Статус: Новичок
Группы: Участники
Зарегистрирован: 26.09.2018(UTC)
Сообщений: 6
Откуда: Moscow
Сказал(а) «Спасибо»: 1 раз
|
Добрый день, необходимо приобрести в Вашем УЦ сертификат по ГОСТ 2012 для организации защищенного соединения между двумя WEB приложениями. В процессе настройки, nginx столкнулись с проблемой что gost_capi требуется имя сайта из атрибута Subject Alternative Name (альтернативное имя субъекта) в виде www.test.ruВ тестовом сертификате данный атрибут отсуствует что вызывает при обращении IE к URI сайта ошибку несоответствия сертификата и сайта. Подскажите, где и как можно добавить данный атрибут при генерации сертификата для пред-прод тестирования?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,505   Сказал «Спасибо»: 53 раз
Поблагодарили: 809 раз в 746 постах
|
Автор: AlekSx  Добрый день, необходимо приобрести в Вашем УЦ сертификат по ГОСТ 2012 для организации защищенного соединения между двумя WEB приложениями. В процессе настройки, nginx столкнулись с проблемой что gost_capi требуется имя сайта из атрибута Subject Alternative Name (альтернативное имя субъекта) в виде www.test.ruВ тестовом сертификате данный атрибут отсуствует что вызывает при обращении IE к URI сайта ошибку несоответствия сертификата и сайта. Подскажите, где и как можно добавить данный атрибут при генерации сертификата для пред-прод тестирования? Добрый день. Для данной цели Вы можете использовать этот тестовый удостоверяющий центр. Чтобы в расширении Subject Alternative Name сертификата сервера были записаны нужные DNS имена, нужно в форме запроса на сертификат в поле Атрибуты указать значение вида (несколько DNS имен указываются через символ &): san:dns=domain1.ru&dns=domain2.ru |
|
 1 пользователь поблагодарил Александр Лавник за этот пост.
|
AlekSx оставлено 26.09.2018(UTC)
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 26.09.2018(UTC)
Сообщений: 6
Откуда: Moscow
Сказал(а) «Спасибо»: 1 раз
|
Спасибо, сертификат выпустили, но тепрь возникли вопросы.
ssl_certificate_key "engine:gost_capi:test.ru"
что все таки указывать после двоеточия, где-то на форуме писали что указываь нужно знаечения CN
если указываю как написал выше, то nginx не стартует выдает ошибку
(SSL: error:80088093:lib(128):CAPI_GOST_F_CAPI_CHECK_LICENSE:CAPI_GOST_R_LICENSE_EXPIRED error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 26.09.2018(UTC)
Сообщений: 6
Откуда: Moscow
Сказал(а) «Спасибо»: 1 раз
|
SSLCertificateFile "/home/stos/server.pem"
SSLCertificateKeyFile "engine:gost_capi:CommonName"
Но на какую он лицензиюругается, неужели для сертификата сервера необходима серверная лицензия.
сейчас стоит клиентская, бесстрочная
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,505 Сказал «Спасибо»: 53 раз
Поблагодарили: 809 раз в 746 постах
|
Автор: AlekSx SSLCertificateFile "/home/stos/server.pem"
SSLCertificateKeyFile "engine:gost_capi:CommonName"
Но на какую он лицензиюругается, неужели для сертификата сервера необходима серверная лицензия.
сейчас стоит клиентская, бесстрочная
Да, Вы правы. Чтобы использовать серверный ГОСТ сертификат для построение TLS (как в Вашем случае) необходима серверная лицензия на КриптоПро CSP. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 26.09.2018(UTC)
Сообщений: 6
Откуда: Moscow
Сказал(а) «Спасибо»: 1 раз
|
Пришлось все переставить с нуля, получили серверную триалку.
Теперь при проверке openssl выдает ошибку:
openssl ciphers | grep -i GOST
Error configuring OpenSSL
140128335906704:error:260B6091:engine routines:DYNAMIC_LOAD:version incompatibility:eng_dyn.c:507:
140128335906704:error:260BC066:engine routines:INT_ENGINE_CONFIGURE:engine configuration error:eng_cnf.c:191:section=gost_section, name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
140128335906704:error:0E07606D:configuration file routines:MODULE_RUN:module initialization error:conf_mod.c:225:module=engines, value=engine_section, retcode=-1
Есть ли в Вашей КБ ответ? что за конфликт и как устранить?
На форуме поискал, есть у людей аналогичные ошибки но траблшутринга по ним нет.
Заранее спасибо.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 26.09.2018(UTC)
Сообщений: 6
Откуда: Moscow
Сказал(а) «Спасибо»: 1 раз
|
В файле /etc/pki/tls/openssl.cnf
ОС Centos 7.2
#### gostengy
openssl_conf = openssl_def
[openssl_def]
engines = engine_section
[engine_section]
gostengy = gost_section
[gost_section]
engine_id = gostengy
dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 26.09.2018(UTC)
Сообщений: 6
Откуда: Moscow
Сказал(а) «Спасибо»: 1 раз
|
Удалось запустить, через IE открывается, но получаем ошибку: Код ошибки: DLG_FLAGS_SEC_CERT_CN_INVALID
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
