Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

17 Страницы«<14151617>
Опции
К последнему сообщению К первому непрочитанному
Offline a1eksrulez  
#301 Оставлено : 29 октября 2020 г. 14:42:49(UTC)
a1eksrulez

Статус: Участник

Группы: Участники
Зарегистрирован: 28.10.2020(UTC)
Сообщений: 10

Автор: pd Перейти к цитате
Автор: a1eksrulez Перейти к цитате
Автор: pd Перейти к цитате
Автор: a1eksrulez Перейти к цитате
Автор: pd Перейти к цитате
Автор: a1eksrulez Перейти к цитате
https://krona-alfabank.srg-test.ru/ можете постучаться на него

У вас "CN = *.alfabank.srg-test.ru", а вы используете имя сервера "krona-alfabank.srg-test.ru".

Это ошибка, домен третьего уровня не совпадает: alfabank != krona-alfabank

Корректным вариантом мог бы быть например krona.alfabank.srg-test.ru


Поменял но не помогло.

Вы используете CN = *.srg-test.ru для домена чётвертого уровня krona.alfabank.srg-test.ru -- это ошибка, так как звёздочка распространяется только на 1 уровень поддоменов.

То есть, проверка должна выполнятся для всех доменов третьего уровня (*.srg-test.ru) и для домена второго уровня (srg-test.ru), но ни для одного домена четвёртого уровня.


Я пересоздал серт и сделал CN=.*srg-test.ru


Открываю https://krona-alfabank.srg-test.ru/ и все равно ругается


Нет, более не ругается (возможно, что-то у вас в кэше осталось):

UserPostedImage





Snimok ehkrana ot 2020-10-29 14-39-47.png (110kb) загружен 7 раз(а).


Не понимаю, почему он ругается,кэш чистил, попробовал с другой машины и браузера зайти, тоже самое.

Offline pd  
#302 Оставлено : 29 октября 2020 г. 15:49:19(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,061
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 171 раз в 149 постах
Автор: a1eksrulez Перейти к цитате
Не понимаю, почему он ругается,кэш чистил, попробовал с другой машины и браузера зайти, тоже самое.

Ругаться он может не только на проверку имени сайта в сертификате.

Например, тестовый УЦ у вас не в доверенных рутах, тогда будет ошибка NET::ERR_CERT_AUTHORITY_INVALID.

Знания в базе знаний, поддержка в техподдержке
Offline a1eksrulez  
#303 Оставлено : 29 октября 2020 г. 18:29:37(UTC)
a1eksrulez

Статус: Участник

Группы: Участники
Зарегистрирован: 28.10.2020(UTC)
Сообщений: 10

Автор: pd Перейти к цитате
Автор: a1eksrulez Перейти к цитате
Не понимаю, почему он ругается,кэш чистил, попробовал с другой машины и браузера зайти, тоже самое.

Ругаться он может не только на проверку имени сайта в сертификате.

Например, тестовый УЦ у вас не в доверенных рутах, тогда будет ошибка NET::ERR_CERT_AUTHORITY_INVALID.



Спасибо, заработало

Offline a1eksrulez  
#304 Оставлено : 10 ноября 2020 г. 14:25:03(UTC)
a1eksrulez

Статус: Участник

Группы: Участники
Зарегистрирован: 28.10.2020(UTC)
Сообщений: 10

Добрый день, а подскажите плз, RSA и ГОСТ должны же вместе работать на vhost, можно на vhost ходить по RSA и по ГОСТ или только что то одно?
Offline pd  
#305 Оставлено : 10 ноября 2020 г. 21:48:02(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,061
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 171 раз в 149 постах
Автор: a1eksrulez Перейти к цитате
Добрый день, а подскажите плз, RSA и ГОСТ должны же вместе работать на vhost, можно на vhost ходить по RSA и по ГОСТ или только что то одно?

Сформулируйте вашу задачу/вопрос простыми словами и приведите пример конфигурации, как вы её видите.
Знания в базе знаний, поддержка в техподдержке
Offline a1eksrulez  
#306 Оставлено : 11 ноября 2020 г. 13:52:35(UTC)
a1eksrulez

Статус: Участник

Группы: Участники
Зарегистрирован: 28.10.2020(UTC)
Сообщений: 10

Добрый день, в nginx есть настроенный конфиг для определенного домена, в нем указан ГОСТ и RSA ключи, комментим в конфиге RSA кидаем запрос с Ngate на nginx на этот домен, все ок по ГОСТУ открывается, если включить RSA обратно не работает, по ГОСТУ не открывается,вроде же должно работать и по ГОСТУ и RSA.
Offline pd  
#307 Оставлено : 11 ноября 2020 г. 14:03:03(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,061
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 171 раз в 149 постах
Автор: a1eksrulez Перейти к цитате
Добрый день, в nginx есть настроенный конфиг для определенного домена, в нем указан ГОСТ и RSA ключи, комментим в конфиге RSA кидаем запрос с Ngate на nginx на этот домен, все ок по ГОСТУ открывается, если включить RSA обратно не работает, по ГОСТУ не открывается,вроде же должно работать и по ГОСТУ и RSA.

Вы не привели конфигурации до/после для nginx и конфигурацию NGate. Как нам воспроизводить?

На словах можем только констатировать, что должно работать по ГОСТ и RSA как и заявлено.
Знания в базе знаний, поддержка в техподдержке
Offline a1eksrulez  
#308 Оставлено : 11 ноября 2020 г. 16:49:03(UTC)
a1eksrulez

Статус: Участник

Группы: Участники
Зарегистрирован: 28.10.2020(UTC)
Сообщений: 10

По нгейт запросил конфиг у коллег, скину все вместе. Вы сейчас можете сюда постучаться по ГОСТ https://krona-alfabank.srg-test.ru/ Я включил и ГОСТ и RSA, будет у вас ГОСТ работать или нет.
Offline pd  
#309 Оставлено : 11 ноября 2020 г. 17:38:02(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,061
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 171 раз в 149 постах
Автор: a1eksrulez Перейти к цитате
По нгейт запросил конфиг у коллег, скину все вместе. Вы сейчас можете сюда постучаться по ГОСТ https://krona-alfabank.srg-test.ru/ Я включил и ГОСТ и RSA, будет у вас ГОСТ работать или нет.

Да, работает и то и другое.
Знания в базе знаний, поддержка в техподдержке
Offline a1eksrulez  
#310 Оставлено : 11 ноября 2020 г. 18:16:46(UTC)
a1eksrulez

Статус: Участник

Группы: Участники
Зарегистрирован: 28.10.2020(UTC)
Сообщений: 10

Автор: pd Перейти к цитате
Автор: a1eksrulez Перейти к цитате
По нгейт запросил конфиг у коллег, скину все вместе. Вы сейчас можете сюда постучаться по ГОСТ https://krona-alfabank.srg-test.ru/ Я включил и ГОСТ и RSA, будет у вас ГОСТ работать или нет.

Да, работает и то и другое.


Ок,спс
Offline alex_nur  
#311 Оставлено : 19 ноября 2020 г. 14:52:04(UTC)
alex_nur

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.11.2020(UTC)
Сообщений: 7

Сказал(а) «Спасибо»: 1 раз
Добрый день.
Мой удостоверяющий центр выдал мне ГОСТ сертификат для веб-сервера.
Присутствуют файлы mycert.p7b с полной цепочкой сертификатов (УЦ) включая мой сертификат и 6 файлов:
header.key
masks.key
masks2.key
name.key
primary.key
primary2.key

Есть требования использовать ГОСТ-шифрование на веб-сайте, однако ни УЦ, ни "требователи" не знают как установить такой сертификат на веб-сервер.
ОС: AstraLinux 2.12, nginx. Сертификат ГОСТ-2012.

Пробовал по примеру из этой инструкции (в шапке).

Установил nginx из шапки этой темы по инструкции (до сих пор версия openssl указана как 1.1.0, хотя устанавливается 1.1.1g - в самой ветке были упоминания, что подправят описание, но до сих пор не исправлено).

Далее пробовал получить сертификат из тестового УЦ КриптоПро.
Не получилось подружить утилиту cryptcp с прокси-сервером, поэтому сохранял запрос в файл:
/opt/cprocsp/bin/amd64/cryptcp -creatrqst 222.req -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn 'CN=srvtest' -cont '\\.\HDIMAGE\srvtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrv

2 раза задал пароль.
Далее отправил готовый запрос PKCS#10 или PKCS#7 в кодировке Base64 в тестовый УЦ: https://www.cryptopro.ru/certsrv/certrqxt.asp вставил содержимое файла 222.req.
Получил 2 файла (выбрал кодировку base-64): certnew.cer и certnew.p7b

Устанавливаю сертификат из файла /root/cpro/certnew.cer в личное хранилище текущего пользователя с привязкой к закрытому ключу.
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -file /root/cpro/certnew.cer -cont '\\.\HDIMAGE\srvtest' -pin 123

Программа для работы с сертификатами, CRL и хранилищами.
Идёт установка:
=============================================================================
1-------
Издатель : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Субъект : CN=srvtest
Серийный номер : 0x12004C2BBEDAC7432192111BA40001004C2BBE
Хэш SHA1 : 41c6d545d99e7580e3e5d4cd6cacc22e2e9c5c10
Идентификатор ключа : cfa63c1a5a16115fa6e918a469c2c7efea0e1d01
Алгоритм подписи : ГОСТ Р 34.11/34.10-2001
Алгоритм откр. кл. : ГОСТ Р 34.10-2012 (1024 бит)
Выдан : 19/11/2020 09:11:50 UTC
Истекает : 19/02/2021 09:21:50 UTC
Ссылка на ключ : Нет
URL сертификата УЦ : http://testca.cryptopro....Test%20Center%202(1).crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
URL списка отзыва : http://testca.cryptopro....Test%20Center%202(1).crl
Назначение/EKU : 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
=============================================================================

[ErrorCode: 0x00000000]

Далее по инструкции необходимо сменить KC1 на KC2 в имени провайдера, так как nginx работает с провайдером KC2:
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\\.\HDIMAGE\srvtest' -provtype 81 -provname "Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP"
Ошибка:
Certmgr 1.1 (c) "КРИПТО-ПРО", 2007-2020.
Программа для работы с сертификатами, CRL и хранилищами.
Ошибка GetKeyParam

Неверная функция.

[ErrorCode: 0x20000001]

Что делаю не так?
Offline pd  
#312 Оставлено : 19 ноября 2020 г. 15:28:11(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,061
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 171 раз в 149 постах
Автор: alex_nur Перейти к цитате
Что делаю не так?

Вы инструкцию в начале данной темы пробовали по шагам пройти от начала до конца на чистой системе?

Знания в базе знаний, поддержка в техподдержке
Offline alex_nur  
#313 Оставлено : 19 ноября 2020 г. 15:31:11(UTC)
alex_nur

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.11.2020(UTC)
Сообщений: 7

Сказал(а) «Спасибо»: 1 раз
Да, от начала. Установил крипто про, запустил скрипт по установке nginx.
Nginx собрался и работает.

Доступ в интернет - через прокси сервер. Утилита, которая готовит запрос, не умеет работать через прокси. Поэтому я создал запрос в файл, и получил сертификат, добавил его. Судя по всему все верно.
При подмене KC - ошибка.
Offline alex_nur  
#314 Оставлено : 20 ноября 2020 г. 11:43:58(UTC)
alex_nur

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.11.2020(UTC)
Сообщений: 7

Сказал(а) «Спасибо»: 1 раз
В шапке темы указана версия Криптопро 4.0. И путь к архиву linux-amd64_deb.tgz. Ссылки на linux-amd64_deb.tgz нет.
На https://github.com/fullincome/nginx-gost сказано, что при установленном Криптопро указывать ключ --csp при запуске скрипта нет необходимости.
Подключил репозиторий Криптопро для Debian. Установил КриптоПро 5 (ПЯТЬ).
следующие пакеты:
cprocsp-compat-debian
cprocsp-cpopenssl-110-64
cprocsp-cpopenssl-110-base
cprocsp-cpopenssl-110-devel
cprocsp-cpopenssl-110-gost-64
cprocsp-curl-64
lsb-cprocsp-base
lsb-cprocsp-capilite-64
lsb-cprocsp-kc1-64
lsb-cprocsp-kc2-64
lsb-cprocsp-rdr-64

После запуска скрипта install-certs.sh скачались все зависимости и собрался nginx.
Однако, команда
# /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine
выдает только
(dynamic) Dynamic engine loading support
ГОСТа нет.

# nginx -V
nginx version: nginx/1.16.1
built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
built with OpenSSL 1.1.1g 21 Apr 2020 (running with OpenSSL 1.1.1d 10 Sep 2019)
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --user=root --group=nginx --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fPIC' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now -Wl,--as-needed -pie'

Нужный Openssl установлен:
root@srvuapp03:~/cpro# ./install-nginx.sh --command_list
CSP: found
GCC: found
GIT: found
Openssl-1.1.0: found
PCRE: found
ZLIB: found
Nginx: found

root@srvuapp03:/opt/cprocsp/cp-openssl-1.1.0/bin/amd64# ./openssl
OpenSSL> version
OpenSSL 1.1.1g 21 Apr 2020 (Library: OpenSSL 1.1.1d 10 Sep 2019)


root@srvuapp03:/bin# /usr/bin/openssl
OpenSSL> version
OpenSSL 1.1.1d 10 Sep 2019

Где взять архив linux-amd64_deb.tgz с 4 версией?

Update: Снес apt-get remove cprocsp-cpopenssl-110-64
Запустил скрипт:
root@srvuapp03:~/cpro# ./install-nginx.sh --command_list
CSP: found
GCC: found
GIT: found
Openssl-1.1.0: not found (will be installed)
PCRE: found
ZLIB: found
Nginx: not found (will be installed)

Не видит нужного openssl. Но может доустановить.
Запускаю.

root@srvuapp03:~/cpro# ./install-nginx.sh
CSP: found
GCC: found
GIT: found
Openssl-1.1.0: not found (will be installed)
PCRE: found
ZLIB: found
Nginx: not found (will be installed)
Install Openssl-1.1.0
(Чтение базы данных … на данный момент установлен 149091 файл и каталог.)
Подготовка к распаковке cprocsp-cpopenssl-110-base_5.0.11803-6_all.deb …
Распаковывается cprocsp-cpopenssl-110-base (5.0.11803-6) на замену (5.0.11803-6) …
Настраивается пакет cprocsp-cpopenssl-110-base (5.0.11803-6) …
Выбор ранее не выбранного пакета cprocsp-cpopenssl-110-64.
(Чтение базы данных … на данный момент установлен 149091 файл и каталог.)
Подготовка к распаковке cprocsp-cpopenssl-110-64_5.0.11803-6_amd64.deb …
Распаковывается cprocsp-cpopenssl-110-64 (5.0.11803-6) …
Настраивается пакет cprocsp-cpopenssl-110-64 (5.0.11803-6) …
(Чтение базы данных … на данный момент установлено 149108 файлов и каталогов.)
Подготовка к распаковке cprocsp-cpopenssl-110-devel_5.0.11803-6_all.deb …
Распаковывается cprocsp-cpopenssl-110-devel (5.0.11803-6) на замену (5.0.11803-6) …
Настраивается пакет cprocsp-cpopenssl-110-devel (5.0.11803-6) …
Выбор ранее не выбранного пакета cprocsp-cpopenssl-110-gost-64.
(Чтение базы данных … на данный момент установлено 149108 файлов и каталогов.)
Подготовка к распаковке cprocsp-cpopenssl-110-gost-64_5.0.11803-6_amd64.deb …
Распаковывается cprocsp-cpopenssl-110-gost-64 (5.0.11803-6) …
Настраивается пакет cprocsp-cpopenssl-110-gost-64 (5.0.11803-6) …
Apply patch
Nginx: configure and install
checking for OS
+ Linux 4.15.3-2-generic x86_64
checking for C compiler ... found
+ using GNU C compiler
+ gcc version: 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
checking for gcc -pipe switch ... found
...

итог: root@srvuapp03:/opt/cprocsp/cp-openssl-1.1.0/bin/amd64# ./openssl
OpenSSL> version
OpenSSL 1.1.1g 21 Apr 2020
OpenSSL> engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 211453 $)

Версии пакетов криптопро в итоге не изменились. Почему потребовалось удалить 1.1.0 и позволить установить ее скрипту (который ее и до этого устанавливал в /opt/cprocsp/cp-openssl-1.1.0) чтобы увидеть gostengy - не знаю.

Изменился и вывод nginx:
root@srvuapp03:/opt/cprocsp/cp-openssl-1.1.0# nginx -V
nginx version: nginx/1.16.1
built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
built with OpenSSL 1.1.1g 21 Apr 2020
TLS SNI support enabled

Все равно ошибка:
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\\.\HDIMAGE\srvtest' -provtype 81 -provname "Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP"
Ошибка:
Certmgr 1.1 (c) "КРИПТО-ПРО", 2007-2020.
Программа для работы с сертификатами, CRL и хранилищами.
Ошибка GetKeyParam
Неверная функция.
[ErrorCode: 0x20000001]

Может это быть связано с тем, что сохраняю запрос в файл (кодировка base64),

/opt/cprocsp/bin/amd64/cryptcp -creatrqst /root/222.req -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn 'CN=srvtest' -cont '\\.\HDIMAGE\srvtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrv

отправляю в тестовый УЦ Криптопро https://www.cryptopro.ru/certsrv/certrqxt.asp , не указывая атрибутов. Получаю 2 файла в кодировке base64: certnew.cer, certnew.p7b. В первом сам сертификат, во втором файла сам сертификат и сертификат УЦ.
Затем устанавливаю сертификат УЦ в доверенные корневые ЦС:
/opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file certnew.p7b
и сам сертификат:
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -file /root/cpro/certnew.cer -cont '\\.\HDIMAGE\srvtest'

Пробовал игнорировать ошибку GetKeyParam и далее по инструкции выгрузил сертификат и настроил nginx.
В итоге при запуске nginx выдает ошибку:
ноя 20 15:01:48 srvuapp03 nginx[60379]: 15:01:48.264366 support_an_fopen:90 p:60379 t:0x0x76f4cebf8970 support_an_fopen("/var/opt/cprocsp/users/root/policies.ini", "rb") = 0x(nil) fail No such file or directory(2)
ноя 20 15:01:48 srvuapp03 nginx[60379]: 15:01:48.265213 support_an_fopen:90 p:60379 t:0x0x76f4cebf8970 support_an_fopen("/var/opt/cprocsp/users/root/policies.ini", "rb") = 0x(nil) fail No such file or directory(2)
ноя 20 15:01:48 srvuapp03 nginx[60379]: <cpcsp>CompleteUserKey!kcar_get_material_with_public fail
ноя 20 15:01:48 srvuapp03 nginx[60379]: <capi10>CryptExportKey!failed: LastError = 0x8009000B
ноя 20 15:01:48 srvuapp03 nginx[60379]: Type password:nginx: [emerg] cannot load certificate key "engine:gostengy:srvtest": ENGINE_load_private_key() failed (SSL: error:80016033:lib(128):gng_support_getuserkey:GNG_ERR_PIN error:26096080:
ноя 20 15:01:48 srvuapp03 nginx[60379]: nginx: configuration file /etc/nginx/nginx.conf test failed
ноя 20 15:01:48 srvuapp03 nginx[60379]: Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP requests password
ноя 20 15:01:48 srvuapp03 systemd[1]: nginx.service: Control process exited, code=exited status=1
ноя 20 15:01:48 srvuapp03 systemd[1]: Failed to start A high performance web server and a reverse proxy server.

Файл /var/opt/cprocsp/users/root/policies.ini отсутствует. Что должно быть в нем?

Отредактировано пользователем 20 ноября 2020 г. 13:12:08(UTC)  | Причина: Не указана

Offline pd  
#315 Оставлено : 20 ноября 2020 г. 13:38:30(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,061
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 171 раз в 149 постах
Автор: alex_nur Перейти к цитате
ноя 20 15:01:48 srvuapp03 nginx[60379]: Type password:nginx: [emerg] cannot load certificate key "engine:gostengy:srvtest": ENGINE_load_private_key() failed (SSL: error:80016033:lib(128):gng_support_getuserkey:GNG_ERR_PIN error:26096080:
ноя 20 15:01:48 srvuapp03 nginx[60379]: nginx: configuration file /etc/nginx/nginx.conf test failed
ноя 20 15:01:48 srvuapp03 nginx[60379]: Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP requests password

Ошибка здесь, вроде уточнялось везде, что ПИН-код на контейнер должен быть пустым или закэшированным.

Работа ведётся в режиме сервиса, взаимодействие с пользователем исключается.
Знания в базе знаний, поддержка в техподдержке
Offline alex_nur  
#316 Оставлено : 20 ноября 2020 г. 14:09:09(UTC)
alex_nur

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.11.2020(UTC)
Сообщений: 7

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
Автор: alex_nur Перейти к цитате
ноя 20 15:01:48 srvuapp03 nginx[60379]: Type password:nginx: [emerg] cannot load certificate key "engine:gostengy:srvtest": ENGINE_load_private_key() failed (SSL: error:80016033:lib(128):gng_support_getuserkey:GNG_ERR_PIN error:26096080:
ноя 20 15:01:48 srvuapp03 nginx[60379]: nginx: configuration file /etc/nginx/nginx.conf test failed
ноя 20 15:01:48 srvuapp03 nginx[60379]: Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP requests password

Ошибка здесь, вроде уточнялось везде, что ПИН-код на контейнер должен быть пустым или закэшированным.

Работа ведётся в режиме сервиса, взаимодействие с пользователем исключается.


Я пробую запустить nginx без использования systemd:
root@srvuapp03:/etc/nginx/sites-available# /usr/sbin/nginx
nginx: [warn] the "ssl" directive is deprecated, use the "listen ... ssl" directive instead in /etc/nginx/sites-enabled/apiportal.srvuapp03.домен:21
nginx: [warn] the "ssl" directive is deprecated, use the "listen ... ssl" directive instead in /etc/nginx/sites-enabled/default:48
nginx: [warn] the "ssl" directive is deprecated, use the "listen ... ssl" directive instead in /etc/nginx/sites-enabled/portal.srvuapp03.домен:16
Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP requests password
Type password:

Ввожу пин на контейнер и nginx запускается.
Сайт default открывается, равно как и виртуальный хост portal.srvuapp03.домен. Сертификаты для них указаны только RSA. Потому они и работают.
А вот для apiportal.srvuapp03.домен - сертификат ГОСТ (из примера конфигурации в шапке темы). И этот сайт - не открывается.

Вот конфиг виртуального хоста:
server {
server_name apiportal.srvuapp03.ygd.gazprom.ru;
client_max_body_size 100M;
location / {
proxy_pass http://localhost:4400;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}

ssl on;
# ssl_certificate /etc/ssl/certs/apiportal.srvuapp03.домен.crt;
# ssl_certificate_key /etc/ssl/private/apiportal.srvuapp03.домен.key;

ssl_certificate /etc/nginx/srvtest.pem;
ssl_certificate_key engine:gostengy:srvtest;
ssl_certificate /etc/nginx/srvtestRSA.pem;
ssl_certificate_key /etc/nginx/srvtestRSA.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
ssl_prefer_server_ciphers on;
listen 443;
listen [::]:443 ssl;
}

server {
if ($host = apiportal.srvuapp03.домен) {
return 301 https://$host$request_uri;
}

listen 80;
server_name apiportal.srvuapp03.домен;
return 404;
}

Если убрать ГОСТ и вернуть RSA - работают все три сайта.

PS: Это IE11 сообщает что, •Убедитесь, что веб-адрес https://apiportal.srvuapp03.домен правильный.
Firefox все же видит, что там кто-то откликается:
apiportal.srvuapp03.домен имеет политику безопасности называемую Форсированное защищённое соединение HTTP (HSTS), что означает, что Firefox может подключиться к нему только через защищённое соединение. Вы не можете добавить исключение, чтобы посетить этот сайт.
При этом дает посмотреть что-то о сертификате.

Сейчас попробую установить корневой тестовый УЦ Криптопро к себе на клиентскую машину. Возможно по этой причине IE не видит.

Не помогло. В общем ГОСТ не работает.

Отредактировано пользователем 20 ноября 2020 г. 14:22:42(UTC)  | Причина: Не указана

Offline Justz  
#317 Оставлено : 27 ноября 2020 г. 12:12:17(UTC)
Justz

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.11.2020(UTC)
Сообщений: 4
Российская Федерация

Добрый день.
Подскажите в какую сторону копать?

root@osboxes:/home/osboxes/tls# ./install-certs.sh
+ ARGV=
+ install_root=0
+ mod=
+ certname=srvtest
+ container=ngxtest
+ provtype=81
+ provnameKC1='Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP'
+ provnameKC2='Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP'
+ ca_url=http://testgost2012.cryptopro.ru/certsrv
+ /opt/cprocsp/bin/amd64/certmgr -list -store uMy
+ grep CN=srvtest
Empty certificate list
The requested certificate does not exist.

+ '[' 1 -eq 0 ']'
+ /opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMCONTAINERS
+ grep ngxtest
+ '[' 1 -eq 0 ']'
+ '[' 0 -eq 1 ']'
+ /opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn CN=srvtest -cont '\\.\HDIMAGE\ngxtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://testgost2012.cryptopro.ru/certsrv
CryptCP 5.0 (c) "Crypto-Pro", 2002-2020.
Command prompt Utility for file signature and encryption.
Creating request...
Press keys...
[..............................................................................]
skCrypto-Pro GOST R 34.10-2012 KC1 Strong CSP requests new authentication properties for container
New password:
Confirm password:
First input and confirmation are not the same.
New password:
Confirm password:
Sending request to CA...
CURL is unavailable!
Error: Error loading type library/DLL.

../../../../CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:1154: 0x80029C4A
[ErrorCode: 0x80029c4a]
+ exit 1

Скрипты на установку nginx отработали штатно. Месяц назад поднималось все согласно инструкции. Сейчас решил проделать то же самое на другой системе и выходит такое. Попробовал на другой которую настраивал ранее там такая же проблема.

PS Поправьте еще пожалуйста на первой странице инструкцию. Адрес УЦ для выполнения по шагам указан http://cryptopro.ru/certsrv а в скрипте http://testgost2012.cryptopro.ru/certsrv
Offline pd  
#318 Оставлено : 27 ноября 2020 г. 12:14:12(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,061
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 171 раз в 149 постах
Автор: Justz Перейти к цитате
Сейчас решил проделать то же самое на другой системе и выходит такое. Попробовал на другой которую настраивал ранее там такая же проблема.

Вы не указали систему, вы не указали используемую версию CSP.

Знания в базе знаний, поддержка в техподдержке
Offline Justz  
#319 Оставлено : 27 ноября 2020 г. 12:24:03(UTC)
Justz

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.11.2020(UTC)
Сообщений: 4
Российская Федерация

В сообщении CSP 5.0 Ubuntu 20.04. До этого ставил на Debian 10

Отредактировано пользователем 27 ноября 2020 г. 12:40:56(UTC)  | Причина: Не указана

Offline Ефремов Степан  
#320 Оставлено : 27 ноября 2020 г. 13:01:47(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 47
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 16 раз в 15 постах
Автор: Justz Перейти к цитате
...
CURL is unavailable!
Error: Error loading type library/DLL.


Проверьте и пришлите результат:
1) валидна ли лицензия (сер. номер лицензии показывать не надо): /opt/cprocsp/sbin/amd64/cpconfig -license -view
2) установлен ли curl: dpkg-query --list | grep csp

Автор: Justz Перейти к цитате
Поправьте еще пожалуйста на первой странице инструкцию...

Спасибо, поправили.

Отредактировано пользователем 27 ноября 2020 г. 13:07:14(UTC)  | Причина: Не указана

Техническая поддержка здесь.
База знаний здесь.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
17 Страницы«<14151617>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.