Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<678910>»
Опции
К последнему сообщению К первому непрочитанному
Offline 4ertu  
#71 Оставлено : 3 марта 2015 г. 18:15:17(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
В логах еще есть такая ошибка:


Подскажите, есть ли разница в использовании CSP 4.0 на сервере и CSP 3.6 на клиенте?
Offline Дмитрий Пичулин  
#72 Оставлено : 3 марта 2015 г. 18:35:46(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Нет, здесь не должно быть проблем, все проблемы похоже в привилегиях процессов. Мы у себя на ubuntu никак не можем запустить, то у одного нет прав к ключу, то у другого.
Знания в базе знаний, поддержка в техподдержке
Offline kropotin  
#73 Оставлено : 4 марта 2015 г. 9:26:59(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Автор: pd Перейти к цитате
Нет, здесь не должно быть проблем, все проблемы похоже в привилегиях процессов. Мы у себя на ubuntu никак не можем запустить, то у одного нет прав к ключу, то у другого.


Да, по умолчанию, рабочие процессы nginx запускаюся под пользователем nginx, главный (master) от root'а.
Если попытаться зашифровать файл под пользователем nginx, то выйдет ошибка, о которой я писал ранее. Она решается изменением прав на домашнюю директорию пользователя.

Сейчас же у меня nginx запускается от root'а, рабочие процессы тоже от root'а (в конфигу nginx.conf: user root), под которым КриптоПро и gost_capi есс-но работает:
Код:
[root@tls-nginx ~]# ps axw -o pid,ppid,user,%cpu,vsz,wchan,command | egrep '(nginx|PID)'
  PID  PPID USER     %CPU    VSZ WCHAN  COMMAND
 5300     1 root      0.0  29088 -      nginx: master process nginx
 5301  5300 root      0.0  29448 -      nginx: worker process
 5895  5876 root      0.0   4164 -      egrep (nginx|PID)
[root@tls-nginx ~]#


Вот еще лог /var/opt/cprocsp/tmp/openssl.log:
Код:
Opening certificate store MY
capi_get_key, contname=HDIMAGE\\user.000\40A2, provname=Crypto-Pro GOST R 34.10-2001 KC1 CSP, type=75

Отредактировано пользователем 4 марта 2015 г. 11:13:31(UTC)  | Причина: Не указана

Offline 4ertu  
#74 Оставлено : 4 марта 2015 г. 11:26:25(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Kropotin, а у вас после внесения изменений в конфиг Openssl ssh не отвалился?


У меня ssh работает только если закомментить изменения.
При этом openssl engine выдает корректную инфу.
Offline kropotin  
#75 Оставлено : 4 марта 2015 г. 11:31:19(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Автор: 4ertu Перейти к цитате
Kropotin, а у вас после внесения изменений в конфиг Openssl ssh не отвалился?
У меня ssh работает только если закомментить изменения.
При этом openssl engine выдает корректную инфу.


Отваливается. Даже при рекомендации помещать строку "openssl_conf = openssl_def" непосредственно перед секцией "[ new_oids ]".
Поэтому, чтобы подключиться по ssh, я комментирую строку, сохраняю, подключаюсь, раскомментирую и опять сохраняю. Вот такие танцы.
Offline Дмитрий Пичулин  
#76 Оставлено : 4 марта 2015 г. 14:16:14(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Мы тоже пляшем и готовим исправления на основании этого тестирования.

Ошибку сейчас воспроизвели. Фиксим.
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#77 Оставлено : 5 марта 2015 г. 16:13:22(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Нашли причины ошибок:
1) В текущей версии поддерживается только провайдер КС2 (из-за того что nginx делает рабочие процессы fork-ом)
2) Рабочие процессы должны быть под тем же пользователем, что и родительский, поэтому из nginx.conf следует убрать слова "user nginx_worker;"
Знания в базе знаний, поддержка в техподдержке
Offline 4ertu  
#78 Оставлено : 5 марта 2015 г. 17:58:34(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Поставил КС2 на сервер и клиент, обрывается на том же месте в рукопожатии, поменялась строка в логах:

Offline Дмитрий Пичулин  
#79 Оставлено : 5 марта 2015 г. 18:00:24(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: 4ertu Перейти к цитате
Поставил КС2 на сервер и клиент, обрывается на том же месте в рукопожатии, поменялась строка в логах


Проверьте состояние рабочих процессов, они дложны быть запущены от одного и того же пользователя (у нас root):

Код:
root      1064  0.0  0.0  71528  5948 ?        Ss   17:03   0:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
root      1066  0.0  0.0  71788  8156 ?        S    17:03   0:00 nginx: worker process


На клиенте КС2 необязателен.

Отредактировано пользователем 5 марта 2015 г. 18:01:49(UTC)  | Причина: typo + addon

Знания в базе знаний, поддержка в техподдержке
Offline 4ertu  
#80 Оставлено : 5 марта 2015 г. 18:02:59(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате

Проверьте состояние рабочих процессов, они дложны быть запущены от одного и того же пользователя (у нас root):


Все от рута.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
67 Страницы«<678910>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.