Статус: Участник
Группы: Участники
Зарегистрирован: 06.07.2016(UTC) Сообщений: 11  Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: Дмитрий Пичулин  Автор: Pechenko Vladimir Да, я не указал ОС, в которой проблема. Это Windows XP(SP3), CSP 3.9, IE 8 Сделал дамп через ssldump:
Код:
# ssldump -i eth0 -n port 443
New TCP connection #1: 172.16.1.2(35064) <-> 172.16.1.1(443)
1 1 0.2737 (0.2737) C>S Handshake
ClientHello
Version 3.1
cipher suites
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_DES_CBC_SHA
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
TLS_RSA_EXPORT_WITH_RC4_40_MD5
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_DES_CBC_SHA
TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA
compression methods
NULL
1 2 0.2746 (0.0009) S>C Alert
level fatal
value handshake_failure
1 0.2748 (0.0002) S>C TCP FIN
1 0.5477 (0.2729) C>S TCP FIN
New TCP connection #2: 172.16.1.2(35065) <-> 172.16.1.1(443)
2 1 0.2725 (0.2725) C>S Handshake
ClientHello
Version 3.0
cipher suites
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA
Unknown value 0xff
compression methods
NULL
2 2 0.2728 (0.0003) S>C Alert
level fatal
value handshake_failure
2 0.2730 (0.0001) S>C TCP FIN
2 0.5455 (0.2725) C>S TCP FIN
New TCP connection #3: 172.16.1.2(35066) <-> 172.16.1.1(443)
3 0.2715 (0.2715) C>S TCP FIN
3 0.2716 (0.0000) S>C TCP FIN
Пробовал так же указывать SSLv3 в ssl_protocols. Вот ошибка:
Код:
2018/07/03 11:25:29 [crit] 7166#7166: *1 SSL_do_handshake() failed (SSL: error:1417D102:SSL routines:tls_process_client_hello:unsupported protocol) while SSL handshaking, client: 172.16.1.2, server: 0.0.0.0:443
2018/07/03 11:25:29 [crit] 7166#7166: *2 SSL_do_handshake() failed (SSL: error:1417D18C:SSL routines:tls_process_client_hello:version too low) while SSL handshaking, client: 172.16.1.2, server: 0.0.0.0:443
Ваша система устарела, с большой вероятностью она не сможет открыть не только целевой nginx, а вообще любой современный https сайт. Пробуйте использовать вместо набора HIGH, поддерживаемые сюиты из вашего дампа. Понятно. Спасибо.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.07.2018(UTC)
Сообщений: 3
|
Здравствуйте! Подскажите где взять актуальную инструкцию для настройки ГОСТ TLS. Конкретно интересует под CentOS. По инструкции из интернета вроде как удалось поднять на версии 3.9, по крайней мере хоть какой-то ответ был виден в браузере, но с ошибкой SSL_ERROR_NO_CYPHER_OVERLAP. С версией 5.0 веб даже не запускается. за основу была взята эта инструкция https://www.cryptopro.ru....aspx?g=posts&t=8733действия с сертификатом по этой инструкции https://www.cryptopro.ru...aspx?g=posts&t=12505
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
|
Автор: lolkek Подскажите где взять актуальную инструкцию для настройки ГОСТ TLS. Конкретно интересует под CentOS. Скрипты из данной теме и есть инструкция, лучше всего пользоваться ими на чистой машине с нужным вам CSP. Если после отработки скриптов вы не получаете рабочую конфигурацию nginx с поддержкой одновременной работы ГОСТ и RSA, пишите, будем разбираться. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.07.2018(UTC)
Сообщений: 3
|
Поднял чистый CentOS 7. Запустил скрипт установки + CSP 5.0. Вроде как все выполнилось успешно, если не считать что пришлось вручную кое-что до устанавливать.
Второй скрипт сгенерировал 2 сертификата, применил конфиг.
Создал пользователя и systemd как в инструкции.
nginx не стартует со следующей ошибкой:
Please, type password:nginx: [emerg] ENGINE_load_private_key("*******") failed (SSL: error:80015032:lib(128):gng_support_getuserkey:GNG_ERR_PIN error:26096080:engine ...ding private key)
nginx.service: control process exited, code=exited status=1
nginx: configuration file /etc/nginx/nginx.conf test failed
Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP requests password
openssl engine отображает только эту строчку:
(dynamic) Dynamic engine loading support
Ни в самом скрипте, ни в инструкции ничего про cnf файл не сказано. Но как я вижу в пункте - проверка openssl в инструкции, все же править его нужно.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
|
Автор: lolkek Please, type password:nginx: [emerg] ENGINE_load_private_key("*******") failed (SSL: error:80015032:lib(128):gng_support_getuserkey:GNG_ERR_PIN error:26096080:engine ...ding private key)
nginx.service: control process exited, code=exited status=1
nginx: configuration file /etc/nginx/nginx.conf test failed
Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP requests password Ошибка говорящая: у вас пароль на контейнере. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.07.2018(UTC)
Сообщений: 3
|
Не доводилось ранее работать с чем-то таким, поэтому и спрашиваю актуальную инструкцию, в которой было бы все расписано шаг за шагом и желательно с комментариями. Во время работы скрипта был запрошен пароль, я его ввел.
В итоге, чтобы заработал ГОСТ TLS, что необходимо сделать?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
|
Автор: lolkek Не доводилось ранее работать с чем-то таким, поэтому и спрашиваю актуальную инструкцию, в которой было бы все расписано шаг за шагом и желательно с комментариями. Во время работы скрипта был запрошен пароль, я его ввел.
В итоге, чтобы заработал ГОСТ TLS, что необходимо сделать? Вам необходимо получить доступ к закрытому ключу на уровне nginx, в случае пароля и невозможности его ввода, пароль от контейнера необходимо или закешировать, или убрать (сделать пустым). Для получения базовых знаний о работе наших продуктов, используйте поиск по форуму и базу знаний (ссылка есть в подписи к каждому сообщению). |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 31.05.2017(UTC)
Сообщений: 18
Сказал(а) «Спасибо»: 1 раз
|
Делал по инструкции, завелось только после ручной подмены openssl на патченый от КриптоПРО (mv /bin/openssl /bin/openssl.old; ln -s /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl /bin/openssl)
CentOS 7
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
|
Автор: sturi7l Делал по инструкции, завелось только после ручной подмены openssl на патченый от КриптоПРО (mv /bin/openssl /bin/openssl.old; ln -s /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl /bin/openssl)
CentOS 7 Известная проблема, но для разработчиков OpenSSL сторонние алгоритмы в низком приоритете: https://www.cryptopro.ru...ts&m=93625#post93625Поэтому держим свою версию openssl, с небольшими патчами для корректной работы ГОСТ: https://github.com/deemru/opensslВ дистрибутиве CSP аналог этой версии. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 31.05.2017(UTC)
Сообщений: 18
Сказал(а) «Спасибо»: 1 раз
|
Автор: Дмитрий Пичулин Автор: sturi7l Делал по инструкции, завелось только после ручной подмены openssl на патченый от КриптоПРО (mv /bin/openssl /bin/openssl.old; ln -s /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl /bin/openssl)
CentOS 7 Известная проблема, но для разработчиков OpenSSL сторонние алгоритмы в низком приоритете: https://www.cryptopro.ru...ts&m=93625#post93625Поэтому держим свою версию openssl, с небольшими патчами для корректной работы ГОСТ: https://github.com/deemru/opensslВ дистрибутиве CSP аналог этой версии. Да я и не в претензии. Просто в инструкции об этом ни слова, в свое время потратил на это какое-то количество времени. Может быть, имеет смысл отразить?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
