Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
SSL подключение к nginx с самоподписанным сертификатом
Статус: Участник
Группы: Участники
Зарегистрирован: 03.04.2015(UTC) Сообщений: 21  Откуда: СПб Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
|
Добрый день. Создали самоподписанный сертификат при помощи openssl. Скормили его nginx. Тестовые подключения проходят > openssl s_client -connect 192.168.50.178:443 -state
.....
SSL-Session:
Protocol : TLSv1.2
Cipher : GOST2001-GOST89-GOST89 curl, wget работают без нариканий. Поставил Windows 8.1 на нее водрузил КриптоПро CSP 3.9 IE может подлючиться к сервису, но только по IP. Если в hosts занести доменное имя, то клиент рвет соединение с сервером на этапе рукопожатий. Как такое поведение можно исправить? Спасибо. Отредактировано пользователем 8 апреля 2015 г. 17:57:53(UTC)
| Причина: опечатка
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 03.04.2015(UTC) Сообщений: 21 Откуда: СПб Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
|
Прошу прощения за промах с веткой 3.6 / 3.9
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,399  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 03.04.2015(UTC) Сообщений: 21 Откуда: СПб Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: maxdm  нужно смотреть логи. Debug лог nginx [info] 11823#0: *24 peer closed connection in SSL handshake while SSL handshaking, client: 192.168.50.149, server: 192.168.51.62:443 Где и какие логи я могу посмотреть на стороне клиента?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 03.04.2015(UTC) Сообщений: 21 Откуда: СПб Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
|
Журналы Windows -> Приложение: Источник ошибки cpsspap: КриптоПро TLS. Такое расширение CLIENT_HELLO не посылалось: 0x3374 Журналы Windows -> Система: Источник ошибки Schannel: Оповещение о неустранимой ошибке было создано и отправлено удаленной конечной точке. Это может привести к разрыву соединения. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 40. Состояние ошибки Windows SChannel: 107.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 03.04.2015(UTC) Сообщений: 21 Откуда: СПб Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
|
В 1 и 4 сообщении IP адреса сервера различны, просто поменяли IP.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,399 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
ясно, отключите в ie галки про spdy и http2. Они поддерживаются только в 3.9 R2 и старше. |
|
 1 пользователь поблагодарил Максим Коллегин за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 03.04.2015(UTC) Сообщений: 21 Откуда: СПб Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: maxdm ясно, отключите в ie галки про spdy и http2. Они поддерживаются только в 3.9 R2 и старше. Спасибо! C нашей стороны лучше не использовать spdy3/http2 ? Или это критично только для клиентов с CSP версией ниже 3.9R2 и остальным можно разрешать?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,399 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
лучше не использовать, мы пока плохо поддерживаем. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 03.04.2015(UTC) Сообщений: 21 Откуда: СПб Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: maxdm лучше не использовать, мы пока плохо поддерживаем. Благодарю за информацию. Еще вопросы остались. 1) В FAQ написано следующее: 5. Клиент устанавливают у себя на компьютеры СКЗИ "КриптоПро CSP" версии 3.6 R2 (например, скачав с сайта производителя), не приобретая лицензий на право использования. Получается что клиентам, у которых нет необходимости в генерировании ЭЦП и т.д., а нужно только уметь SSL на ГОСТах, покупать лицензию не обязательно и по истечению тестового периуда, указанного в лицензионном соглашении, эта способность у IE не пропадет? 2) Мне интересно чем закончились ваши старания встроить ГОСТы в nss? В багтрекере ваши запросы, да и не только ваши, так и висят годами в состоянии new. Может вам нужно/можно как то помочь в этом вопросе? Я не за себя, мне за державу обидно..
|
|
|
|
|
|
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
SSL подключение к nginx с самоподписанным сертификатом
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
