Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<3233343536>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#331 Оставлено : 30 октября 2017 г. 13:21:10(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: chemtech Перейти к цитате
Добрый день!
Скажите пожалуйста, можно ли использовать cprocsp-cpopenssl-gost с нативной OpenSSL при использовании nginx с КриптоПро CSP?
Или нужно обязательно использовать пропатченную OpenSSL?

Если используете только TLS 1.0, то можно использовать openssl из коробки.

В openssl 1.0.2 нет поддержи TLS 1.2 по ГОСТ, мы добавили.

В openssl 1.1.0 есть поддержка extended master secret для ГОСТа, что появилось в провайдере не очень давно и может привести к отказу на стороне клиента при использовании TLS 1.2, если ОС достаточно свежая, а CSP недостаточно свежий, поэтому мы это временно отключили на стороне сервера.

Если смущает чужой репозиторий, снимите diff, он там совсем мизерный получится.

Уточнение, да, наши engine будут работать с нативным openssl так же как и с пропатченым.

Отредактировано пользователем 30 октября 2017 г. 13:22:12(UTC)  | Причина: уточнение

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
chemtech оставлено 30.10.2017(UTC)
Offline chemtech  
#332 Оставлено : 2 ноября 2017 г. 19:12:27(UTC)
chemtech

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
Добрый день!
Подскажите, пожалуйста, на версии 1.0.2k-8.el7 чтобы openssl увидел gost engine все так же нужно делать Symlink?
Код:

ln -s /usr/lib64/libcrypto.so.10 /usr/lib64/libcrypto.so.1.0.0
/sbin/ldconfig /usr/lib64


Код:
ldd /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so.0.0.0
ldd: warning: you do not have execution permission for `/opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so.0.0.0'
	linux-vdso.so.1 =>  (0x00007ffde3934000)
	libcrypto.so.1.0.0 => not found


После создания symlink openssl увидел gost engine
Код:

(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 147820 $)


Код:

nginx -v
nginx version: nginx/1.12.2
openssl 1.0.2k-8.el7
CentOS Linux release 7.4.1708 (Core)

Никаких подвижек в этом направлении не было?
Заранее спасибо.

Отредактировано пользователем 3 ноября 2017 г. 6:09:23(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#333 Оставлено : 3 ноября 2017 г. 12:29:29(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: chemtech Перейти к цитате
Никаких подвижек в этом направлении не было?

Подвижек нет -- решение есть.

Почему CentOS решили именовать библиотеку отлично от оригинала нам неизвестно, мы собираемся с оригинальным openssl для покрытия как можно большего количества платформ.

Знания в базе знаний, поддержка в техподдержке
Offline Alk919  
#334 Оставлено : 6 ноября 2017 г. 17:12:35(UTC)
Alk919

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.11.2017(UTC)
Сообщений: 1
Российская Федерация
Откуда: Ufa

Доброго времени суток.
Подскажите, пожалуйста, как это настроить на Windows. Есть контейнер сертификата вида .000 на ГОСТ2001.
В какой формат нужно экспортировать сертификат и ключ, какая версия КриптоПро CSP(сейчас 4 версия КС2) нужна на сервере, и что нужно еще на сервера кроме специальной сборки nginx (nginx-1.12.2-gost-12.9)?
Offline Дмитрий Пичулин  
#335 Оставлено : 6 ноября 2017 г. 21:21:52(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: Alk919 Перейти к цитате
Есть контейнер сертификата вида .000 на ГОСТ2001.
В какой формат нужно экспортировать сертификат и ключ, какая версия КриптоПро CSP(сейчас 4 версия КС2) нужна на сервере, и что нужно еще на сервера кроме специальной сборки nginx (nginx-1.12.2-gost-12.9)?

Про контейнеры вида .000 не знаем.

Должен быть сертификат в хранилище сертификатов и связанный с ним закрытый ключ в CSP. Проверка (протестировать) через оснастку CSP должна проходить для данного сертификата успешно. В nginx указывается файл сертификата в pem-формате (base64).

КС2 для Windows не обязательно, в режиме КС1 тоже работает. CSP должен быть любой версии от 4.0.

Основные вопросы разобраны в начале темы.

Знания в базе знаний, поддержка в техподдержке
Offline kychanov_sa  
#336 Оставлено : 8 февраля 2018 г. 9:32:27(UTC)
kychanov_sa

Статус: Участник

Группы: Участники
Зарегистрирован: 27.06.2017(UTC)
Сообщений: 17
Откуда: РФ

Добрый день.
Настроил openssl c ГОСТ
Цитата:

C:\openssl>openssl engine
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 147098 $)


но на одной машине появилась проблема с доступом к сайту с ГОСТ TLS, вот что говорит openssl:
Цитата:

C:\openssl>openssl s_client -connect myhost.ru:443
CONNECTED(00000250)
depth=2 1.2.643.3.131.1.1 = 007710474375, 1.2.643.100.1 = 1047702026701, #SKIPPED#
verify error:num=20:unable to get local issuer certificate
write:errno=10054
---
Certificate chain
0 s:/1.2.643.2.2.44.5=#SKIPPED#
i:/1.2.643.100.1=1071840006908/1.2.643.3.131.1.1=001833046026/#SKIPPED#
1 s:/1.2.643.100.1=1071840006908/1.2.643.3.131.1.1=001833046026/#SKIPPED#
i:/1.2.643.3.131.1.1=007710474375/1.2.643.100.1=1047702026701/#SKIPPED#
2 s:/1.2.643.3.131.1.1=007710474375/1.2.643.100.1=1047702026701/#SKIPPED#
#SKIPPED#
---
Server certificate
-----BEGIN CERTIFICATE-----
#SKIPPED#
-----END CERTIFICATE-----
subject=/1.2.643.2.2.44.5=#SKIPPED#
issuer=/1.2.643.100.1=1071840006908/1.2.643.3.131.1.1=001833046026/#SKIPPED#
---
No client certificate CA names sent
---
SSL handshake has read 6184 bytes and written 212 bytes
---
New, TLSv1/SSLv3, Cipher is GOST2001-GOST89-GOST89
Server public key is 512 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : GOST2001-GOST89-GOST89
Session-ID: 982D0862E0F75347CB6A6CF198B5F9FB0D1FEF3F43C161554D5836B23A7E5A6B

Session-ID-ctx:
Master-Key: 8BF79342FFCEBA8C01652939D226ED9C7DEC15BAA2E68A562677DE3B7E81AD8E
3E680460E4081F0DFC8B0C59AABC59FC
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1518016949
Timeout : 300 (sec)
Verify return code: 20 (unable to get local issuer certificate)

Что за ошибка "unable to get local issuer certificate"? Это критично?
В итоге при попытке выполнить запрос к сайту я получаю 10054 ошибку.
В тоже время с другой машины сайт нормально доступен.
Offline Дмитрий Пичулин  
#337 Оставлено : 8 февраля 2018 г. 11:22:11(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: kychanov_sa Перейти к цитате
Что за ошибка "unable to get local issuer certificate"? Это критично?

https://www.cryptopro.ru...ts&m=87702#post87702

Автор: kychanov_sa Перейти к цитате
В итоге при попытке выполнить запрос к сайту я получаю 10054 ошибку.
В тоже время с другой машины сайт нормально доступен.

По ошибкам: нужны логи и шаги по воспроизведению.

Знания в базе знаний, поддержка в техподдержке
Offline kychanov_sa  
#338 Оставлено : 8 февраля 2018 г. 13:26:03(UTC)
kychanov_sa

Статус: Участник

Группы: Участники
Зарегистрирован: 27.06.2017(UTC)
Сообщений: 17
Откуда: РФ

Выяснили некоторые подробности, почему на одной машине работает, а на второй нет.
На машине, где всё работает, установлен КриптоПРО версии 4.0.9929, на второй машине (где openssl не работает) установлен КриптоПРО 3.6.
В качестве движка для openssl мы использовали библиотеку gost_capi.dll из #2 поста. В ней нет поддержки работы с 3.6 или нужно что-то дополнительно настраивать?
Текущая версия gost_capi.dll 4.0.9806.0 от 20.10.2016
Offline Дмитрий Пичулин  
#339 Оставлено : 8 февраля 2018 г. 13:49:19(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: kychanov_sa Перейти к цитате
Выяснили некоторые подробности, почему на одной машине работает, а на второй нет.
На машине, где всё работает, установлен КриптоПРО версии 4.0.9929, на второй машине (где openssl не работает) установлен КриптоПРО 3.6.
В качестве движка для openssl мы использовали библиотеку gost_capi.dll из #2 поста. В ней нет поддержки работы с 3.6 или нужно что-то дополнительно настраивать?
Текущая версия gost_capi.dll 4.0.9806.0 от 20.10.2016

Если хочется старых версий -- используйте ssl_protocols TLSv1;

Знания в базе знаний, поддержка в техподдержке
Offline kychanov_sa  
#340 Оставлено : 8 февраля 2018 г. 15:56:49(UTC)
kychanov_sa

Статус: Участник

Группы: Участники
Зарегистрирован: 27.06.2017(UTC)
Сообщений: 17
Откуда: РФ

Цитата:
Если хочется старых версий -- используйте ssl_protocols TLSv1;

попробовал так
openssl s_client -connect myhost.ru:443 -tls1
тоже самое, ошибка 10054
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
67 Страницы«<3233343536>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.