Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

39 Страницы«<2324252627>»
Опции
К последнему сообщению К первому непрочитанному
Offline Denis007  
#241 Оставлено : 10 июля 2020 г. 14:27:56(UTC)
Denis007

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.07.2020(UTC)
Сообщений: 4
Российская Федерация
Откуда: Москва

Автор: Дмитрий Пичулин Перейти к цитате


Автор: Denis007 Перейти к цитате
Вот еще вопросы:
1) Надо ли переводить рутовый сертификат в КС2 формат и как?

1) зависит от ваших требований, по умолчанию надо, в скриптах это есть


У меня не получается изменить тип сертификата:
Код:
root@df7d5d031200:/# /opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\\.\HDIMAGE\ba1506bc.000\F6D7' -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP'
Certmgr 1.1 (c) "Crypto-Pro",  2007-2018.
program for managing certificates, CRLs and stores

Failed to acquire context

Provider DLL failed to initialize correctly.
[ErrorCode: 0x8009001d]


Код:
root@df7d5d031200:/# /opt/cprocsp/bin/amd64/certmgr -list
Certmgr 1.1 (c) "Crypto-Pro",  2007-2018.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer              : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
Subject             : E=ХХХ, OU=ХХХ, O="ХХХ", L=Москва, C=RU, CN=Тестовый пользователь 2020
Serial              : 0x0253DAA50025AB11A84C6F0E0B264B1245
SHA1 Hash           : bd08b6cf23789d2f6a0de4000acbf208074dd589
SubjKeyID           : f797c3edfcc2e8968b418d68ddea0c344abdd416
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 512 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before    : 16/12/2019  09:53:51 UTC
Not valid after     : 16/12/2024  10:03:51 UTC
PrivateKey Link     : Yes                 
Container           : HDIMAGE\\ba1506bc.000\F6D7
Provider Name       : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info       : ProvType: 80, KeySpec: 1, Flags: 0x0
OCSP URL            : http://ocsp.cryptopro.ru/ocsp2012/ocsp.srf
CA cert URL         : http://cpca20.cryptopro.ru/aia/2f0f30ee1b2e93dae26d835df02636b8119486dd.crt
CDP                 : http://cdp.cryptopro.ru/cdp/2f0f30ee1b2e93dae26d835df02636b8119486dd.crl
CDP                 : http://cpca20.cryptopro.ru/cdp/2f0f30ee1b2e93dae26d835df02636b8119486dd.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.2
                      1.3.6.1.5.5.7.3.4
                      1.2.643.2.2.34.6
=============================================================================

[ErrorCode: 0x00000000]


Код:
root@df7d5d031200:/# dpkg-query --list | grep csp
ii  cprocsp-cpopenssl-110-64         5.0.11803-6                 amd64        OpenSSL-110. Build 11803.
ii  cprocsp-cpopenssl-110-base       5.0.11803-6                 all          Openssl-110 common Build 11803.
ii  cprocsp-cpopenssl-110-devel      5.0.11803-6                 all          Openssl-110 devel Build 11803.
ii  cprocsp-cpopenssl-110-gost-64    5.0.11803-6                 amd64        OpenSSL-110 gostengy engine. Build 11803.
ii  cprocsp-curl-64                  4.0.9963-5                  amd64        CryptoPro Curl shared library and binaris. Build 9963.
ii  lsb-cprocsp-base                 4.0.9963-5                  all          CryptoPro CSP directories and scripts. Build 9963.
ii  lsb-cprocsp-ca-certs             4.0.9963-5                  all          CA certificates.  Build 9963.
ii  lsb-cprocsp-capilite-64          4.0.9963-5                  amd64        CryptoAPI lite. Build 9963.
ii  lsb-cprocsp-kc1-64               4.0.9963-5                  amd64        CryptoPro CSP KC1. Build 9963.
ii  lsb-cprocsp-kc2-64               4.0.9963-6                  amd64        CryptoPro CSP KC2. Build 9963.
ii  lsb-cprocsp-rdr-64               4.0.9963-5                  amd64        CryptoPro CSP readers. Build 9963.


Сертификаты ставлю следующим образом:
Код:
/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -del HDIMAGE
/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add HDIMAGE store
yes o | /opt/cprocsp/bin/amd64/certmgr -inst -file ${ROOT_CERT} -store mroot
read IP_STORE <<< $(/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifycontext -fqcn | awk -F 'HDIMAGE\' '{ print $2 }')
/opt/cprocsp/bin/amd64/certmgr -inst -file ${CLIENT_CERT} -cont '\\.\HDIMAGE\'${IP_STORE}

Отредактировано пользователем 10 июля 2020 г. 16:15:45(UTC)  | Причина: Не указана

Offline lab2  
#242 Оставлено : 23 июля 2020 г. 16:55:41(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 42
Российская Федерация

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 2 раз в 1 постах
подскажите, пожалуйста.

смотрим через тлс прокси (cpro+cpopenssl+nginx) на ресурс https://testgost2012.cryptopro.ru/ - все ОК

Пытаемся аналогично смотреть на https://portal.fincert.cbr.ru - неудача, при этом этот же ресурс доступен с вин-машины ie11+криптопро csp

Как подступиться к поиску почему не работает, посоветуйте?

==
openssl s_connect - соединяется, но с "Verify return code: 21 (unable to verify the first certificate)"

если через прокси SSL_do_handshake() failed (SSL: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:SSL alert number 40) while SSL handshaking to upstream

ресурс https://portal.fincert.cbr.ru - на сертификате неквал корня, корень в хранилище mroot добавлен..


Хотя бы понять, что дальше пути нет - уже победа, но непонятно что причина..


proxy_pass https://portal.fincert.cbr.ru;
#proxy_pass https://testgost2012.cryptopro.ru; - ок
proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Offline Александр Лавник  
#243 Оставлено : 23 июля 2020 г. 17:13:00(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: lab2 Перейти к цитате
подскажите, пожалуйста.

смотрим через тлс прокси (cpro+cpopenssl+nginx) на ресурс https://testgost2012.cryptopro.ru/ - все ОК

Пытаемся аналогично смотреть на https://portal.fincert.cbr.ru - неудача, при этом этот же ресурс доступен с вин-машины ie11+криптопро csp

Как подступиться к поиску почему не работает, посоветуйте?

==
openssl s_connect - соединяется, но с "Verify return code: 21 (unable to verify the first certificate)"

если через прокси SSL_do_handshake() failed (SSL: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:SSL alert number 40) while SSL handshaking to upstream

ресурс https://portal.fincert.cbr.ru - на сертификате неквал корня, корень в хранилище mroot добавлен..


Хотя бы понять, что дальше пути нет - уже победа, но непонятно что причина..


proxy_pass https://portal.fincert.cbr.ru;
#proxy_pass https://testgost2012.cryptopro.ru; - ок
proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Здравствуйте.

Возможно, Вам поможет информация из этой темы.

Поиск нужного корневого сертификата приводит к этому архиву.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
lab2 оставлено 23.07.2020(UTC)
Offline lab2  
#244 Оставлено : 23 июля 2020 г. 18:27:32(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 42
Российская Федерация

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 2 раз в 1 постах
Ок, спасибо, в пачке сертов из архива корень, сос, и куча сертификатов сервера
Корень, как я писал, установлен в хранилище мрут. Сос не устпнавливал, т. к. не проверяется по умолчанию.
Проверю еще раз.
Там чудной корень с точками сдп и аиа
Спасибо за отклик
Offline pd  
#245 Оставлено : 23 июля 2020 г. 22:59:22(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: lab2 Перейти к цитате
Ок, спасибо, в пачке сертов из архива корень, сос, и куча сертификатов сервера
Корень, как я писал, установлен в хранилище мрут. Сос не устпнавливал, т. к. не проверяется по умолчанию.
Проверю еще раз.
Там чудной корень с точками сдп и аиа
Спасибо за отклик

Проблема не в этом, посмотрите в гугле "SSL alert number 40".

Похоже надо в некоторых случаях (в вашем случае) необходимо использовать proxy_ssl_name и proxy_ssl_server_name.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
lab2 оставлено 24.07.2020(UTC)
Offline lab2  
#246 Оставлено : 24 июля 2020 г. 19:10:29(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 42
Российская Федерация

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 2 раз в 1 постах
Да, proxy_ssl_name и proxy_ssl_servername решили проблему!
Спасибо!!!
Offline lab2  
#247 Оставлено : 28 июля 2020 г. 18:55:47(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 42
Российская Федерация

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 2 раз в 1 постах
Столкнулись с проблемой,

для гост-криптографии не работает директива proxy_ssl_verify on
т.е. для

location / {

proxy_pass https://testgost2012.cryptopro.ru;
proxy_ssl_trusted_certificate cpt_bundle.crt;
proxy_ssl_verify on;

#proxy_redirect off;
#proxy_ssl_name "testgost2012.cryptopro.ru";
#proxy_ssl_server_name on;
#proxy_ssl_session_reuse off;

}
ошибка
upstream SSL certificate verify error: (7:certificate signature failure) while SSL handshaking to upstream, client: 192.168.2.30, server: localhost, request: "GET / HTTP/1.1", upstream: "https://193.37.157.45:443/", host: "192.168.2.49"

==
Может все используют для гост proxy_ssl_verify off ?
(кстати, а .. какие проверки входят в "verify"?)

Тот же конфиг для rsa работает, например, для https://nginx.org со соответствующим proxy_ssl_trusted_certificate
Очень прошу кого нибудь промоделировать и подтвердить/опровергнуть хотя бы
Спасибо!!

Offline lab2  
#248 Оставлено : 29 июля 2020 г. 22:36:23(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 42
Российская Федерация

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 2 раз в 1 постах
Друзья, понимаю, что большинство решений - когда обе стороны принадлежат нам самим, тогда можно выставить и Proxy_ssl_verify off
Но если подключаемся к чужому серверу, это же важно
Разве нет? Выскажитесь, что думаете по этому поводу..
Offline pd  
#249 Оставлено : 30 июля 2020 г. 2:45:59(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: lab2 Перейти к цитате
Друзья, понимаю, что большинство решений - когда обе стороны принадлежат нам самим, тогда можно выставить и Proxy_ssl_verify off
Но если подключаемся к чужому серверу, это же важно
Разве нет? Выскажитесь, что думаете по этому поводу..

Конечно важно, поэтому можно:
1) проверять сертификат в самом приложении, от nginx получая переменную с сертификатом сервера (в крайнем случае, зашить сертификат явно, благо не должен часто обновляться)
2) можно разобраться почему не работает nginx, нам будет интересно, пока наших ошибок в логе не видим
3) можно использовать stunnel-msspi для проксирования, в нём мы знаем как работает verify досконально
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
lab2 оставлено 30.07.2020(UTC)
Offline lab2  
#250 Оставлено : 30 июля 2020 г. 9:32:32(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 42
Российская Федерация

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 2 раз в 1 постах
Ок, спасибо! Смотрим сейчас в сторону п.1

Автор: pd Перейти к цитате

2) можно разобраться почему не работает nginx, нам будет интересно, пока наших ошибок в логе не видим


Про наши ошибки,смотрите, как я вижу дело точно в гост. Как я писал, тот же конфиг, но проксирующий ресурс на rsa сертификате работает с proxy_ssl_verify on
Поэтому и вопрос в эту ветку
Что скажете?

==

Pd, можно попросить вас проверить, что ошибка и у вас повторяется с

location / {

proxy_pass https://testgost2012.cryptopro.ru;
proxy_ssl_trusted_certificate cpt_bundle.crt;
proxy_ssl_verify on;
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
39 Страницы«<2324252627>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.