Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: Coriolis  Искал не по форуму, искал в яндексе - пришел на ту тему старую. Искал по запросу на код ошибки EVP_PBE_CipherInit:unknown pbe algorithm:crypto\evp\evp_pbe.c:93:TYPE=1.2.840.113549.1.12.1.80
Показалось смешно что 6 лет - всё там же.
На счёт идеологии теперь понятно, pem небезопасный и всё такое, и ключ хранить в открытом виде - караул и т.д. Хотя для разработки и отладки было бы удобно. На самом деле, удобнее сразу работать правильно, чуть-чуть привыкнуть к реалиями отечественной криптографии и никаких неудобств не будет. Шапку поправили. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.08.2018(UTC)
Сообщений: 4
|
Пытаемся использовать gostengy с нгинкс
Опенссл подцепил
1 nginx запустился но при проверке через браузер ERR_SSL_VERSION_OR_CIPHER_MISMATCH
куда стоит смотреть?
2 в строке ssl_certificate_key engine:gostengy:***; *** - это только cn из сертификата? И что делать если он кириллицей и содержит различные спецсимволы?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: alekseyNEW Пытаемся использовать gostengy с нгинкс
Опенссл подцепил
1 nginx запустился но при проверке через браузер ERR_SSL_VERSION_OR_CIPHER_MISMATCH
куда стоит смотреть?
2 в строке ssl_certificate_key engine:gostengy:***; *** - это только cn из сертификата? И что делать если он кириллицей и содержит различные спецсимволы? При сомнениях с указанием CN, а лучше всегда, используйте отпечаток сертификата для однозначности, подойдёт любой HEX-формат, примеры: Код:ssl_certificate_key "engine:gostengy:48 b1 9f b3 3b b6 37 c8 8a 54 d1 96 50 73 0b 67 e4 2d b1 21"
Код:ssl_certificate_key "engine:gostengy:48b19fb33bb637c88a54d19650730b67e42db121"
Код:ssl_certificate_key "engine:gostengy:48:B1:9F:B3:3B:B6:37:C8:8A:54:D1:96:50:73:0B:67:E4:2D:B1:21"
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.08.2018(UTC)
Сообщений: 4
|
дошли до стадии и сейчас ошибка
SSL_do_handshake() failed (SSL: error:1417D18C:SSL routines:tls_process_client_hello:version too low)
при этому настройки
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
ssl_prefer_server_ciphers on;
куда стоит копать?
на клиенте мы поставили плагин для браузера - достаточно лиэтого?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: alekseyNEW дошли до стадии и сейчас ошибка
SSL_do_handshake() failed (SSL: error:1417D18C:SSL routines:tls_process_client_hello:version too low)
при этому настройки
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
ssl_prefer_server_ciphers on;
куда стоит копать?
на клиенте мы поставили плагин для браузера - достаточно лиэтого? "version too low" у нас встречалось при работе с очень древних клиентов на XP + CSP 3.6, у вас такие? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.08.2018(UTC)
Сообщений: 4
|
Автор: Дмитрий Пичулин Автор: alekseyNEW дошли до стадии и сейчас ошибка
SSL_do_handshake() failed (SSL: error:1417D18C:SSL routines:tls_process_client_hello:version too low)
при этому настройки
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
ssl_prefer_server_ciphers on;
куда стоит копать?
на клиенте мы поставили плагин для браузера - достаточно лиэтого? "version too low" у нас встречалось при работе с очень древних клиентов на XP + CSP 3.6, у вас такие? windows 10 csp 4 стоит - (его разве надо ставить на клиенте? недостаточно просто плагин поставить?)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: alekseyNEW Автор: Дмитрий Пичулин Автор: alekseyNEW дошли до стадии и сейчас ошибка
SSL_do_handshake() failed (SSL: error:1417D18C:SSL routines:tls_process_client_hello:version too low) "version too low" у нас встречалось при работе с очень древних клиентов на XP + CSP 3.6, у вас такие? windows 10 csp 4 стоит - (его разве надо ставить на клиенте? недостаточно просто плагин поставить?) Наличие КриптоПро CSP обязательно по умолчанию. Присылайте дамп трафика, пока непонятно. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.08.2018(UTC)
Сообщений: 4
|
Автор: Дмитрий Пичулин Автор: alekseyNEW Автор: Дмитрий Пичулин Автор: alekseyNEW дошли до стадии и сейчас ошибка
SSL_do_handshake() failed (SSL: error:1417D18C:SSL routines:tls_process_client_hello:version too low) "version too low" у нас встречалось при работе с очень древних клиентов на XP + CSP 3.6, у вас такие? windows 10 csp 4 стоит - (его разве надо ставить на клиенте? недостаточно просто плагин поставить?) Наличие КриптоПро CSP обязательно по умолчанию. Присылайте дамп трафика, пока непонятно. openssl engine (dynamic) Dynamic engine loading support (gostengy) CryptoPro GostEngy ($Revision: 174535 $) openssl ciphers | tr ":" "\n" | grep -i gost GOST2012-GOST8912-GOST8912 GOST2001-GOST89-GOST89 Openssl вроде ок nmap --script ssl-enum-ciphers -p 443 127.0.0.1 Starting Nmap 7.01 ( https://nmap.org ) at 2018-08-16 11:09 MSK Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn Nmap done: 1 IP address (0 hosts up) scanned in 3.19 seconds ничего не вернул конфиг веб сервера listen 443 ssl ; server_name localhost; ssl_certificate /etc/nginx/ssl/.pem; ssl_certificate_key engine:gostengy:hash; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers GOST2012-GOST8912-GOST8912:HIGH; ssl_prefer_server_ciphers on; Дамп сделаем и скинем в личку
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2018(UTC) Сообщений: 36  Сказал(а) «Спасибо»: 9 раз
|
Подскажите, а где брать gostengy для windows?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: VictorFrom Подскажите, а где брать gostengy для windows? Прочитать до конца FAQ в начале темы, там есть ответ на вопрос: "Как получить gostengy и gost_capi?" |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
