Статус: Участник
Группы: Участники
Зарегистрирован: 02.03.2015(UTC) Сообщений: 20
Сказал(а) «Спасибо»: 1 раз
|
Не подскажите, а могут ли параметры для создания криптографических ключей или ключей согласования (по Диффи-Хелману) отличаться в gost_capi и CSP 3.6 на Win7? Если да, набор параметров на клиенте можно изменить.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах
|
Обновитесь до 1.0.1l, 1.0.1e, что-то древнее |
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах
|
Автор: 4ertu Не подскажите, а могут ли параметры для создания криптографических ключей или ключей согласования (по Диффи-Хелману) отличаться в gost_capi и CSP 3.6 на Win7? Если да, набор параметров на клиенте можно изменить. По идее, клиент автоматически решает с какими параметрами ему работать изходя из сертификата сервера, так что здесь проблем быть не должно. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.09.2014(UTC) Сообщений: 30
|
Для CentOS OpenSSL 1.0.1e является последней: Код:
[root@tls-nginx nginx]# rpm -ql --changelog openssl | head -n 10
* Tue Jan 13 2015 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-30.5
- fix CVE-2014-3570 - incorrect computation in BN_sqr()
- fix CVE-2014-3571 - possible crash in dtls1_get_record()
- fix CVE-2014-3572 - possible downgrade of ECDH ciphersuite to non-PFS state
- fix CVE-2014-8275 - various certificate fingerprint issues
- fix CVE-2015-0204 - remove support for RSA ephemeral keys for non-export
ciphersuites and on server
- fix CVE-2015-0205 - do not allow unauthenticated client DH certificate
- fix CVE-2015-0206 - possible memory leak when buffering DTLS records
Код:[root@tls-nginx nginx]# yum list openssl -q
Installed Packages
openssl.i686 1.0.1e-30.el6_6.5 @updates
Подробнее о версии OpenSSL: Код:
[root@tls-nginx nginx]# openssl version -a
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Tue Jan 20 17:24:06 UTC 2015
platform: linux-elf
options: bn(64,32) md2(int) rc4(8x,mmx) des(ptr,risc1,16,long) idea(int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m32 -march=i686 -mtune=atom -fasynchronous-unwind-tables -Wa,--noexecstack -DPURIFY -DOPENSSL_BN_ASM_PART_WORDS -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DRMD160_ASM -DAES_ASM -DVPAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/etc/pki/tls"
engines: dynamic
Отредактировано пользователем 3 марта 2015 г. 16:01:32(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах
|
Проверели с 1.0.1e — все работает
Пытаемся воспроизвести ваши ошибки, пока не получается |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.03.2015(UTC) Сообщений: 20
Сказал(а) «Спасибо»: 1 раз
|
Автор: pd Обновитесь до 1.0.1l, 1.0.1e, что-то древнее Не должно влиять - команда подписи тестового файла отрабатывает корректно. Для Debian 1.0.1е актуальна.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах
|
Может у вас рабочие процессы nginx под другим пользователем живут? |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.03.2015(UTC) Сообщений: 20
Сказал(а) «Спасибо»: 1 раз
|
Предлагаю пройтись по шагам: Сервер: 1) Устанавливаем Nginx 1.7.10 + openssl 1.0.1e+ 2) Устанавливаем CryptoPro. Скачивал отсюда (CSP 4.0):
http://www.cryptopro.ru/sites/defaul/files/private/csp/40/9518/linux-ia32.tgz
3) Создаем запросы и устанавливаем сертификаты Примеры команд
а)Создаем запрос ./cryptcp -creatrqst -provtype 75 -ex -cont "\\\\.\\HDIMAGE\\nginx" -dn "CN=deb.test.ru, O=test, C=RU, E=admin@mail.ru" -certusage "1.3.6.1.5.5.7.3.1" /certs/deb.csr б) Используя запрос создаем сертификат на Тестовом УЦ (cryptopro.ru/certsrv) в) Импортируем сертификат в контейнер ./cryptcp -instcert -provtype 75 /certs/deb_der.cer г) Устанавливаем коренной сертификат sudo ./certmgr -inst -store mRoot -file /certs/rootCA.cer д) проверяем /opt/cprocsp/bin/ia32$ ./certmgr -list -store uMy
4) Загружаем и устанавливаем gost_api 5) меняем конфигурацию nginx и openssl Клиент: 1) Устанавливаем КриптоПро CSP 3.6 2) Получаем ГОСТовые сертификаты через тестовый УЦ (На крайний случай добавляем Сертификат корневого центра в доверенные) 3) Пытаемся подключиться к серверу 4) Ошибка. Отредактировано пользователем 3 марта 2015 г. 17:37:31(UTC)
| Причина: Не указана
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.03.2015(UTC) Сообщений: 20
Сказал(а) «Спасибо»: 1 раз
|
Автор: pd Может у вас рабочие процессы nginx под другим пользователем живут? Первоначально был такой замысел, но nginx не мог получить приватный ключ - необходимо запускать от рута.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах
|
Автор: 4ertu Автор: pd Может у вас рабочие процессы nginx под другим пользователем живут? Первоначально был такой замысел, но nginx не мог получить приватный ключ - необходимо запускать от рута. Да, но штатная картина после запуска nginx приблизительно такая (рабочие процессы запущены от www-data): Код:root 10220 0.0 0.5 64360 1328 ? Ss 09:39 0:00 nginx: master process /usr/sbin/nginx
www-data 10221 0.0 0.7 64700 1876 ? S 09:39 0:00 nginx: worker process
www-data 10222 0.0 0.7 64700 1876 ? S 09:39 0:00 nginx: worker process
www-data 10223 0.0 0.7 64700 1876 ? S 09:39 0:00 nginx: worker process
www-data 10224 0.0 0.6 64700 1816 ? S 09:39 0:00 nginx: worker process
А мы пытались запускать nginx от пользователя, в котором работает openssl engine и cms, поэтому, может быть, в конфиге nginx есть смысл указать: user user_where_openssl_ok; Отредактировано пользователем 3 марта 2015 г. 17:45:33(UTC)
| Причина: fix |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close