Статус: Участник
Группы: Участники
Зарегистрирован: 17.02.2012(UTC)
Сообщений: 19
Откуда: г.Пенза
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
Решил провести эксперимент. Установил на Ubuntu сборку Apache 2.2 с openssl 1.0.0 с поддержкой ГОСТ по инструкции http://www.cryptocom.ru/...ce/apache.html#instr_100Создал серверный сертификат и ключ. openssl s_client прекрасно подключается к серверу по 443 порту. Установил firefox в соответсвии с http://www.cryptopro.ru/downloads "Настройка firefox и thunderbird на Linux для работы с "КриптоПро CSP 3.6". Модуль Crypto Pro присутствует в броузере. При попытке подключения по https:// к серверу, firefox выдает стандартную ошибку "Установка защищённого соединения с этим узлом не удалась: отсутствуют общие алгоритм(ы) шифрования. (Код ошибки: ssl_error_no_cypher_overlap)". Одним словом firefox не понимает протокол ssl-ГОСТ сервера. Может быть на клиентской машине помимо модуля Crypto Pro для броузера нужно ставить CSP? Или не нужно ничего ставить, так как firefox, скачанный по ссылке http://www.cryptopro.ru/downloadsв принципе не может работать по ssl ГОСТ, реализованному в openssl 1.0.0? Спасибо.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
Здравствуйте. Да, на стороне клиента необходимо поставить КриптоПро CSP. В инструкции по настройке, на которую вы ссылаетесь, сказано: Цитата:Для работы TLS по алгоритму ГОСТ в firefox необходимо поставить пакеты:
firefox-10.0.6esrpre.en-us.linux-i686.tar.bz2 (для 32-битных ОС)
firefox-10.0.6esrpre.en-us.linux-x86_64.tar.bz2 (для 64-битных ОС)
основные пакеты КриптоПро CSP 3.6 R2 (lsb-cprocsp-base, lsb-cprocsp-rdr, lsb-cprocsp-capilite, lsb-cprocsp-kc1, cprocsp-rdr-gui)
lsb-cprocsp-pkcs11-3.6.1-4.i486.rpm (для 32-битных ОС)
lsb-cprocsp-pkcs11-64-3.6.1-4.x86_64.rpm (для 64-битных ОС) Также, чтобы проверить что проблема на стороне клиента, вы можете для проверки установить соединение с https://cryptopro.ru -- этот сервер точно работает с TLS по ГОСТ. |
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,907   Сказал «Спасибо»: 595 раз
Поблагодарили: 2332 раз в 1829 постах
|
Татьяна написал: вы можете для проверки установить соединение с https://cryptopro.ru -- этот сервер точно работает с TLS по ГОСТ. Apache/2.2.14 (Ubuntu) PHP/5.3.2-1 ubuntu 4.10  |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.02.2012(UTC)
Сообщений: 19
Откуда: г.Пенза
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
с помощью команды alien все пакеты перевел в формат .deb установил пакеты sudo dpkg - i .......deb в следующей последовательности: lsb-cprocsp-base, lsb-cprocsp-rdr, lsb-cprocsp-capilite, lsb-cprocsp-kc1, cprocsp-rdr-gui, lsb-cprocsp-pkcs11-3.6.1-4.i486. В соответствии с http://www.cryptopro.ru/downloads необходимо удостовериться, что в настройках firefox в разделе «дополнительно – устройства шифрования» присутствует модуль Crypto Pro. Если модуль не настроен, необходимо его добавить, указав путь к /opt/cprocsp/lib/<архитектура>/libpkcs11.so. В настройках firefox такой модуль прописан, но команда find / - name libpkcs11.so выдает отсутствие данного модуля в системе. Я что то упустил? Отредактировано пользователем 9 ноября 2012 г. 13:43:47(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 12.11.2012(UTC)
Сообщений: 104
Откуда: Белгород
|
Тоже мучаюсь сейчас с вопросом openssl и авторизацией по клиентским гост сертификатам... судя по логам, апач подцепил гостовский сертификат, Код:[Mon Nov 12 08:05:15 2012] [info] Init: loaded Crypto Device API `gost'
[Mon Nov 12 08:05:15 2012] [info] Init: Seeding PRNG with 144 bytes of entropy
[Mon Nov 12 08:05:15 2012] [info] Loading certificate & private key of SSL-aware server
[Mon Nov 12 08:05:15 2012] [debug] ssl_engine_pphrase.c(470): unencrypted GOST R 34.10-2001 private key - pass phrase not required
[Mon Nov 12 08:05:15 2012] [info] Init: Generating temporary RSA private keys (512/1024 bits)
[Mon Nov 12 08:05:15 2012] [info] Init: Generating temporary DH parameters (512/1024 bits)
[Mon Nov 12 08:05:15 2012] [info] Init: Initializing (virtual) servers for SSL
[Mon Nov 12 08:05:15 2012] [info] Configuring server for SSL protocol
[Mon Nov 12 08:05:15 2012] [debug] ssl_engine_init.c(475): Creating new SSL context (protocols: SSLv3, TLSv1)
[Mon Nov 12 08:05:15 2012] [debug] ssl_engine_init.c(611): Configuring client authentication
[Mon Nov 12 08:05:15 2012] [debug] ssl_engine_init.c(1208): CA certificate: /1.2.643.100.1=1023101670437/1.2.643.3.131.1.1=003123077111/emailAddress=xxxxxx@xxxxxxxx.ru/C=RU/street=\\xD0\\xbla bla bla
[Mon Nov 12 08:05:15 2012] [debug] ssl_engine_init.c(674): Configuring permitted SSL ciphers [RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5]
[Mon Nov 12 08:05:15 2012] [debug] ssl_engine_init.c(430): Configuring TLS extension handling
[Mon Nov 12 08:05:15 2012] [debug] ssl_engine_init.c(963): Trying key with id pbo.belregion.ru:8443:RSA alg 0
[Mon Nov 12 08:05:15 2012] [debug] ssl_engine_init.c(963): Trying key with id pbo.belregion.ru:8443:DSA alg 1
[Mon Nov 12 08:05:15 2012] [debug] ssl_engine_init.c(963): Trying key with id pbo.belregion.ru:8443:EC alg 2
[Mon Nov 12 08:05:15 2012] [debug] ssl_engine_init.c(963): Trying key with id pbo.belregion.ru:8443:GOST R 34.10-94 alg 3
[Mon Nov 12 08:05:15 2012] [debug] ssl_engine_init.c(963): Trying key with id pbo.belregion.ru:8443:GOST R 34.10-2001 alg 4
[Mon Nov 12 08:05:15 2012] [debug] ssl_engine_init.c(805): Configuring GOST R 34.10-2001 server certificate
[Mon Nov 12 08:05:15 2012] [debug] ssl_engine_init.c(851): Configuring GOST R 34.10-2001 server private key
[Mon Nov 12 08:05:15 2012] [info] mod_ssl/2.2.22 compiled against Server: Apache/2.2.22, Library: OpenSSL/1.0.0j
при попытке авторизоваться с клиентской машины, в логах видим следующее Код:[Mon Nov 12 08:23:47 2012] [debug] ssl_engine_kernel.c(1884): OpenSSL: Write: SSLv3 read client hello C
[Mon Nov 12 08:23:47 2012] [debug] ssl_engine_kernel.c(1884): OpenSSL: Write: SSLv3 read client hello C
[Mon Nov 12 08:23:47 2012] [debug] ssl_engine_kernel.c(1903): OpenSSL: Exit: error in SSLv3 read client hello C
[Mon Nov 12 08:23:47 2012] [debug] ssl_engine_kernel.c(1903): OpenSSL: Exit: error in SSLv3 read client hello C
[Mon Nov 12 08:23:47 2012] [info] [client 79.140.69.70] SSL library error 1 in handshake (server xxx.xxxx.xx:8443)
[Mon Nov 12 08:23:47 2012] [info] SSL Library Error: 336109761 error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher Too restrictive SSLCipherSuite or using DSA server certificate?
При этом IE просто ошибку подключения говорит, а мозилла что отсутсвуют общие алгоритмы шифрования... плагин криптопро для браузера, криптопро csp последней версии установлен. Пробовал с разных операционных систем Windows 7 64bit, Windows XP, Ubuntu 12.04.1 везде одно и тоже, что интересно с windows сюда https://cryptopro.ru заходит только IE, хром выдает ошибку. Хотя на тестовой странице плагина в хроме все работает. куда копать? апач не правильно скомпилировался с опенссл? (при наложении патча выдается пара ошибок, но говорят они не критичны...) Отредактировано пользователем 14 ноября 2012 г. 15:00:33(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.02.2012(UTC)
Сообщений: 19
Откуда: г.Пенза
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
Удалил все пакеты CSP 3.6 R2. Поставил R3 в соответсвии с http://cryptopro.ru/faq/...vit-csp-na-debianubuntu:alien -kci ./lsb-cprocsp-base-3.6.1-4.noarch.rpm alien -kci ./lsb-cprocsp-rdr-3.6.1-4.i486.rpm alien -kci ./lsb-cprocsp-kc1-3.6.1-4.i486.rpm alien -kci ./lsb-cprocsp-capilite-3.6.1-4.i486.rpm dpkg -i libmotif3_2.2.3-2_i386.deb alien -kci ./cprocsp-rdr-gui-3.6.1-4.i486.rpm alien -kci ./lsb-cprocsp-pkcs11-3.6.1-4.i486.rpm https://cryptopro.ru (Error code: ssl_error_no_cypher_overlap).
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.02.2012(UTC)
Сообщений: 19
Откуда: г.Пенза
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
В списке доступных криптопровайдеров CSP 3.6 R3 для Linux есть только GOST R 34.10-2001. Может быть нужен еще один для 28147-89? Уважаемые сотрудники "Криптопро", прокомментируйте пожалуйста. Отредактировано пользователем 15 ноября 2012 г. 13:59:58(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 12.11.2012(UTC)
Сообщений: 104
Откуда: Белгород
|
к своей части проблемы добавлю, в логах (windows XP SP3) КриптоПро TLS. Такое расширение в конце сообщения SERVER_HELLO не посылалось: 0xff01 в случае если подключаюсь с клиента IE Цитата:[Wed Nov 14 12:00:00 2012] [debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 read client hello A
[Wed Nov 14 12:00:00 2012] [debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 write server hello A
[Wed Nov 14 12:00:00 2012] [debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 write certificate A
[Wed Nov 14 12:00:00 2012] [debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 write server done A
[Wed Nov 14 12:00:00 2012] [debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 flush data
[Wed Nov 14 12:00:00 2012] [debug] ssl_engine_io.c(1908): OpenSSL: I/O error, 5 bytes expected to read on BIO#89ff80 [mem: 8a71c3]
[Wed Nov 14 12:00:00 2012] [debug] ssl_engine_kernel.c(1903): OpenSSL: Exit: error in SSLv3 read client certificate A
[Wed Nov 14 12:00:00 2012] [debug] ssl_engine_kernel.c(1903): OpenSSL: Exit: error in SSLv3 read client certificate A
[Wed Nov 14 12:00:00 2012] [info] [client 172.22.244.200] (70014)End of file found: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]
[Wed Nov 14 12:00:00 2012] [info] [client 172.22.244.200] Connection closed to child 6 with abortive shutdown (server xxxx.xxx.xx:443)
если использовать мозиллу и хром, то Цитата:[Mon Nov 12 08:23:47 2012] [debug] ssl_engine_kernel.c(1884): OpenSSL: Write: SSLv3 read client hello C
[Mon Nov 12 08:23:47 2012] [debug] ssl_engine_kernel.c(1884): OpenSSL: Write: SSLv3 read client hello C
[Mon Nov 12 08:23:47 2012] [debug] ssl_engine_kernel.c(1903): OpenSSL: Exit: error in SSLv3 read client hello C
[Mon Nov 12 08:23:47 2012] [debug] ssl_engine_kernel.c(1903): OpenSSL: Exit: error in SSLv3 read client hello C
[Mon Nov 12 08:23:47 2012] [info] [client 79.140.69.70] SSL library error 1 in handshake (server хххххххххх:8443)
[Mon Nov 12 08:23:47 2012] [info] SSL Library Error: 336109761 error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher Too restrictive SSLCipherSuite or using DSA server certificate?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 12.11.2012(UTC)
Сообщений: 104
Откуда: Белгород
|
почитал топик про Windows 7, обновил версию криптопро, просто по https пускает, если от клиента требовать сертификат, то пока ошибка. но думаю истина где-то рядом! =) PS да... пустило только IE мозила и хром по-прежнему не могу договориться о общих алгоритмах шифрования Отредактировано пользователем 14 ноября 2012 г. 15:17:32(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,415 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 728 раз в 629 постах
|
ярлыку хрома допишите --use-system-ssl, мозилла - используйте нашу сборку. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
