Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<56789>»
Опции
К последнему сообщению К первому непрочитанному
Offline 4ertu  
#61 Оставлено : 3 марта 2015 г. 15:25:54(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Не подскажите, а могут ли параметры для создания криптографических ключей или ключей согласования (по Диффи-Хелману) отличаться в gost_capi и CSP 3.6 на Win7? Если да, набор параметров на клиенте можно изменить.
Offline Дмитрий Пичулин  
#62 Оставлено : 3 марта 2015 г. 15:26:11(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Обновитесь до 1.0.1l, 1.0.1e, что-то древнее
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#63 Оставлено : 3 марта 2015 г. 15:28:03(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Автор: 4ertu Перейти к цитате
Не подскажите, а могут ли параметры для создания криптографических ключей или ключей согласования (по Диффи-Хелману) отличаться в gost_capi и CSP 3.6 на Win7? Если да, набор параметров на клиенте можно изменить.


По идее, клиент автоматически решает с какими параметрами ему работать изходя из сертификата сервера, так что здесь проблем быть не должно.
Знания в базе знаний, поддержка в техподдержке
Offline kropotin  
#64 Оставлено : 3 марта 2015 г. 15:49:59(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Для CentOS OpenSSL 1.0.1e является последней:
Код:

[root@tls-nginx nginx]# rpm -ql --changelog openssl | head -n 10
* Tue Jan 13 2015 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-30.5
- fix CVE-2014-3570 - incorrect computation in BN_sqr()
- fix CVE-2014-3571 - possible crash in dtls1_get_record()
- fix CVE-2014-3572 - possible downgrade of ECDH ciphersuite to non-PFS state
- fix CVE-2014-8275 - various certificate fingerprint issues
- fix CVE-2015-0204 - remove support for RSA ephemeral keys for non-export
  ciphersuites and on server
- fix CVE-2015-0205 - do not allow unauthenticated client DH certificate
- fix CVE-2015-0206 - possible memory leak when buffering DTLS records

Код:
[root@tls-nginx nginx]# yum list openssl -q
Installed Packages
openssl.i686                     1.0.1e-30.el6_6.5                      @updates

Подробнее о версии OpenSSL:
Код:

[root@tls-nginx nginx]# openssl version -a
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Tue Jan 20 17:24:06 UTC 2015
platform: linux-elf
options:  bn(64,32) md2(int) rc4(8x,mmx) des(ptr,risc1,16,long) idea(int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m32 -march=i686 -mtune=atom -fasynchronous-unwind-tables -Wa,--noexecstack -DPURIFY -DOPENSSL_BN_ASM_PART_WORDS -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DRMD160_ASM -DAES_ASM -DVPAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/etc/pki/tls"
engines:  dynamic

Отредактировано пользователем 3 марта 2015 г. 16:01:32(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#65 Оставлено : 3 марта 2015 г. 16:20:11(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Проверели с 1.0.1e — все работает

Пытаемся воспроизвести ваши ошибки, пока не получается
Знания в базе знаний, поддержка в техподдержке
Offline 4ertu  
#66 Оставлено : 3 марта 2015 г. 17:19:44(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
Обновитесь до 1.0.1l, 1.0.1e, что-то древнее


Не должно влиять - команда подписи тестового файла отрабатывает корректно.
Для Debian 1.0.1е актуальна.
Offline Дмитрий Пичулин  
#67 Оставлено : 3 марта 2015 г. 17:22:50(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Может у вас рабочие процессы nginx под другим пользователем живут?
Знания в базе знаний, поддержка в техподдержке
Offline 4ertu  
#68 Оставлено : 3 марта 2015 г. 17:33:13(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Предлагаю пройтись по шагам:
Сервер:
1) Устанавливаем Nginx 1.7.10 + openssl 1.0.1e+
2) Устанавливаем CryptoPro.
Скачивал отсюда (CSP 4.0):

3) Создаем запросы и устанавливаем сертификаты
Примеры команд

4) Загружаем и устанавливаем gost_api
5) меняем конфигурацию nginx и openssl

Клиент:
1) Устанавливаем КриптоПро CSP 3.6
2) Получаем ГОСТовые сертификаты через тестовый УЦ (На крайний случай добавляем Сертификат корневого центра в доверенные)
3) Пытаемся подключиться к серверу
4) Ошибка.Think

Отредактировано пользователем 3 марта 2015 г. 17:37:31(UTC)  | Причина: Не указана

Offline 4ertu  
#69 Оставлено : 3 марта 2015 г. 17:35:47(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
Может у вас рабочие процессы nginx под другим пользователем живут?

Первоначально был такой замысел, но nginx не мог получить приватный ключ - необходимо запускать от рута.
Offline Дмитрий Пичулин  
#70 Оставлено : 3 марта 2015 г. 17:43:35(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Автор: 4ertu Перейти к цитате
Автор: pd Перейти к цитате
Может у вас рабочие процессы nginx под другим пользователем живут?

Первоначально был такой замысел, но nginx не мог получить приватный ключ - необходимо запускать от рута.


Да, но штатная картина после запуска nginx приблизительно такая (рабочие процессы запущены от www-data):

Код:
root     10220  0.0  0.5  64360  1328 ?        Ss   09:39   0:00 nginx: master process /usr/sbin/nginx
www-data 10221  0.0  0.7  64700  1876 ?        S    09:39   0:00 nginx: worker process
www-data 10222  0.0  0.7  64700  1876 ?        S    09:39   0:00 nginx: worker process
www-data 10223  0.0  0.7  64700  1876 ?        S    09:39   0:00 nginx: worker process
www-data 10224  0.0  0.6  64700  1816 ?        S    09:39   0:00 nginx: worker process


А мы пытались запускать nginx от пользователя, в котором работает openssl engine и cms, поэтому, может быть, в конфиге nginx есть смысл указать: user user_where_openssl_ok;

Отредактировано пользователем 3 марта 2015 г. 17:45:33(UTC)  | Причина: fix

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
67 Страницы«<56789>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.