Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: chemtech  Добрый день!
Скажите пожалуйста, можно ли использовать cprocsp-cpopenssl-gost с нативной OpenSSL при использовании nginx с КриптоПро CSP?
Или нужно обязательно использовать пропатченную OpenSSL? Если используете только TLS 1.0, то можно использовать openssl из коробки. В openssl 1.0.2 нет поддержи TLS 1.2 по ГОСТ, мы добавили. В openssl 1.1.0 есть поддержка extended master secret для ГОСТа, что появилось в провайдере не очень давно и может привести к отказу на стороне клиента при использовании TLS 1.2, если ОС достаточно свежая, а CSP недостаточно свежий, поэтому мы это временно отключили на стороне сервера. Если смущает чужой репозиторий, снимите diff, он там совсем мизерный получится. Уточнение, да, наши engine будут работать с нативным openssl так же как и с пропатченым. Отредактировано пользователем 30 октября 2017 г. 13:22:12(UTC)
| Причина: уточнение |
|
 1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Добрый день! Подскажите, пожалуйста, на версии 1.0.2k-8.el7 чтобы openssl увидел gost engine все так же нужно делать Symlink? Код:
ln -s /usr/lib64/libcrypto.so.10 /usr/lib64/libcrypto.so.1.0.0
/sbin/ldconfig /usr/lib64
Код:ldd /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so.0.0.0
ldd: warning: you do not have execution permission for `/opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so.0.0.0'
linux-vdso.so.1 => (0x00007ffde3934000)
libcrypto.so.1.0.0 => not found
После создания symlink openssl увидел gost engine Код:
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 147820 $)
Код:
nginx -v
nginx version: nginx/1.12.2
openssl 1.0.2k-8.el7
CentOS Linux release 7.4.1708 (Core)
Никаких подвижек в этом направлении не было? Заранее спасибо. Отредактировано пользователем 3 ноября 2017 г. 6:09:23(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: chemtech Никаких подвижек в этом направлении не было? Подвижек нет -- решение есть. Почему CentOS решили именовать библиотеку отлично от оригинала нам неизвестно, мы собираемся с оригинальным openssl для покрытия как можно большего количества платформ. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.11.2017(UTC) Сообщений: 1  Откуда: Ufa
|
Доброго времени суток.
Подскажите, пожалуйста, как это настроить на Windows. Есть контейнер сертификата вида .000 на ГОСТ2001.
В какой формат нужно экспортировать сертификат и ключ, какая версия КриптоПро CSP(сейчас 4 версия КС2) нужна на сервере, и что нужно еще на сервера кроме специальной сборки nginx (nginx-1.12.2-gost-12.9)?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: Alk919 Есть контейнер сертификата вида .000 на ГОСТ2001.
В какой формат нужно экспортировать сертификат и ключ, какая версия КриптоПро CSP(сейчас 4 версия КС2) нужна на сервере, и что нужно еще на сервера кроме специальной сборки nginx (nginx-1.12.2-gost-12.9)? Про контейнеры вида .000 не знаем. Должен быть сертификат в хранилище сертификатов и связанный с ним закрытый ключ в CSP. Проверка (протестировать) через оснастку CSP должна проходить для данного сертификата успешно. В nginx указывается файл сертификата в pem-формате (base64). КС2 для Windows не обязательно, в режиме КС1 тоже работает. CSP должен быть любой версии от 4.0. Основные вопросы разобраны в начале темы. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.06.2017(UTC)
Сообщений: 17
Откуда: РФ
|
Добрый день. Настроил openssl c ГОСТ Цитата:
C:\openssl>openssl engine
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 147098 $)
но на одной машине появилась проблема с доступом к сайту с ГОСТ TLS, вот что говорит openssl: Цитата:
C:\openssl>openssl s_client -connect myhost.ru:443
CONNECTED(00000250)
depth=2 1.2.643.3.131.1.1 = 007710474375, 1.2.643.100.1 = 1047702026701, #SKIPPED#
verify error:num=20:unable to get local issuer certificate
write:errno=10054
---
Certificate chain
0 s:/1.2.643.2.2.44.5=#SKIPPED#
i:/1.2.643.100.1=1071840006908/1.2.643.3.131.1.1=001833046026/#SKIPPED#
1 s:/1.2.643.100.1=1071840006908/1.2.643.3.131.1.1=001833046026/#SKIPPED#
i:/1.2.643.3.131.1.1=007710474375/1.2.643.100.1=1047702026701/#SKIPPED#
2 s:/1.2.643.3.131.1.1=007710474375/1.2.643.100.1=1047702026701/#SKIPPED#
#SKIPPED#
---
Server certificate
-----BEGIN CERTIFICATE-----
#SKIPPED#
-----END CERTIFICATE-----
subject=/1.2.643.2.2.44.5=#SKIPPED#
issuer=/1.2.643.100.1=1071840006908/1.2.643.3.131.1.1=001833046026/#SKIPPED#
---
No client certificate CA names sent
---
SSL handshake has read 6184 bytes and written 212 bytes
---
New, TLSv1/SSLv3, Cipher is GOST2001-GOST89-GOST89
Server public key is 512 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : GOST2001-GOST89-GOST89
Session-ID: 982D0862E0F75347CB6A6CF198B5F9FB0D1FEF3F43C161554D5836B23A7E5A6B
Session-ID-ctx:
Master-Key: 8BF79342FFCEBA8C01652939D226ED9C7DEC15BAA2E68A562677DE3B7E81AD8E
3E680460E4081F0DFC8B0C59AABC59FC
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1518016949
Timeout : 300 (sec)
Verify return code: 20 (unable to get local issuer certificate)
Что за ошибка "unable to get local issuer certificate"? Это критично? В итоге при попытке выполнить запрос к сайту я получаю 10054 ошибку. В тоже время с другой машины сайт нормально доступен.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: kychanov_sa Что за ошибка "unable to get local issuer certificate"? Это критично? https://www.cryptopro.ru...ts&m=87702#post87702Автор: kychanov_sa В итоге при попытке выполнить запрос к сайту я получаю 10054 ошибку.
В тоже время с другой машины сайт нормально доступен. По ошибкам: нужны логи и шаги по воспроизведению. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.06.2017(UTC)
Сообщений: 17
Откуда: РФ
|
Выяснили некоторые подробности, почему на одной машине работает, а на второй нет.
На машине, где всё работает, установлен КриптоПРО версии 4.0.9929, на второй машине (где openssl не работает) установлен КриптоПРО 3.6.
В качестве движка для openssl мы использовали библиотеку gost_capi.dll из #2 поста. В ней нет поддержки работы с 3.6 или нужно что-то дополнительно настраивать?
Текущая версия gost_capi.dll 4.0.9806.0 от 20.10.2016
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: kychanov_sa Выяснили некоторые подробности, почему на одной машине работает, а на второй нет.
На машине, где всё работает, установлен КриптоПРО версии 4.0.9929, на второй машине (где openssl не работает) установлен КриптоПРО 3.6.
В качестве движка для openssl мы использовали библиотеку gost_capi.dll из #2 поста. В ней нет поддержки работы с 3.6 или нужно что-то дополнительно настраивать?
Текущая версия gost_capi.dll 4.0.9806.0 от 20.10.2016 Если хочется старых версий -- используйте ssl_protocols TLSv1; |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.06.2017(UTC)
Сообщений: 17
Откуда: РФ
|
Цитата:Если хочется старых версий -- используйте ssl_protocols TLSv1; попробовал так openssl s_client -connect myhost.ru:443 -tls1 тоже самое, ошибка 10054
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
