Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

39 Страницы«<45678>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#51 Оставлено : 22 апреля 2018 г. 17:05:42(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
Автор: ilya19951995 Перейти к цитате
Я пользуюсь вашим. Могу удалить локальный openssl на всякий случай. Подскажите ещё как перезапустить вашу сборку nginx, надо дописывать скрипт по старту, стопу, перезапуску...? через service nginx ... не получается
ldd /usr/sbin/nginx:
linux-vdso.so.1 => (0x00007fffafb72000)
libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007f2fb657d000)
libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007f2fb635f000)
libcrypt.so.1 => /lib/x86_64-linux-gnu/libcrypt.so.1 (0x00007f2fb6126000)
libpcre.so.3 => /lib/x86_64-linux-gnu/libpcre.so.3 (0x00007f2fb5ee8000)
libssl.so.1.1 => /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libssl.so.1.1 (0x00007f2fb5c7a000)
libcrypto.so.1.1 => /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so.1.1 (0x00007f2fb57f6000)
libz.so.1 => /usr/local/lib/libz.so.1 (0x00007f2fb55db000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f2fb5212000)
/lib64/ld-linux-x86-64.so.2 (0x00007f2fb6acd000)

Вроде всё в порядке, а как вы проверяете? На клиентских машинах КриптоПро CSP установлен?

Знания в базе знаний, поддержка в техподдержке
Offline ilya19951995  
#52 Оставлено : 22 апреля 2018 г. 17:18:48(UTC)
ilya19951995

Статус: Участник

Группы: Участники
Зарегистрирован: 19.04.2018(UTC)
Сообщений: 12
Гвинея
Откуда: Гвинея

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате

Вроде всё в порядке, а как вы проверяете? На клиентских машинах КриптоПро CSP установлен?



Да, установен, 4 версия, пробовал через IE, а так через другие браузеры. Скажите, какая константа должна быть в конфиге nginx(ssl_ciphers) для того чтобы использовался алгоритм шифрования - кузнечик и какая для магмы? И где можно увидеть эти константы в задокументированном виде? Хочу чтобы при перехвате пакетов tls в случае если всё таки гостовский серт будет отдаваться я мог видеть констануту кузнечика(TLS_GOSTR341112_256_WITH_KUZNYECHIK_CTR_OMAC).
Offline Дмитрий Пичулин  
#53 Оставлено : 22 апреля 2018 г. 19:10:43(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
Автор: ilya19951995 Перейти к цитате
Автор: pd Перейти к цитате

Вроде всё в порядке, а как вы проверяете? На клиентских машинах КриптоПро CSP установлен?



Да, установен, 4 версия, пробовал через IE, а так через другие браузеры. Скажите, какая константа должна быть в конфиге nginx(ssl_ciphers) для того чтобы использовался алгоритм шифрования - кузнечик и какая для магмы? И где можно увидеть эти константы в задокументированном виде? Хочу чтобы при перехвате пакетов tls в случае если всё таки гостовский серт будет отдаваться я мог видеть констануту кузнечика(TLS_GOSTR341112_256_WITH_KUZNYECHIK_CTR_OMAC).

Поддержки этого шифра в настоящий момент у нас нет.

Мы не можем воспроизвести вашу ошибку, пришлите полный лог действий для воспроизведения на чистой системе.

Знания в базе знаний, поддержка в техподдержке
Offline ilya19951995  
#54 Оставлено : 22 апреля 2018 г. 19:47:40(UTC)
ilya19951995

Статус: Участник

Группы: Участники
Зарегистрирован: 19.04.2018(UTC)
Сообщений: 12
Гвинея
Откуда: Гвинея

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате

Поддержки этого шифра в настоящий момент у нас нет.


В моём случае без этого шифра отпадает надобность использования гостовского сертификата. Подскажите не планируется внедрнение кузнечика в nginx? Наверное вопрос не к вам, помимо nginx как ещё можно добиться https соединения с шифрованием данных с помощью кузнечика, влияет как-нибудь сертификат на алгоритм который будет выбран в tls или я могу использовать RSA серт вместе с кузнечиком?
Offline Дмитрий Пичулин  
#55 Оставлено : 22 апреля 2018 г. 21:50:29(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
Автор: ilya19951995 Перейти к цитате
В моём случае без этого шифра отпадает надобность использования гостовского сертификата.

Что это за случай такой, откуда такие требования?


Знания в базе знаний, поддержка в техподдержке
Offline ilya19951995  
#56 Оставлено : 23 апреля 2018 г. 20:12:06(UTC)
ilya19951995

Статус: Участник

Группы: Участники
Зарегистрирован: 19.04.2018(UTC)
Сообщений: 12
Гвинея
Откуда: Гвинея

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
Автор: ilya19951995 Перейти к цитате
В моём случае без этого шифра отпадает надобность использования гостовского сертификата.

Что это за случай такой, откуда такие требования?


Одно из условий в дипломной работе
Offline Дмитрий Пичулин  
#57 Оставлено : 23 апреля 2018 г. 21:09:42(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
Автор: ilya19951995 Перейти к цитате
Автор: pd Перейти к цитате
Автор: ilya19951995 Перейти к цитате
В моём случае без этого шифра отпадает надобность использования гостовского сертификата.

Что это за случай такой, откуда такие требования?


Одно из условий в дипломной работе

Как справитесь, пришлите ссылочку, очень интересно.

Знания в базе знаний, поддержка в техподдержке
Offline geniymax  
#58 Оставлено : 27 апреля 2018 г. 16:56:29(UTC)
geniymax

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.03.2018(UTC)
Сообщений: 4
Откуда: Новосибирск

Добрый день!
Имеется nginx следующей сборки:
nginx -V
nginx version: nginx/1.12.2
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-11) (GCC)
built with OpenSSL 1.1.0g-dev xx XXX xxxx
TLS SNI support enabled

ldd /usr/sbin/nginx
linux-vdso.so.1 => (0x00007ffef3ccb000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007f8768fc8000)
libpthread.so.0 => /lib64/libpthread.so.0 (0x00007f8768dac000)
libcrypt.so.1 => /lib64/libcrypt.so.1 (0x00007f8768b74000)
libpcre.so.1 => /lib64/libpcre.so.1 (0x00007f8768913000)
libssl.so.1.1 => /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libssl.so.1.1 (0x00007f87686a5000)
libcrypto.so.1.1 => /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so.1.1 (0x00007f8768220000)
libz.so.1 => /lib64/libz.so.1 (0x00007f876800a000)
libc.so.6 => /lib64/libc.so.6 (0x00007f8767c49000)
/lib64/ld-linux-x86-64.so.2 (0x00007f876952f000)
libfreebl3.so => /lib64/libfreebl3.so (0x00007f8767a45000)

Nginx в моем случае используется как прокси-сервер для поднятия TLS туннеля до внешнего сервиса.
Конф-ый файл содержит след. настройки:
server {
....
proxy_ssl_certificate<-><------>/var/opt/cprocsp/keys/root/bcs_test.cer;
proxy_ssl_certificate_key<----->"engine:gostengy:bcs test certificate";
proxy_ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
proxy_ssl_protocols TLSv1;
proxy_pass https://test.kontur-ca.ru:443/;
...
proxy_set_header<------>Host $host;
proxy_set_header<------>X-Real-IP $remote_addr;
proxy_set_header<------>X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
При попытке отправить запрос с сервера приложений через Nginx на внешний сервис с использованием TLS, получаю ответ следующего плана:
User-Agent: curl/7.29.0
> Host: 172.18.141.22:6443
> Accept: */*
>
< HTTP/1.1 404 Not Found
< Server: nginx
< Date: Fri, 27 Apr 2018 12:12:15 GMT
< Content-Type: text/html; charset=us-ascii
< Content-Length: 315
< Connection: keep-alive
<
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN""http://www.w3.org/TR/html4/strict.dtd">
<HTML><HEAD><TITLE>Not Found</TITLE>
<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>
<BODY><h2>Not Found</h2>
<hr><p>HTTP Error 404. The requested resource is not found.</p>
</BODY></HTML>

Поддержка внешнего сервиса говорит, к ним запрос не доходит.
Встает вопрос - как проверить, поднимает ли Nginx соединение TLS?
И корректно ли в такой конфигурации вообще применять Nginx?
Спасибо!

Отредактировано пользователем 27 апреля 2018 г. 16:57:28(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#59 Оставлено : 27 апреля 2018 г. 17:10:11(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
Автор: geniymax Перейти к цитате
Host: 172.18.141.22:6443
> Accept: */*
>
< HTTP/1.1 404 Not Found

Вы прислали огрызок конфигурации, какие-то выводы сделать сложно.

Предположительно, nginx работает корректно, конфигурации некорректна.

Знания в базе знаний, поддержка в техподдержке
Offline geniymax  
#60 Оставлено : 27 апреля 2018 г. 17:16:15(UTC)
geniymax

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.03.2018(UTC)
Сообщений: 4
Откуда: Новосибирск

Автор: pd Перейти к цитате
Автор: geniymax Перейти к цитате
Host: 172.18.141.22:6443
> Accept: */*
>
< HTTP/1.1 404 Not Found

Вы прислали огрызок конфигурации, какие-то выводы сделать сложно.

Предположительно, nginx работает корректно, конфигурации некорректна.



server {
listen 6443;
server_name 172.18.141.22;
access_log<---->/var/log/nginx/diadoc.access.log;
access_log<---->/var/log/nginx/diadoc.access_upstream.log<----->upstream;
error_log<----->/var/log/nginx/diadoc.error.log debug;
<------>error_page<---->500 502 503 504><------>/50x.html;
location / {
proxy_ssl_certificate<-><------>/var/opt/cprocsp/keys/root/bcs_test.cer;
proxy_ssl_certificate_key<----->"engine:gostengy:bcs test certificate";
proxy_ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
proxy_ssl_protocols TLSv1;
proxy_pass https://46.17.202.91:443/;
proxy_redirect http://172.18.141.22 https://172.18.141.22:6443;
proxy_set_header<------>Host $host;
proxy_set_header<------>X-Real-IP $remote_addr;
proxy_set_header<------>X-Forwarded-For $proxy_add_x_forwarded_for;
<------><------>}
<------>}

запрос выглядит вот так:
curl -v http://172.18.141.22:6443/CC/CertificateInfo/FindForms?Phone=9032860889?Inn=519049708009
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
39 Страницы«<45678>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.