Форум КриптоПро
»
Средства криптографической защиты информации
»
Другие продукты
»
Установка и настройка ванильной версии nginx 1.12.2 с ванильним openssl 1.0.2k c КриптоПро 4.0 R2
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Код:yum list *cpopenssl*
Installed Packages
cprocsp-cpopenssl-64.x86_64
cprocsp-cpopenssl-base.noarch
cprocsp-cpopenssl-gost-64.x86_64
Available Packages
cprocsp-cpopenssl-devel.noarch
Установил пакет cprocsp-cpopenssl-devel.noarch Получаю Цитата:nginx
nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/srvtest.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib) Код:
strace nginx > 1 2>&1
cat 1 | grep ENOENT
access("/etc/ld.so.preload", R_OK) = -1 ENOENT (No such file or directory)
stat("/etc/sysconfig/64bit_strstr_via_64bit_strstr_sse2_unaligned", 0x7ffeaee7e0b0) = -1 ENOENT (No such file or directory)
statfs("/sys/fs/selinux", 0x7ffeaee7f310) = -1 ENOENT (No such file or directory)
statfs("/selinux", 0x7ffeaee7f310) = -1 ENOENT (No such file or directory)
stat("/etc/sysconfig/64bit_strstr_via_64bit_strstr_sse2_unaligned", 0x7ffeaee7f180) = -1 ENOENT (No such file or directory)
open("/etc/pki/tls/legacy-settings", O_RDONLY) = -1 ENOENT (No such file or directory)
access("/etc/system-fips", F_OK) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/tls/x86_64/libcrypto.so.1.0.0", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
stat("/opt/cprocsp/cp-openssl/lib/amd64/tls/x86_64", 0x7ffeaee7e180) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/tls/libcrypto.so.1.0.0", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
stat("/opt/cprocsp/cp-openssl/lib/amd64/tls", 0x7ffeaee7e180) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/x86_64/libcrypto.so.1.0.0", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
stat("/opt/cprocsp/cp-openssl/lib/amd64/x86_64", 0x7ffeaee7e180) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/libcapi20.so.4", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/libcpext.so.4", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/libcapi10.so.4", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/liburlretrieve.so.4", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/libcpasn1.so.4", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/libcplib.so.4", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/librdrsup.so.4", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/libstdc++.so.6", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/libm.so.6", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/libgcc_s.so.1", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/libcpalloc.so.0", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/libjemalloc.so.0", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
stat("/etc/sysconfig/64bit_strstr_via_64bit_strstr_sse2_unaligned", 0x7ffeaee7e690) = -1 ENOENT (No such file or directory)
readlink("/etc/cpje_malloc.conf", 0x7ffeaee7d790, 4096) = -1 ENOENT (No such file or directory)
open("/etc/opt/cprocsp/ubi_mutex", O_RDWR) = -1 ENOENT (No such file or directory)
connect(5, {sa_family=AF_LOCAL, sun_path="/var/run/nscd/socket"}, 110) = -1 ENOENT (No such file or directory)
Код:yum provides /opt/cprocsp/cp-openssl/lib/amd64/tls/x86_64
No matches found
Код:yum provides /opt/cprocsp/cp-openssl/lib/amd64/tls/
No matches found
Код:
yum provides /opt/cprocsp/cp-openssl/lib/amd64/
cprocsp-cpopenssl-64-4.0.0-4.x86_64 : OpenSSL. Build 9842.
Matched from:
Filename : /opt/cprocsp/cp-openssl/lib/amd64/
cprocsp-cpopenssl-64-4.0.0-4.x86_64 : OpenSSL. Build 9842.
Matched from:
Filename : /opt/cprocsp/cp-openssl/lib/amd64/
Код:
yumlist*csp*
InstalledPackages
cprocsp-cpopenssl-64
cprocsp-cpopenssl-base
cprocsp-cpopenssl-devel
cprocsp-cpopenssl-gost-64
cprocsp-curl-64
lsb-cprocsp-base
lsb-cprocsp-capilite-64
lsb-cprocsp-kc1-64
lsb-cprocsp-kc2-64
lsb-cprocsp-rdr-64
AvailablePackages
cprocsp-compat-altlinux-64
cprocsp-drv-devel
cprocsp-ipsec-devel
cprocsp-ipsec-genpsk-64
cprocsp-ipsec-ike-64
cprocsp-rdr-emv-64
cprocsp-rdr-esmart-64
cprocsp-rdr-gui-64
cprocsp-rdr-gui-gtk-64
cprocsp-rdr-inpaspot-64
cprocsp-rdr-jacarta-3.6.1
cprocsp-rdr-mskey-64
cprocsp-rdr-novacard-64
cprocsp-rdr-pcsc-64
cprocsp-rdr-rutoken-64
cprocsp-rsa-64
cprocsp-stunnel-64
cprocsp-xer2print
lsb-cprocsp-devel
lsb-cprocsp-pkcs11-64
lsb-cprocsp-rdr-accord-64
lsb-cprocsp-rdr-sobol-64
Может еще какие-либо пакеты нужно установить? И что значит подчистить /etc/ld.so.conf? Отредактировано пользователем 2 ноября 2017 г. 13:20:20(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,531
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 36 раз
Поблагодарили: 494 раз в 350 постах
|
Автор: chemtech  Может еще какие-либо пакеты нужно установить? Ещё раз уточняем, для работы оригинальных nginx и openssl, нужен только CSP (установка как в автоскрипте) и один дополнительный пакет с gost_capi (cprocsp-cpopenssl-gost), всё. Список пакетов должен стремиться к такому, пример с debian: - cprocsp-compat-debian
- cprocsp-cpopenssl-gost-64
- cprocsp-curl-64
- lsb-cprocsp-base
- lsb-cprocsp-ca-certs
- lsb-cprocsp-capilite-64
- lsb-cprocsp-kc1-64
- lsb-cprocsp-kc2-64
- lsb-cprocsp-rdr-64
Подчистить /etc/ld.so.conf -- означает убрать лишние зависимости при работе ld. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
 Screenshot from 2017-11-02 16-41-46.png (60kb) загружен 76 раз(а).Вот diff вашего списка и пакетов, которые установлены у меня в системе В вашем списке отсутствуют пакеты: cprocsp-cpopenssl-64 cprocsp-cpopenssl-base cprocsp-cpopenssl-devel А в моем списке отсутствует lsb-cprocsp-ca-certs (его вообще нет тут https://www.cryptopro.ru...downloads#latest_csp40r2 КриптоПро CSP 4.0 для Linux (x64, rpm)) /etc/ld.so.conf Код:
cat /etc/ld.so.conf
/opt/cprocsp/cp-openssl/lib/amd64
/opt/cprocsp/lib/amd64
include ld.so.conf.d/*.conf
Отредактировано пользователем 2 ноября 2017 г. 14:31:49(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,531
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 36 раз
Поблагодарили: 494 раз в 350 постах
|
Автор: chemtech cat /etc/ld.so.conf
/opt/cprocsp/cp-openssl/lib/amd64 Убрать /opt/cprocsp/cp-openssl/lib/amd64 из /etc/ld.so.conf пробовали? Выше дважды уточнялось, что непонятно зачем установлены пакеты cpopenssl. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Цитата:Если вы не используете cpopenssl, вам нужен только сам engine, это cprocsp-cpopenssl-gost для 1.0.2 или cprocsp-cpopenssl-110-gost для 1.1.0, другие пакеты с "-cpopenssl-" не нужны. Перепрочитал еще раз - извиняюсь глаз замылился. В итоге получается устанавливаю следующий список пакетов Код:
yum install -y curl-devel
yum install -y lsb-cprocsp-base
yum install -y lsb-cprocsp-rdr-64
yum install -y lsb-cprocsp-capilite-64
yum install -y lsb-cprocsp-kc1-64
yum install -y lsb-cprocsp-kc2-64
yum install -y cprocsp-curl-64
yum install -y cprocsp-cpopenssl-gost-64
curl-devel содержит libcurl.so сейчас вывод Код:
openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
Конфигурацию OpenSSL я изменял так: Код:cp /var/opt/cprocsp/cp-openssl/openssl.cnf /etc/pki/tls/openssl.cnf
А этот файл предоставляет Код:
yum provides /var/opt/cprocsp/cp-openssl/openssl.cnf
Loaded plugins: fastestmirror, fusioninventory-agent
Loading mirror speeds from cached hostfile
cprocsp-cpopenssl-base-4.0.0-4.noarch : Openssl common Build 9842.
Repo : cryptopro_client_repo
Matched from:
Filename : /var/opt/cprocsp/cp-openssl/openssl.cnf
Так как изменить конфигурацию OpenSSL чтобы он увидел ГОСТ ? Сохранить этот файл и без установки cprocsp-cpopenssl-base-4.0.0-4.noarch заменить /etc/pki/tls/openssl.cnf ? Отредактировано пользователем 2 ноября 2017 г. 15:15:05(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Код:cat /etc/ld.so.conf
/opt/cprocsp/lib/amd64
include ld.so.conf.d/*.conf
Отредактировано пользователем 2 ноября 2017 г. 17:26:34(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,531
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 36 раз
Поблагодарили: 494 раз в 350 постах
|
Автор: chemtech Конфигурацию OpenSSL я изменял так: Код:cp /var/opt/cprocsp/cp-openssl/openssl.cnf /etc/pki/tls/openssl.cnf
<...> Так как изменить конфигурацию OpenSSL чтобы он увидел ГОСТ ? Это ваша придумка заменить оригинальный файл, наши рекомендации это исключают, изложены довольно чётко и не раз воспроизводились участниками форума. Если с этим проблемы, вы можете разобраться с конфигурацией openssl (как подключить engine) самостоятельно и в полном объёме здесь: OPENSSL LIBRARY CONFIGURATION |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Добрый день! Перечитал еще раз другие ветки форума. Итак система Код:CentOS Linux release 7.4.1708 (Core)
устанавливаю Код:yum install -y wget curl-devel
yum install -y lsb-cprocsp-base
yum install -y lsb-cprocsp-rdr-64
yum install -y lsb-cprocsp-capilite-64
yum install -y lsb-cprocsp-kc1-64
yum install -y lsb-cprocsp-kc2-64
yum install -y cprocsp-curl-64
yum install -y cprocsp-cpopenssl-gost-64
Код:yum list *csp*
Installed Packages
cprocsp-cpopenssl-gost-64.x86_64 4.0.0-4
cprocsp-curl-64.x86_64 4.0.0-4
lsb-cprocsp-base.noarch 4.0.0-4
lsb-cprocsp-capilite-64.x86_64 4.0.0-4
lsb-cprocsp-kc1-64.x86_64 4.0.0-4
lsb-cprocsp-kc2-64.x86_64 4.0.0-4
lsb-cprocsp-rdr-64.x86_64 4.0.0-4
Вставляю после "oid_section = new_oids" текст в конфиг /etc/pki/tls/openssl.cnf Код:openssl_conf = openssl_def
[openssl_def]
engines = engine_section
[engine_section]
gost_capi = gost_section
[gost_section]
engine_id = gost_capi
dynamic_path = /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1
Код:ldd /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so.0.0.0 |grep not
ldd: warning: you do not have execution permission for `/opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so.0.0.0'
libcrypto.so.1.0.0 => not found
Код:
ln -s /usr/lib64/libcrypto.so.10 /usr/lib64/libcrypto.so.1.0.0
/sbin/ldconfig /usr/lib64
Код:openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 147820 $)
Дальше делаю как указано в скрипте https://github.com/fulli...nx-gost/install-certs.sh# Генерация тестового сертефиката: Код:/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn 'CN=srvtest' -cont '\\.\HDIMAGE\srvtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrv
CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.
Creating request...
Press keys...
[................................................................................................................................................]
CryptoPro CSP: Set password on produced container "srvtest".
Password:
Retype password:
Sending request to CA...
Installing certificate...
Message contains root certificate that is absent in your root store.
RDN:CRYPTO-PRO Test Center 2, CRYPTO-PRO LLC, Moscow, RU, support@cryptopro.ru
Valid from 05.08.2014 13:44:24 to 05.08.2019 13:54:03
Do you want to add it to Root store? [Y]es or [N]o: Y
Adding certificate to Root store.
CryptoPro CSP: Type password for container "srvtest"
Password:
Certificate is installed.
[ReturnCode: 0]
# Смена KC1 на KC2 в имени провайдера, так как nginx работает с провайдером KC2: Код:
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\\.\HDIMAGE\srvtest' -provtype 75 -provname "Crypto-Pro GOST R 34.10-2001 KC2 CSP"
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores
Install:
=============================================================================
1-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : CN=srvtest
Serial : 0x1200223512C2E36A3616EE2771000000223512
SHA1 Hash : 0x35bced2bdd6d178b8058cb55fdbaf6f738a6516d
SubjKeyID : bad8afe2c52c106c552b7793650f2c5f328b2ee5
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2012 (1024 bits)
Not valid before : 03/11/2017 04:27:16 UTC
Not valid after : 03/02/2018 04:37:16 UTC
PrivateKey Link : No
CA cert URL : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1
=============================================================================
[ErrorCode: 0x00000000]
Не забудем установить nginx 1.12 Код: nginx -v
nginx version: nginx/1.12.2
# Экспорт сертификата: Код:
/opt/cprocsp/bin/amd64/certmgr -export -cert -dn "CN=srvtest" -dest '/etc/nginx/srvtest.cer'
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores
Exporting:
=============================================================================
1-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : CN=srvtest
Serial : 0x1200223512C2E36A3616EE2771000000223512
SHA1 Hash : 0x35bced2bdd6d178b8058cb55fdbaf6f738a6516d
SubjKeyID : bad8afe2c52c106c552b7793650f2c5f328b2ee5
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2012 (1024 bits)
Not valid before : 03/11/2017 04:27:16 UTC
Not valid after : 03/02/2018 04:37:16 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\srvtest.000\AF26
Provider Name : Crypto-Pro GOST R 34.10-2001 KC2 CSP
Provider Info : ProvType: 75, KeySpec: 1, Flags: 0x0
CA cert URL : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1
=============================================================================
Export complete
[ErrorCode: 0x00000000]
# Смена кодировкии сертификата DER на PEM: Код:
openssl x509 -inform DER -in "/etc/nginx/srvtest.cer" -out "/etc/nginx/srvtest.pem"
Ничего не выдало
# Генерация сертификатов RSA: Код:
openssl req -x509 -newkey rsa:2048 -keyout /etc/nginx/srvtestRSA.key -nodes -out /etc/nginx/srvtestRSA.pem -subj '/CN=srvtestRSA/C=RU'
Generating a 2048 bit RSA private key
................................................................................................+++
.....................................................................+++
writing new private key to '/etc/nginx/srvtestRSA.key'
-----
Код:
openssl rsa -in /etc/nginx/srvtestRSA.key -out /etc/nginx/srvtestRSA.key
writing RSA key
# Загрузка файла конфигурации: Код:
wget "https://raw.githubusercontent.com/fullincome/scripts/master/nginx-gost/nginx.conf"
# Установка конфигурации nginx: Код:
mv ./nginx.conf /etc/nginx/nginx.conf
Удаление конфигурации по умолчанию Код:
rm -f /etc/nginx/conf.d/default.conf
Смена hostname в конфигурации nginx: Код:
sed -i 's/localhost/srvtest/g' /etc/nginx/nginx.conf
Если запускать nginx при такой конфигурации Код:cat /etc/nginx/nginx.conf | grep ssl_certificate
ssl_certificate /etc/nginx/srvtest.pem;
ssl_certificate_key engine:gostengy:srvtest;
ssl_certificate srvtestRSA.pem;
ssl_certificate_key srvtestRSA.key;
То получаю ошибку Цитата:nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/srvtest.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)
Если при такой конфигурации Код:cat /etc/nginx/nginx.conf | grep ssl_certificate
ssl_certificate /etc/nginx/srvtest.cer;
ssl_certificate_key engine:gostengy:srvtest;
ssl_certificate srvtestRSA.pem;
ssl_certificate_key srvtestRSA.key;
Цитата:nginx: [emerg] PEM_read_bio_X509_AUX("/etc/nginx/srvtest.cer") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: TRUSTED CERTIFICATE) Отредактировано пользователем 3 ноября 2017 г. 7:56:15(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,531
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 36 раз
Поблагодарили: 494 раз в 350 постах
|
Автор: chemtech Добрый день! Перечитал еще раз другие ветки форума. Итак система Код:CentOS Linux release 7.4.1708 (Core)
А если автоскрипты прогнать, работает? Автор: chemtech Если запускать nginx при такой конфигурации Как nginx запускаете? Если от рута запустить как приложение, а не сервис, ошибка та же? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Запускаю по разному. А ошибка все равно одна и та же Код:
#cat nginx.conf | grep user
user root;
#nginx
nginx: [emerg] PEM_read_bio_X509_AUX("/etc/nginx/srvtest.cer") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: TRUSTED CERTIFICATE)
#sudo -H -u nginx bash -c 'nginx'
nginx: [warn] the "user" directive makes sense only if the master process runs with super-user privileges, ignored in /etc/nginx/nginx.conf:1
nginx: [emerg] PEM_read_bio_X509_AUX("/etc/nginx/srvtest.cer") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: TRUSTED CERTIFICATE)
#cat nginx.conf | grep user
user nginx;
#nginx
nginx: [emerg] PEM_read_bio_X509_AUX("/etc/nginx/srvtest.cer") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: TRUSTED CERTIFICATE)
#sudo -H -u nginx bash -c 'nginx'
nginx: [warn] the "user" directive makes sense only if the master process runs with super-user privileges, ignored in /etc/nginx/nginx.conf:1
nginx: [emerg] PEM_read_bio_X509_AUX("/etc/nginx/srvtest.cer") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: TRUSTED CERTIFICATE)
#cd ..
#chown -R nginx.nginx nginx/
#cd nginx/
#nginx
nginx: [emerg] PEM_read_bio_X509_AUX("/etc/nginx/srvtest.cer") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: TRUSTED CERTIFICATE)
#sudo -H -u nginx bash -c 'nginx'
nginx: [warn] the "user" directive makes sense only if the master process runs with super-user privileges, ignored in /etc/nginx/nginx.conf:1
nginx: [emerg] PEM_read_bio_X509_AUX("/etc/nginx/srvtest.cer") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: TRUSTED CERTIFICATE)
Если делать по этой инструкции https://www.cryptopro.ru...aspx?g=posts&t=12505 , то работать будет Но там используется модифируемый nginx, OpenSSL 1.1.0 Код:
ssl_certificate /etc/nginx/srvtest.cer;
ssl_certificate_key engine:gostengy:srvtest;
ssl_certificate srvtestRSA.pem;
ssl_certificate_key srvtestRSA.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5:GOST2001-GOST89;
ssl_prefer_server_ciphers on;
|
|
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
Другие продукты
»
Установка и настройка ванильной версии nginx 1.12.2 с ванильним openssl 1.0.2k c КриптоПро 4.0 R2
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
