Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

39 Страницы«<34567>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#41 Оставлено : 19 апреля 2018 г. 17:27:36(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
Автор: ilya19951995 Перейти к цитате
Автор: pd Перейти к цитате
Автор: ilya19951995 Перейти к цитате
При проверке установки nginx(/usr/sbin/nginx -V) - не наблюдаю строку built with OpenSSL 1.1.0g-dev xx XXX xxxx(как в примере). Подскажите, почему я не могу использовать гостовский сертификат?

Как nginx собрали? Скриптами из темы?



Да

Ошибка в том, что в библиотеке openssl, которую загружает nginx нет поддержки ГОСТ, что говорит либо о том, что engine не загрузилась корректно (хотя вы утверждаете, что openssl engine говорит об обратном), либо о том что nginx загружает другой openssl, или что-то ещё.

Пришлите версию ОС и полный лог действий по воспроизведению на чистой системе.
Знания в базе знаний, поддержка в техподдержке
Offline ilya19951995  
#42 Оставлено : 19 апреля 2018 г. 17:37:34(UTC)
ilya19951995

Статус: Участник

Группы: Участники
Зарегистрирован: 19.04.2018(UTC)
Сообщений: 12
Гвинея
Откуда: Гвинея

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
Автор: ilya19951995 Перейти к цитате
Автор: pd Перейти к цитате
Автор: ilya19951995 Перейти к цитате
При проверке установки nginx(/usr/sbin/nginx -V) - не наблюдаю строку built with OpenSSL 1.1.0g-dev xx XXX xxxx(как в примере). Подскажите, почему я не могу использовать гостовский сертификат?

Как nginx собрали? Скриптами из темы?



Да

Ошибка в том, что в библиотеке openssl, которую загружает nginx нет поддержки ГОСТ, что говорит либо о том, что engine не загрузилась корректно (хотя вы утверждаете, что openssl engine говорит об обратном), либо о том что nginx загружает другой openssl, или что-то ещё.

Пришлите версию ОС и полный лог действий по воспроизведению на чистой системе.


Distributor ID: Ubuntu
Description: Ubuntu 14.04.5 LTS
Release: 14.04
Codename: trusty

В системе установлена OpenSSL 1.1.0 25 Aug 2016. Может попробовать её удалить, хотя вряд ли это поможет, nginx же не будет к установленной в системе OpenSSL обращаться?
Offline Дмитрий Пичулин  
#43 Оставлено : 19 апреля 2018 г. 17:44:22(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
Автор: ilya19951995 Перейти к цитате

Distributor ID: Ubuntu
Description: Ubuntu 14.04.5 LTS
Release: 14.04
Codename: trusty

На вашей системе скрипты многократно обкатаны, проблем быть не должно никаких, читайте описание и пользуйтесь скриптами: https://github.com/fulli...ter/nginx-gost/README.md

Если вам какие-то команды не понятны, не пытайтесь действовать самостоятельно.

Автор: ilya19951995 Перейти к цитате

В системе установлена OpenSSL 1.1.0 25 Aug 2016. Может попробовать её удалить, хотя вряд ли это поможет, nginx же не будет к установленной в системе OpenSSL обращаться?

Это легко проверить, выполните "ldd /usr/sbin/nginx".
Знания в базе знаний, поддержка в техподдержке
Offline ilya19951995  
#44 Оставлено : 19 апреля 2018 г. 17:52:57(UTC)
ilya19951995

Статус: Участник

Группы: Участники
Зарегистрирован: 19.04.2018(UTC)
Сообщений: 12
Гвинея
Откуда: Гвинея

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
Автор: ilya19951995 Перейти к цитате

Distributor ID: Ubuntu
Description: Ubuntu 14.04.5 LTS
Release: 14.04
Codename: trusty

На вашей системе скрипты многократно обкатаны, проблем быть не должно никаких, читайте описание и пользуйтесь скриптами: https://github.com/fulli...ter/nginx-gost/README.md

Если вам какие-то команды не понятны, не пытайтесь действовать самостоятельно.

Автор: ilya19951995 Перейти к цитате

В системе установлена OpenSSL 1.1.0 25 Aug 2016. Может попробовать её удалить, хотя вряд ли это поможет, nginx же не будет к установленной в системе OpenSSL обращаться?

Это легко проверить, выполните "ldd /usr/sbin/nginx".


И так этими скриптами пользуюсь, но к сожалению ошибку мне не удалось избежать.
После выполнения команды ldd /usr/sbin/nginx
linux-vdso.so.1 => (0x00007ffc3f5a6000)
libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007fc38da73000)
libcrypt.so.1 => /lib/x86_64-linux-gnu/libcrypt.so.1 (0x00007fc38d83a000)
libpcre.so.3 => /lib/x86_64-linux-gnu/libpcre.so.3 (0x00007fc38d5fc000)
libssl.so.1.0.0 => /lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x00007fc38d39d000)
libcrypto.so.1.0.0 => /lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0x00007fc38cfc1000)
libz.so.1 => /usr/local/lib/libz.so.1 (0x00007fc38cda6000)
libxml2.so.2 => /usr/lib/x86_64-linux-gnu/libxml2.so.2 (0x00007fc38ca40000)
libxslt.so.1 => /usr/lib/x86_64-linux-gnu/libxslt.so.1 (0x00007fc38c803000)
libexslt.so.0 => /usr/lib/x86_64-linux-gnu/libexslt.so.0 (0x00007fc38c5ed000)
libgd.so.3 => /usr/lib/x86_64-linux-gnu/libgd.so.3 (0x00007fc38c382000)
libGeoIP.so.1 => /usr/lib/x86_64-linux-gnu/libGeoIP.so.1 (0x00007fc38c153000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fc38bd8a000)
/lib64/ld-linux-x86-64.so.2 (0x00007fc38dc91000)
libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007fc38bb86000)
liblzma.so.5 => /lib/x86_64-linux-gnu/liblzma.so.5 (0x00007fc38b964000)
libm.so.6 => /lib/x86_64-linux-gnu/libm.so.6 (0x00007fc38b65e000)
libgcrypt.so.11 => /lib/x86_64-linux-gnu/libgcrypt.so.11 (0x00007fc38b3de000)
libjpeg.so.8 => /usr/lib/x86_64-linux-gnu/libjpeg.so.8 (0x00007fc38b189000)
libpng12.so.0 => /lib/x86_64-linux-gnu/libpng12.so.0 (0x00007fc38af63000)
libfreetype.so.6 => /usr/lib/x86_64-linux-gnu/libfreetype.so.6 (0x00007fc38acc0000)
libfontconfig.so.1 => /usr/lib/x86_64-linux-gnu/libfontconfig.so.1 (0x00007fc38aa84000)
libXpm.so.4 => /usr/lib/x86_64-linux-gnu/libXpm.so.4 (0x00007fc38a872000)
libvpx.so.1 => /usr/lib/x86_64-linux-gnu/libvpx.so.1 (0x00007fc38a493000)
libtiff.so.5 => /usr/lib/x86_64-linux-gnu/libtiff.so.5 (0x00007fc38a220000)
libgpg-error.so.0 => /lib/x86_64-linux-gnu/libgpg-error.so.0 (0x00007fc38a01b000)
libexpat.so.1 => /lib/x86_64-linux-gnu/libexpat.so.1 (0x00007fc389df1000)
libX11.so.6 => /usr/lib/x86_64-linux-gnu/libX11.so.6 (0x00007fc389abc000)
libjbig.so.0 => /usr/lib/x86_64-linux-gnu/libjbig.so.0 (0x00007fc3898ae000)
libxcb.so.1 => /usr/lib/x86_64-linux-gnu/libxcb.so.1 (0x00007fc38968f000)
libXau.so.6 => /usr/lib/x86_64-linux-gnu/libXau.so.6 (0x00007fc38948b000)
libXdmcp.so.6 => /usr/lib/x86_64-linux-gnu/libXdmcp.so.6 (0x00007fc389285000)
Offline Дмитрий Пичулин  
#45 Оставлено : 19 апреля 2018 г. 18:02:59(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
Автор: ilya19951995 Перейти к цитате

libssl.so.1.0.0 => /lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x00007fc38d39d000)
libcrypto.so.1.0.0 => /lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0x00007fc38cfc1000)

Либо вы собрали не по скриптам (инструкции), либо установили не по скриптам (инструкции), но у вас nginx грузит системную openssl, при чём не версии 1.0.0, а не 1.1.0 как должно быть.

Есть ошибки в скриптах? -- пишите, пытаетесь разобраться самостоятельно, помощи будет много меньше.

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
ilya19951995 оставлено 19.04.2018(UTC)
Offline ilya19951995  
#46 Оставлено : 21 апреля 2018 г. 21:49:50(UTC)
ilya19951995

Статус: Участник

Группы: Участники
Зарегистрирован: 19.04.2018(UTC)
Сообщений: 12
Гвинея
Откуда: Гвинея

Сказал(а) «Спасибо»: 1 раз
Добрый вечер. Может кому пригодится, Моя проблема заключалась в том, что я устанавливая nginx по скриптам не удалил свою старую версию nginx, я думал что новая версия заменит предыдущую, в этом и была моя ошибка. На данный момент все проверки представленные в статье я прохожу, но гостовский сертификат мне не один браузер не возвращает. Помимо IE пробовал массу других браузеров, например, в яндекс-браузере существует возможность работать с гостовскими сертами, но и там возвращается серт RSA. Если оставить в конфигах nginx только один гостовский серт, то браузер выкидывает ошибку "ERR_SSL_VERSION_OR_CHIPHER_MISMATCH" или очень похожую на неё. Подскажите пожалуйста как обойти эту проблему? Пробовал выключать/удалять антивирусник, выключал брандмауэр, добавлял этот гостовский серт в коллекцию и тд.
Offline Дмитрий Пичулин  
#47 Оставлено : 21 апреля 2018 г. 22:40:35(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
Автор: ilya19951995 Перейти к цитате
но и там возвращается серт RSA

Покажите конфиг nginx.

Знания в базе знаний, поддержка в техподдержке
Offline ilya19951995  
#48 Оставлено : 22 апреля 2018 г. 8:43:15(UTC)
ilya19951995

Статус: Участник

Группы: Участники
Зарегистрирован: 19.04.2018(UTC)
Сообщений: 12
Гвинея
Откуда: Гвинея

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
Автор: ilya19951995 Перейти к цитате
но и там возвращается серт RSA

Покажите конфиг nginx.



Отредактировано модератором 22 апреля 2018 г. 9:38:31(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#49 Оставлено : 22 апреля 2018 г. 9:41:48(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
Автор: ilya19951995 Перейти к цитате

А вы точно нашим openssl пользуетесь в nginx? Или снова системным? (как это проверить уже выше обсуждалось)

Необходимо пользоваться нашим. Системный может содержать ошибку, не позволяющую работать госту: https://github.com/opens...77ff7425598802b91924652d

Знания в базе знаний, поддержка в техподдержке
Offline ilya19951995  
#50 Оставлено : 22 апреля 2018 г. 14:32:38(UTC)
ilya19951995

Статус: Участник

Группы: Участники
Зарегистрирован: 19.04.2018(UTC)
Сообщений: 12
Гвинея
Откуда: Гвинея

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
Автор: ilya19951995 Перейти к цитате

А вы точно нашим openssl пользуетесь в nginx? Или снова системным? (как это проверить уже выше обсуждалось)

Необходимо пользоваться нашим. Системный может содержать ошибку, не позволяющую работать госту: https://github.com/opens...77ff7425598802b91924652d



Я пользуюсь вашим. Могу удалить локальный openssl на всякий случай. Подскажите ещё как перезапустить вашу сборку nginx, надо дописывать скрипт по старту, стопу, перезапуску...? через service nginx ... не получается
ldd /usr/sbin/nginx:
linux-vdso.so.1 => (0x00007fffafb72000)
libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007f2fb657d000)
libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007f2fb635f000)
libcrypt.so.1 => /lib/x86_64-linux-gnu/libcrypt.so.1 (0x00007f2fb6126000)
libpcre.so.3 => /lib/x86_64-linux-gnu/libpcre.so.3 (0x00007f2fb5ee8000)
libssl.so.1.1 => /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libssl.so.1.1 (0x00007f2fb5c7a000)
libcrypto.so.1.1 => /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so.1.1 (0x00007f2fb57f6000)
libz.so.1 => /usr/local/lib/libz.so.1 (0x00007f2fb55db000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f2fb5212000)
/lib64/ld-linux-x86-64.so.2 (0x00007f2fb6acd000)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
39 Страницы«<34567>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.