Статус: Участник
Группы: Участники
Зарегистрирован: 15.04.2015(UTC) Сообщений: 23  Откуда: Moscow Сказал(а) «Спасибо»: 1 раз
|
Автор: 4ertu  Здравствуйте, все заработало, спасибо за помощь, без вас бы не справилася.
Вы говорили, что на данный момент поддерживается только TLSv1, будет ли расширение поддержки и на другие версии? Что Вы сделали, что у Вас заработало? У меня один в один беда. Только мне с КС2 никаких пертурбаций делать не требуется, я сразу ставил только КС2 и работал с ним. Точно также рвётся handshake.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Автор: valery.kazantsev У меня один в один беда. Только мне с КС2 никаких пертурбаций делать не требуется, я сразу ставил только КС2 и работал с ним. Точно также рвётся handshake. Автор: pd Как сконфигурировать nginx по шагам? Этой темой пробовали воспользоваться? |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.04.2015(UTC) Сообщений: 23 Откуда: Moscow Сказал(а) «Спасибо»: 1 раз
|
Всё согласно данному описанию успешно выполнено. Единственной обходное решение которые я сделал: При установке cprocsp-cpopenssl-gost-64-4.0.0-4.x86_64.rpm была ошибка зависимости procsp-cpopenssl-64, я установил с ключём --nodeps, далее openssl engine ругался на отсутствие библиотеки libcrypto.so.1.0.0, которую я подложил в /usr/lib64 из пакета openssl-1.0.0-27.el6_4.2.x86_64.rpm, т.к. на севрере стоит openssl-1.0.1e-15.el6.x86_64. Пробовал так же: Цитата:# ln -s /usr/lib64/libcrypto.so.10 /usr/lib64/libcrypto.so.1.0.0
# /sbin/ldconfig /usr/lib64 Проблема сохраняется
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Автор: valery.kazantsev Проблема сохраняется Опишите вашу проблему подробнее, приложите логи nginx и gost_capi (желательно debug версии) |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.04.2015(UTC) Сообщений: 23 Откуда: Moscow Сказал(а) «Спасибо»: 1 раз
|
Я завёл ещё заявку на эту тему #1832 В /var/loge/error.log следующее: Код:2015/04/16 18:37:01 [alert] 25902#0: *144 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 10.0.155.9, server: 0.0.0.0:4431
Password:Password:Password:2015/04/16 18:37:01 [crit] 25902#0: *144 SSL_do_handshake() failed (SSL: error:1408B093:SSL routines:SSL3_GET_CLIENT_KEY_EXCHANGE:decryption failed) while SSL handshaking, client: 10.0.155.9, server: 0.0.0.0:4431
2015/04/16 18:37:01 [alert] 25902#0: *145 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 10.0.155.9, server: 0.0.0.0:4431
Password:Password:Password:2015/04/16 18:37:01 [crit] 25902#0: *145 SSL_do_handshake() failed (SSL: error:1408B093:SSL routines:SSL3_GET_CLIENT_KEY_EXCHANGE:decryption failed) while SSL handshaking, client: 10.0.155.9, server: 0.0.0.0:4431
2015/04/16 18:37:01 [alert] 25902#0: *146 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 10.0.155.9, server: 0.0.0.0:4431
В /var/opt/cprocsp/tmp/gost_capi.log ошибки: Код:
...
DFFBABB5:0066 (ngg_support_VKO:2344) ERROR: CryptImportKey = 0x8010006B
DFFBABB5:0067 (ngg_support_VKO:2344) ERROR: CryptImportKey = 0x8010006B
DFFBABB5:0068 (ngg_support_VKO:2344) ERROR: CryptImportKey = 0x8010006B
DFFBABB5:0069 (ngg_support_VKO:2344) ERROR: CryptImportKey = 0x8010006B
debug версию пакета cprocsp-cpopenssl-gost-64-4.0.0-4.x86_64 я честно говоря не встречал Проблема сейчас заключается в том же - connection refused, разрыв на этапе SSL handshake. Снимал дамп: Код:
# ssldump port 4431
New TCP connection #1: 10.0.155.9(56393) <-> 10.0.155.159(4431)
1 1 0.0796 (0.0796) C>S Handshake
ClientHello
Version 3.3
cipher suites
Unknown value 0x81
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_MD5
compression methods
NULL
1 2 0.0803 (0.0006) S>C Handshake
ServerHello
Version 3.3
session_id[32]=
9e 99 c8 8a 91 66 46 55 61 c5 d0 96 14 d0 fc 1c
10 29 e7 55 c2 a2 a6 44 13 9c 2d 42 26 7b b7 91
cipherSuite Unknown value 0x81
compressionMethod NULL
1 3 0.0804 (0.0001) S>C Handshake
Certificate
1 4 0.0804 (0.0000) S>C Handshake
ServerHelloDone
1 0.0812 (0.0007) C>S TCP FIN
New TCP connection #2: 10.0.155.9(56395) <-> 10.0.155.159(4431)
2 1 0.0011 (0.0011) C>S Handshake
ClientHello
Version 3.1
cipher suites
Unknown value 0x81
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_MD5
compression methods
NULL
2 2 0.0019 (0.0007) S>C Handshake
ServerHello
Version 3.1
session_id[32]=
aa f3 e5 74 04 df ee ad 00 d4 e9 31 4d 79 47 44
80 8c e1 34 8e ef c9 77 01 c2 92 24 b9 0b e7 e3
cipherSuite Unknown value 0x81
compressionMethod NULL
2 3 0.0020 (0.0000) S>C Handshake
Certificate
2 4 0.0020 (0.0000) S>C Handshake
ServerHelloDone
2 5 0.1577 (0.1556) C>S Handshake
ClientKeyExchange
2 6 0.1577 (0.0000) C>S ChangeCipherSpec
2 7 0.1577 (0.0000) C>S Handshake
2 0.1725 (0.0148) S>C TCP FIN
2 0.1730 (0.0004) C>S TCP FIN
New TCP connection #3: 10.0.155.9(56397) <-> 10.0.155.159(4431)
3 1 0.0008 (0.0008) C>S Handshake
ClientHello
Version 3.0
cipher suites
SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_RC4_128_SHA
SSL_RSA_WITH_RC4_128_MD5
SSL_EMPTY_RENEGOTIATION_INFO_SCSV
compression methods
NULL
3 2 0.0029 (0.0021) S>C Alert
level fatal
value handshake_failure
3 0.0031 (0.0001) S>C TCP FIN
3 0.0041 (0.0009) C>S TCP FIN
New TCP connection #4: 10.0.155.9(56398) <-> 10.0.155.159(4431)
4 0.0010 (0.0010) C>S TCP FIN
4 0.0011 (0.0001) S>C TCP FIN
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.04.2015(UTC) Сообщений: 23 Откуда: Moscow Сказал(а) «Спасибо»: 1 раз
|
Я погулил код ошибки 0x8010006B. Пишут что контейнер заблокирован, неправильно введён PIN и всё такое.
Но у меня не заблокирован контейнер или по крайней мере я этого не вижу.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Автор: valery.kazantsev В /var/opt/cprocsp/tmp/gost_capi.log ошибки: Код:
...
DFFBABB5:0066 (ngg_support_VKO:2344) ERROR: CryptImportKey = 0x8010006B
DFFBABB5:0067 (ngg_support_VKO:2344) ERROR: CryptImportKey = 0x8010006B
DFFBABB5:0068 (ngg_support_VKO:2344) ERROR: CryptImportKey = 0x8010006B
DFFBABB5:0069 (ngg_support_VKO:2344) ERROR: CryptImportKey = 0x8010006B
debug версию пакета cprocsp-cpopenssl-gost-64-4.0.0-4.x86_64 я честно говоря не встречал Имеется ввиду debug-овый gost_capi приложенный в начале темы, но не суть, так как и из этого лога вполне понятно, что CryptImportKey = 0x8010006B означает: "Нет доступа к карте. Введен неправильный PIN-код." Конкретно эта проблема, вероятнее всего, связана с рабочими потоками запущенными из под другого пользователя нежели сам nginx. Обратите особое внимание на этот пассаж в теме настройки по шагам (http://www.cryptopro.ru/forum2/default.aspx?g=posts&m=57216#post57216): Автор: ElenaS Настройка nginxПользователь рабочих потоков nginx не должен отличаться от пользователя запускающего nginx (http://nginx.org/ru/docs/ngx_core_module.html#user). Для этого в конфигурационном файле etc/nginx/nginx.conf укажите: Код:user = <имя пользователя>
<...> После внесения изменений нужно запустить или перезапустить nginx. Проверьте, что процессы nginx запущены от одного пользователя. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.04.2015(UTC) Сообщений: 23 Откуда: Moscow Сказал(а) «Спасибо»: 1 раз
|
Нет ну конечно я прекрасно знаком с архитектурой nginx, таких оплошностей не допустил бы. nginx запускается и fork'ается от имени root. В конфиге nginx.conf чётким образом прописано: Все контейнеры КриптоПро и все действия я производил только от root'а и никаких сторонних пользователей не создавал в систем. Может быть есть какое-то влияние unix permission на контейнер '/var/opt/cprocsp/keys/root/RaUser-6.001', может на контейнер выставить права 0600 например?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.04.2015(UTC) Сообщений: 23 Откуда: Moscow Сказал(а) «Спасибо»: 1 раз
|
Код:
# cat /etc/nginx/nginx.conf
user root;
worker_processes 1;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
include /etc/nginx/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
#tcp_nopush on;
keepalive_timeout 65;
#gzip on;
include /etc/nginx/conf.d/*.conf;
}
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Скорее всего где-то, что-то пошло не по инструкции, тогда ошибку будет легко заметить даже на этом шаге: Автор: pd Как проверить работоспособность OpenSSL с gost_capi?<...> Проверить возможность подписи (должно выполниться без ошибок): Код:openssl cms -sign -engine gost_capi -keyform ENGINE -inkey www.vpngost.ru -in "doc.txt" -out "doc.signed.txt" -outform PEM -CAfile /path/to/cert/www.vpngost.ru.cer -nodetach -signer /path/to/cert/www.vpngost.ru.cer
|
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
