Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Евгений Гришанин  
#1 Оставлено : 28 августа 2019 г. 16:08:02(UTC)
Евгений Гришанин

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.04.2019(UTC)
Сообщений: 5

Настройка nginx по https://www.cryptopro.ru...aspx?g=posts&t=12505

Необходим для целей proxy_pass.

Цитата:

location / {
proxy_pass https://site.ru;
proxy_ssl_certificate /etc/nginx/client_cert.pem;
proxy_ssl_certificate_key engine:gostengy:0000000;
proxy_ssl_trusted_certificate /etc/nginx/bundle.pem;
proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
proxy_ssl_ciphers GOST2012-GOST8912-GOST8912:HIGH
}


/etc/nginx/bundle.pem
Цитата:
$ cat client_cert.pem provider.pem mks.pem >> bundle.pem


Цитата:

2019/08/28 12:54:55 [debug] 445#445: *39 SSL_do_handshake: -1
2019/08/28 12:54:55 [debug] 445#445: *39 SSL_get_error: 2
2019/08/28 12:54:56 [debug] 445#445: *39 SSL handshake handler: 0
2019/08/28 12:54:56 [debug] 445#445: *39 SSL_do_handshake: -1
2019/08/28 12:54:56 [debug] 445#445: *39 SSL_get_error: 2
2019/08/28 12:54:56 [debug] 445#445: *39 SSL handshake handler: 1
2019/08/28 12:54:56 [debug] 445#445: *39 SSL_do_handshake: -1
2019/08/28 12:54:56 [debug] 445#445: *39 SSL_get_error: 2
2019/08/28 12:54:56 [debug] 445#445: *39 SSL handshake handler: 0
2019/08/28 12:54:56 [debug] 445#445: *39 SSL_do_handshake: -1
2019/08/28 12:54:56 [debug] 445#445: *39 SSL_get_error: 1
2019/08/28 12:54:56 [error] 445#445: *39 SSL_do_handshake() failed (SSL: error:1409441A:SSL routines:ssl3_read_bytes:tlsv1 alert decode error:SSL alert number 50) while SSL handshaking to upstream, client: 127.0.0.1, server: localhost, request: "GET / HTTP/1.1", upstream: "https://0.0.0.0:8443/", host: "localhost"
2019/08/28 12:54:56 [debug] 445#445: *39 http upstream ssl handshake: "/?"
2019/08/28 12:54:56 [debug] 445#445: *39 http next upstream, 2
2019/08/28 12:54:56 [debug] 445#445: *39 free rr peer 1 4
2019/08/28 12:54:56 [debug] 445#445: *39 finalize http upstream request: 502
2019/08/28 12:54:56 [debug] 445#445: *39 finalize http proxy request
2019/08/28 12:54:56 [debug] 445#445: *39 close http upstream connection: 10
2019/08/28 12:54:56 [debug] 445#445: *39 free: 00005638A29D9BA0



Эти сертификаты с stunnel работают (provider.cer mks.cer добавлены в mRoot). Пытаемся собрать через nginx — получаем ошибку.

Какое может быть решение?

Отредактировано пользователем 28 августа 2019 г. 16:14:59(UTC)  | Причина: Не указана

Offline Евгений Гришанин  
#2 Оставлено : 28 августа 2019 г. 22:42:13(UTC)
Евгений Гришанин

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.04.2019(UTC)
Сообщений: 5

openssl s_client


140125088645312:error:1409441A:SSL routines:ssl3_read_bytes:tlsv1 alert decode error:ssl/record/rec_layer_s3.c:1407:SSL alert number 50

Отредактировано пользователем 28 августа 2019 г. 23:02:29(UTC)  | Причина: Не указана

Offline two_oceans  
#3 Оставлено : 29 августа 2019 г. 13:56:16(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Цитата:
proxy_ssl_certificate_key engine:gostengy:0000000
Цитата:
"https://0.0.0.0:8443/"
Это так и было в логе или затерли данные при копировании на форум? Если так и было - укажите в настройках верные данные. Вместо первого 00000000 - верный отпечаток сертификата, вместо второго - правильный адрес (предположу что это proxy_pass https://site.ru; и site.ru разрешился в 0.0.0.0 потому что такого сайта нет в DNS и нет переопределения адреса в hosts).
Offline Евгений Гришанин  
#4 Оставлено : 29 августа 2019 г. 14:05:14(UTC)
Евгений Гришанин

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.04.2019(UTC)
Сообщений: 5

Автор: two_oceans Перейти к цитате
Цитата:
proxy_ssl_certificate_key engine:gostengy:0000000
Цитата:
"https://0.0.0.0:8443/"
Это так и было в логе или затерли данные при копировании на форум? Если так и было - укажите в настройках верные данные. Вместо первого 00000000 - верный отпечаток сертификата, вместо второго - правильный адрес (предположу что это proxy_pass https://site.ru; и site.ru разрешился в 0.0.0.0 потому что такого сайта нет в DNS и нет переопределения адреса в hosts).


0(нули) - для затирания реальных данных только
в конфигах корректные значения

конфигурация nginx рабочая, с описанной пролемой столкнулись на одном локейшене

Отредактировано пользователем 29 августа 2019 г. 14:07:12(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.