Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

39 Страницы«<1617181920>»
Опции
К последнему сообщению К первому непрочитанному
Offline Марфа Ильинишна  
#171 Оставлено : 3 июня 2019 г. 9:28:08(UTC)
Марфа Ильинишна

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.06.2019(UTC)
Сообщений: 3
Откуда: Aden

День добрый!
Двусторонняя аутентификация не поддерживается?
Был развёрнут свежевыкачанный Centos7, сборка nginx+openssl поднята вашими скриптами, сертификаты ГОСТ2012 сформированы в вашем тестовом УЦ. Односторонняя верификация проходит на ура, а при двустороннке вылезает ошибка
Код:
 client sent no required SSL certificate while reading client request headers 

При использованием сертификатов ГОСТ 2001 проблем нет - клиентский сертификат запрашивается.

конфиг nginx


Offline preobrazhensky  
#172 Оставлено : 3 июня 2019 г. 14:18:29(UTC)
preobrazhensky

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.06.2019(UTC)
Сообщений: 1
Откуда: Минск

Добрый день!

Ищем сертифицированное решение версия для установления tls-ГОСТ.
Возможно ли это сделать на nginx (12 версии, на ubuntu)?

(Сейчас на веб-сервер nginx сервера проведено добавление поддержки ГОСТ-2012 с помощью библиотеки/движка gostengy https://www.cryptopro.ru...spx?g=posts&t=12505)
Offline Санчир Момолдаев  
#173 Оставлено : 5 июня 2019 г. 12:28:00(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
Автор: ozz_born Перейти к цитате

Что я делаю не так?

попробовал с собранными openssl и nginx
проксирование на https://q.cryptopro.ru проходит успешно
на gost2012.stable.dp.korona.net получаю 403
но хендшейк проходит
/opt/cprocsp/bin/amd64/csptest -tlsc -server gost2012.stable.dp.korona.net -nocheck -nosave -v

конфигурация
Техническую поддержку оказываем тут
Наша база знаний
Offline Санчир Момолдаев  
#174 Оставлено : 5 июня 2019 г. 12:34:38(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
Автор: Марфа Ильинишна Перейти к цитате
День добрый!
Двусторонняя аутентификация не поддерживается?
Был развёрнут свежевыкачанный Centos7, сборка nginx+openssl поднята вашими скриптами, сертификаты ГОСТ2012 сформированы в вашем тестовом УЦ. Односторонняя верификация проходит на ура, а при двустороннке вылезает ошибка
Код:
 client sent no required SSL certificate while reading client request headers 

При использованием сертификатов ГОСТ 2001 проблем нет - клиентский сертификат запрашивается.

работает.
ключ не передавали через proxy_ssl_certificate_key ?
Техническую поддержку оказываем тут
Наша база знаний
Offline Санчир Момолдаев  
#175 Оставлено : 5 июня 2019 г. 12:37:34(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
Автор: preobrazhensky Перейти к цитате
Добрый день!

Ищем сертифицированное решение версия для установления tls-ГОСТ.
Возможно ли это сделать на nginx (12 версии, на ubuntu)?

(Сейчас на веб-сервер nginx сервера проведено добавление поддержки ГОСТ-2012 с помощью библиотеки/движка gostengy https://www.cryptopro.ru...spx?g=posts&t=12505)


посмотрите на trusted tls https://trusted.ru/products/trusted-tls/about/
Техническую поддержку оказываем тут
Наша база знаний
Offline Марфа Ильинишна  
#176 Оставлено : 5 июня 2019 г. 15:45:17(UTC)
Марфа Ильинишна

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.06.2019(UTC)
Сообщений: 3
Откуда: Aden

Автор: Санчир Момолдаев Перейти к цитате
Автор: Марфа Ильинишна Перейти к цитате
День добрый!
Двусторонняя аутентификация не поддерживается?
Был развёрнут свежевыкачанный Centos7, сборка nginx+openssl поднята вашими скриптами, сертификаты ГОСТ2012 сформированы в вашем тестовом УЦ. Односторонняя верификация проходит на ура, а при двустороннке вылезает ошибка
Код:
 client sent no required SSL certificate while reading client request headers 

При использованием сертификатов ГОСТ 2001 проблем нет - клиентский сертификат запрашивается.

работает.
ключ не передавали через proxy_ssl_certificate_key ?

Пытались от бессилия.
Двусторонняя авторизация именно на сервере с nginx, proxy_pass отправляет уже на обычный http, поэтому вроде как и нет необходимости в proxy_ssl_certificate_key. С сертификатами ГОСТ2001 работает и без этой директивы.

При использовании ГОСТ 2012 в логах только подтверждение собственной немощи - данные о сертифкаты не парсятся вообще, клиентский сертификат не прилетает. В браузере поддержка TLS 1.2 включена.

/var/log/nginx/error-ssl.log
Код:
 client sent no required SSL certificate while reading client request header 


/var/log/nginx/access.log
Код:
"ssl client serial" -  "remote_addr" 10.0.0.2 -"remote_user" - [05/Jun/2019:08:27:23 -0400] "request" "GET / HTTP/1.1" "status" 400 "body_bytes_sent" 253 "http_referer" -"ssl_client_cert" - TLSv1.2/GOST2012-GOST8912-GOST8912"Client fingerprint" - "X-SSL-CERT" -"ssl_client_verify=" NONE 



Код:

location / {
            error_log /var/log/nginx/error.log debug;
            proxy_set_header X-SSL-Client-Cert $ssl_client_cert;
            proxy_set_header X-SSL-client-serial $ssl_client_serial;
            proxy_pass http://10.0.0.85:2534;
            proxy_set_header Host       $host;
            proxy_set_header X-Real-IP $remote_addr; 



           #Задаёт файл с сертификатом в формате PEM для аутентификации на проксируемом HTTPS-сервере
            proxy_ssl_certificate     /etc/nginx/server.pem;
            proxy_ssl_certificate_key engine:gostengy:server;
           #proxy_ssl_trusted_certificate /home/cryptoTEST/CA_bundle.pem;
		   }

Offline Санчир Момолдаев  
#177 Оставлено : 5 июня 2019 г. 17:15:22(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
Автор: Марфа Ильинишна Перейти к цитате
Автор: Санчир Момолдаев Перейти к цитате
Автор: Марфа Ильинишна Перейти к цитате
День добрый!
Двусторонняя аутентификация не поддерживается?
Был развёрнут свежевыкачанный Centos7, сборка nginx+openssl поднята вашими скриптами, сертификаты ГОСТ2012 сформированы в вашем тестовом УЦ. Односторонняя верификация проходит на ура, а при двустороннке вылезает ошибка
Код:
 client sent no required SSL certificate while reading client request headers 

При использованием сертификатов ГОСТ 2001 проблем нет - клиентский сертификат запрашивается.

работает.
ключ не передавали через proxy_ssl_certificate_key ?

Пытались от бессилия.
Двусторонняя авторизация именно на сервере с nginx, proxy_pass отправляет уже на обычный http, поэтому вроде как и нет необходимости в proxy_ssl_certificate_key. С сертификатами ГОСТ2001 работает и без этой директивы.

При использовании ГОСТ 2012 в логах только подтверждение собственной немощи - данные о сертифкаты не парсятся вообще, клиентский сертификат не прилетает. В браузере поддержка TLS 1.2 включена.

/var/log/nginx/error-ssl.log
Код:
 client sent no required SSL certificate while reading client request header 


/var/log/nginx/access.log
Код:
"ssl client serial" -  "remote_addr" 10.0.0.2 -"remote_user" - [05/Jun/2019:08:27:23 -0400] "request" "GET / HTTP/1.1" "status" 400 "body_bytes_sent" 253 "http_referer" -"ssl_client_cert" - TLSv1.2/GOST2012-GOST8912-GOST8912"Client fingerprint" - "X-SSL-CERT" -"ssl_client_verify=" NONE 



Код:

location / {
            error_log /var/log/nginx/error.log debug;
            proxy_set_header X-SSL-Client-Cert $ssl_client_cert;
            proxy_set_header X-SSL-client-serial $ssl_client_serial;
            proxy_pass http://10.0.0.85:2534;
            proxy_set_header Host       $host;
            proxy_set_header X-Real-IP $remote_addr; 



           #Задаёт файл с сертификатом в формате PEM для аутентификации на проксируемом HTTPS-сервере
            proxy_ssl_certificate     /etc/nginx/server.pem;
            proxy_ssl_certificate_key engine:gostengy:server;
           #proxy_ssl_trusted_certificate /home/cryptoTEST/CA_bundle.pem;
		   }



уточните вы хотите настроить nginx на требование сертификата клиента?
я изначально подумал у вас вопрос проксирования
Техническую поддержку оказываем тут
Наша база знаний
Offline Марфа Ильинишна  
#178 Оставлено : 5 июня 2019 г. 17:33:06(UTC)
Марфа Ильинишна

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.06.2019(UTC)
Сообщений: 3
Откуда: Aden

Автор: Санчир Момолдаев Перейти к цитате
Автор: Марфа Ильинишна Перейти к цитате
Автор: Санчир Момолдаев Перейти к цитате
Автор: Марфа Ильинишна Перейти к цитате
День добрый!
Двусторонняя аутентификация не поддерживается?
Был развёрнут свежевыкачанный Centos7, сборка nginx+openssl поднята вашими скриптами, сертификаты ГОСТ2012 сформированы в вашем тестовом УЦ. Односторонняя верификация проходит на ура, а при двустороннке вылезает ошибка
Код:
 client sent no required SSL certificate while reading client request headers 

При использованием сертификатов ГОСТ 2001 проблем нет - клиентский сертификат запрашивается.

работает.
ключ не передавали через proxy_ssl_certificate_key ?

Пытались от бессилия.
Двусторонняя авторизация именно на сервере с nginx, proxy_pass отправляет уже на обычный http, поэтому вроде как и нет необходимости в proxy_ssl_certificate_key. С сертификатами ГОСТ2001 работает и без этой директивы.

При использовании ГОСТ 2012 в логах только подтверждение собственной немощи - данные о сертифкаты не парсятся вообще, клиентский сертификат не прилетает. В браузере поддержка TLS 1.2 включена.

/var/log/nginx/error-ssl.log
Код:
 client sent no required SSL certificate while reading client request header 


/var/log/nginx/access.log
Код:
"ssl client serial" -  "remote_addr" 10.0.0.2 -"remote_user" - [05/Jun/2019:08:27:23 -0400] "request" "GET / HTTP/1.1" "status" 400 "body_bytes_sent" 253 "http_referer" -"ssl_client_cert" - TLSv1.2/GOST2012-GOST8912-GOST8912"Client fingerprint" - "X-SSL-CERT" -"ssl_client_verify=" NONE 



Код:

location / {
            error_log /var/log/nginx/error.log debug;
            proxy_set_header X-SSL-Client-Cert $ssl_client_cert;
            proxy_set_header X-SSL-client-serial $ssl_client_serial;
            proxy_pass http://10.0.0.85:2534;
            proxy_set_header Host       $host;
            proxy_set_header X-Real-IP $remote_addr; 



           #Задаёт файл с сертификатом в формате PEM для аутентификации на проксируемом HTTPS-сервере
            proxy_ssl_certificate     /etc/nginx/server.pem;
            proxy_ssl_certificate_key engine:gostengy:server;
           #proxy_ssl_trusted_certificate /home/cryptoTEST/CA_bundle.pem;
		   }



уточните вы хотите настроить nginx на требование сертификата клиента?
я изначально подумал у вас вопрос проксирования


да-да, нужно авторизовывать клиента по его личному сертификату
Offline ozz_born  
#179 Оставлено : 6 июня 2019 г. 13:05:06(UTC)
ozz_born

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.05.2019(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: Санчир Момолдаев Перейти к цитате
Автор: ozz_born Перейти к цитате

Что я делаю не так?

попробовал с собранными openssl и nginx
проксирование на https://q.cryptopro.ru проходит успешно
на gost2012.stable.dp.korona.net получаю 403
но хендшейк проходит
/opt/cprocsp/bin/amd64/csptest -tlsc -server gost2012.stable.dp.korona.net -nocheck -nosave -v

конфигурация


Пересобрал на чистой Cenos nginx, удалил базовый openssl, создал симлинк в /usr/bin/openssl и заработало. Спасибо!
Offline grigory  
#180 Оставлено : 24 июня 2019 г. 15:46:56(UTC)
grigory

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.06.2019(UTC)
Сообщений: 1
Российская Федерация
Откуда: Москва

Правильно ли я понимаю, что если мы соберем Nginx по этой инструкции, то это будет являться встраиванием (т.к. при сборке Nginx используется openssl-1.1.0, входящий в КриптоПро)?
А вот если мы скачаем openssl-1.1.0 с официального сайта openssl.org, соберем его, и потом соберем Nginx с данным openssl, то встраиванием это являться не будет?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
39 Страницы«<1617181920>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.