Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

18 Страницы«<161718
Опции
К последнему сообщению К первому непрочитанному
Offline rrrrrr111  
#341 Оставлено : 7 февраля 2021 г. 23:28:14(UTC)
rrrrrr111

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.02.2021(UTC)
Сообщений: 2
Российская Федерация
Откуда: Москва

Цитата:


Смена KC1 на KC2 в имени провайдера, так как nginx работает с провайдером KC2:

Код:
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\\.\HDIMAGE\srvtest' -provtype 81 -provname "Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP"





получаю

GetKeyParam error
Incorrect function.
Offline rrrrrr111  
#342 Оставлено : 14 февраля 2021 г. 15:16:13(UTC)
rrrrrr111

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.02.2021(UTC)
Сообщений: 2
Российская Федерация
Откуда: Москва

Offline Marvin42  
#343 Оставлено : 16 февраля 2021 г. 16:04:25(UTC)
Marvin42

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 4

Добрый день!
Пробуем реализовать ГОСТ TLS на Linux+ngninx.
Версия ОС: Linux CentOS Linux release 8.3.2011
Версия КриптоПро CSP 5.0 R2: CSP (Type:80) v5.0.10006 KC2 Release Ver:5.0.11944 OS:Linux CPU:AMD64

Устанавливаем пакеты взятые из https://update.cryptopro.../nginx-gost/bin/211453/. в частности:
1) cprocsp-cpopenssl-110-base-5.0.11803-6.noarch.rpm
2) cprocsp-cpopenssl-110-64-5.0.11803-6.x86_64.rpm
3) cprocsp-cpopenssl-110-devel-5.0.11803-6.noarch.rpm
4) cprocsp-cpopenssl-110-gost-64-5.0.11803-6.x86_64.rpm

Первые 2 пакета устанавливаются без проблем.
При попытке установки cprocsp-cpopenssl-110-devel-5.0.11803-6.noarch.rpm возникает ошибка.

Цитата:
[root@server amd64]# sudo yum install cprocsp-cpopenssl-110-devel-5.0.11803-6.noarch.rpm
sudo: error in /etc/sudo.conf, line 19 while loading plugin "sudoers_policy"
sudo: unable to load /usr/libexec/sudo/sudoers.so: /lib64/libk5crypto.so.3: undefined symbol: EVP_KDF_ctrl, version OPENSSL_1_1_1b
sudo: fatal error, unable to load plugins


В чем может быть проблема?

Порядок действий ниже:
Offline pd  
#344 Оставлено : 16 февраля 2021 г. 16:52:26(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,121
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 186 раз в 160 постах
Автор: Marvin42 Перейти к цитате
Добрый день!
Пробуем реализовать ГОСТ TLS на Linux+ngninx.
Версия ОС: Linux CentOS Linux release 8.3.2011
Версия КриптоПро CSP 5.0 R2: CSP (Type:80) v5.0.10006 KC2 Release Ver:5.0.11944 OS:Linux CPU:AMD64

Устанавливаем пакеты взятые из https://update.cryptopro.../nginx-gost/bin/211453/. в частности:
1) cprocsp-cpopenssl-110-base-5.0.11803-6.noarch.rpm
2) cprocsp-cpopenssl-110-64-5.0.11803-6.x86_64.rpm
3) cprocsp-cpopenssl-110-devel-5.0.11803-6.noarch.rpm
4) cprocsp-cpopenssl-110-gost-64-5.0.11803-6.x86_64.rpm

Первые 2 пакета устанавливаются без проблем.
При попытке установки cprocsp-cpopenssl-110-devel-5.0.11803-6.noarch.rpm возникает ошибка.

Цитата:
[root@server amd64]# sudo yum install cprocsp-cpopenssl-110-devel-5.0.11803-6.noarch.rpm
sudo: error in /etc/sudo.conf, line 19 while loading plugin "sudoers_policy"
sudo: unable to load /usr/libexec/sudo/sudoers.so: /lib64/libk5crypto.so.3: undefined symbol: EVP_KDF_ctrl, version OPENSSL_1_1_1b
sudo: fatal error, unable to load plugins


В чем может быть проблема?

В этой теме начинать следует с проверенного сценария по автоматическим скриптам из первых сообщений.

Мы не можем гарантировать работу пакетов во всех возможных пользовательских сценариях.

Сейчас ваша ошибка выглядит, как после установки несистемного openssl ломается работа системных утилит.

Знания в базе знаний, поддержка в техподдержке
Offline Marvin42  
#345 Оставлено : 17 февраля 2021 г. 17:35:06(UTC)
Marvin42

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 4

Log ustanovki1.txt (27kb) загружен 1 раз(а).
Цитата:
В этой теме начинать следует с проверенного сценария по автоматическим скриптам из первых сообщений.
Мы не можем гарантировать работу пакетов во всех возможных пользовательских сценариях.
Сейчас ваша ошибка выглядит, как после установки несистемного openssl ломается работа системных утилит.


Сначала запустил скрипт с указанием на папку с CSP:
[root@epsbp-test2 sb32]# sudo bash ./install-nginx.sh --csp=/home/sb32/linux-amd64

Итог (Вложение: Log ustanovki1.txt):
./install-nginx.sh: line 404: ./install.sh: Permission denied

Затем запустил скрипт с указанием на архив с CSP:
[root@server user]# sudo bash ./install-nginx.sh --csp=/home/user/linux-amd64.tgz

В конце ошибка:
Цитата:
Starting cryptsrv
Install Openssl-1.1.0
rpm: symbol lookup error: /lib64/librpmio.so.8: undefined symbol: EVP_md2, version OPENSSL_1_1_0




Также при попытке установки, например, lsb-cprocsp-devel-5.0.11944-6.noarch.rpm выходит ошибка:
Цитата:
[root@server linux-amd64]# sudo yum install lsb-cprocsp-devel-5.0.11944-6.noarch.rpm
sudo: error in /etc/sudo.conf, line 19 while loading plugin "sudoers_policy"
sudo: unable to load /usr/libexec/sudo/sudoers.so: /lib64/libk5crypto.so.3: undefined symbol: EVP_KDF_ctrl, version OPENSSL_1_1_1b
sudo: fatal error, unable to load plugins



Offline pd  
#346 Оставлено : 17 февраля 2021 г. 17:52:57(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,121
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 186 раз в 160 постах
Автор: Marvin42 Перейти к цитате
Сначала запустил скрипт с указанием на папку с CSP:
[root@epsbp-test2 sb32]# sudo bash ./install-nginx.sh --csp=/home/sb32/linux-amd64

Итог (Вложение: Log ustanovki1.txt):
./install-nginx.sh: line 404: ./install.sh: Permission denied

Непонятно, вы от рута запускаете, зачем тогда sudo?

У рута есть доступ к /home/sb32/linux-amd64/install.sh?
Знания в базе знаний, поддержка в техподдержке
Offline Marvin42  
#347 Оставлено : 17 февраля 2021 г. 17:56:51(UTC)
Marvin42

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 4

Цитата:
Непонятно, вы от рута запускаете, зачем тогда sudo?

У рута есть доступ к /home/sb32/linux-amd64/install.sh?


Да доступ есть, почему ошибка доступа - не ясно.
С "sudo" запускал, просто копируя команду.

Есть какие-нибудь идеи на счет ошибки?:
Цитата:
Starting cryptsrv
Install Openssl-1.1.0
rpm: symbol lookup error: /lib64/librpmio.so.8: undefined symbol: EVP_md2, version OPENSSL_1_1_0
Offline pd  
#348 Оставлено : 17 февраля 2021 г. 18:06:35(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,121
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 186 раз в 160 постах
Автор: Marvin42 Перейти к цитате
Цитата:
Непонятно, вы от рута запускаете, зачем тогда sudo?

У рута есть доступ к /home/sb32/linux-amd64/install.sh?


Да доступ есть, почему ошибка доступа - не ясно.
С "sudo" запускал, просто копируя команду.

Есть какие-нибудь идеи на счет ошибки?:
Цитата:
Starting cryptsrv
Install Openssl-1.1.0
rpm: symbol lookup error: /lib64/librpmio.so.8: undefined symbol: EVP_md2, version OPENSSL_1_1_0

Да, уже сказано ранее:

Цитата:
Сейчас ваша ошибка выглядит, как после установки несистемного openssl ломается работа системных утилит.


У вас CSP устанавливается в систему без ошибок штатным способом?

Также вы не уточнили, что у вас за система, возможно стоит потренироваться на проверенных системах, потом вернуться к своей.



Знания в базе знаний, поддержка в техподдержке
Offline Marvin42  
#349 Оставлено : 17 февраля 2021 г. 18:16:23(UTC)
Marvin42

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 4

Цитата:
У вас CSP устанавливается в систему без ошибок штатным способом?

Сам CSP устанавливается без проблем. Ошибка только при установке несистемного openssl.

Цитата:
Также вы не уточнили, что у вас за система, возможно стоит потренироваться на проверенных системах, потом вернуться к своей.

Писал в своём первом посте:

Цитата:
Пробуем реализовать ГОСТ TLS на Linux+ngninx.
Версия ОС: Linux CentOS Linux release 8.3.2011
Версия КриптоПро CSP 5.0 R2: CSP (Type:80) v5.0.10006 KC2 Release Ver:5.0.11944 OS:Linux CPU:AMD64


Ну, если на текущей версии ОС не выйдет - будем пробовать на других.
Не подскажете - есть какой-нибудь список однозначно совместимых ОС из семейства Linux?
Offline pd  
#350 Оставлено : 17 февраля 2021 г. 18:40:54(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,121
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 186 раз в 160 постах
Автор: Marvin42 Перейти к цитате
Писал в своём первом посте:

Цитата:
Пробуем реализовать ГОСТ TLS на Linux+ngninx.
Версия ОС: Linux CentOS Linux release 8.3.2011
Версия КриптоПро CSP 5.0 R2: CSP (Type:80) v5.0.10006 KC2 Release Ver:5.0.11944 OS:Linux CPU:AMD64


Ну, если на текущей версии ОС не выйдет - будем пробовать на других.
Не подскажете - есть какой-нибудь список однозначно совместимых ОС из семейства Linux?

Вообще CentOS входит в список и на ней проверялась работоспособность, но вероятно не на 8 версии, а на 7.

Если проблема только в openssl, то engine должна работать с любым openssl >= 1.1.0.

Устанавливать несистемный openssl не обязательно, просто необходимо прописать gostengy как engine в системный openssl, аналогично как сделано в нашем openssl конфиге (/var/opt/cprocsp/cp-openssl-1.1.0/openssl.cnf), лучше посмотреть точно в какое место, но внести потребуется что-то такое:

Код:
openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gostengy = gost_section

[gost_section]
engine_id = gostengy
dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1

После этого можно убедиться (openssl engine), что engine работает и продолжать сценарий уже с системным openssl.

Но лучше взять CentOS 7 и там скрипты должны отрабатывать без ошибок из коробки.
Знания в базе знаний, поддержка в техподдержке
Offline pd  
#351 Оставлено : 17 февраля 2021 г. 18:49:38(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,121
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 186 раз в 160 постах
Кстати, есть новость, которая должна похоронить gostengy в ближайшей перспективе.

У нас появились решения для nginx и apache, которые позволят работать в совершенно другом статусе, а именно в статусе сертифицированных веб-серверов из коробки:
- https://www.cryptopro.ru...sp/tls/gost-nginx-apache
- https://www.cryptopro.ru/products/csp/tls
Знания в базе знаний, поддержка в техподдержке
Offline sil77  
#352 Оставлено : 19 февраля 2021 г. 15:01:23(UTC)
sil77

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2021(UTC)
Сообщений: 2

Добрый день подскажите по 2 шагу есть ошибка, пытался и скриптом и руками

/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn 'CN=srvtest' -cont '\\.\HDIMAGE\srvtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://testgost2012.cryptopro.ru/certsrv
CryptCP 5.0 (c) "Crypto-Pro", 2002-2020.
Command prompt Utility for file signature and encryption.
Creating request...
Press keys...
[....................................................................................................................................................]

Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP requests new container password
New password:
Confirm password:
First input and confirmation are not the same.
New password:
Confirm password:
Sending request to CA...
CURL is unavailable!
Error: Error loading type library/DLL.

../../../../CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:1154: 0x80029C4A
[ErrorCode: 0x80029c4a]


вот вывод пакетов
dpkg-query --list | grep csp
ii cprocsp-cpopenssl-110-64 5.0.11803-6 amd64 OpenSSL-110. Build 11803.
ii cprocsp-cpopenssl-110-base 5.0.11803-6 all Openssl-110 common Build 11803.
ii cprocsp-cpopenssl-110-devel 5.0.11803-6 all Openssl-110 devel Build 11803.
ii cprocsp-cpopenssl-110-gost-64 5.0.11803-6 amd64 OpenSSL-110 gostengy engine. Build 11803.
ii cprocsp-curl-64 5.0.11998-6 amd64 CryptoPro cURL shared library and application. Build 11998.
ii lsb-cprocsp-base 5.0.11998-6 all CryptoPro CSP directories and scripts. Build 11998.
ii lsb-cprocsp-ca-certs 5.0.11998-6 all CryptoPro CA certificates. Build 11998.
ii lsb-cprocsp-capilite-64 5.0.11998-6 amd64 CryptoPro CSP. CryptoAPI Lite libraries and applications. Build 11998.
ii lsb-cprocsp-kc1-64 5.0.11998-6 amd64 CryptoPro CSP KC1. Build 11998.
ii lsb-cprocsp-kc2-64 5.0.11998-6 amd64 CryptoPro CSP KC2. Build 11998.
ii lsb-cprocsp-rdr-64 5.0.11998-6 amd64 CryptoPro CSP common libraries and utilities. Build 11998.

Отредактировано пользователем 19 февраля 2021 г. 15:03:14(UTC)  | Причина: Не указана

Offline pd  
#353 Оставлено : 19 февраля 2021 г. 15:43:37(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,121
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 186 раз в 160 постах
Автор: sil77 Перейти к цитате
Добрый день подскажите по 2 шагу есть ошибка, пытался и скриптом и руками

/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn 'CN=srvtest' -cont '\\.\HDIMAGE\srvtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://testgost2012.cryptopro.ru/certsrv
CryptCP 5.0 (c) "Crypto-Pro", 2002-2020.
Command prompt Utility for file signature and encryption.
Creating request...
Press keys...
[....................................................................................................................................................]

Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP requests new container password
New password:
Confirm password:
First input and confirmation are not the same.
New password:
Confirm password:
Sending request to CA...
CURL is unavailable!
Error: Error loading type library/DLL.

../../../../CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:1154: 0x80029C4A
[ErrorCode: 0x80029c4a]


вот вывод пакетов
dpkg-query --list | grep csp
ii cprocsp-cpopenssl-110-64 5.0.11803-6 amd64 OpenSSL-110. Build 11803.
ii cprocsp-cpopenssl-110-base 5.0.11803-6 all Openssl-110 common Build 11803.
ii cprocsp-cpopenssl-110-devel 5.0.11803-6 all Openssl-110 devel Build 11803.
ii cprocsp-cpopenssl-110-gost-64 5.0.11803-6 amd64 OpenSSL-110 gostengy engine. Build 11803.
ii cprocsp-curl-64 5.0.11998-6 amd64 CryptoPro cURL shared library and application. Build 11998.
ii lsb-cprocsp-base 5.0.11998-6 all CryptoPro CSP directories and scripts. Build 11998.
ii lsb-cprocsp-ca-certs 5.0.11998-6 all CryptoPro CA certificates. Build 11998.
ii lsb-cprocsp-capilite-64 5.0.11998-6 amd64 CryptoPro CSP. CryptoAPI Lite libraries and applications. Build 11998.
ii lsb-cprocsp-kc1-64 5.0.11998-6 amd64 CryptoPro CSP KC1. Build 11998.
ii lsb-cprocsp-kc2-64 5.0.11998-6 amd64 CryptoPro CSP KC2. Build 11998.
ii lsb-cprocsp-rdr-64 5.0.11998-6 amd64 CryptoPro CSP common libraries and utilities. Build 11998.

Не работает базовый функционал.

Возьмите чистую систему, установите CSP штатным способом, выполните указанную выше проблемную команду.

Если ошибка повторяется, дайте знать порядок воспроизведения и точное название системы.

Знания в базе знаний, поддержка в техподдержке
Offline sil77  
#354 Оставлено : 19 февраля 2021 г. 17:16:07(UTC)
sil77

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2021(UTC)
Сообщений: 2

чистый дебиан свежий
PRETTY_NAME="Debian GNU/Linux 10 (buster)"
NAME="Debian GNU/Linux"
VERSION_ID="10"
VERSION="10 (buster)"
VERSION_CODENAME=buster
ID=debian

порядок такой, сначала скачал CSP с сайта linux-amd64_deb.tgz потом зависимости и далее уже скрипт
wget https://raw.githubuserco...nx-gost/install-nginx.sh && chmod +x install-nginx.sh
./install-nginx.sh --csp=linux-amd64_deb.tgz
тут все отработало а вот второй уже ошибка что выше, руками тоже самое

на всяий случай скину вот эту инфу
/opt/cprocsp/sbin/amd64/cpconfig -license -view
License validity:
5050010037ELQF5H28KM8E6BA
Expires: 94 day(s)
License type: Demo.

~# dpkg-query --list | grep csp
ii cprocsp-cpopenssl-110-64 5.0.11803-6 amd64 OpenSSL-110. Build 11803.
ii cprocsp-cpopenssl-110-base 5.0.11803-6 all Openssl-110 common Build 11803.
ii cprocsp-cpopenssl-110-devel 5.0.11803-6 all Openssl-110 devel Build 11803.
ii cprocsp-cpopenssl-110-gost-64 5.0.11803-6 amd64 OpenSSL-110 gostengy engine. Build 11803.
ii cprocsp-curl-64 5.0.11998-6 amd64 CryptoPro cURL shared library and application. Build 11998.
ii lsb-cprocsp-base 5.0.11998-6 all CryptoPro CSP directories and scripts. Build 11998.
ii lsb-cprocsp-ca-certs 5.0.11998-6 all CryptoPro CA certificates. Build 11998.
ii lsb-cprocsp-capilite-64 5.0.11998-6 amd64 CryptoPro CSP. CryptoAPI Lite libraries and applications. Build 11998.
ii lsb-cprocsp-kc1-64 5.0.11998-6 amd64 CryptoPro CSP KC1. Build 11998.
ii lsb-cprocsp-kc2-64 5.0.11998-6 amd64 CryptoPro CSP KC2. Build 11998.
ii lsb-cprocsp-rdr-64 5.0.11998-6 amd64 CryptoPro CSP common libraries and utilities. Build 11998.

Отредактировано пользователем 19 февраля 2021 г. 17:21:18(UTC)  | Причина: Не указана

Offline alex_nur  
#355 Оставлено : 16 марта 2021 г. 10:23:25(UTC)
alex_nur

Статус: Участник

Группы: Участники
Зарегистрирован: 19.11.2020(UTC)
Сообщений: 16

Сказал(а) «Спасибо»: 4 раз
Добрый день!
Поработало в пробном периоде 3 месяца, и остановилось :)
CPCSP: CryptoPro CSP license is expired or not yet valid.
мар 15 10:38:32 srvuapp03 nginx[4473]: (o) OK
мар 15 10:38:32 srvuapp03 nginx[4473]: <capi10>CryptEncrypt!failed: LastError = 0x65B
мар 15 10:38:32 srvuapp03 nginx[4473]: nginx: [emerg] cannot load certificate key "engine:gostengy:apiportal.srvuapp03.ygd.gazprom.ru": ENGINE_load_private_key() failed (SSL: error:80016034:lib(128):gng_support_getuserkey:GNG_ERR_LICENSE
мар 15 10:38:32 srvuapp03 nginx[4473]: nginx: configuration file /etc/nginx/nginx.conf test failed

Пробовал ввести лицензию от Крипто Про CSP для АРМ:
/opt/cprocsp/sbin/amd64/cpconfig -license -set н-о-м-е-р
Invalid license number.
Error code:-2146893792
An internal error occurred.

Т.е. нужна серверная лицензия для CSP, чтобы nginx работал?
Я как-то надеялся на то, что процесс, использующий ЭЦП - один, сам криптопровайдер не "расшарен" для работы с несколькими ЭЦП (через rdp или еще каким-то образом проброшенными), и сгодится лицензия для АРМ.

Какая лицензия необходима?
На https://www.cryptopro.ru/order/ для юридических лиц в разделе CSP5:
"Лицензия на право использования СКЗИ "КриптоПро CSP" версии 5.0 на сервере
* данная лицензия не предоставляет право использования TLS-сервера в среде серверных ОС, отличных от Windows. Для использования TLS-сервера необходимо приобретать Лицензию на право использования СКЗИ "КриптоПро CSP" версии 5.0 TLS-сервер (см. раздел «КриптоПро CSP» TLS)"
Эта подойдет?

PS: Похоже необходимо использовать КриптоПро CSP TLS?
Что произойдет, если купить лицензию на 1000 одновременных подключений и подключится 1001 одновременный пользователь?

Отредактировано пользователем 16 марта 2021 г. 10:37:39(UTC)  | Причина: уточнил

Offline pd  
#356 Оставлено : 16 марта 2021 г. 13:15:34(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,121
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 186 раз в 160 постах
Автор: alex_nur Перейти к цитате
Т.е. нужна серверная лицензия для CSP, чтобы nginx работал?

Для работы gostengy + openssl + nginx необходима обычная серверная лицензия (не TLS).

Отметим, что решение gostengy является устаревшим (deprecated).

Обратите внимание на текущие решения позволяющий работать сертифицировано из коробки: https://www.cryptopro.ru...&m=122914#post122914


Автор: alex_nur Перейти к цитате
Что произойдет, если купить лицензию на 1000 одновременных подключений и подключится 1001 одновременный пользователь?

Текущие решения (см. ссылку выше) действительно требуют наличия TLS лицензии, при подключении 1001 пользователя, пользователь подключится без ошибок.



Знания в базе знаний, поддержка в техподдержке
Offline alex_nur  
#357 Оставлено : 16 марта 2021 г. 13:30:44(UTC)
alex_nur

Статус: Участник

Группы: Участники
Зарегистрирован: 19.11.2020(UTC)
Сообщений: 16

Сказал(а) «Спасибо»: 4 раз
Автор: pd Перейти к цитате

Для работы gostengy + openssl + nginx необходима обычная серверная лицензия (не TLS).


Речь о той, что на данный момент стоит 37500 руб, верно? Они не подразделяются на под Windows/Linux?

Автор: pd Перейти к цитате

Отметим, что решение gostengy является устаревшим (deprecated).
Обратите внимание на текущие решения позволяющий работать сертифицировано из коробки: https://www.cryptopro.ru...&m=122914#post122914


Прочитал, но разницу по сравнению с использованием устаревшего gostengy - не уловил. Разве что у новых (раз им необходима лицензия TLS) стоимость выше.
Касаемо сертификации из коробки. Мы ведь тоже для сборки nginx+ГОСТ используем сертифицированную версию КриптоПро CSP 5.
В целях защиты ПД, при использовании новых текущих решений, будут ли эти решения соответствовать ФЗ 152 от 27.07.2006 "О персональных данных" в части использования сертифицированных СЗИ согласно ФСТКЭК и ФСБ? Дополнительной сертификации не потребуется?

Offline pd  
#358 Оставлено : 16 марта 2021 г. 13:37:27(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,121
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 186 раз в 160 постах
Автор: alex_nur Перейти к цитате
Речь о той, что на данный момент стоит 37500 руб, верно? Они не подразделяются на под Windows/Linux?

Верно. Не разделяются.

Автор: alex_nur Перейти к цитате
Прочитал, но разницу по сравнению с использованием устаревшего gostengy - не уловил. Разве что у новых (раз им необходима лицензия TLS) стоимость выше.
Касаемо сертификации из коробки. Мы ведь тоже для сборки nginx+ГОСТ используем сертифицированную версию КриптоПро CSP 5.
В целях защиты ПД, при использовании новых текущих решений, будут ли эти решения соответствовать ФЗ 152 от 27.07.2006 "О персональных данных" в части использования сертифицированных СЗИ согласно ФСТКЭК и ФСБ? Дополнительной сертификации не потребуется?

В новых решения явно прописывается сертифицированный статус конечного решения, в случае gostengy такого нет, и конечное решение (веб-сервер) никогда не являлось сертифицированным в комплексном смысле.

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
alex_nur оставлено 16.03.2021(UTC)
Offline alex_nur  
#359 Оставлено : 21 марта 2021 г. 14:49:35(UTC)
alex_nur

Статус: Участник

Группы: Участники
Зарегистрирован: 19.11.2020(UTC)
Сообщений: 16

Сказал(а) «Спасибо»: 4 раз
Автор: pd Перейти к цитате

В новых решения явно прописывается сертифицированный статус конечного решения, в случае gostengy такого нет, и конечное решение (веб-сервер) никогда не являлось сертифицированным в комплексном смысле.


Несколько раз прочитал https://www.cryptopro.ru/products/csp/tls и https://www.cryptopro.ru...sp/tls/gost-nginx-apache .
Все таки не понял отличий от описанного в этой теме форума настройки nginx, разве что в новой сертифицированной версии gostengy не используется, а применяются готовые патчи к nginx. Но ведь и в depricated и в новой сертифицированной версии необходимо скачать исходники nginx и приложить патчи. Мы вот оттестировали решение depricated, проект только готовится к запуску, закладывали в смету одни вещи. Теперь выясняется, что есть что-то более готовое и сертифицированное, но нами еще не опробованное.
Вопросы следующие:
1. Чтобы не получилось так, что мы купим что-то дороже чем планировали, а потом настроить это не сможем под наши задачи, как можно заранее ознакомиться и опробовать без покупки, тот самый сертифицированный nginx с ГОСТ из коробки без gostengy?
2. И предусмотрены ли некие скидки чтоли, к тестовому контуру? Например, у проекта есть две площадки - тестовая и продуктивная. Итого потребуется купить два одинаковых решения nginx+ГОСТ?

Отредактировано пользователем 21 марта 2021 г. 14:50:31(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
18 Страницы«<161718
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.