Да, судя по всему, с гостом привет:

[root@n1 ~]# /opt/cprocsp/bin/amd64/csptest -tlsc -server localhost -port 8444 -v -nocheck
11 algorithms supported:
Aglid Class OID
[00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89)
[01] 0x6631 0x6000 1.2.643.7.1.1.5.2 (ГОСТ Р 34.12-2015 Кузнечик)
[02] 0x6630 0x6000 1.2.643.7.1.1.5.1 (ГОСТ Р 34.12-2015 Магма)
[03] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[04] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
[05] 0x801f 0x8000
[06] 0x803d 0x8000
[07] 0x803c 0x8000
[08] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[09] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012)
[10] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012)
Cipher strengths: 256..256
Supported protocols: 0xa80:
Transport Layer Security 1.0 client side
Transport Layer Security 1.1 client side
Transport Layer Security 1.2 client side
dwProtocolMask: 0x800e2aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 154
SessionId: (empty)
Cipher Suites: (c1 00) (c1 01) (c1 02) (ff 85) (00 81) (c0 30) (c0 2f) (c0 28) (c0 27) (c0 14) (c0 13) (00 9d) (00 9c) (00 3d) (00 3c) (00 35) (00 2f) (00 0a)
159 bytes of handshake data sent
1344 bytes of handshake data received
275 bytes of handshake data sent
7 bytes of handshake data received
**** Error 0xffffffff80090326 returned by InitializeSecurityContext (2)
/dailybuildsbranches/CSP_5_0r2i/CSPbuild/CSP/samples/csptest/WebClient.c:754:Error performing handshake.
Error 0x80090326: The message received was unexpected or badly formatted.
Total: SYS: 0.020 sec USR: 0.050 sec UTC: 0.110 sec
[ErrorCode: 0x80090326]

Повторял аккуратно и пошагово.
Касательно конфига NGINX - вот тут хотелось бы поподробнее. Я в конфиге видел только указание сертификата:

ssl_certificate_key engine:gostengy:<cert_hash>;

Ключ, я так понимаю, CryptoPro выковыривает сам, его в NGINX указывать не нужно.
RSA у нас в проекте не используется, поэтому я его не тестировал.
Сейчас попробую сделать что-нибудь плохое. Вдруг поможет.

И чёрный ящик в студию. ГОСТовое шифрование перестаёт работать после того, как в nginx.conf строку user root; меняем на user nginx;

Да, работать будет только с root)

Хотите от пользователя: мастер процесс и воркер должны быть запущены от одного пользователя (владельца ключей) для гост.

Так же есть вариант с прокси от внешнего на внутренний nginx

Отредактировано пользователем 17 сентября 2020 г. 13:42:32(UTC)  | Причина: Не указана

чистая установка вот сейчас последними скриптами (centos7+csp5.0) - все прекрасно работает, однако стоит потребовать клиентcкий сертификат и предъявить его браузером или csptestf -tlsc -cert на самом сервере - сервер возвращает ошибку 400 , а в error.log - client ssl certificate verify error: (7 certificate signature failure) while reading client request headers


csptestf.txt (5kb) загружен 5 раз(а).

Нет "старой" работающей установки под рукой, посмотрю позже, но.. в чем может быть дело, как узнать?

Ок, спасибо за оперативный ответ, это было важно услышать.Плохо, конечно, но выбора, пока нет.
Однако, раньше таже конфигурация работала, я поэтому доложил в тему)
Попробую, отпишусь
Спасибо!