Форум КриптоПро
»
Средства криптографической защиты информации
»
Другие продукты
»
Настройка работы nginx с КриптоПро CSP 4.0 на ОС семейства Linux на примере Ubuntu 14.04 64bit
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.10.2017(UTC) Сообщений: 6 
|
Добрый день! Произведена установка по инструкции, nginx ругается на неподдерживаемые алгоритмы. Код:nginx: [emerg] SSL_CTX_use_certificate("/home/creator/GOSTHOSTtrue.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)
nginx: configuration file /etc/nginx/nginx.conf test failed
Версия nginx Код:nginx version: nginx/1.12.1 (Ubuntu)
Настройка nginx Код:server {
listen 80 default_server;
listen 443 ssl;
listen [::]:80 default_server;
ssl_certificate /home/creator/GOSTHOSTtrue.pem;
ssl_certificate_key engine:gost_capi:GOSTHOST;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols TLSv1;
ssl_ciphers HIGH:MEDIUM:+GOST2001-GOST89;
ssl_prefer_server_ciphers on;
OpenSSL Код: openssl engine
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 147098 $)
Установленный сертификат: Код:creator@creator-virtual-machine:~$ sudo /opt/cprocsp/bin/amd64/certmgr -list
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores
=============================================================================
1-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : CN=GOSTHOST
Serial : 0x1200283CD568282BF628AD3924000000283CD5
SHA1 Hash : 0xe785ab436d1adbf4ec7d531e792657c9e687c3c9
SubjKeyID : bd924a80a4d2acae6e75d0cbb0746d399830f367
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 28/04/2018 12:04:16 UTC
Not valid after : 28/07/2018 12:14:16 UTC
PrivateKey Link : Yes
Container : FLASH\\keysgost.000\430A
Provider Name : Crypto-Pro GOST R 34.10-2001 KC2 CSP
Provider Info : ProvType: 75, KeySpec: 1, Flags: 0x0
CA cert URL : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1
=============================================================================
[ErrorCode: 0x00000000]
Если вместо .pem подставить его .cer аналог Код:nginx: [emerg] PEM_read_bio_X509_AUX("/home/creator/GOSTHOSTtrue.cer") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: TRUSTED CERTIFICATE)
nginx: configuration file /etc/nginx/nginx.conf test failed
Экспорт производился командой openssl x509 -inform DER -outform PEM -in mycert.cer -out mycert.pem
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.04.2014(UTC) Сообщений: 31 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: d.pavlukhin  Добрый день! Произведена установка по инструкции, nginx ругается на неподдерживаемые алгоритмы. Код:nginx: [emerg] SSL_CTX_use_certificate("/home/creator/GOSTHOSTtrue.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)
nginx: configuration file /etc/nginx/nginx.conf test failed
Подскажите, в каком формате у вас установлен сертификат доверенного CA (в данном случае CRYPTO-PRO Test Center 2)? |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: d.pavlukhin Добрый день! Произведена установка по инструкции, nginx ругается на неподдерживаемые алгоритмы. Код:nginx: [emerg] SSL_CTX_use_certificate("/home/creator/GOSTHOSTtrue.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)
nginx: configuration file /etc/nginx/nginx.conf test failed
Командой ldd проверьте, что nginx использует тот же набор библиотек (libssl, libcrypto), что и приложение openssl. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.10.2017(UTC) Сообщений: 6
|
Автор: ElenaS Командой ldd проверьте, что nginx использует тот же набор библиотек (libssl, libcrypto), что и приложение openssl. Код:creator@creator-virtual-machine:~$ ldd `which nginx` | grep ssl
/usr/sbin/nginx: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by /usr/sbin/nginx)
/usr/sbin/nginx: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by /usr/sbin/nginx)
/usr/sbin/nginx: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by /usr/sbin/nginx)
/usr/sbin/nginx: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by /usr/sbin/nginx)
/usr/sbin/nginx: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by /usr/sbin/nginx)
libssl.so.1.0.0 => /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0 (0x00007fe9169c2000)
libcrypto.so.1.0.0 => /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0 (0x00007fe915a17000)
creator@creator-virtual-machine:~$ ldd `which openssl` | grep ssl
/usr/bin/openssl: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by /usr/bin/openssl)
/usr/bin/openssl: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by /usr/bin/openssl)
/usr/bin/openssl: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by /usr/bin/openssl)
/usr/bin/openssl: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by /usr/bin/openssl)
/usr/bin/openssl: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by /usr/bin/openssl)
/usr/bin/openssl: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by /usr/bin/openssl)
/usr/bin/openssl: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by /usr/bin/openssl)
libssl.so.1.0.0 => /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0 (0x00007f3df93bf000)
libcrypto.so.1.0.0 => /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0 (0x00007f3df8d7b000)
creator@creator-virtual-machine:~$
Вроде одно и то же
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.10.2017(UTC) Сообщений: 6
|
Автор: ElenaS Подскажите, в каком формате у вас установлен сертификат доверенного CA (в данном случае CRYPTO-PRO Test Center 2)? Что касается сертификатов, я его вытащил из контейнера, который был сформирован в тестовом уц, а затем он был скорвертирован Код:openssl x509 -inform DER -outform PEM -in mycert.cer -out mycert.pem
Корневой явно не устанавливался, я так понял, он должен автоматически подтянуться по URL
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: d.pavlukhin Код:/usr/sbin/nginx: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by /usr/sbin/nginx)
/usr/sbin/nginx: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by /usr/sbin/nginx)
...
/usr/bin/openssl: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by /usr/bin/openssl)
/usr/bin/openssl: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by /usr/bin/openssl)
Вроде одно и то же Здесь ошибок нет, может openssl.cnf разный подгружается? Кстати вы его не показали. И проходит ли тестовый "openssl cms -sign"? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.10.2017(UTC) Сообщений: 6
|
Автор: pd И проходит ли тестовый "openssl cms -sign"? Добрый день! удалось определить что ошибка была из-за использования в публичном ключе неподдерживаемого алгоритма - ГОСТ Р 34.10-2012. Были переизданы ключи, заново загружен сертификат (алгоритм 2001). Настройка nginx Код:server {
listen 80 default_server;
listen 443 ssl;
listen [::]:80 default_server;
ssl_certificate /home/creator/bwapp.pem;
ssl_certificate_key engine:gost_capi:bwapp.hostco.ru;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols TLSv1;
ssl_ciphers HIGH:MEDIUM:+GOST2001-GOST89;
ssl_prefer_server_ciphers on;
Установленные сертификаты Код:sudo /opt/cprocsp/bin/amd64/certmgr -list
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores
=============================================================================
1-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : CN=bwapp.hostco.ru
Serial : 0x120028851A6D019F8713BEC35D00000028851A
SHA1 Hash : 0x6779b1f1000adc1547185a79cce07ed05659ad88
SubjKeyID : 77cde0b1b78a02d6a4f4e58b852ff7f3e2b80592
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 07/05/2018 06:42:10 UTC
Not valid after : 07/08/2018 06:52:10 UTC
PrivateKey Link : Yes
Container : FLASH\\bwapp.000\9786
Provider Name : Crypto-Pro GOST R 34.10-2001 KC2 CSP
Provider Info : ProvType: 75, KeySpec: 1, Flags: 0x0
CA cert URL : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1
2-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : CN=GOSTHOST
Serial : 0x1200283CD568282BF628AD3924000000283CD5
SHA1 Hash : 0xe785ab436d1adbf4ec7d531e792657c9e687c3c9
SubjKeyID : bd924a80a4d2acae6e75d0cbb0746d399830f367
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 28/04/2018 12:04:16 UTC
Not valid after : 28/07/2018 12:14:16 UTC
PrivateKey Link : Yes
Container : FLASH\\keysgost.000\430A
Provider Name : Crypto-Pro GOST R 34.10-2001 KC2 CSP
Provider Info : ProvType: 75, KeySpec: 1, Flags: 0x0
CA cert URL : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1
=============================================================================
[ErrorCode: 0x00000000]
Теперь при запуске нет ошибок, но при этом ничего не происходит. Как будто процесс "завис" Процесс завис, вот что в статусе Код:sudo service nginx status
● nginx.service - A high performance web server and a reverse proxy server
Loaded: loaded (/lib/systemd/system/nginx.service; enabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Mon 2018-05-07 12:36:52 +05; 1h 10min ago
Docs: man:nginx(8)
Process: 13007 ExecStop=/sbin/start-stop-daemon --quiet --stop --retry QUIT/5 --pidfile /run/nginx.pid (code=exited, status=0/SUCCESS)
Process: 13110 ExecStartPre=/usr/sbin/nginx -t -q -g daemon on; master_process on; (code=exited, status=1/FAILURE)
Main PID: 5038 (code=exited, status=0/SUCCESS)
май 07 12:36:52 creator-virtual-machine nginx[13110]: Password:Wrong pin, 1 tries left.
май 07 12:36:52 creator-virtual-machine nginx[13110]: CryptoPro CSP: Type password for container "bwapp"
май 07 12:36:52 creator-virtual-machine libcspr[13110]: capi10: CryptDestroyKey () invalid argument(s)!
май 07 12:36:52 creator-virtual-machine nginx[13110]: Password:nginx: [emerg] ENGINE_load_private_key("bwapp") failed (SSL: error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)
май 07 12:36:52 creator-virtual-machine libcspr[13110]: capi10: CryptReleaseContext () invalid argument(s)!
май 07 12:36:52 creator-virtual-machine nginx[13110]: nginx: configuration file /etc/nginx/nginx.conf test failed
май 07 12:36:52 creator-virtual-machine systemd[1]: nginx.service: Control process exited, code=exited status=1
май 07 12:36:52 creator-virtual-machine systemd[1]: Failed to start A high performance web server and a reverse proxy server.
май 07 12:36:52 creator-virtual-machine systemd[1]: nginx.service: Unit entered failed state.
май 07 12:36:52 creator-virtual-machine systemd[1]: nginx.service: Failed with result 'exit-code'.
Был запрос на вводи пароля, когда я в настройке nginx ввел неверно имя ключа bwapp вместо CN bwapp.hostco.ru . После того как все было введено верно, nginx не отвечает на запросы. Перезагрузка не помогла. П.С. Есть много конфигов openssl Код:sudo find / | grep openssl.cnf
/usr/share/doc/php-phpseclib/examples/openssl.cnf
/usr/lib/ssl/openssl.cnf
/etc/ssl/openssl.cnf
find: ‘/run/user/1000/gvfs’: Permission denied
/home/creator/Downloads/trusted-tls-3-apache-24-lnx-x64.tar/trusted-tls-3-apache-24-lnx-x64/opt/TrustedTLS-3_Apache-2.4/openssl.cnf
/var/opt/cprocsp/cp-openssl/openssl.cnf
Полагаю нужен тот что от криптопро Код:
HOME = .
RANDFILE = $ENV::HOME/.rnd
# Extra OBJECT IDENTIFIER info:
#oid_file = $ENV::HOME/.oid
oid_section = new_oids
openssl_conf = openssl_def
[openssl_def]
engines = engine_section
[engine_section]
gost_capi = gost_section
[gost_section]
engine_id = gost_capi
dynamic_path = /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1
[ new_oids ]
# We can add new OIDs in here for use by 'ca', 'req' and 'ts'.
# Add a simple OID like this:
# testoid1=1.2.3.4
# Or use config file substitution like this:
# testoid2=${testoid1}.5.6
# Policies used by the TSA examples.
tsa_policy1 = 1.2.3.4.1
tsa_policy2 = 1.2.3.4.5.6
tsa_policy3 = 1.2.3.4.5.7
####################################################################
[ ca ]
default_ca = CA_default # The default ca section
####################################################################
[ CA_default ]
dir = ./demoCA # Where everything is kept
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.10.2017(UTC) Сообщений: 6
|
Автор: pd Здесь ошибок нет, может openssl.cnf разный подгружается? Кстати вы его не показали. Ошибка обнаружилась в использовании неподдерживаемого алгоритма публичного ключа ГОСТ Р 34.10-2012. Был создан новый контейнер с алгоритмом 2001. Ошибки с неподдерживаемыми алгоритмами исчезли, при этом nginx отказывается проверять свой конфигурационный файл, а openssl сделать тестовое подписывание. Настройка nginx Код:server {
listen 80 default_server;
listen 443 ssl;
listen [::]:80 default_server;
ssl_certificate /home/creator/bwapp.pem;
ssl_certificate_key engine:gost_capi:bwapp.hostco.ru;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols TLSv1;
ssl_ciphers HIGH:MEDIUM:+GOST2001-GOST89;
ssl_prefer_server_ciphers on;
Установленные сертификаты Код:creator@creator-virtual-machine:~$ sudo /opt/cprocsp/bin/amd64/certmgr -list
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores
=============================================================================
1-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : CN=bwapp.hostco.ru
Serial : 0x120028851A6D019F8713BEC35D00000028851A
SHA1 Hash : 0x6779b1f1000adc1547185a79cce07ed05659ad88
SubjKeyID : 77cde0b1b78a02d6a4f4e58b852ff7f3e2b80592
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 07/05/2018 06:42:10 UTC
Not valid after : 07/08/2018 06:52:10 UTC
PrivateKey Link : Yes
Container : FLASH\\bwapp.000\9786
Provider Name : Crypto-Pro GOST R 34.10-2001 KC2 CSP
Provider Info : ProvType: 75, KeySpec: 1, Flags: 0x0
CA cert URL : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1
2-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : CN=GOSTHOST
Serial : 0x1200283CD568282BF628AD3924000000283CD5
SHA1 Hash : 0xe785ab436d1adbf4ec7d531e792657c9e687c3c9
SubjKeyID : bd924a80a4d2acae6e75d0cbb0746d399830f367
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 28/04/2018 12:04:16 UTC
Not valid after : 28/07/2018 12:14:16 UTC
PrivateKey Link : Yes
Container : FLASH\\keysgost.000\430A
Provider Name : Crypto-Pro GOST R 34.10-2001 KC2 CSP
Provider Info : ProvType: 75, KeySpec: 1, Flags: 0x0
CA cert URL : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1
=============================================================================
[ErrorCode: 0x00000000]
creator@creator-virtual-machine:~$
При этом в статусе сервиса пишет Код:creator@creator-virtual-machine:~$ sudo service nginx status
● nginx.service - A high performance web server and a reverse proxy server
Loaded: loaded (/lib/systemd/system/nginx.service; enabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Mon 2018-05-07 12:36:52 +05; 4h 25min ago
Docs: man:nginx(8)
Process: 13007 ExecStop=/sbin/start-stop-daemon --quiet --stop --retry QUIT/5 --pidfile /run/nginx.pid (code=exited, status=0/SUCCESS)
Process: 13110 ExecStartPre=/usr/sbin/nginx -t -q -g daemon on; master_process on; (code=exited, status=1/FAILURE)
Main PID: 5038 (code=exited, status=0/SUCCESS)
май 07 12:36:52 creator-virtual-machine nginx[13110]: Password:Wrong pin, 1 tries left.
май 07 12:36:52 creator-virtual-machine nginx[13110]: CryptoPro CSP: Type password for container "bwapp"
май 07 12:36:52 creator-virtual-machine libcspr[13110]: capi10: CryptDestroyKey () invalid argument(s)!
май 07 12:36:52 creator-virtual-machine nginx[13110]: Password:nginx: [emerg] ENGINE_load_private_key("bwapp") failed (SSL: error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)
май 07 12:36:52 creator-virtual-machine libcspr[13110]: capi10: CryptReleaseContext () invalid argument(s)!
май 07 12:36:52 creator-virtual-machine nginx[13110]: nginx: configuration file /etc/nginx/nginx.conf test failed
май 07 12:36:52 creator-virtual-machine systemd[1]: nginx.service: Control process exited, code=exited status=1
май 07 12:36:52 creator-virtual-machine systemd[1]: Failed to start A high performance web server and a reverse proxy server.
май 07 12:36:52 creator-virtual-machine systemd[1]: nginx.service: Unit entered failed state.
май 07 12:36:52 creator-virtual-machine systemd[1]: nginx.service: Failed with result 'exit-code'.
Nginx запустил процесс проверки тогда, когда в ssl_cerificate_key было указано имя контейнера вместо CN. После изменения на корректный вариант sudo nginx -t висит П.С. Что касается конфига openssl я полагаю нужен от КриптоПро? Код:
sudo find / |grep openssl.cnf
/usr/share/doc/php-phpseclib/examples/openssl.cnf
/usr/lib/ssl/openssl.cnf
/etc/ssl/openssl.cnf
find: ‘/run/user/1000/gvfs’: Permission denied
/home/creator/Downloads/trusted-tls-3-apache-24-lnx-x64.tar/trusted-tls-3-apache-24-lnx-x64/opt/TrustedTLS-3_Apache-2.4/openssl.cnf
/var/opt/cprocsp/cp-openssl/openssl.cnf
Конфиг Код:
HOME = .
RANDFILE = $ENV::HOME/.rnd
# Extra OBJECT IDENTIFIER info:
#oid_file = $ENV::HOME/.oid
oid_section = new_oids
openssl_conf = openssl_def
[openssl_def]
engines = engine_section
[engine_section]
gost_capi = gost_section
[gost_section]
engine_id = gost_capi
dynamic_path = /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1
[ new_oids ]
# We can add new OIDs in here for use by 'ca', 'req' and 'ts'.
# Add a simple OID like this:
# testoid1=1.2.3.4
# Or use config file substitution like this:
# testoid2=${testoid1}.5.6
# Policies used by the TSA examples.
tsa_policy1 = 1.2.3.4.1
tsa_policy2 = 1.2.3.4.5.6
tsa_policy3 = 1.2.3.4.5.7
####################################################################
[ ca ]
default_ca = CA_default # The default ca section
####################################################################
[ CA_default ]
dir = ./demoCA # Where everything is kept
UPD: спустя некоторое время простоя nginx выдал что не может закрытый ключ подгрузить Код:
sudo nginx -t
nginx: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by nginx)
nginx: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by nginx)
nginx: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by nginx)
nginx: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by nginx)
nginx: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by nginx)
nginx: [emerg] ENGINE_load_private_key("bwapp.hostco.ru") failed (SSL: error:80067067:lib(128):CAPI_GET_KEY:cryptacquirecontext error error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)
nginx: configuration file /etc/nginx/nginx.conf test failed
Отредактировано пользователем 7 мая 2018 г. 15:13:17(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: d.pavlukhin Автор: pd Здесь ошибок нет, может openssl.cnf разный подгружается? Кстати вы его не показали. Ошибки с неподдерживаемыми алгоритмами исчезли, при этом nginx отказывается проверять свой конфигурационный файл, а openssl сделать тестовое подписывание. Если не получается сделать тестовую подпись, смысла двигаться дальше нет. Какая ошибка при подписи? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.10.2017(UTC) Сообщений: 6
|
Автор: pd Если не получается сделать тестовую подпись, смысла двигаться дальше нет. Также как и nginx - не может приватный ключ подгрузить Код:
creator@creator-virtual-machine:~$ sudo openssl cms -sign -engine gost_capi -keyform ENGINE -inkey bwapp.hostco.ru -in "text.txt" -out "text.signed" -outform PEM -CAfile bwapp.pem -nodetach -signer bwapp.pem
engine "gost_capi" set.
cannot load signing key file from engine
140489260645120:error:80067067:lib(128):CAPI_GET_KEY:cryptacquirecontext error:/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/cp-openssl_plugin/e_gost_capi.c:4310:
140489260645120:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:eng_pkey.c:124:
unable to load signing key file
creator@creator-virtual-machine:~$
|
|
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
Другие продукты
»
Настройка работы nginx с КриптоПро CSP 4.0 на ОС семейства Linux на примере Ubuntu 14.04 64bit
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
