Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline vabik  
#1 Оставлено : 11 августа 2020 г. 12:55:19(UTC)
vabik

Статус: Участник

Группы: Участники
Зарегистрирован: 06.08.2020(UTC)
Сообщений: 14
Российская Федерация

2020/08/11 13:17:31 [emerg] 7188#0: SSL_CTX_use certificate("/etc/nginx/ssl/xxx-xxxxxx01.cer") 
failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm
error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported 
algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)
nginx: configuration file /etc/nginx/nginx.conf test failed

Ошибка - сертификат (созданный по алгоритму ГОСТ Р 34.11-2012/34.10-2012 256 бит) не распознается (пишет, что не поддерживаемый алгоритм)
Это какой-то библиотеки не хватает, или необходимы сертификаты других алгоритмов?
Offline two_oceans  
#2 Оставлено : 11 августа 2020 г. 13:43:51(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,125
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 75 раз
Поблагодарили: 257 раз в 241 постах
В смежной теме (если я Вас с кем-то не перепутал) меня немного удивило наличие engine gost_capi с openssl 110. Насколько я знаю он поддерживает только гост-2001, а для гост-2012 нужен модуль engine gostengy.

Проблема скорее всего только в этом - сам исходный текст openssl довольно давно не имеет встроенной поддержки гост и поддержка гост добавляется именно наличием и загрузкой нужного engine. Форк openssl от КриптоПро главным образом устраняет проблемы при загрузке engine, но без самого engine поддержки гост в форке не появляется и должна быть примерно такая ошибка про неподдерживаемый алгоритм.
Offline vabik  
#3 Оставлено : 11 августа 2020 г. 14:15:25(UTC)
vabik

Статус: Участник

Группы: Участники
Зарегистрирован: 06.08.2020(UTC)
Сообщений: 14
Российская Федерация

Установленные пакеты:
yum list | grep cprocsp
cprocsp-cpopenssl-110-gost-64.x86_64 4.0.0-5
cprocsp-cpopenssl-110-gost-64-4.0.0-5.x86_64
cprocsp-cpopenssl-64.x86_64 4.0.9963-5
cprocsp-cpopenssl-base.noarch 4.0.9963-5
cprocsp-cpopenssl-devel.noarch 4.0.9963-5
cprocsp-cpopenssl-gost-64.x86_64 4.0.9963-5
lsb-cprocsp-base.noarch 4.0.9963-5
lsb-cprocsp-ca-certs.noarch 4.0.9963-5
lsb-cprocsp-capilite-64.x86_64 4.0.9963-5
lsb-cprocsp-devel.noarch 4.0.9963-5
lsb-cprocsp-kc1-64.x86_64 4.0.9963-5
lsb-cprocsp-kc2-64.x86_64 4.0.9963-5
lsb-cprocsp-pkcs11-64.x86_64 4.0.9963-5
lsb-cprocsp-rdr-64.x86_64 4.0.9963-5
lsb-cprocsp-rdr-accord-64.x86_64 4.0.9963-5
lsb-cprocsp-rdr-ancud-64.x86_64 4.0.9963-5
lsb-cprocsp-rdr-crypton-64.x86_64 4.0.9963-5
lsb-cprocsp-rdr-maxim-64.x86_64 4.0.9963-5
lsb-cprocsp-rdr-sobol-64.x86_64 4.0.9963-5

Что надо до установить?
Offline two_oceans  
#4 Оставлено : 12 августа 2020 г. 5:06:17(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,125
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 75 раз
Поблагодарили: 257 раз в 241 постах
Точного названия пакета, к сожалению, не смогу подсказать - работаю под Windows. Более подробно есть в соседней теме
https://www.cryptopro.ru...ts&m=55563#post55563
В случае если библиотека уже есть (а вдруг в пакете обе и gost_capi и gostengy) можно подправить настройки openssl согласно этой теме либо там же ссылка на свежие пакеты. Вообще как я понял новые версии библиотеки gostengy идут с пакетами cprocsp-cpopenssl имеющими в названии 5.0.xxxxx, а не 4.0.9963.
Offline vabik  
#5 Оставлено : 12 августа 2020 г. 6:50:50(UTC)
vabik

Статус: Участник

Группы: Участники
Зарегистрирован: 06.08.2020(UTC)
Сообщений: 14
Российская Федерация

Установили версию 5.
amd64]$ ./openssl engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 185515 $)

amd64]$ /usr/sbin/nginx -V
nginx version: nginx/1.16.1
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC)
built with OpenSSL 1.0.2k-fips 26 Jan 2017
TLS SNI support enabled


Старт nginx:
2020/08/12 08:45:03 [emerg] 11915#0: SSL_CTX_use
_certificate("/etc/nginx/ssl/xxxxx.pem")
failed (SSL: error:0609E09C:digital envelope
routines:PKEY_SET_TYPE:unsupported algorithm
error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported
algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)
nginx: configuration file /etc/nginx/nginx.conf test failed
Offline vabik  
#6 Оставлено : 12 августа 2020 г. 11:41:06(UTC)
vabik

Статус: Участник

Группы: Участники
Зарегистрирован: 06.08.2020(UTC)
Сообщений: 14
Российская Федерация

Установили версию openssl-1.1.1a,
при проверки openssl version
OpenSSL 1.0.2k-fips 26 Jan 2017
Подскажите пожлст., какие настройки необходимо произвести для обновления версии 1.1.1?

Ошибка при старте Nginx: routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509
certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib

Из конфигурации:
ssl_certificate /etc/nginx/ssl/Name.pem;
ssl_certificate_key engine:gostengy:Name;

..........
Приняли решение переустановить все пакеты на чистую ОС.

Отредактировано пользователем 14 августа 2020 г. 11:29:09(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.