Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

39 Страницы«<2728293031>»
Опции
К последнему сообщению К первому непрочитанному
Offline Ефремов Степан  
#281 Оставлено : 17 сентября 2020 г. 0:10:10(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 49
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 17 раз в 16 постах
Как я понимаю GOST вообще не работает?
А RSA пробовали?
Можно как-то так: /opt/cprocsp/bin/amd64/csptest -tlsc -server localhost -port 443 -v -nocheck

Может:
В конфиге nginx ключ и сертификат друг другу не соответствуют?
В хранилище несколько контейнеров с одинаковым именем?

Ошибиться можно было много где. Рекомендую аккуратно все повторить, если гипотезы не подтвердились)

Отредактировано пользователем 17 сентября 2020 г. 0:20:02(UTC)  | Причина: ADD "-port 443" !!!

Техническая поддержка здесь.
База знаний здесь.
Offline Белая Рысь  
#282 Оставлено : 17 сентября 2020 г. 2:26:09(UTC)
Белая Рысь

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2020(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: Ефремов Степан Перейти к цитате
Как я понимаю GOST вообще не работает?
А RSA пробовали?
Можно как-то так: /opt/cprocsp/bin/amd64/csptest -tlsc -server localhost -port 443 -v -nocheck

Может:
В конфиге nginx ключ и сертификат друг другу не соответствуют?
В хранилище несколько контейнеров с одинаковым именем?

Ошибиться можно было много где. Рекомендую аккуратно все повторить, если гипотезы не подтвердились)


Да, судя по всему, с гостом привет:

[root@n1 ~]# /opt/cprocsp/bin/amd64/csptest -tlsc -server localhost -port 8444 -v -nocheck
11 algorithms supported:
Aglid Class OID
[00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89)
[01] 0x6631 0x6000 1.2.643.7.1.1.5.2 (ГОСТ Р 34.12-2015 Кузнечик)
[02] 0x6630 0x6000 1.2.643.7.1.1.5.1 (ГОСТ Р 34.12-2015 Магма)
[03] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[04] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
[05] 0x801f 0x8000
[06] 0x803d 0x8000
[07] 0x803c 0x8000
[08] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[09] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012)
[10] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012)
Cipher strengths: 256..256
Supported protocols: 0xa80:
Transport Layer Security 1.0 client side
Transport Layer Security 1.1 client side
Transport Layer Security 1.2 client side
dwProtocolMask: 0x800e2aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 154
SessionId: (empty)
Cipher Suites: (c1 00) (c1 01) (c1 02) (ff 85) (00 81) (c0 30) (c0 2f) (c0 28) (c0 27) (c0 14) (c0 13) (00 9d) (00 9c) (00 3d) (00 3c) (00 35) (00 2f) (00 0a)
159 bytes of handshake data sent
1344 bytes of handshake data received
275 bytes of handshake data sent
7 bytes of handshake data received
**** Error 0xffffffff80090326 returned by InitializeSecurityContext (2)
/dailybuildsbranches/CSP_5_0r2i/CSPbuild/CSP/samples/csptest/WebClient.c:754:Error performing handshake.
Error 0x80090326: The message received was unexpected or badly formatted.
Total: SYS: 0.020 sec USR: 0.050 sec UTC: 0.110 sec
[ErrorCode: 0x80090326]

Повторял аккуратно и пошагово.
Касательно конфига NGINX - вот тут хотелось бы поподробнее. Я в конфиге видел только указание сертификата:

ssl_certificate_key engine:gostengy:<cert_hash>;

Ключ, я так понимаю, CryptoPro выковыривает сам, его в NGINX указывать не нужно.
RSA у нас в проекте не используется, поэтому я его не тестировал.
Сейчас попробую сделать что-нибудь плохое. Вдруг поможет.
Offline Белая Рысь  
#283 Оставлено : 17 сентября 2020 г. 4:13:09(UTC)
Белая Рысь

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2020(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Загадка дня.
Поднял прокси, завернул на него скрипт install-cert.sh - и всё завелось.
Но. У нас не подразумевается использование тестовых сертификатов от CA КриптоПро.
Теперь у меня есть два идентичных сервера. На одном сертификат от install-cert - и всё работает. А на другом - сертификат от того же CA, но полученный вручную - и ничего не работает. :-D Что пошло не так - загадка для археологов.

Уважаемые господа, подскажите, пожалуйста, что я сделал не так в сообщении #275.

Upd: был неправ, простите, был испуган.
Скрипт прикручивает RSA. Так вот. RSA работает. Соответственно, браузеры, которые не понимают гостовое шифрование, нормально работают. А те, которые понимают... Ну, в общем.

This site can’t provide a secure connection
192.168.51.100 sent an invalid response.
Try running Windows Network Diagnostics.
ERR_SSL_PROTOCOL_ERROR

Видимо, NGINX таки собрался криво. Пойду разбираться...

Отредактировано пользователем 17 сентября 2020 г. 6:19:45(UTC)  | Причина: Уточнение теста

Offline Белая Рысь  
#284 Оставлено : 17 сентября 2020 г. 13:29:27(UTC)
Белая Рысь

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2020(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
И чёрный ящик в студию. ГОСТовое шифрование перестаёт работать после того, как в nginx.conf строку user root; меняем на user nginx;
Offline Ефремов Степан  
#285 Оставлено : 17 сентября 2020 г. 13:34:40(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 49
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 17 раз в 16 постах
В инструкции указано, как проверить, что собрано и установлено все верно, посмотрите в шапке.

В конфиге указать нужно два поля: сертификат (ssl_certificate) и ключ (ssl_certificate_key). Наверно, вы воспроизводите с небольшим отличием от install-certs.sh
Техническая поддержка здесь.
База знаний здесь.
thanks 1 пользователь поблагодарил Ефремов Степан за этот пост.
Белая Рысь оставлено 20.09.2020(UTC)
Offline Ефремов Степан  
#286 Оставлено : 17 сентября 2020 г. 13:38:01(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 49
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 17 раз в 16 постах
Автор: Белая Рысь Перейти к цитате
И чёрный ящик в студию. ГОСТовое шифрование перестаёт работать после того, как в nginx.conf строку user root; меняем на user nginx;


Да, работать будет только с root)

Хотите от пользователя: мастер процесс и воркер должны быть запущены от одного пользователя (владельца ключей) для гост.

Так же есть вариант с прокси от внешнего на внутренний nginx

Отредактировано пользователем 17 сентября 2020 г. 13:42:32(UTC)  | Причина: Не указана

Техническая поддержка здесь.
База знаний здесь.
thanks 1 пользователь поблагодарил Ефремов Степан за этот пост.
Белая Рысь оставлено 20.09.2020(UTC)
Offline Белая Рысь  
#287 Оставлено : 17 сентября 2020 г. 15:12:36(UTC)
Белая Рысь

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2020(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: Ефремов Степан Перейти к цитате
В инструкции указано, как проверить, что собрано и установлено все верно, посмотрите в шапке.

В конфиге указать нужно два поля: сертификат (ssl_certificate) и ключ (ssl_certificate_key). Наверно, вы воспроизводите с небольшим отличием от install-certs.sh


Спасибо, добрый человек. Совсем глаз замылился. Посыпаю голову пеплом, ухожу в женский монастырь.
Но таки работает только под рутом, как Вы и написали. Увы.
Offline lab2  
#288 Оставлено : 21 сентября 2020 г. 18:11:55(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 42
Российская Федерация

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 2 раз в 1 постах
чистая установка вот сейчас последними скриптами (centos7+csp5.0) - все прекрасно работает, однако стоит потребовать клиентcкий сертификат и предъявить его браузером или csptestf -tlsc -cert на самом сервере - сервер возвращает ошибку 400 , а в error.log - client ssl certificate verify error: (7 certificate signature failure) while reading client request headers


csptestf.txt (5kb) загружен 5 раз(а).

Нет "старой" работающей установки под рукой, посмотрю позже, но.. в чем может быть дело, как узнать?

Offline pd  
#289 Оставлено : 21 сентября 2020 г. 18:30:01(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: lab2 Перейти к цитате
чистая установка вот сейчас последними скриптами (centos7+csp5.0) - все прекрасно работает, однако стоит потребовать клиентcкий сертификат и предъявить его браузером или csptestf -tlsc -cert на самом сервере - сервер возвращает ошибку 400 , а в error.log - client ssl certificate verify error: (7 certificate signature failure) while reading client request headers


csptestf.txt (5kb) загружен 5 раз(а).

Нет "старой" работающей установки под рукой, посмотрю позже, но.. в чем может быть дело, как узнать?


Режим двустороннего TLS в nginx работает, но если хотите проверять клиентские сертификаты средствами nginx + openssl, то это самостоятельное упражнение.

Единственный вариант, как мы видим, использования клиентского сертификата, который логически может работать, это "ssl_verify_client optional_no_ca", тогда вышестоящее приложение берёт на себя ответственность за проверку этого сертификата.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
lab2 оставлено 21.09.2020(UTC)
Offline lab2  
#290 Оставлено : 21 сентября 2020 г. 20:27:11(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 42
Российская Федерация

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 2 раз в 1 постах
Ок, спасибо за оперативный ответ, это было важно услышать.Плохо, конечно, но выбора, пока нет.
Однако, раньше таже конфигурация работала, я поэтому доложил в тему)
Попробую, отпишусь
Спасибо!
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
39 Страницы«<2728293031>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.