Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<1920212223>»
Опции
К последнему сообщению К первому непрочитанному
Offline roysbike  
#201 Оставлено : 10 октября 2016 г. 16:19:51(UTC)
roysbike

Статус: Участник

Группы: Участники
Зарегистрирован: 07.10.2016(UTC)
Сообщений: 16
Российская Федерация
Откуда: Белгород

Автор: pd Перейти к цитате
Автор: roysbike Перейти к цитате
**** Server unexpectedly disconnected

Как говорилось ранее, у нас есть ветка на форуме с описанием установки nginx + gost_capi по шагам: http://www.cryptopro.ru/...ts&m=57216#post57216

Пробовали её на чистую установку? Просто мы не видим у вас никакой специфики, которая может приводить к подобным ошибкам.

Несколько раз ставили снуля, на чистую. Результат один, не могу понять, где ошибка. Все тесты которых описаны в документации, проходят. Файл с помощью openssl подписывается, модуль загуржен, nginx настроен корректно. Но у меня есть впорос. Нам уже выдали сертификат vsopen.ru.cer . Нужно ли генерить на самом сервере сертификат для nginx?

Отредактировано пользователем 10 октября 2016 г. 16:20:41(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#202 Оставлено : 10 октября 2016 г. 16:31:54(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: roysbike Перейти к цитате
Несколько раз ставили снуля, на чистую. Результат один, не могу понять, где ошибка. Все тесты которых описаны в документации, проходят.

4 часа назад вы упирались вот в это:

Автор: roysbike Перейти к цитате
При старте nginx ругается на

Цитата:
NGINE_load_private_key("vsopen.ru") failed (SSL: error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)


Просим помощи, уже неделю не может понять, что делаем не так

Как нам удалось понять, в нарушение инструкции вы пользовались разными пользователями при старте и работе nginx. Возможно вы что-то ещё упустили из виду.

На текущий момент, если в логах nginx и gost_capi более нет ошибок, которые бы могли пролить свет, то помочь вам будет затруднительно.

Автор: roysbike Перейти к цитате
Но у меня есть впорос. Нам уже выдали сертификат vsopen.ru.cer . Нужно ли генерить на самом сервере сертификат для nginx?

Если у вас есть рабочий серверный сертификат (аутентификация сервера) и закрытый к нему ключ, для работы на этом сертификате дополнительно ничего не нужно.

Знания в базе знаний, поддержка в техподдержке
Offline roysbike  
#203 Оставлено : 10 октября 2016 г. 16:36:08(UTC)
roysbike

Статус: Участник

Группы: Участники
Зарегистрирован: 07.10.2016(UTC)
Сообщений: 16
Российская Федерация
Откуда: Белгород

Автор: pd Перейти к цитате
Автор: roysbike Перейти к цитате
Несколько раз ставили снуля, на чистую. Результат один, не могу понять, где ошибка. Все тесты которых описаны в документации, проходят.

4 часа назад вы упирались вот в это:

Автор: roysbike Перейти к цитате
При старте nginx ругается на

Цитата:
NGINE_load_private_key("vsopen.ru") failed (SSL: error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)


Просим помощи, уже неделю не может понять, что делаем не так

Как нам удалось понять, в нарушение инструкции вы пользовались разными пользователями при старте и работе nginx. Возможно вы что-то ещё упустили из виду.

На текущий момент, если в логах nginx и gost_capi более нет ошибок, которые бы могли пролить свет, то помочь вам будет затруднительно.

Автор: roysbike Перейти к цитате
Но у меня есть впорос. Нам уже выдали сертификат vsopen.ru.cer . Нужно ли генерить на самом сервере сертификат для nginx?

Если у вас есть рабочий серверный сертификат (аутентификация сервера) и закрытый к нему ключ, для работы на этом сертификате дополнительно ничего не нужно.



В логах есть ошибки следующие.
Цитата:

2016/10/10 16:16:49 [crit] 24711#24711: *57917 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:16:55 [crit] 24711#24711: *58108 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:17:00 [crit] 24711#24711: *58251 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:24:23 [crit] 24711#24711: *73239 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher) while SSL handshaking, client: 66.102.9.13, server: 0.0.0.0:443


Мы используем proxy_pass , может ли это как-то влиять?

Offline Дмитрий Пичулин  
#204 Оставлено : 10 октября 2016 г. 16:43:15(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: roysbike Перейти к цитате
В логах есть ошибки следующие.
Цитата:

2016/10/10 16:16:49 [crit] 24711#24711: *57917 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:16:55 [crit] 24711#24711: *58108 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:17:00 [crit] 24711#24711: *58251 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:24:23 [crit] 24711#24711: *73239 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher) while SSL handshaking, client: 66.102.9.13, server: 0.0.0.0:443


Мы используем proxy_pass , может ли это как-то влиять?


Пришлите nginx.conf и openssl version
Знания в базе знаний, поддержка в техподдержке
Offline roysbike  
#205 Оставлено : 10 октября 2016 г. 16:45:54(UTC)
roysbike

Статус: Участник

Группы: Участники
Зарегистрирован: 07.10.2016(UTC)
Сообщений: 16
Российская Федерация
Откуда: Белгород

Автор: pd Перейти к цитате
Автор: roysbike Перейти к цитате
В логах есть ошибки следующие.
Цитата:

2016/10/10 16:16:49 [crit] 24711#24711: *57917 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:16:55 [crit] 24711#24711: *58108 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:17:00 [crit] 24711#24711: *58251 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:24:23 [crit] 24711#24711: *73239 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher) while SSL handshaking, client: 66.102.9.13, server: 0.0.0.0:443


Мы используем proxy_pass , может ли это как-то влиять?


Пришлите nginx.conf и openssl version


Цитата:

cat /etc/nginx/nginx.conf

user nginx;
worker_processes 1;

error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;


events {
worker_connections 1024;
}


http {
include /etc/nginx/mime.types;
default_type application/octet-stream;

log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';

access_log /var/log/nginx/access.log main;

sendfile on;
#tcp_nopush on;

keepalive_timeout 65;

#gzip on;
proxy_buffer_size 64k;
proxy_buffers 4 64k;
proxy_busy_buffers_size 64k;

include /etc/nginx/conf.d/*.conf;
}



Цитата:

openssl version
OpenSSL 1.0.1e 11 Feb 2013

Offline Дмитрий Пичулин  
#206 Оставлено : 10 октября 2016 г. 16:49:55(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: roysbike Перейти к цитате
openssl version
OpenSSL 1.0.1e 11 Feb 2013

Версия openssl старовата, ошибки "SSL_CERT_DUP:library bug", могут быть банально связаны с этим: https://www.cryptopro.ru...ts&m=56295#post56295

И пришлите конфиг nginx, где вы определяете целевой сервер.

Знания в базе знаний, поддержка в техподдержке
Offline roysbike  
#207 Оставлено : 10 октября 2016 г. 17:11:25(UTC)
roysbike

Статус: Участник

Группы: Участники
Зарегистрирован: 07.10.2016(UTC)
Сообщений: 16
Российская Федерация
Откуда: Белгород

Автор: pd Перейти к цитате
Автор: roysbike Перейти к цитате
openssl version
OpenSSL 1.0.1e 11 Feb 2013

Версия openssl старовата, ошибки "SSL_CERT_DUP:library bug", могут быть банально связаны с этим: https://www.cryptopro.ru...ts&m=56295#post56295

И пришлите конфиг nginx, где вы определяете целевой сервер.



openssl обновили
Цитата:
OpenSSL 1.0.1t 3 May 2016


Цитата:

server {
listen 443 ssl;
server_name gost.vsopen.ru www.gost.vsopen.ru;
error_log /var/log/nginx/gost.vsopne.ru.log debug;
ssl_certificate /etc/nginx/ssl/cprocsp/vsopen.ru.cer;
ssl_certificate_key engine:gost_capi:*.vsopen.ru;
ssl_session_timeout 5m;
ssl_protocols TLSv1;
ssl_ciphers HIGH:MEDIUM:+GOST2001-GOST89;
ssl_prefer_server_ciphers on;

proxy_set_header X-Real-IP $remote_addr;
error_page 502 400 /breakdown.html;

root /var/www/vsopen-static-front-new;
index index.html;



}

Offline Дмитрий Пичулин  
#208 Оставлено : 10 октября 2016 г. 17:17:09(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: roysbike Перейти к цитате
server {
...
}

Никаких подсказок и специфик нет, может дело в сертификате, пришлите на pdn@cryptopro.ru или в ЛС.

Знания в базе знаний, поддержка в техподдержке
Offline roysbike  
#209 Оставлено : 10 октября 2016 г. 17:36:20(UTC)
roysbike

Статус: Участник

Группы: Участники
Зарегистрирован: 07.10.2016(UTC)
Сообщений: 16
Российская Федерация
Откуда: Белгород

Автор: pd Перейти к цитате
Автор: roysbike Перейти к цитате
server {
...
}

Никаких подсказок и специфик нет, может дело в сертификате, пришлите на pdn@cryptopro.ru или в ЛС.



Заработало на Firefox . В IE нет, разбираемся. Видимо дело было в openssl. Спасибо за помощь
Offline Дмитрий Пичулин  
#210 Оставлено : 20 октября 2016 г. 13:26:08(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Мы движемся в сторону поддержки TLS 1.2

К сожалению, не удалось обойтись без патчей в openssl: https://github.com/deemr...ag/OpenSSL_1_0_2j-gost_1

Обновился gost_capi

Обновился nginx-gost:
  • Добавлена поддержка TLS 1.2 при аутентификации клиентов по ГОСТ сертификатам
  • Теперь в ГОСТ конфигурации можно использовать "ssl_protocols TLSv1 TLSv1.1 TLSv1.2;"


Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
67 Страницы«<1920212223>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.