Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
Автор: 4ertu Рукопожатие отваливается на стороне сервера при использовании протокола TLSv1 на сервере и клиенте. У нас поддерживается только TLSv1. А что у вас в логах Просмотр событий -> Журналы Windows -> Приложение / Система? Нет ли там ошибок от cpsspap или Schannel? |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.09.2014(UTC) Сообщений: 30
|
Содержимое журнала Система: Schannel:36874: Получен запрос на подключение TLS 1.2 от удаленного клиентского приложения, но ни один из поддерживаемых этим приложением комплектов шифров не поддерживается сервером. Запрос на подключение SSL завершился с ошибкой. Schannel:36888: Возникло следующее неустранимое предупреждение: 40. Внутреннее состояние ошибки: 107. Schannel:36887: Получено следующее предупреждение о неустранимой ошибке: 40. tcp-дамп во вложении. Попробую в конфигурации nginx оставить только TLSv1 Отредактировано пользователем 3 марта 2015 г. 12:56:43(UTC)
| Причина: Не указана Вложение(я): nginx-tls.zip (3kb) загружен 5 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.09.2014(UTC) Сообщений: 30
|
Оставил в конфигурации nginx только TLSv1: В журнале Система лишь одна запись: Schannel:36887: Получено следующее предупреждение о неустранимой ошибке: 40. Выключил в IE SSLv3, он при обращении к сайту сейчас выдает: Включите протоколы TLS 1.0, TLS 1.1 и TLS 1.2 в разделе "Дополнительные параметры" и снова попробуйте подключиться к веб-странице https://172.16.74.1 . Если не удается устранить ошибку, обратитесь к администратору веб-сайта. Вложение(я): nginx-tls-2.zip (4kb) загружен 5 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.03.2015(UTC) Сообщений: 20
Сказал(а) «Спасибо»: 1 раз
|
Автор: pd Нет ли там ошибок от cpsspap или Schannel? Есть от cpsspap в Журналы Windows\Приложение: КриптоПро TLS. Расширение OCSP присутствует в сообщении CLIENT_HELLO
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> - <System> <Provider Name="cpsspap" /> <EventID Qualifiers="16996">504</EventID> <Level>4</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2015-03-03T10:08:04.000000000Z" /> <EventRecordID>5598</EventRecordID> <Channel>Application</Channel> <Computer>DOB-TestW7Prx64</Computer> <Security /> </System> <EventData /> </Event>
Отредактировано пользователем 3 марта 2015 г. 13:28:00(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
При этом в логах nginx ошибок, кроме "ignoring stale global SSL error", нет? |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.09.2014(UTC) Сообщений: 30
|
Код:
2015/03/03 13:05:55 [alert] 5301#0: *16 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/03/03 13:05:55 [info] 5301#0: *16 SSL_do_handshake() failed (SSL: error:8006A067:lib(128):CAPI_INIT:cryptacquirecontext error:Error code= 0x-21468937 error:0B07707D:x509 certificate routines:X509_PUBKEY_get:public key decode error error:8007D08E:lib(128):CAPI_GOST_F_PKEY_GOST01CP_DECRYPT:CAPI_GOST_R_NO_PEER_KEY error:1408B093:SSL routines:SSL3_GET_CLIENT_KEY_EXCHANGE:decryption failed) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/03/03 13:05:55 [alert] 5301#0: *17 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/03/03 13:05:55 [info] 5301#0: *17 SSL_do_handshake() failed (SSL: error:8006A067:lib(128):CAPI_INIT:cryptacquirecontext error:Error code= 0x-21468937 error:0B07707D:x509 certificate routines:X509_PUBKEY_get:public key decode error error:8007D08E:lib(128):CAPI_GOST_F_PKEY_GOST01CP_DECRYPT:CAPI_GOST_R_NO_PEER_KEY error:1408B093:SSL routines:SSL3_GET_CLIENT_KEY_EXCHANGE:decryption failed) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/03/03 13:05:55 [alert] 5301#0: *18 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/03/03 13:05:55 [info] 5301#0: *18 SSL_do_handshake() failed (SSL: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/03/03 13:05:55 [info] 5301#0: *19 client closed connection while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.03.2015(UTC) Сообщений: 20
Сказал(а) «Спасибо»: 1 раз
|
Автор: pd При этом в логах nginx ошибок, кроме "ignoring stale global SSL error", нет? Есть новая инфа, появилась когда увеличил уровень логгирования:
2015/03/03 06:45:24 [alert] 13007#0: *1 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 192.168.154.138, server: 0.0.0.0:443 2015/03/03 06:45:24 [info] 13007#0: *1 SSL_do_handshake() failed (SSL: error:8006A067:lib(128):CAPI_INIT:cryptacquirecontext error:Error code= 0x-21468937 error:0B07707D:x509 certificate routines:X509_PUBKEY_get:public key decode error error:8007D08E:lib(128):CAPI_GOST_F_PKEY_GOST01CP_DECRYPT:CAPI_GOST_R_NO_PEER_KEY error:1408B093:SSL routines:SSL3_GET_CLIENT_KEY_EXCHANGE:decryption failed) while SSL handshaking, client: 192.168.154.138, server: 0.0.0.0:443 2015/03/03 06:45:24 [info] 13007#0: *2 client closed connection while SSL handshaking, client: 192.168.154.138, server: 0.0.0.0:443
Проверил работу gost_capi, на всякий случай: подпись командой openssl cms -sign проходит успешно, без ошибок. При получении версии engine следующий вывод: Код:
root@deb:/downloads# openssl engine
(dynamic) Dynamic engine loading support
(gost_capi) CAPIlite (CryptoAPI) gost ENGINE
Отредактировано пользователем 3 марта 2015 г. 14:48:42(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
Обновил локальный стенд nginx 1.7.10 + openssl 1.0.1l ошибки "ignoring stale global SSL error" ушли, судя по всему пофиксили.
Может стоит обновиться? |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.03.2015(UTC) Сообщений: 20
Сказал(а) «Спасибо»: 1 раз
|
nginx 1.7.10 Openssl 1.0.1e
apt-get install openssl и apt-get install libssl1.0.0 Результата не дают - пишет последняя версия.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.09.2014(UTC) Сообщений: 30
|
Автор: 4ertu nginx 1.7.10 Openssl 1.0.1e Аналогично Код:[root@tls-nginx nginx]# yum install nginx
Package nginx-1.7.10-1.el6.ngx.i386 already installed and latest version
Nothing to do
[root@tls-nginx nginx]# yum install openssl
Package openssl-1.0.1e-30.el6_6.5.i686 already installed and latest version
Nothing to do
Посмотрел на сайте OpenSSL: 11-Feb-2013: OpenSSL 1.0.1e is now available, including bug fixes То есть версия 1.0.1e вышла 2 года назад? Может действительно как-то обновиться до 1.0.1l и проблемы будут решены? Отредактировано пользователем 3 марта 2015 г. 15:23:57(UTC)
| Причина: Не указана
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close