Статус: Новичок
Группы: Участники
Зарегистрирован: 30.12.2019(UTC)
Сообщений: 2
Сказал(а) «Спасибо»: 2 раз
|
Дмитрий, спасибо! Подскажите еще, пожалуйста, такой лог (/var/log/syslog) при перезапуске service nginx restart нормальный? Код:
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Stopping NGINX with CryptoPro ...
Dec 30 16:05:50 n4-test-ng-1 ter process /usr/sbin/nginx: <capi10>CryptDestroyKey!failed: LastError = 0x80090001
Dec 30 16:05:50 n4-test-ng-1 ter process /usr/sbin/nginx: <capi10>CryptDestroyKey!failed: LastError = 0x80090001
Dec 30 16:05:50 n4-test-ng-1 cryptsrv: <cryptsrv>WireCPImpl1ReleaseContext!WireCPImpl1ReleaseContext: context not found
Dec 30 16:05:50 n4-test-ng-1 ter process /usr/sbin/nginx: <capi10>CryptReleaseContext!failed: LastError = 0x80090001
Dec 30 16:05:50 n4-test-ng-1 cryptsrv: <cryptsrv>WireCPImpl1ReleaseContext!WireCPImpl1ReleaseContext: context not found
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Stopped NGINX with CryptoPro .
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Starting NGINX with CryptoPro ...
Dec 30 16:05:50 n4-test-ng-1 nginx: <capi20>CertGetCertificateContextProperty!failed: LastError = 0x80092004
Dec 30 16:05:50 n4-test-ng-1 nginx[26725]: nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
Dec 30 16:05:50 n4-test-ng-1 nginx[26725]: nginx: configuration file /etc/nginx/nginx.conf test is successful
Dec 30 16:05:50 n4-test-ng-1 nginx: <capi20>CertGetCertificateContextProperty!failed: LastError = 0x80092004
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: nginx-cpro.service: Failed to read PID from file /run/nginx.pid: Invalid argument
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Started NGINX with CryptoPro .
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
|
Автор: fov.370  Дмитрий, спасибо! Подскажите еще, пожалуйста, такой лог (/var/log/syslog) при перезапуске service nginx restart нормальный? Код:
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Stopping NGINX with CryptoPro ...
Dec 30 16:05:50 n4-test-ng-1 ter process /usr/sbin/nginx: <capi10>CryptDestroyKey!failed: LastError = 0x80090001
Dec 30 16:05:50 n4-test-ng-1 ter process /usr/sbin/nginx: <capi10>CryptDestroyKey!failed: LastError = 0x80090001
Dec 30 16:05:50 n4-test-ng-1 cryptsrv: <cryptsrv>WireCPImpl1ReleaseContext!WireCPImpl1ReleaseContext: context not found
Dec 30 16:05:50 n4-test-ng-1 ter process /usr/sbin/nginx: <capi10>CryptReleaseContext!failed: LastError = 0x80090001
Dec 30 16:05:50 n4-test-ng-1 cryptsrv: <cryptsrv>WireCPImpl1ReleaseContext!WireCPImpl1ReleaseContext: context not found
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Stopped NGINX with CryptoPro .
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Starting NGINX with CryptoPro ...
Dec 30 16:05:50 n4-test-ng-1 nginx: <capi20>CertGetCertificateContextProperty!failed: LastError = 0x80092004
Dec 30 16:05:50 n4-test-ng-1 nginx[26725]: nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
Dec 30 16:05:50 n4-test-ng-1 nginx[26725]: nginx: configuration file /etc/nginx/nginx.conf test is successful
Dec 30 16:05:50 n4-test-ng-1 nginx: <capi20>CertGetCertificateContextProperty!failed: LastError = 0x80092004
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: nginx-cpro.service: Failed to read PID from file /run/nginx.pid: Invalid argument
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Started NGINX with CryptoPro .
Ничего криминального не видно. Нормальный лог. |
|
 1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 12.01.2017(UTC)
Сообщений: 5
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 4 раз в 2 постах
|
Добрый день. Ставил nginx скриптом https://raw.githubuserco...nx-gost/install-nginx.sh на ОС Astra ./install-nginx.sh --csp=linux-amd64_deb.tgz Сейчас понадобилось на рабочую систему установить geoip модуль к nginx. Подскажите, пожалуйста, как это можно сделать? Просто добавить в "nginx_paths" "--with-http_geoip_module=dynamic" и выполнить "./install-nginx.sh --csp=linux-amd64_deb.tgz"?
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 12.01.2017(UTC)
Сообщений: 5
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 4 раз в 2 постах
|
Ну и возможно кому понадобится. Особенности установки скриптом (https://raw.githubusercontent.com/fullincome/scripts/master/nginx-gost/install-nginx.sh) на сертифицированную ОС Astra (Астра) и критопро 5. Устанавливается как на обычную убунту за исключением следующих особенностей:
- Не находило пакет git
Надо поключить обычный диск с астрой
- Не находило пакет gcc
Надо поключить dev диск с астрой и поставить build-essential. Он подтянет и gcc
- Не клонирует гит
Клонирование в «nginx»… fatal: unable to access 'https://github.com/nginx/nginx.git/': Problem with the SSL CA cert (path? access rights?)
Подправил команду git clone в скрипте на
git -c http.sslVerify=false clone
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 31.08.2017(UTC) Сообщений: 49  Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 17 раз в 16 постах
|
Автор: ivan-zhilin Добрый день. Ставил nginx скриптом https://raw.githubuserco...nx-gost/install-nginx.sh на ОС Astra ./install-nginx.sh --csp=linux-amd64_deb.tgz Сейчас понадобилось на рабочую систему установить geoip модуль к nginx. Подскажите, пожалуйста, как это можно сделать? Просто добавить в "nginx_paths" "--with-http_geoip_module=dynamic" и выполнить "./install-nginx.sh --csp=linux-amd64_deb.tgz"? Кажется должно заработать. Только, наверное, в nginx_parameters корректнее (а не nginx_paths). У Вас получилось? Если нет - пишите, посмотрим. |
|
1 пользователь поблагодарил Ефремов Степан за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 12.01.2017(UTC)
Сообщений: 5
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 4 раз в 2 постах
|
Автор: Ефремов Степан
Кажется должно заработать.
Он именно должен переустановить уже имеющийся nginx, установленный ранее? Попробую на неделе думаю.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 31.08.2017(UTC) Сообщений: 49 Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 17 раз в 16 постах
|
Автор: ivan-zhilin Он именно должен переустановить уже имеющийся nginx, установленный ранее? Попробую на неделе думаю.
Зависит от того, где он располагается. В скрипте используются эти пути при установке: Код:prefix=/etc/nginx
sbin_path=/usr/sbin/nginx
conf_path=/etc/nginx/nginx.conf
err_log_path=/var/log/nginx/error.log
http_log_path=/var/log/nginx/access.log
pid_path=/var/run/nginx.pid
lock_path=/var/run/nginx.lock
Конечно же, их можно поменять прямо в скрипте. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 12.01.2017(UTC)
Сообщений: 5
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 4 раз в 2 постах
|
Доустановил на систему с рабочим nginx (ставил скриптом https://raw.githubuserco...x-gost/install-nginx.sh) модуль geoip. Ставил на ОС Астра (по сути Debian). Критопро уже был и работал вместе с nginx. Только модуля geoip не хватало. Доустанавливал тем же скриптом. В нем поправил: Код:nginx_parametrs=" --user=${user} --group=${group} --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module"
на (дописал в конец) Код:nginx_parametrs=" --user=${user} --group=${group} --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-http_geoip_module=dynamic"
Далее установил в систему libgeoip-dev - в астре нужно чтобы был подключен dev-репозиторий с диска. Без libgeoip-dev запуск скрипта завершался ошибкой: Код:./auto/configure: error: the GeoIP module requires the GeoIP library.
You can either do not enable the module or install the library.
Код:sudo apt-get install libgeoip-dev
Собственно поставились geoip-bin libgeoip-dev Далее забэкапил /etc/nginx, /etc/init.d/nginx (последнего может не быть - делал вроде бы для себя) Далее скрипт установки запустил так (из под рута): Код:./install-nginx.sh --install=nginx
Все скачалось, скомпилировалось и работает. Конфиги nginx не перезатерлись, работающий nginx не останавливался, перерыва в работе сайтов не было. Далее проверил конфиг (nginx -t) и перезапустил nginx (restart-ом). Все заработало. Было Код:root@secret:/usr# nginx -V
nginx version: nginx/1.14.2
built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
built with OpenSSL 1.1.0i 14 Aug 2018
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --user=root --group=nginx --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fPIC' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now -Wl,--as-needed -pie'
Стало Код:root@secret:~/cpro# nginx -V
nginx version: nginx/1.14.2
built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
built with OpenSSL 1.1.0i 14 Aug 2018
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --user=root --group=nginx --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-http_geoip_module=dynamic --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fPIC' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now -Wl,--as-needed -pie'
Саму работу geoip не тестировал, но думаю все ок, посмотрю позже. PS. При запуске скрипта были ошибки: Код:error: ошибка применения изменений: auto/lib/openssl/conf:62
error: auto/lib/openssl/conf: не удалось применить патч
Устраняется удалением из папки со скриптом папки nginx и nginx_conf.patch. И запуском скрипта снова. Он заного выкачает исходники.
|
3 пользователей поблагодарили ivan-zhilin за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 11.05.2020(UTC) Сообщений: 2  Откуда: Северодонецк
|
Всё это очень хорошо, но хотелось бы уже чего-то нового. А есть уже сертификаты 2020 года?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2019(UTC) Сообщений: 45 Сказал(а) «Спасибо»: 23 раз
Поблагодарили: 2 раз в 1 постах
|
Автор: Ефремов Степан Автор: Ефремов Степан Автор: lab2 Все получилось, скрипты отработали, но не все получилось, проблема теперь с openssl
У вас cpopenssl установлен, nginx должен работать корректно. Но просматривается другая проблема: при установке cpopenssl добавляется путь к библиотекам cpopenssl (в /etc/ld.so.conf). Но в path ничего не добавляется. Поэтому системный openssl пробует работать с нашими библиотеками (1.1.0) и похоже у него не получается. Это странно, т.к. если встречается openssl версии выше нашей (1.1.0i), то пути к библиотекам добавляются с меньшим приоритетом (о чем сообщается при установке), чтобы таких ситуаций как у вас как раз и не было. Похоже на то, что после установки CSP системный openssl проапгрейдили до версии 1.1.1. Пришлите пожалуйста версию системного openssl и самой OS. Чтобы системный openssl не возмущался, удалите наши пакеты (или весь csp с помощью uninstall.sh). Воспроизвели на ub18. Изначально версия openssl 1.1.0, после некоторого времени работы (около часа), ubuntu сама upgrade-ит openssl до версии 1.1.1. Получается не хорошо. В связи с тем, что в CSP планируем обновление cpopenssl до версии 1.1.1, вносить исправления для таких ситуаций не будем. Как вариант - удаление/установка cpopenssl понизит приоритет нашему openssl (системный будет в порядке). А для использования нашего openssl придется пользоваться LD_LIBRARY_PATH. Добрый день. Есть ли новости по Цитата:В связи с тем, что в CSP планируем обновление cpopenssl до версии 1.1.1 ? И если не скоро, можно попросить чуть подробней на практике показать как использовать Цитата:"А для использования нашего openssl придется пользоваться LD_LIBRARY_PATH" ? И как пожелание, поправить в скриптах тестовый УЦ на https://testgost2012.cryptopro.ru/certsrv/Отредактировано пользователем 12 мая 2020 г. 14:45:54(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
