logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

14 Страницы«<121314
Опции
К последнему сообщению К первому непрочитанному
Offline sturi7l  
#261 Оставлено : 5 июня 2017 г. 11:51:10(UTC)
sturi7l

Статус: Участник

Группы: Участники
Зарегистрирован: 31.05.2017(UTC)
Сообщений: 16

Сказал(а) «Спасибо»: 1 раз
т.е. пересобирать?
Offline pd  
#262 Оставлено : 5 июня 2017 г. 11:57:46(UTC)
pd


Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 348
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 50 раз в 44 постах
Автор: sturi7l Перейти к цитате
т.е. пересобирать?

Как было сказано выше, проще будет выставить LD_LIBRARY_PATH: https://stackoverflow.co...ld-library-path-in-linux

Offline sturi7l  
#263 Оставлено : 5 июня 2017 г. 12:03:59(UTC)
sturi7l

Статус: Участник

Группы: Участники
Зарегистрирован: 31.05.2017(UTC)
Сообщений: 16

Сказал(а) «Спасибо»: 1 раз
Так я так же выше и писал результаты:

Цитата:
# export
declare -x LD_LIBRARY_PATH="/usr/local/ssl/lib/:/opt/cprocsp/cp-openssl/lib/amd64/engines/:/opt/cprocsp/lib/amd64/:"

# nginx -c /etc/nginx/nginx.conf
nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/ipcert.crt.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)


или не все пути подключил?
Offline pd  
#264 Оставлено : 5 июня 2017 г. 12:08:13(UTC)
pd


Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 348
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 50 раз в 44 постах
Автор: sturi7l Перейти к цитате
Так я так же выше и писал результаты

Мы не всесильны, особенно когда не работает стандартный системный функционал.

Offline sturi7l  
#265 Оставлено : 5 июня 2017 г. 12:10:55(UTC)
sturi7l

Статус: Участник

Группы: Участники
Зарегистрирован: 31.05.2017(UTC)
Сообщений: 16

Сказал(а) «Спасибо»: 1 раз
При сборке вашего варианта openssl формируется только libcrypto.a
Тогда как для динамического подключения нужна .so библиотека, .a годится только для линковки в процессе сборки, как я понимаю.

по всей видимости, забыл ./config shared сделать при сборке openssl, сейчас проверю.

upd: да, в этом и было дело. Пришлось еще сделать символические ссылки libcrypto.so.10 и libssl.so.10.

Отредактировано пользователем 5 июня 2017 г. 14:11:33(UTC)  | Причина: Не указана

Offline georgy111  
#266 Оставлено : 6 июня 2017 г. 13:04:54(UTC)
georgy111

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.07.2015(UTC)
Сообщений: 67

Сказал(а) «Спасибо»: 26 раз
Удалено.

Отредактировано пользователем 6 июня 2017 г. 15:38:49(UTC)  | Причина: Не указана

Offline sturi7l  
#267 Оставлено : 9 июня 2017 г. 15:21:44(UTC)
sturi7l

Статус: Участник

Группы: Участники
Зарегистрирован: 31.05.2017(UTC)
Сообщений: 16

Сказал(а) «Спасибо»: 1 раз
И еще вопрос. Скорее не технический, а "продажный".
Какие пакеты нужно купить для генерации лицензии и использования на нашем Linux сервере?

И что потребуется установить клиентам?
Offline ElenaS  
#268 Оставлено : 9 июня 2017 г. 18:12:34(UTC)
ElenaS


Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.04.2014(UTC)
Сообщений: 25
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Автор: sturi7l Перейти к цитате
И еще вопрос. Скорее не технический, а "продажный".
Какие пакеты нужно купить для генерации лицензии и использования на нашем Linux сервере?

И что потребуется установить клиентам?


Для TLS по алгоритмам ГОСТ понадобится на сервере КриптоПро CSP с серверной лицензией, на клиентских машинах браузер, поддерживающий ГОСТ (например IE, Chromium Gost, Крипто Про Fox).
Покупать потребуется только серверную лицензию на КриптоПро CSP.
Если предполагается аутентификация клиента, то дополнительно потребуется клиентская лицензия на КриптоПро CSP и установка криптопровайдера у клиента.

Отредактировано пользователем 13 июня 2017 г. 13:20:17(UTC)  | Причина: исправлено в соответствии со следующим комментарием

Offline pd  
#269 Оставлено : 9 июня 2017 г. 21:29:03(UTC)
pd


Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 348
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 50 раз в 44 постах
Автор: ElenaS Перейти к цитате
...на клиентских машинах КриптоПро CSP с клиентской лицензией...

Клиентские лицензии необходимы в случае использования клиентской аутентификации. Если клиентская аутентификация не используется, то лицензия не требуется. Но эти вопросы лучше уточнять не на форуме.

thanks 1 пользователь поблагодарил pd за этот пост.
ElenaS оставлено 13.06.2017(UTC)
Offline sturi7l  
#270 Оставлено : 13 июня 2017 г. 13:51:20(UTC)
sturi7l

Статус: Участник

Группы: Участники
Зарегистрирован: 31.05.2017(UTC)
Сообщений: 16

Сказал(а) «Спасибо»: 1 раз
Спасибо за ответ!
Offline pd  
#271 Оставлено : 12 августа 2017 г. 1:41:53(UTC)
pd


Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 348
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 50 раз в 44 постах
У нас хорошие новости, при переходе на OpenSSL 1.1.0 мы переписали gost_capi на gostengy, новый криптографический модуль полностью совместимый с OpenSSL 1.1.0.

Основным улучшением gostengy стала поддержка сертификатов 2012 года и отсутствие привязки к "голым" мастер и прочим ключам в OpenSSL, всё сделано по честному — ключами оперирует только КриптоПро CSP.

Более того, теперь наш модуль реализует в OpenSSL схему шифрования AEAD, что гарантирует 1 вызов функции КриптоПро CSP на пакет, вместо как минимум 4 в прошлой версии.

Приглашаем к тестированию и использованию.

В настоящий момент доступна только сборка nginx-gost-12 для Windows со всем необходимым: https://github.com/deemru/nginx/releases/latest

Пользователи Unix-систем потерпите. Или подгоните нас ответом на форуме.
Offline pd  
#272 Оставлено : 12 августа 2017 г. 1:49:15(UTC)
pd


Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 348
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 50 раз в 44 постах
При использовании gostengy, не забудьте исправить gost_capi на gostengy:

Цитата:
ssl_certificate_key engine:gostengy:www.vpngost.ru.cer;


А также использовать сюиту 2012 года:

Цитата:
ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;


Offline aav_equifax  
#273 Оставлено : 17 августа 2017 г. 17:47:55(UTC)
aav_equifax

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.07.2017(UTC)
Сообщений: 1
Российская Федерация

Автор: pd Перейти к цитате
...

Приглашаем к тестированию и использованию.

В настоящий момент доступна только сборка nginx-gost-12 для Windows со всем необходимым: https://github.com/deemru/nginx/releases/latest

Пользователи Unix-систем потерпите. Или подгоните нас ответом на форуме.


Очень ждем.
Offline pd  
#274 Оставлено : 18 августа 2017 г. 15:08:36(UTC)
pd


Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 348
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 50 раз в 44 постах
Автор: aav_equifax Перейти к цитате
Очень ждем.

Вы очень ждали, поэтому мы ускорились и выложили gostengy здесь: https://update.cryptopro...t/nginx-gost/bin/161714/

ВАЖНО: кроме того, что для работы данной версии вам необходим openssl 1.1.0 и nginx собранный с поддержкой openssl 1.1.0, вам необходимо воспользоваться исходниками отсюда: https://github.com/deemr.../tree/openssl-1.1.0-gost

В данных исходниках пришлось временно отключить поддержку extended_master_secret на уровне openssl для ГОСТ, так как в нашем клиентском коде пока отсутствует поддержка extended_master_secret, а многие Windows дистрибутивы уже начали отправлять соответствующий extension в client_hello, что приводит к невозможности TLS-соединения: "КриптоПро TLS. Такое расширение CLIENT_HELLO не посылалось: 0x17"

Если воспользоваться официальным репозиторием openssl 1.1.0, то на Windows клиентах придётся прописать:
Цитата:
HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel\DisableClientExtendedMasterSecret = 1 (DWORD)

(Поддержка extended_master_secret уже появилась в наших внутренних версиях CSP, но потребуется не мало времени на стабилизацию и распространение этой версии)

Напоминаем, что для пользователей Windows, мы подготовили portable версию "всё в одном": https://github.com/deemru/nginx/releases

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
14 Страницы«<121314
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.