Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
11 Страницы«<23456>»
Настройка работы nginx с КриптоПро CSP 4.0 на ОС семейства Linux на примере Ubuntu 14.04 64bit
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline ElenaS  
#31 Оставлено : 17 февраля 2016 г. 17:04:28(UTC)
Елена Серебренникова

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.04.2014(UTC)
Сообщений: 31
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Автор: vitalyusov Перейти к цитате
Генерация тестовых сертификатов стала прерываться на шаге "Sending request to CA..."
И тестовый УЦ http://cryptopro.ru/certsrv не открывается в браузере.


Попробуйте ещё раз, у нас были профилактические работы на тестовом УЦ.
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline vitalyusov  
#32 Оставлено : 17 февраля 2016 г. 17:44:10(UTC)
vitalyusov

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.02.2016(UTC)
Сообщений: 6

Поблагодарили: 1 раз в 1 постах
Автор: ElenaS Перейти к цитате
Попробуйте ещё раз, у нас были профилактические работы на тестовом УЦ.


Спасибо, теперь получилось пройти все этапы установки, подписать файл при помощи "openssl -sign..." и запустить nginx.
Можно ли теперь протестировать работу веб-сервера на той же машине, где установлены CSP и nginx?

Пробую при помощи curl из пакета cprocsp-curl-64 и получаю в ответ сообщение:
Цитата:

sudo ./curl https://localhost
curl: (58) Problem with the local SSL certificate
Вверх
Offline Дмитрий Пичулин  
#33 Оставлено : 17 февраля 2016 г. 18:20:49(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,531
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 36 раз
Поблагодарили: 494 раз в 350 постах
Автор: vitalyusov Перейти к цитате
Можно ли теперь протестировать работу веб-сервера на той же машине, где установлены CSP и nginx?

Пробую при помощи curl из пакета cprocsp-curl-64 и получаю в ответ сообщение:
Цитата:

sudo ./curl https://localhost
curl: (58) Problem with the local SSL certificate

csptest (на Unix "csptestf") может:

Код:
csptest -tlsc -server localhost -port 443 -nocheck -verbose -proto 4


Вот примерный вывод:

Код:
12 algorithms supported:
[0] 0x660e
[1] 0x6610
[2] 1.2.840.113549.3.4 (rc4)
[3] 1.2.840.113549.3.7 (3des)
[4] 1.3.14.3.2.7 (des)
[5] 1.2.840.113549.2.5 (md5)
[6] 1.3.14.3.2.26 (sha1)
[7] 1.2.840.113549.1.1.1 (RSA)
[8] 1.2.840.113549.1.9.16.3.5 (ESDH)
[9] 0xae06
[10] 1.2.840.10040.4.1 (DSA)
[11] 0x2203
Cipher strengths: 256..256
Supported protocols: 0x80
Protocol version: 3.1
ClientHello: RecordLayer: TLS, Len: 116
Cipher Suites: (ff 85) (00 81) (c0 14) (c0 13) (00 35) (00 2f) (c0 0a) (c0 09) (00 38) (00 32) (00 0a) (00 13) (00 05) (00 04)
121 bytes of handshake data sent
860 bytes of handshake data received
210 bytes of handshake data sent
238 bytes of handshake data received
Handshake was successful
SECPKG_ATTR_CIPHER_INFO: Protocol: 80, Suite: 81 (TLS_GOSTR341001_WITH_28147_CNT_IMIT)
SECPKG_ATTR_CIPHER_INFO: Cipher: (GOST 28147-89), Len: 256, BlockLen: 1
SECPKG_ATTR_CIPHER_INFO: Hash: (GOST R 34.11-94), Len: 256
SECPKG_ATTR_CIPHER_INFO: Exchange: (GOST DH 34.10-2001), MinLen: 512, MaxLen: 512
SECPKG_ATTR_CIPHER_INFO: Certificate: (GR 34.10-2001), KeyType: 0
SECPKG_ATTR_NAMES: CN=pdn8.cp.ru
SECPKG_ATTR_PACKAGE_INFO# fCapabilities: 0x107B3
SECPKG_ATTR_PACKAGE_INFO# wVersion: 1
SECPKG_ATTR_PACKAGE_INFO# wRPCID: 65535
SECPKG_ATTR_PACKAGE_INFO# cbMaxToken: 16379
SECPKG_ATTR_PACKAGE_INFO# Name: CryptoPro SSP
SECPKG_ATTR_PACKAGE_INFO# Comment: CryptoPro Security Package

Server certificate:
Subject: CN=pdn8.cp.ru
Valid  : 26.02.2015 10:15:25 - 26.05.2015 10:25:25 (UTC) expired
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2

Protocol: TLS 1.0
Cipher: 0x661e
Cipher strength: 256
Hash: 0x801e
Hash strength: 256
Key exchange: 0xaa25
Key exchange strength: 512

Header: 5, Trailer: 4, MaxMessage: 16384

HTTP request: GET / HTTP/1.1
User-Agent: Webclient
Accept:*/*
Host: localhost
Connection: close


Sending plaintext: 89 bytes
107 bytes of application data sent
259 bytes of (encrypted) application data received
Decrypted data: 250 bytes
11 bytes of (encrypted) application data received
Context expired: OK if file is completely downloaded
Reply status: HTTP/1.1 200 OK
Sending Close Notify
11 bytes of handshake data sent
1 connections, 250 bytes in 0.164 seconds;
Total: SYS: 0,031 sec USR: 0,000 sec UTC: 0,183 sec
[ErrorCode: 0x00000000]

Отредактировано пользователем 18 февраля 2016 г. 12:18:28(UTC)  | Причина: csptestf

Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline ElenaS  
#34 Оставлено : 11 мая 2016 г. 16:30:20(UTC)
Елена Серебренникова

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.04.2014(UTC)
Сообщений: 31
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Автор: vitalyusov Перейти к цитате
Автор: pd Перейти к цитате
В пошаговой инструкции не хватает части, где происходит экспорт сертификата в файл /etc/nginx/cert.cer


Экспорт делаем по аналогии как в топике OpenSSl engine. Apache ?


certmgr -export -store uMy -dest /path/to/cert/mycert.cer
+
openssl x509 -inform DER -outform PEM -in mycert.cer -out mycert.cer.pem

Верно?


В Ubuntu важно, чтобы кодировка сертификатов ssl и сертификатов корневых УЦ, указанных в конфигах nginx и ssl совпадала. При этом неважно, PEM или BASE64. Если есть ошибка, нужно переконвертировать, а специально подгонять под PEM не обязательно.
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline pezzak  
#35 Оставлено : 1 июля 2016 г. 17:12:57(UTC)
pezzak

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.07.2016(UTC)
Сообщений: 2
Российская Федерация
Откуда: moscow
Подскажите, а как имя контейнера узнать для proxy_ssl_certificate_key engine:gost_capi: ?

Код:
root@root:/var/opt/cprocsp/keys# /opt/cprocsp/bin/amd64/certmgr -list
Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer              : E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
Subject             : E=admin@abc.ru, C=RU, S=xxx, L=xxx, O=xxx, OU=xxx, CN=xxx
Serial              : 0x11D50A0E000E0001A73C
SHA1 Hash           : 0x82a43cd23faa402c6f8daed2f56fd683e4a14033
SubjKeyID           : 7157d1d1e0791b4045e03384f96b71b0405aa551
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 29/02/2016  13:05:00 UTC
Not valid after     : 28/02/2021  13:15:00 UTC
PrivateKey Link     : Yes                 
Container           : HDIMAGE\\singanls.000\80CE
Provider Name       : Crypto-Pro GOST R 34.10-2001 KC1 CSP
Provider Info       : ProvType: 75, KeySpec: 1, Flags: 0x0
Extended Key Usage  : 1.2.643.6.13.2
                      1.3.6.1.5.5.7.3.4
                      1.2.643.2.2.34.6
                      1.3.6.1.5.5.7.3.2
=============================================================================
Вверх
WWW
Offline ElenaS  
#36 Оставлено : 1 июля 2016 г. 17:25:52(UTC)
Елена Серебренникова

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.04.2014(UTC)
Сообщений: 31
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Автор: pezzak Перейти к цитате
Подскажите, а как имя контейнера узнать для proxy_ssl_certificate_key engine:gost_capi: ?

Код:
root@root:/var/opt/cprocsp/keys# /opt/cprocsp/bin/amd64/certmgr -list
Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer              : E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
Subject             : E=admin@abc.ru, C=RU, S=xxx, L=xxx, O=xxx, OU=xxx, CN=xxx
Serial              : 0x11D50A0E000E0001A73C
SHA1 Hash           : 0x82a43cd23faa402c6f8daed2f56fd683e4a14033
SubjKeyID           : 7157d1d1e0791b4045e03384f96b71b0405aa551
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 29/02/2016  13:05:00 UTC
Not valid after     : 28/02/2021  13:15:00 UTC
PrivateKey Link     : Yes                 
Container           : HDIMAGE\\singanls.000\80CE
Provider Name       : Crypto-Pro GOST R 34.10-2001 KC1 CSP
Provider Info       : ProvType: 75, KeySpec: 1, Flags: 0x0
Extended Key Usage  : 1.2.643.6.13.2
                      1.3.6.1.5.5.7.3.4
                      1.2.643.2.2.34.6
                      1.3.6.1.5.5.7.3.2
=============================================================================


Имя контейнера в данном случае можно увидеть в строке Сontainer, но если это для конфига, то потребуется имя сертификата, а не контейнера:

Автор: ElenaS Перейти к цитате

Подробно настройка ssl-сертификата описывается в документации к nginx http://nginx.org/ru/docs...ule.html#ssl_certificate
При этом для параметра ssl_certificate_key вместо файла указывается зарезервированное слово "engine:", после которого следует имя OpenSSL ENGINE, в нашем случае это "gost_capi", далее следует зарезервированный символ ':', за которым следует имя сертификата. Например, для сертификата "www.vpngost.ru", значение ssl_certificate_key выглядело бы так: "engine:gost_capi:www.vpngost.ru"


Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline pezzak  
#37 Оставлено : 1 июля 2016 г. 17:32:45(UTC)
pezzak

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.07.2016(UTC)
Сообщений: 2
Российская Федерация
Откуда: moscow
Вот не понятно откуда "www.vpngost.ru" берется, это из CN= ?
Вверх
WWW
Offline ElenaS  
#38 Оставлено : 1 июля 2016 г. 17:37:48(UTC)
Елена Серебренникова

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.04.2014(UTC)
Сообщений: 31
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Верно, это имя должно совпадать с DNS-именем сервера.
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline Дмитрий Пичулин  
#39 Оставлено : 3 июля 2016 г. 23:37:22(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,531
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 36 раз
Поблагодарили: 494 раз в 350 постах
Автор: ElenaS Перейти к цитате
Верно, это имя должно совпадать с DNS-именем сервера.


Для однозначности или за отсутствием имени можно использовать уникальный идентификатор ключа субъекта (Subject Key Identifier).

Код:
ssl_certificate_key "engine:gost_capi:7f 57 7f 15 f2 12 16 59 ff f2 cc a5 c4 27 da 3e c4 df 03 ad";


2016-07-03_23-18-13.png (11kb) загружен 1,082 раз(а).
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline Алексей П.  
#40 Оставлено : 11 октября 2016 г. 15:31:50(UTC)
Алексей П.

Статус: Участник

Группы: Участники
Зарегистрирован: 11.10.2016(UTC)
Сообщений: 13
Российская Федерация
Откуда: Санкт-Петербург
Здравствуйте.
Подскажите, как добавить и прилинковать закрытый ключ из тестового сертификата? Все описанные шаги выполнены но nginx ругается "SSL: error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)". Статус сертификата "PrivateKey Link : No ".
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
11 Страницы«<23456>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET