Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

39 Страницы«<1819202122>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#191 Оставлено : 15 октября 2019 г. 10:59:46(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: rmussalimov Перейти к цитате
Выполнил установочный скрипт, но openSSL не ставится

...

Походу ругается на зависимость lsb-cprocsp-capilite-64 >= 5.0

Либо используйте CSP >= 5.0 (тогда будет полная автоматика), либо устанавливайте с --ignore-depends (вручную), работать с CSP 4.0 тоже будет.

Знания в базе знаний, поддержка в техподдержке
Offline rmussalimov  
#192 Оставлено : 15 октября 2019 г. 11:10:53(UTC)
rmussalimov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 65

Сказал(а) «Спасибо»: 4 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: rmussalimov Перейти к цитате
Выполнил установочный скрипт, но openSSL не ставится

...

Походу ругается на зависимость lsb-cprocsp-capilite-64 >= 5.0

Либо используйте CSP >= 5.0 (тогда будет полная автоматика), либо устанавливайте с --ignore-depends (вручную), работать с CSP 4.0 тоже будет.



Не подскажите пример команды? Или это в самом .sh скрипте править надо?

Не так же?

Цитата:
./install-nginx.sh --install=openssl --ignore-depends=lsb-cprocsp-capilite-64 cprocsp-cpopenssl-110-gost-64_5.0.11315-5_amd64.deb

Offline Ефремов Степан  
#193 Оставлено : 15 октября 2019 г. 12:15:53(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 49
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 17 раз в 16 постах
Цитата:
Не подскажите пример команды? Или это в самом .sh скрипте править надо?


Можно поставить отдельно. Нужен только gost пакет с игнорированием:

Код:
dpkg -i --ignore-depends=lsb-cprocsp-capilite-64 cprocsp-cpopenssl-110-gost-64_5.0.11315-5_amd64.deb
Техническая поддержка здесь.
База знаний здесь.
thanks 1 пользователь поблагодарил Ефремов Степан за этот пост.
rmussalimov оставлено 15.10.2019(UTC)
Offline rmussalimov  
#194 Оставлено : 15 октября 2019 г. 12:25:33(UTC)
rmussalimov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 65

Сказал(а) «Спасибо»: 4 раз
Автор: Ефремов Степан Перейти к цитате
Цитата:
Не подскажите пример команды? Или это в самом .sh скрипте править надо?


Можно поставить отдельно. Нужен только gost пакет с игнорированием:

Код:
dpkg -i --ignore-depends=lsb-cprocsp-capilite-64 cprocsp-cpopenssl-110-gost-64_5.0.11315-5_amd64.deb


Выполнил, все поставилось. Спасибо Вам большое!
Offline Goodist  
#195 Оставлено : 24 октября 2019 г. 21:06:49(UTC)
Goodist

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.10.2019(UTC)
Сообщений: 2
Российская Федерация
Откуда: Казань

Автор: Ефремов Степан Перейти к цитате
Автор: Yuri Перейти к цитате
Скрипт на данный момент использует revision_openssl="180423", а на сайте уже
https://update.cryptopro...t/nginx-gost/bin/185515/
В другой теме написано что в новом билде исправлены проблемы https://www.cryptopro.ru...ts&m=97838#post97838
Скрипт не обновляется по какой-то причине?


Спасибо, сразу не обратил внимания. Версию в скрипте обновили.


Добрый вечер.
Были вынуждены обновить криптопро до версии 5.0
После обновления перестали обрабатываться запросы. В логах можно увидеть вот такие строки

Цитата:
2019/10/24 15:04:23 [crit] 327#327: *106 SSL_do_handshake() failed (SSL: error:80005022:lib(128):gng_support_create_pubkey_3410:CryptImportPublicKeyInfo error:0B09407D:x509 certificate routines:x509_pubkey_decode:public key decode error error:80005022:lib(128):gng_support_create_pubkey_3410:CryptImportPublicKeyInfo error:0B09407D:x509 certificate routines:x509_pubkey_decode:public key decode error error:0B06E06C:x509 certificate routines:X509_get_pubkey_parameters:unable to get certs public key error:80005022:lib(128):gng_support_create_pubkey_3410:CryptImportPublicKeyInfo error:0B09407D:x509 certificate routines:x509_pubkey_decode:public key decode error error:1417C0F7:SSL routines:tls_process_client_certificate:unknown certificate type) while SSL handshaking, client: 10.20.11.1, server: 0.0.0.0:443


Настройки все остались те же самые, кроме самого крипто про. Устанавливался через скрипт в начале темы.
Заранее спасибо.
Offline Дмитрий Пичулин  
#196 Оставлено : 31 октября 2019 г. 9:23:13(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Goodist Перейти к цитате
Настройки все остались те же самые, кроме самого крипто про. Устанавливался через скрипт в начале темы.

Скрипты представлены для ознакомления, если что-то не работает и вы не хотите самостоятельно разбираться в принципах работы (openssl + gostengy + csp), начните сначала: установите скриптами всё с нуля на чистой системе.

Знания в базе знаний, поддержка в техподдержке
Offline lab2  
#197 Оставлено : 28 ноября 2019 г. 11:09:33(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 42
Российская Федерация

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 2 раз в 1 постах
Господа,
тема и скрипты обновляются, как я вижу, есть просьба, пожалуйста
Вот никогда не было нужно, но понадобилось провести некий эксперимент

"беру чистую ос" и _первый скрипт из https://github.com/fulli...s/tree/master/nginx-gost
Неудача и на centos и ubuntu разных версий, нет смысла приводить ошибки, т.к. с линуксами не дружу по работе, могу только "посмотреть"

Просьба, кто проделывал эту работу недавно, какой точно дистрибутив Линукс вы использовали и какой точно дистрибутив Криптопро 5.0 и _первый скрипт отработал?
Можете дать сслылки на конкретные дистрибутивы?

в идеале нужно отработать два скрипта, но во втором скрипте можно разобраться :)


Offline Ефремов Степан  
#198 Оставлено : 28 ноября 2019 г. 17:42:32(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 49
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 17 раз в 16 постах
Автор: lab2 Перейти к цитате
Господа,
тема и скрипты обновляются, как я вижу, есть просьба, пожалуйста
Вот никогда не было нужно, но понадобилось провести некий эксперимент

"беру чистую ос" и _первый скрипт из https://github.com/fulli...s/tree/master/nginx-gost
Неудача и на centos и ubuntu разных версий, нет смысла приводить ошибки, т.к. с линуксами не дружу по работе, могу только "посмотреть"

Просьба, кто проделывал эту работу недавно, какой точно дистрибутив Линукс вы использовали и какой точно дистрибутив Криптопро 5.0 и _первый скрипт отработал?
Можете дать сслылки на конкретные дистрибутивы?

в идеале нужно отработать два скрипта, но во втором скрипте можно разобраться :)




Только что на чистой ubuntu-18 проверили - работает. Дистрибутив CSP 5.0 с сайта.

Возможно, вам не хватает какого-нибудь базового пакета: wget, make и пр.
Техническая поддержка здесь.
База знаний здесь.
thanks 1 пользователь поблагодарил Ефремов Степан за этот пост.
lab2 оставлено 01.12.2019(UTC)
Offline Ефремов Степан  
#199 Оставлено : 29 ноября 2019 г. 16:53:22(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 49
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 17 раз в 16 постах
Провели ревизию скриптов и добавили Travis CI с Ubuntu 16 для проверки корректности выполнения.
Работает: ссылка на travis

Изменения:
- поправили patch для nginx: в некоторых случаях nginx мог линковаться с системным openssl вместо cp-openssl
- обновлен install-certs: правки исключительно для travis, для пользователей ничего не изменилось
- добавлен простенький скрипт test_nginx.sh для проверки работы nginx по GOST и RSA
Техническая поддержка здесь.
База знаний здесь.
thanks 1 пользователь поблагодарил Ефремов Степан за этот пост.
lab2 оставлено 01.12.2019(UTC)
Offline Tanya(*)  
#200 Оставлено : 2 декабря 2019 г. 11:59:42(UTC)
Tanya(*)

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.11.2019(UTC)
Сообщений: 8

Добрый день,
подскажите, пожалуйста, какие действия необходимо выполнить для работы nginx/1.14.1
с методами PUT, POST, DELETE по TLS1.2.

При работе по незащищенному соединению PUT DELETE MKCOL COPY MOVE
все работает отлично. Так же все работает при работе с c TLS1.2 и engine RSA.


Но c TLS1.2 и gostengine возникает проблема(при этом метод GET выполняется).

Конфиг:
server {

***

ssl_certificate /etc/nginx/test.pem;
ssl_certificate_key engine:gostengy:test;
ssl_session_cache off;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers GOST2012-GOST8912-GOST8912:HIGH;
ssl_prefer_server_ciphers on;

location / {
dav_methods PUT DELETE MKCOL COPY MOVE;
create_full_put_path on;
try_files $uri $uri/ =404;
}

}
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
39 Страницы«<1819202122>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.