2017 г. 11:41:01(UTC)
xtn46418

Статус: Участник

Группы: Участники
Зарегистрирован: 29.09.2017(UTC)
Сообщений: 14

Сказал(а) «Спасибо»: 1 раз
Добрый день! Помогло переименование библиотеки..
вроде все настроила, но вот удивительное дело - на компах коллег все корректно отрабатывает, с моего же компьютера -нет. Судя по дампу, клиент не предлагает использовать алгоритм Гост и рукопожатие срывается (
в чем может быть причина? может есть какие-либо обязательные настройки клиента? (сертификат сервера и тестового УЦ КриптоПро установлены в доверенные корневые центры сертификации, в hosts прописан резолв домена)
в качестве клиента использую IE11 и КриптоПроФокс
CSP 4.0.9842, лицензия тестовая действующая
пробовала переустановить CSP и сбросить найстроки IE - результат тот же
http://rgho.st/82RQzNrvZ
Offline xtn46418  
#86 Оставлено : 2 октября 2017 г. 14:47:39(UTC)
xtn46418

Статус: Участник

Группы: Участники
Зарегистрирован: 29.09.2017(UTC)
Сообщений: 14

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
Автор: xtn46418 Перейти к цитате
UserPostedImage

Как видите, именование библиотеки у вас в системе специфическое "libcrypto.so.10", а gost_capi ищет "libcrypto.so.1.0.0".

Сделайте симлинк -- должно помочь.

Еще вопрос - возможно же настроить двухстороннюю аутентификацию ?
Дописываю в конфиг nginx директивы:
ssl_client_certificate /opt/nginx/conf/CertClient.cer;
ssl_verify_client on;
Offline Albert.Lutskovich  
#87 Оставлено : 2 ноября 2017 г. 17:58:27(UTC)
Albert.Lutskovich

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.11.2017(UTC)
Сообщений: 1
Российская Федерация
Откуда: Уфа

Добрый день!

Развернул nginx-сервер для работы с TLS в связке с КриптоПро. Всё настроено согласно инструкции в данной теме.
В результате при обращении к nginx-серверу по протоколу TLS с отечественными криптоалгоритмами всё прекрасно работает у клиентов с ОС Win7 и Win8 (КриптоПро 4.0.9842), но не проходит handshake в связке win10+IE11 и win10+Edge (криптопровайдер тот же). В IE11 выдается следующее сообщение:
Цитата:

Включите TLS 1.0, TLS 1.1 и TLS 1.2 в дополнительных параметрах и повторите попытку подключения к https://ХХХХХ.ХХ . Если ошибка повторяется, возможно, этот сайт использует неподдерживаемый протокол или комплект шифров, например RC4 (ссылка на статью со сведениями), который не считается безопасным. Обратитесь к администратору сайта.

При этом в error.log nginx появляется следующая строка об ошибке:
Цитата:
2017/11/02 19:41:46 [crit] 1880#0: *61 SSL_do_handshake() failed (SSL: error:1408B093:SSL routines:ssl3_get_client_key_exchange:decryption failed) while SSL handshaking, client: XXX.XXX.XX.XX, server: 0.0.0.0:443


Связка Win10+CryptoPro Fox - работает.
Помогите пожалуйста с советом куда копать чтобы IE и Edge в Win10 полноценно могли работать с web-сервером на базе TLS ГОСТ.

ОС: CentOS Linux release 7.4.1708 (Core)
NGINX: 1.10.2
OpenSSL 1.0.2k-fips 26 Jan 2017
КриптоПро 4.0.9929 x86_64
Offline Дмитрий Пичулин  
#88 Оставлено : 2 ноября 2017 г. 18:53:17(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: Albert.Lutskovich Перейти к цитате
но не проходит handshake в связке win10+IE11 и win10+Edge

В просмотре событий Windows есть ошибки? И какая у вас точно Windows 10?

Можете прислать дамп трафика для анализа?

Знания в базе знаний, поддержка в техподдержке
Offline chemtech  
#89 Оставлено : 2 ноября 2017 г. 20:21:30(UTC)
chemtech

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
Подскажите, пожалуйста, как вы справились с этой ошибкой
Код:
nginx: [emerg] PEM_read_bio_X509_AUX("/etc/nginx/srvtest.cer") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: TRUSTED CERTIFICATE)
nginx -v
nginx version: nginx/1.12.2
openssl 1.0.2k-8.el7
CentOS Linux release 7.4.1708 (Core)

Заранее спасибо.

Отредактировано пользователем 3 ноября 2017 г. 6:08:17(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#90 Оставлено : 3 ноября 2017 г. 12:31:42(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: chemtech Перейти к цитате
Подскажите, пожалуйста, как вы справились с этой ошибкой
Код:
nginx: [emerg] PEM_read_bio_X509_AUX("/etc/nginx/srvtest.cer") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: TRUSTED CERTIFICATE)

Похоже на ошибку DER vs. PEM, возможно вы пропустили этот шаг: https://github.com/fulli...ost/install-certs.sh#L13
Знания в базе знаний, поддержка в техподдержке
Offline d.pavlukhin  
#91 Оставлено : 3 мая 2018 г. 11:59:56(UTC)
d.pavlukhin

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.10.2017(UTC)
Сообщений: 6
Российская Федерация

Добрый день! Произведена установка по инструкции, nginx ругается на неподдерживаемые алгоритмы.

Код:
nginx: [emerg] SSL_CTX_use_certificate("/home/creator/GOSTHOSTtrue.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)
nginx: configuration file /etc/nginx/nginx.conf test failed 


Версия nginx
Код:
nginx version: nginx/1.12.1 (Ubuntu)


Настройка nginx

Код:
server {
        listen 80 default_server;
        listen 443 ssl;
        listen [::]:80 default_server;

        ssl_certificate      /home/creator/GOSTHOSTtrue.pem;
        ssl_certificate_key  engine:gost_capi:GOSTHOST;
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  5m;
        ssl_protocols               TLSv1;
        ssl_ciphers  HIGH:MEDIUM:+GOST2001-GOST89;
        ssl_prefer_server_ciphers   on;



OpenSSL

Код:
 openssl engine
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 147098 $)


Установленный сертификат:

Код:
creator@creator-virtual-machine:~$ sudo /opt/cprocsp/bin/amd64/certmgr -list
Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer              : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : CN=GOSTHOST
Serial              : 0x1200283CD568282BF628AD3924000000283CD5
SHA1 Hash           : 0xe785ab436d1adbf4ec7d531e792657c9e687c3c9
SubjKeyID           : bd924a80a4d2acae6e75d0cbb0746d399830f367
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before    : 28/04/2018  12:04:16 UTC
Not valid after     : 28/07/2018  12:14:16 UTC
PrivateKey Link     : Yes
Container           : FLASH\\keysgost.000\430A
Provider Name       : Crypto-Pro GOST R 34.10-2001 KC2 CSP
Provider Info       : ProvType: 75, KeySpec: 1, Flags: 0x0
CA cert URL         : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL            : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP                 : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.1
=============================================================================

[ErrorCode: 0x00000000]


Если вместо .pem подставить его .cer аналог

Код:
nginx: [emerg] PEM_read_bio_X509_AUX("/home/creator/GOSTHOSTtrue.cer") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: TRUSTED CERTIFICATE)
nginx: configuration file /etc/nginx/nginx.conf test failed


Экспорт производился командой openssl x509 -inform DER -outform PEM -in mycert.cer -out mycert.pem
Offline ElenaS  
#92 Оставлено : 3 мая 2018 г. 12:59:24(UTC)
Елена Серебренникова

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.04.2014(UTC)
Сообщений: 31
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Автор: d.pavlukhin Перейти к цитате
Добрый день! Произведена установка по инструкции, nginx ругается на неподдерживаемые алгоритмы.

Код:
nginx: [emerg] SSL_CTX_use_certificate("/home/creator/GOSTHOSTtrue.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)
nginx: configuration file /etc/nginx/nginx.conf test failed 





Подскажите, в каком формате у вас установлен сертификат доверенного CA (в данном случае CRYPTO-PRO Test Center 2)?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Дмитрий Пичулин  
#93 Оставлено : 3 мая 2018 г. 13:41:23(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: d.pavlukhin Перейти к цитате
Добрый день! Произведена установка по инструкции, nginx ругается на неподдерживаемые алгоритмы.

Код:
nginx: [emerg] SSL_CTX_use_certificate("/home/creator/GOSTHOSTtrue.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)
nginx: configuration file /etc/nginx/nginx.conf test failed 

Командой ldd проверьте, что nginx использует тот же набор библиотек (libssl, libcrypto), что и приложение openssl.

Знания в базе знаний, поддержка в техподдержке
Offline d.pavlukhin  
#94 Оставлено : 4 мая 2018 г. 9:09:22(UTC)
d.pavlukhin

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.10.2017(UTC)
Сообщений: 6
Российская Федерация

Автор: ElenaS Перейти к цитате
Командой ldd проверьте, что nginx использует тот же набор библиотек (libssl, libcrypto), что и приложение openssl.


Код:
creator@creator-virtual-machine:~$  ldd `which nginx` | grep ssl
/usr/sbin/nginx: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by /usr/sbin/nginx)
/usr/sbin/nginx: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by /usr/sbin/nginx)
/usr/sbin/nginx: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by /usr/sbin/nginx)
/usr/sbin/nginx: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by /usr/sbin/nginx)
/usr/sbin/nginx: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by /usr/sbin/nginx)
        libssl.so.1.0.0 => /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0 (0x00007fe9169c2000)
        libcrypto.so.1.0.0 => /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0 (0x00007fe915a17000)
creator@creator-virtual-machine:~$  ldd `which openssl` | grep ssl
/usr/bin/openssl: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by /usr/bin/openssl)
/usr/bin/openssl: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by /usr/bin/openssl)
/usr/bin/openssl: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by /usr/bin/openssl)
/usr/bin/openssl: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by /usr/bin/openssl)
/usr/bin/openssl: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by /usr/bin/openssl)
/usr/bin/openssl: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by /usr/bin/openssl)
/usr/bin/openssl: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by /usr/bin/openssl)
        libssl.so.1.0.0 => /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0 (0x00007f3df93bf000)
        libcrypto.so.1.0.0 => /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0 (0x00007f3df8d7b000)
creator@creator-virtual-machine:~$


Вроде одно и то же

Offline d.pavlukhin  
#95 Оставлено : 4 мая 2018 г. 9:16:43(UTC)
d.pavlukhin

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.10.2017(UTC)
Сообщений: 6
Российская Федерация

Автор: ElenaS Перейти к цитате
Подскажите, в каком формате у вас установлен сертификат доверенного CA (в данном случае CRYPTO-PRO Test Center 2)?


Что касается сертификатов, я его вытащил из контейнера, который был сформирован в тестовом уц, а затем он был скорвертирован

Код:
openssl x509 -inform DER -outform PEM -in mycert.cer -out mycert.pem


Корневой явно не устанавливался, я так понял, он должен автоматически подтянуться по URL
Offline Дмитрий Пичулин  
#96 Оставлено : 4 мая 2018 г. 10:07:50(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: d.pavlukhin Перейти к цитате
Код:
/usr/sbin/nginx: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by /usr/sbin/nginx)
/usr/sbin/nginx: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by /usr/sbin/nginx)

...

/usr/bin/openssl: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by /usr/bin/openssl)
/usr/bin/openssl: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by /usr/bin/openssl)


Вроде одно и то же

Здесь ошибок нет, может openssl.cnf разный подгружается? Кстати вы его не показали.

И проходит ли тестовый "openssl cms -sign"?

Знания в базе знаний, поддержка в техподдержке
Offline d.pavlukhin  
#97 Оставлено : 7 мая 2018 г. 11:51:29(UTC)
d.pavlukhin

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.10.2017(UTC)
Сообщений: 6
Российская Федерация

Автор: pd Перейти к цитате
И проходит ли тестовый "openssl cms -sign"?


Добрый день! удалось определить что ошибка была из-за использования в публичном ключе неподдерживаемого алгоритма - ГОСТ Р 34.10-2012.

Были переизданы ключи, заново загружен сертификат (алгоритм 2001).

Настройка nginx

Код:
server {
        listen 80 default_server;
        listen 443 ssl;
        listen [::]:80 default_server;

        ssl_certificate      /home/creator/bwapp.pem;
        ssl_certificate_key  engine:gost_capi:bwapp.hostco.ru;
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  5m;
        ssl_protocols               TLSv1;
        ssl_ciphers  HIGH:MEDIUM:+GOST2001-GOST89;
        ssl_prefer_server_ciphers   on;


Установленные сертификаты

Код:
sudo /opt/cprocsp/bin/amd64/certmgr -list
Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer              : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : CN=bwapp.hostco.ru
Serial              : 0x120028851A6D019F8713BEC35D00000028851A
SHA1 Hash           : 0x6779b1f1000adc1547185a79cce07ed05659ad88
SubjKeyID           : 77cde0b1b78a02d6a4f4e58b852ff7f3e2b80592
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 07/05/2018  06:42:10 UTC
Not valid after     : 07/08/2018  06:52:10 UTC
PrivateKey Link     : Yes
Container           : FLASH\\bwapp.000\9786
Provider Name       : Crypto-Pro GOST R 34.10-2001 KC2 CSP
Provider Info       : ProvType: 75, KeySpec: 1, Flags: 0x0
CA cert URL         : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL            : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP                 : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.1
2-------
Issuer              : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : CN=GOSTHOST
Serial              : 0x1200283CD568282BF628AD3924000000283CD5
SHA1 Hash           : 0xe785ab436d1adbf4ec7d531e792657c9e687c3c9
SubjKeyID           : bd924a80a4d2acae6e75d0cbb0746d399830f367
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before    : 28/04/2018  12:04:16 UTC
Not valid after     : 28/07/2018  12:14:16 UTC
PrivateKey Link     : Yes
Container           : FLASH\\keysgost.000\430A
Provider Name       : Crypto-Pro GOST R 34.10-2001 KC2 CSP
Provider Info       : ProvType: 75, KeySpec: 1, Flags: 0x0
CA cert URL         : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL            : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP                 : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.1
=============================================================================

[ErrorCode: 0x00000000]


Теперь при запуске нет ошибок, но при этом ничего не происходит. Как будто процесс "завис"

Код:
sudo nginx -t



Процесс завис, вот что в статусе

Код:
sudo service nginx status
● nginx.service - A high performance web server and a reverse proxy server
   Loaded: loaded (/lib/systemd/system/nginx.service; enabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Mon 2018-05-07 12:36:52 +05; 1h 10min ago
     Docs: man:nginx(8)
  Process: 13007 ExecStop=/sbin/start-stop-daemon --quiet --stop --retry QUIT/5 --pidfile /run/nginx.pid (code=exited, status=0/SUCCESS)
  Process: 13110 ExecStartPre=/usr/sbin/nginx -t -q -g daemon on; master_process on; (code=exited, status=1/FAILURE)
 Main PID: 5038 (code=exited, status=0/SUCCESS)

май 07 12:36:52 creator-virtual-machine nginx[13110]: Password:Wrong pin, 1 tries left.
май 07 12:36:52 creator-virtual-machine nginx[13110]: CryptoPro CSP: Type password for container "bwapp"
май 07 12:36:52 creator-virtual-machine libcspr[13110]: capi10: CryptDestroyKey () invalid argument(s)!
май 07 12:36:52 creator-virtual-machine nginx[13110]: Password:nginx: [emerg] ENGINE_load_private_key("bwapp") failed (SSL: error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)
май 07 12:36:52 creator-virtual-machine libcspr[13110]: capi10: CryptReleaseContext () invalid argument(s)!
май 07 12:36:52 creator-virtual-machine nginx[13110]: nginx: configuration file /etc/nginx/nginx.conf test failed
май 07 12:36:52 creator-virtual-machine systemd[1]: nginx.service: Control process exited, code=exited status=1
май 07 12:36:52 creator-virtual-machine systemd[1]: Failed to start A high performance web server and a reverse proxy server.
май 07 12:36:52 creator-virtual-machine systemd[1]: nginx.service: Unit entered failed state.
май 07 12:36:52 creator-virtual-machine systemd[1]: nginx.service: Failed with result 'exit-code'.


Был запрос на вводи пароля, когда я в настройке nginx ввел неверно имя ключа bwapp вместо CN bwapp.hostco.ru . После того как все было введено верно, nginx не отвечает на запросы. Перезагрузка не помогла.


П.С.

Есть много конфигов openssl

Код:
sudo find / | grep openssl.cnf
/usr/share/doc/php-phpseclib/examples/openssl.cnf
/usr/lib/ssl/openssl.cnf
/etc/ssl/openssl.cnf
find: ‘/run/user/1000/gvfs’: Permission denied
/home/creator/Downloads/trusted-tls-3-apache-24-lnx-x64.tar/trusted-tls-3-apache-24-lnx-x64/opt/TrustedTLS-3_Apache-2.4/openssl.cnf
/var/opt/cprocsp/cp-openssl/openssl.cnf


Полагаю нужен тот что от криптопро

Код:

HOME                    = .
RANDFILE                = $ENV::HOME/.rnd

# Extra OBJECT IDENTIFIER info:
#oid_file               = $ENV::HOME/.oid
oid_section             = new_oids

openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gost_capi = gost_section

[gost_section]
engine_id = gost_capi
dynamic_path = /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1

[ new_oids ]

# We can add new OIDs in here for use by 'ca', 'req' and 'ts'.
# Add a simple OID like this:
# testoid1=1.2.3.4
# Or use config file substitution like this:
# testoid2=${testoid1}.5.6

# Policies used by the TSA examples.
tsa_policy1 = 1.2.3.4.1
tsa_policy2 = 1.2.3.4.5.6
tsa_policy3 = 1.2.3.4.5.7

####################################################################
[ ca ]
default_ca      = CA_default            # The default ca section

####################################################################
[ CA_default ]

dir             = ./demoCA              # Where everything is kept


Offline d.pavlukhin  
#98 Оставлено : 7 мая 2018 г. 14:57:13(UTC)
d.pavlukhin

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.10.2017(UTC)
Сообщений: 6
Российская Федерация

Автор: pd Перейти к цитате
Здесь ошибок нет, может openssl.cnf разный подгружается? Кстати вы его не показали.


Ошибка обнаружилась в использовании неподдерживаемого алгоритма публичного ключа ГОСТ Р 34.10-2012. Был создан новый контейнер с алгоритмом 2001.

Ошибки с неподдерживаемыми алгоритмами исчезли, при этом nginx отказывается проверять свой конфигурационный файл, а openssl сделать тестовое подписывание.

Настройка nginx
Код:
server {
        listen 80 default_server;
        listen 443 ssl;
        listen [::]:80 default_server;

        ssl_certificate      /home/creator/bwapp.pem;
        ssl_certificate_key  engine:gost_capi:bwapp.hostco.ru;
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  5m;
        ssl_protocols               TLSv1;
        ssl_ciphers  HIGH:MEDIUM:+GOST2001-GOST89;
        ssl_prefer_server_ciphers   on;


Установленные сертификаты

Код:
creator@creator-virtual-machine:~$ sudo /opt/cprocsp/bin/amd64/certmgr -list
Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer              : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : CN=bwapp.hostco.ru
Serial              : 0x120028851A6D019F8713BEC35D00000028851A
SHA1 Hash           : 0x6779b1f1000adc1547185a79cce07ed05659ad88
SubjKeyID           : 77cde0b1b78a02d6a4f4e58b852ff7f3e2b80592
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 07/05/2018  06:42:10 UTC
Not valid after     : 07/08/2018  06:52:10 UTC
PrivateKey Link     : Yes
Container           : FLASH\\bwapp.000\9786
Provider Name       : Crypto-Pro GOST R 34.10-2001 KC2 CSP
Provider Info       : ProvType: 75, KeySpec: 1, Flags: 0x0
CA cert URL         : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL            : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP                 : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.1
2-------
Issuer              : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : CN=GOSTHOST
Serial              : 0x1200283CD568282BF628AD3924000000283CD5
SHA1 Hash           : 0xe785ab436d1adbf4ec7d531e792657c9e687c3c9
SubjKeyID           : bd924a80a4d2acae6e75d0cbb0746d399830f367
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before    : 28/04/2018  12:04:16 UTC
Not valid after     : 28/07/2018  12:14:16 UTC
PrivateKey Link     : Yes
Container           : FLASH\\keysgost.000\430A
Provider Name       : Crypto-Pro GOST R 34.10-2001 KC2 CSP
Provider Info       : ProvType: 75, KeySpec: 1, Flags: 0x0
CA cert URL         : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL            : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP                 : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.1
=============================================================================

[ErrorCode: 0x00000000]
creator@creator-virtual-machine:~$



При этом в статусе сервиса пишет

Код:
creator@creator-virtual-machine:~$ sudo service nginx status
● nginx.service - A high performance web server and a reverse proxy server
   Loaded: loaded (/lib/systemd/system/nginx.service; enabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Mon 2018-05-07 12:36:52 +05; 4h 25min ago
     Docs: man:nginx(8)
  Process: 13007 ExecStop=/sbin/start-stop-daemon --quiet --stop --retry QUIT/5 --pidfile /run/nginx.pid (code=exited, status=0/SUCCESS)
  Process: 13110 ExecStartPre=/usr/sbin/nginx -t -q -g daemon on; master_process on; (code=exited, status=1/FAILURE)
 Main PID: 5038 (code=exited, status=0/SUCCESS)

май 07 12:36:52 creator-virtual-machine nginx[13110]: Password:Wrong pin, 1 tries left.
май 07 12:36:52 creator-virtual-machine nginx[13110]: CryptoPro CSP: Type password for container "bwapp"
май 07 12:36:52 creator-virtual-machine libcspr[13110]: capi10: CryptDestroyKey () invalid argument(s)!
май 07 12:36:52 creator-virtual-machine nginx[13110]: Password:nginx: [emerg] ENGINE_load_private_key("bwapp") failed (SSL: error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)
май 07 12:36:52 creator-virtual-machine libcspr[13110]: capi10: CryptReleaseContext () invalid argument(s)!
май 07 12:36:52 creator-virtual-machine nginx[13110]: nginx: configuration file /etc/nginx/nginx.conf test failed
май 07 12:36:52 creator-virtual-machine systemd[1]: nginx.service: Control process exited, code=exited status=1
май 07 12:36:52 creator-virtual-machine systemd[1]: Failed to start A high performance web server and a reverse proxy server.
май 07 12:36:52 creator-virtual-machine systemd[1]: nginx.service: Unit entered failed state.
май 07 12:36:52 creator-virtual-machine systemd[1]: nginx.service: Failed with result 'exit-code'.


Nginx запустил процесс проверки тогда, когда в ssl_cerificate_key было указано имя контейнера вместо CN. После изменения на корректный вариант sudo nginx -t висит

П.С.

Что касается конфига openssl я полагаю нужен от КриптоПро?

Код:

sudo find / |grep openssl.cnf
/usr/share/doc/php-phpseclib/examples/openssl.cnf
/usr/lib/ssl/openssl.cnf
/etc/ssl/openssl.cnf
find: ‘/run/user/1000/gvfs’: Permission denied
/home/creator/Downloads/trusted-tls-3-apache-24-lnx-x64.tar/trusted-tls-3-apache-24-lnx-x64/opt/TrustedTLS-3_Apache-2.4/openssl.cnf
/var/opt/cprocsp/cp-openssl/openssl.cnf


Конфиг
Код:

HOME                    = .
RANDFILE                = $ENV::HOME/.rnd

# Extra OBJECT IDENTIFIER info:
#oid_file               = $ENV::HOME/.oid
oid_section             = new_oids

openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gost_capi = gost_section

[gost_section]
engine_id = gost_capi
dynamic_path = /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1

[ new_oids ]

# We can add new OIDs in here for use by 'ca', 'req' and 'ts'.
# Add a simple OID like this:
# testoid1=1.2.3.4
# Or use config file substitution like this:
# testoid2=${testoid1}.5.6

# Policies used by the TSA examples.
tsa_policy1 = 1.2.3.4.1
tsa_policy2 = 1.2.3.4.5.6
tsa_policy3 = 1.2.3.4.5.7

####################################################################
[ ca ]
default_ca      = CA_default            # The default ca section

####################################################################
[ CA_default ]

dir             = ./demoCA              # Where everything is kept


UPD:

спустя некоторое время простоя nginx выдал что не может закрытый ключ подгрузить

Код:

 sudo nginx -t
nginx: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by nginx)
nginx: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by nginx)
nginx: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by nginx)
nginx: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by nginx)
nginx: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by nginx)
nginx: [emerg] ENGINE_load_private_key("bwapp.hostco.ru") failed (SSL: error:80067067:lib(128):CAPI_GET_KEY:cryptacquirecontext error error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)
nginx: configuration file /etc/nginx/nginx.conf test failed

Отредактировано пользователем 7 мая 2018 г. 15:13:17(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#99 Оставлено : 7 мая 2018 г. 15:29:13(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: d.pavlukhin Перейти к цитате
Автор: pd Перейти к цитате
Здесь ошибок нет, может openssl.cnf разный подгружается? Кстати вы его не показали.


Ошибки с неподдерживаемыми алгоритмами исчезли, при этом nginx отказывается проверять свой конфигурационный файл, а openssl сделать тестовое подписывание.

Если не получается сделать тестовую подпись, смысла двигаться дальше нет.

Какая ошибка при подписи?

Знания в базе знаний, поддержка в техподдержке
Offline d.pavlukhin  
#100 Оставлено : 7 мая 2018 г. 15:35:21(UTC)
d.pavlukhin

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.10.2017(UTC)
Сообщений: 6
Российская Федерация

Автор: pd Перейти к цитате
Если не получается сделать тестовую подпись, смысла двигаться дальше нет.


Также как и nginx - не может приватный ключ подгрузить

Код:

creator@creator-virtual-machine:~$ sudo openssl cms -sign -engine gost_capi -keyform ENGINE -inkey bwapp.hostco.ru -in "text.txt" -out "text.signed" -outform PEM -CAfile bwapp.pem  -nodetach -signer bwapp.pem

engine "gost_capi" set.
cannot load signing key file from engine
140489260645120:error:80067067:lib(128):CAPI_GET_KEY:cryptacquirecontext error:/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/cp-openssl_plugin/e_gost_capi.c:4310:
140489260645120:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:eng_pkey.c:124:
unable to load signing key file
creator@creator-virtual-machine:~$
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (17)
6 Страницы«<3456>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.