Форум КриптоПро
»
Средства криптографической защиты информации
»
Другие продукты
»
Установка и настройка ванильной версии nginx 1.12.2 с ванильним openssl 1.0.2k c КриптоПро 4.0 R2
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Добрый день! Пытаюсь сделать nginx сервер с КриптоПро, используя ванильный nginx При запуске nginx получаю вот такую ошибку Код:nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/srvtest.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)
Вот тут http://www.cryptopro.ru/...aspx?g=posts&m=57216 написано Код:UPD: ВНИМАНИЕ: стабильная ветка nginx с нашим патчем "одновременной работы" доступна на GitHub: https://github.com/deemru/nginx
Вопрос: нужно ли патчить nginx работы с КриптоПро и Гостовским шифрованием? UPD: Код:nginx -v
nginx version: nginx/1.11.1
Отредактировано модератором 8 ноября 2017 г. 10:46:22(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,531
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 36 раз
Поблагодарили: 494 раз в 350 постах
|
Автор: chemtech  Вопрос: нужно ли патчить nginx работы с КриптоПро и Гостовским шифрованием? Патчить не нужно, но использовать необходимо nginx >= 1.12.0 для одновременной работы ГОСТ и RSA. И nginx >= 1.8.0 для работы наших openssl engine. Предварительно следует проверить работоспособность наших engine командой: "openssl engine" Отредактировано пользователем 1 ноября 2017 г. 12:09:13(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Код:nginx -v
nginx version: nginx/1.12.2
При запуске выдает Код:nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/srvtest.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)
Сертификаты создавал вот по этому скрипту https://github.com/fulli...nx-gost/install-certs.shЦитата:openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support Отредактировано пользователем 1 ноября 2017 г. 12:49:55(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,531
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 36 раз
Поблагодарили: 494 раз в 350 постах
|
Автор: chemtech При запуске выдает Код:nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/srvtest.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)
С большой вероятностью не подгружается наша engine в openssl, если openssl пользуете тоже оригинальный, не забудьте прописать нашу engine в openssl.cnf, команда проверки выше. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
После добавления в конец файла /etc/pki/tls/openssl.cnf Код:openssl_conf = openssl_def
[openssl_def]
engines = engine_section
[engine_section]
gost_capi = gost_section
[gost_section]
engine_id = gost_capi
dynamic_path = /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1
openssl engine выдает Код:openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,531
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 36 раз
Поблагодарили: 494 раз в 350 постах
|
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Код:Как сконфигурировать OpenSSL?
Загрузку gost_capi через конфигурационный файл OpenSSL можно сделать так (обычно вставляется после "oid_section = new_oids"):
тут не написано как исправлять openssl.cnf (очистить файл и добавить из примера, добавить в конец или добавить поля в определенные секции)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,531
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 36 раз
Поблагодарили: 494 раз в 350 постах
|
Автор: chemtech Код:Как сконфигурировать OpenSSL?
Загрузку gost_capi через конфигурационный файл OpenSSL можно сделать так (обычно вставляется после "oid_section = new_oids"):
тут не написано как исправлять openssl.cnf (очистить файл и добавить из примера, добавить в конец или добавить поля в определенные секции) Как вы понимаете, работа оригинального openssl это не наш функционал, поэтому мы не можем гарантировать его работу на всех системах во всех случаях. Обычно работает ровно так как написано в FAQ. Попробуйте взять за основу openssl.cnf из нашего пакета cpopenssl. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Понятно что не ваш функционал. Тогда нужно добавить в инструкцию Код:cp /var/opt/cprocsp/cp-openssl/openssl.cnf /etc/pki/tls/openssl.cnf
Ошибка все равно есть Код:openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 147820 $)
nginx
nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/srvtest.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)
Отредактировано пользователем 1 ноября 2017 г. 13:20:44(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,531
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 36 раз
Поблагодарили: 494 раз в 350 постах
|
Автор: chemtech Ошибка все равно есть Проверьте, что nginx и openssl пользуются одним и тем же набором библиотек openssl командами "ldd /path/to/nginx" и "ldd /path/to/openssl". |
|
|
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
Другие продукты
»
Установка и настройка ванильной версии nginx 1.12.2 с ванильним openssl 1.0.2k c КриптоПро 4.0 R2
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
