Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы<12345>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#21 Оставлено : 27 февраля 2015 г. 13:43:42(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
примерный вид сертификата в файле:

Код:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Знания в базе знаний, поддержка в техподдержке
Offline kropotin  
#22 Оставлено : 27 февраля 2015 г. 13:46:24(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Автор: pd Перейти к цитате
примерный вид сертификата в файле:

Это если сертификат в кодировке Base64. DER-кодировка поддерживается?
Offline Дмитрий Пичулин  
#23 Оставлено : 27 февраля 2015 г. 13:47:56(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: kropotin Перейти к цитате
Автор: pd Перейти к цитате
примерный вид сертификата в файле:

Это если сертификат в кодировке Base64. DER-кодировка поддерживается?

Не тестировалось. Это вопрос к разработчикам OpenSSL.
Знания в базе знаний, поддержка в техподдержке
Offline kropotin  
#24 Оставлено : 27 февраля 2015 г. 13:50:41(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Автор: pd Перейти к цитате
Не тестировалось. Это вопрос к разработчикам OpenSSL.

Провел эксперимент. Раскодировал эту последовательность по Base64. Внутри оказался сертификат в DER-кодировке.
То есть Base64 это просто обертка для удобной передачи.

Тут дело может быть в самом сертификате (структуре).
Может надо запрос на сертификат создавать с помощью OpenSSL, а нет ./cryptcp -creatrqst?

Отредактировано пользователем 27 февраля 2015 г. 13:52:50(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#25 Оставлено : 27 февраля 2015 г. 13:55:59(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: kropotin Перейти к цитате

Тут дело может быть в самом сертификате (структуре).
Может надо запрос на сертификат создавать с помощью OpenSSL, а нет ./cryptcp -creatrqst?


Вряд ли все так сложно, представленный выше сертификат выпущен на привычном https://www.cryptopro.ru/certsrv/

Лучше проверьте окончания строк, они должны быть Unix формата, при работе на платформе Unix.
Знания в базе знаний, поддержка в техподдержке
Offline kropotin  
#26 Оставлено : 27 февраля 2015 г. 13:59:04(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Автор: pd Перейти к цитате
Вряд ли все так сложно, представленный выше сертификат выпущен на привычном https://www.cryptopro.ru/certsrv/
Лучше проверьте окончания строк, они должны быть Unix формата, при работе на платформе Unix.


Сертификаты, которые я использую, как раз выпущены на тестовом https://www.cryptopro.ru/certsrv/
Offline Дмитрий Пичулин  
#27 Оставлено : 27 февраля 2015 г. 14:03:30(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: kropotin Перейти к цитате
Автор: pd Перейти к цитате
Вряд ли все так сложно, представленный выше сертификат выпущен на привычном https://www.cryptopro.ru/certsrv/
Лучше проверьте окончания строк, они должны быть Unix формата, при работе на платформе Unix.


Сертификаты, которые я использую, как раз выпущены на тестовом https://www.cryptopro.ru/certsrv/


Мы не можем воспроизвести вашу ошибку:

Код:
3078485740:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE


Вот это место из pem_lib.c:

Код:
		i=BIO_gets(bp,buf,254);

		if (i <= 0)
			{
			PEMerr(PEM_F_PEM_READ_BIO,PEM_R_NO_START_LINE);
			goto err;
			}      
      

Можно заметить, что ошибка при получении строки из файла. Если ваш файл выглядет иначе, чем представленный выше. То вряд ли вы продвинетесь.
Знания в базе знаний, поддержка в техподдержке
Offline kropotin  
#28 Оставлено : 27 февраля 2015 г. 14:08:54(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Автор: pd Перейти к цитате
Лучше проверьте окончания строк, они должны быть Unix формата, при работе на платформе Unix.


Google говорит:
Цитата:
Is it possible that the lines are ^M-terminated? This is a potential issue when moving files from Windows to UNIX systems. One easy way to check is to use vi in "show me the binary" mode, with vi -b /etc/apache2/domain.ssl/domain.ssl.crt/domain.com.crt.

If each line ends with a control-M, like this

-----BEGIN CERTIFICATE-----^M
MIIDITCCAoqgAwIBAgIQL9+89q6RUm0PmqPfQDQ+mjANBgkqhkiG9w0BAQUFADBM^M
MQswCQYDVQQGEwJaQTElMCMGA1UEChMcVGhhd3RlIENvbnN1bHRpbmcgKFB0eSkg^M
THRkLjEWMBQGA1UEAxMNVGhhd3RlIFNHQyBDQTAeFw0wOTEyMTgwMDAwMDBaFw0x^M
you've got a file in Windows line-terminated format, and apache doesn't love those.


Ок, я сейчас переиздам серверный сертифкат в Base64-кодировке, и посмотрю на окончания строк.
Offline kropotin  
#29 Оставлено : 27 февраля 2015 г. 14:44:31(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Да, окончания ^M присутствуют. убираются в редакторе.
Код:
vi -b user.cer


Я вот еще что подумал. Сертификат-то у меня установлен в хранилище пользователя nginx. а проверку шифрования я проводил под root'ом.
Создал запрос на сертификат под root'ом, выпустил сертфикат, установил в систему.
Убрал окончания строк в редакторе.

Прокатила команда, но только после того как я сбросил пароль на ключевой контейнер.
Код:

[root@tls-nginx tmp]# openssl cms -sign -engine gost_capi -keyform ENGINE -inkey "" -in "test.txt" -out "test.signed.txt" -outform PEM -CAfile /tmp/user.cer -nodetach -signer /tmp/user.cer

Файл зашифровался. Что обозначает -inkey параметр? пароль на ключевой носитель? Первый раз я указывал в этом параметре пароль к ключевому контейнеру.

щас буду nginx пытать.
Offline kropotin  
#30 Оставлено : 27 февраля 2015 г. 14:49:07(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Код:
[root@tls-nginx tmp]# service nginx start
Starting nginx: nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/nginx.cer") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)

Код:

server {
    listen       443 ssl;
    server_name localhost;

    ssl_certificate      /etc/nginx/nginx.cer;
    ssl_certificate_key  engine:gost_capi:/etc/nginx/nginx.cer;

    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers   on;
    ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }
}
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (7)
67 Страницы<12345>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.