Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602  Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
|
Полагаю еще может быть ошибка со списком доверенных сертификатов УЦ. Вдруг там только RSA шные или гостовский список "корявый" (не такой как ожидает программа)? В cpt_bundle.crt что?
|
 1 пользователь поблагодарил two_oceans за этот пост.
|
lab2 оставлено 31.07.2020(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2019(UTC) Сообщений: 45 Сказал(а) «Спасибо»: 23 раз
Поблагодарили: 2 раз в 1 постах
|
Автор: two_oceans  Полагаю еще может быть ошибка со списком доверенных сертификатов УЦ. Вдруг там только RSA шные или гостовский список "корявый" (не такой как ожидает программа)? В cpt_bundle.crt что? Эх, если бы так я бы обрадовался. В cpt_bundle.crt - корень тестового уц криптопро, которым выдан сертификат, на котором поднят гостнжинкс скриптами из темы. Он же - издатель сертификата сервераhttps://testgost2012.cryptopro.ru Конечно, это редкий кейс - проксировать _чужой сервер (80 to 443), но, признаюсь, огорчило что мало кто видит в этом проблему. Как я говорил выше, если проксируется rsa сайт, то директива работает. И в "практической" теме https://www.cryptopro.ru...&m=106397#post106397также в конфиге выставлен proxy_ssl_verify off; Отредактировано пользователем 31 июля 2020 г. 8:17:57(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
|
Автор: lab2 Эх, если бы так я бы обрадовался. В cpt_bundle.crt - корень тестового уц криптопро, ну до этого моя телепатия дошла, но того что это сертификат мало для понимания обстановки, важен еще и формат сертификата. В пояснении по директиве написано что это связка из сертификатов в PEM формате (то есть каждый сертификат в Base64 и ограничен заголовками вроде таких =====BEGIN TRUSTED CERTIFICATE ===== =====END TRUSTED CERTIFICATE=====). Бывает когда на Windows экспортируют сертификат там еще сохраняется куча мусора (атрибутов из хранилища) между сертификатами, или допустим нет слова TRUSTED или вместо него X509. Одна версия openssl может принимать текст1 заголовка и отвергать текст2, а другая версия openssl может наоборот текст1 отвергать, но считывать текст2. Было бы замечательно проверить, что рабочая RSA связка имеет такие же заголовки ограничивающие сертификат как и сертификат гост. Ну и конечно я бы не отметал версию, что по какой-то причине gostengy не был загружен на момент проверки сертификата и просто не нашелся алгоритм гост.
|
1 пользователь поблагодарил two_oceans за этот пост.
|
pd оставлено 31.07.2020(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2019(UTC) Сообщений: 45 Сказал(а) «Спасибо»: 23 раз
Поблагодарили: 2 раз в 1 постах
|
Ок, появилась надежда, проверю
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 06.08.2020(UTC) Сообщений: 15
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
|
Автор: vabik О чём речь? Это какой шаг инструкции? |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 06.08.2020(UTC) Сообщений: 15
|
Операционная система Gentos 7, rpm-пакет криптопро csp скачали с сайта https://www.cryptopro.ru...r4_linux/linux-amd64.tgzУстановку пакета после распаковки выполняю в ручную. Часть лог файла после запуска: yum install cprocsp-cpopenssl-64-5.0.11455-5.x86_64.rpm Loaded plugins: changelog, fastestmirror, fs-snapshot, merge-conf Examining cprocsp-cpopenssl-64-5.0.11455-5.x86_64.rpm: cprocsp-cpopenssl-64-5.0.11455-5.x86_64 Marking cprocsp-cpopenssl-64-5.0.11455-5.x86_64.rpm to be installed Resolving Dependencies --> Running transaction check ---> Package cprocsp-cpopenssl-64.x86_64 0:5.0.11455-5 will be installed --> Processing Dependency: cprocsp-cpopenssl-base < 6.0 for package: cprocsp-cpopenssl-64-5.0.11455-5.x86_64 Loading mirror speeds from cached hostfile --> Processing Dependency: cprocsp-cpopenssl-base >= 5.0 for package: cprocsp-cpopenssl-64-5.0.11455-5.x86_64 --> Finished Dependency Resolution Error: Package: cprocsp-cpopenssl-64-5.0.11455-5.x86_64 (/cprocsp-cpopenssl-64-5.0.11455-5.x86_64) Requires: cprocsp-cpopenssl-base >= 5.0 Error: Package: cprocsp-cpopenssl-64-5.0.11455-5.x86_64 (/cprocsp-cpopenssl-64-5.0.11455-5.x86_64) Requires: cprocsp-cpopenssl-base < 6.0 You could try using --skip-broken to work around the problem You could try running: rpm -Va --nofiles --nodigest Отредактировано пользователем 6 августа 2020 г. 12:10:59(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
|
Автор: vabik Установку пакета после распаковки выполняю в ручную. То есть, с автоматизированной установкой и настройкой (начало темы) проблем не было? Если вы пропустили данный этап, то вернитесь к нему. Действовать вручную можно начинать только когда вариант со скриптами заработал и вы полностью разобрались в каждом его шаге. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 06.08.2020(UTC) Сообщений: 15
|
Выполнить скрипт пока нет возможности, отсутствует прямой доступ к интернету для загрузки пакетов.
Какой еще есть вариант? Можно ли в скрипте указать локальный каталог с rpm пакетами?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
|
Автор: vabik Выполнить скрипт пока нет возможности, отсутствует прямой доступ к интернету для загрузки пакетов.
Какой еще есть вариант? Можно ли в скрипте указать локальный каталог с rpm пакетами? Можно запустить скрипт с аргументом --command_list и получить список всех команд для самостоятельной коррекции, это всё документировано в репозитории: https://github.com/fullincome/nginx-gost |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
