Статус: Новичок
Группы: Участники
Зарегистрирован: 15.09.2018(UTC) Сообщений: 7  Откуда: Moscow Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: chemtech  Для быстрого развертывания и тестирования nginx c OpenSSL 1.1.0 с КриптоПро сделал Dockerfile: https://github.com/patse...u/blob/master/DockerfileИнструкция как запустить находится на главной странице репозитория https://github.com/patsevanton/GOST-2012-ubuntuСейчас при установке сертификатов появляется вот такая ошибка: Код:
Step 8/10 : RUN ./install-certs.sh
---> Running in 7a9ca206fa13
+ ARGV=
+ certname=srvtest
+ container=ngxtest
+ provtype=81
+ provnameKC1='Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP'
+ provnameKC2='Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP'
+ grep CN=srvtest
+ /opt/cprocsp/bin/amd64/certmgr -list
Failed to open store
The requested address is not valid in its context.
+ '[' 1 -eq 0 ']'
+ /opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMCONTAINERS
+ grep ngxtest
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/support/getcspparam.c:28:Can not get CSP param: AcquireContext failed.
Error number 0x2741 (10049).
The requested address is not valid in its context.
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/enum.c:399:Error during CryptAcquireContext.
Error number 0x2741 (10049).
The requested address is not valid in its context.
Program is terminating.
+ '[' 1 -eq 0 ']'
+ /opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn CN=srvtest -cont '\\.\HDIMAGE\ngxtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrv
CryptCP 4.0 (c) "Crypto-Pro", 2002-2017.
Command prompt Utility for file signature and encryption.
Creating request...
Press keys...
[]Error: The action was cancelled by the user./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:441: 0x8010006E
Error: The action was cancelled by the user./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:1003: 0x8010006E
[ErrorCode: 0x8010006e]
+ exit 1
ERROR: Service 'gost-2012' failed to build: The command '/bin/sh -c ./install-certs.sh' returned a non-zero code: 1
В чем может быть ошибка? Можно ли запустить debug? Надо сюда глянуть https://github.com/taigasys/CryptoProCSP Вот за это спасибо! Я застрял на моменте когда в контейнере надо запустить криптопрошный демон. Он у меня отказывался стартовать из за того что не мог чтото там смонтировать. Подозреваю что в priveleged режиме он бы заработал, но так запускать его желания небыло. Еще не понятно где сборка nginx с openssl от криптопро? это то что в скрипте install-nginx.sh. Или теперь его патчить не надо чтобы он работал с openssl который gost умеет? Отредактировано пользователем 20 сентября 2018 г. 0:34:04(UTC)
| Причина: й
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.09.2018(UTC) Сообщений: 7 Откуда: Moscow Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: Дмитрий Пичулин Автор: chemtech + /opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn CN=srvtest -cont '\\.\HDIMAGE\ngxtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrvCryptCP 4.0 (c) "Crypto-Pro", 2002-2017. Command prompt Utility for file signature and encryption. Creating request... Press keys... []Error: The action was cancelled by the user./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:441: 0x8010006E Error: The action was cancelled by the user./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:1003: 0x8010006E [ErrorCode: 0x8010006e] + exit 1 Генерация ключей с помощью биологического датчика случайных чисел возможна только в живой консоли. При работе в рамках контейнеров, лучший вариант -- использовать заранее подготовленный pfx в качестве контейнера с сертификатом. Ну это добавит других проблем с безопасностью. Вся идея в том чтобы приватные ключи никуда с сервера где они были сгенерированы не уезжали. А тут надо гдето хранить эти pfx так чтобы до них никто постороний не добрался. Можно правда docker secret использовать для этого. Но там места не так чтобы много.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
|
Автор: jjjbushjjj Ну это добавит других проблем с безопасностью. Вся идея в том чтобы приватные ключи никуда с сервера где они были сгенерированы не уезжали.
А тут надо гдето хранить эти pfx так чтобы до них никто постороний не добрался. Можно правда docker secret использовать для этого. Но там места не так чтобы много. Работа в контейнере и безопасность рядом не стоят, так что пропускаем тему безопасности полностью. Речь про удобство и типичную практику работы с контейнерами, которые получают всю частную информацию извне. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Для тестовых целей хотелось бы генерить сертификаты и ключи прямо в докере Прочитал про выработку внешней гаммы https://www.cryptopro.ru...ts&m=17079#post17079Если запускать с добавленными ДСЧ КПИМ:: https://github.com/patse...ob/master/Dockerfile#L25Код:
Step 11/15 : RUN mkdir -p /tmp/db1/kis_1 && cp /tmp/db1/kis_1 /var/opt/cprocsp/dsrf/db1/kis_1
---> Running in 1ecf6fb4e6fb
cp: -r not specified; omitting directory '/tmp/db1/kis_1'
ERROR: Service 'gost-2012' failed to build: The command '/bin/sh -c mkdir -p /tmp/db1/kis_1 && cp /tmp/db1/kis_1 /var/opt/cprocsp/dsrf/db1/kis_1' returned a non-zero code: 1
Вполне возможно нужно запускать генерацию не в стадии build, а в стадии запуска.... Дмитрий Пичулин Правильно ли я понимаю что мне сначала нужно на Windows сгенерировать ключ и сертификат например тестовый https://www.cryptopro.ru/certsrv/экспортировать его в PFX а затем согласно статье https://support.cryptopr...bot-s-pfx-v-nix-sistemkhимпортировать его в криптопрошный контейнер внутри docker?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
|
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Дмитрий Пичулин Код:Step 10/16 : RUN /opt/cprocsp/sbin/amd64/cpconfig -hardware rndm -configure cpsd -add string /db1/kis_1 /var/opt/cprocsp/dsrf/db1/kis_1
---> Using cache
---> 4f5db342f207
Step 11/16 : RUN /opt/cprocsp/sbin/amd64/cpconfig -hardware rndm -configure cpsd -add string /db2/kis_1 /var/opt/cprocsp/dsrf/db2/kis_1
---> Using cache
---> 14ebfa55c7be
Step 12/16 : RUN ls /tmp/db1/kis_1
---> Running in 52ea3c426da7
ls: cannot access '/tmp/db1/kis_1': No such file or directory
Подскажите пожалуйста по поводу гаммы. Делаю согласно комментарию. cpconfig не создает директорию /tmp/db1/kis_1 ? нужно ли сначала создать /tmp/db1/kis_1, а затем запускать cpconfig -hardware rndm -configure cpsd -add string /db2/kis_1 /var/opt/cprocsp/dsrf/db2/kis_1 ? Сделал создание директорий https://github.com/patse...ob/master/Dockerfile#L17Код:
Step 20/22 : RUN ./install-certs.sh
---> Running in 7fa591b32fe0
+ ARGV=
+ certname=srvtest
+ container=ngxtest
+ provtype=81
+ provnameKC1='Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP'
+ provnameKC2='Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP'
+ /opt/cprocsp/bin/amd64/certmgr -list
+ grep CN=srvtest
Failed to open store
The system cannot find the file specified.
+ '[' 1 -eq 0 ']'
+ /opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMCONTAINERS
+ grep ngxtest
+ '[' 1 -eq 0 ']'
+ /opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn CN=srvtest -cont '\\.\HDIMAGE\ngxtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrv
CryptCP 4.0 (c) "Crypto-Pro", 2002-2017.
Command prompt Utility for file signature and encryption.
Creating request...
Press keys...
[]Error: The action was cancelled by the user./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:441: 0x8010006E
Error: The action was cancelled by the user./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:1003: 0x8010006E
[ErrorCode: 0x8010006e]
+ exit 1
ERROR: Service 'gost-2012' failed to build: The command '/bin/sh -c ./install-certs.sh' returned a non-zero code: 1
Отредактировано пользователем 20 сентября 2018 г. 9:00:56(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
|
Автор: chemtech Подскажите пожалуйста по поводу гаммы. Мы не поддерживаем использование граблей. Можно лишь повторить и зафиксировать: генерация ключей внутри контейнера бессмысленна и противоречит концепции контейнеров, используйте pfx. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 13.11.2018(UTC)
Сообщений: 3
Сказал(а) «Спасибо»: 1 раз
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.11.2018(UTC) Сообщений: 44 Откуда: Рязань Сказал(а) «Спасибо»: 4 раз
|
Здравствуйте. Столкнулся с ошибкой [emerg] 69766#69766: ENGINE_load_private_key("mtravel") failed (SSL: error:80015033:lib(128):gng_support_getuserkey:GNG_ERR_LICENSE error:26096080:engine routines:ENGINE_load_private_key:failed loading private key) Подскажите в чем проблема
использовал для установки файл install_nginx.sh с дополнительным включением модуля nginx-lua-module при компиляции
сертификаты генерировал самостоятельно по инструкции, заменив только CN и storage
openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 180423 $)
nginx -V
nginx version: nginx/1.13.6
built by gcc 7.3.0 (Ubuntu 7.3.0-27ubuntu1~18.04)
built with OpenSSL 1.1.0g 2 Nov 2017 (running with OpenSSL 1.1.0h 27 Mar 2018)
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --with-ld-opt=-Wl,-rpath,/usr/local/lib --add-module=/tmp/nginx-lu/ngx_devel_kit-0.3.0 --add-module=/tmp/nginx-lu/lua-nginx-module-0.10.13 --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --user=root --group=www-data --user=www-data --group=www-data --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fPIC' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now -Wl,--as-needed -pie'
вот конфиг nginx
server
{
access_log /var/log/nginx/default.access.log;
error_log /var/log/nginx/default.error.log debug;
keepalive_timeout 120;
listen 443 ssl http2 default reuseport;
real_ip_header proxy_protocol;
proxy_set_header Host $host:$server_port;
# Redirect HTTP to HTTPS
if ($scheme = http)
{
return 301 https://$host$request_uri;
}
# return 301 https://$host$request_uri;
# SSL configuration
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:128m;
ssl_session_timeout 1h;
ssl_session_tickets off;
ssl_buffer_size 4k;
#Первый сертификат в файле РСА потом ГОСТ
ssl_client_certificate /etc/certs/ca-bundle.pem;
ssl_verify_client on;
ssl_certificate_key engine:gostengy:mtravel;
ssl_certificate /etc/certs/server/gost/crt.pem;
ssl_certificate /etc/certs/server/rsa/crt.pem;
ssl_certificate_key /etc/certs/server/rsa/key.pem;
server_name meteotravel.ru;
root /var/www/html;
index index.html index.htm index.nginx-debian.html;
location /fop1
{
# First attempt to serve request as file, then
# as directory, then fall back to displaying a 404.
# Add index.php to the list if you are using PHP
try_files $uri $uri/ =404;
}
}
Отредактировано модератором 22 декабря 2018 г. 0:03:14(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
|
Автор: Riddick-84 Здравствуйте.
Столкнулся с ошибкой
[emerg] 69766#69766: ENGINE_load_private_key("mtravel") failed (SSL: error:80015033:lib(128):gng_support_getuserkey:GNG_ERR_LICENSE error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)
Подскажите в чем проблема Ошибка же говорит сама за себя, у вас нет серверной лицензии КриптоПро CSP. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
