Статус: Новичок
Группы: Участники
Зарегистрирован: 17.08.2017(UTC) Сообщений: 3
|
Настройку делал по инструкции из данной темы: https://www.cryptopro.ru....aspx?g=posts&t=8733Все вроде бы настроилось без ошибок: gost engine в openssl появился, подпись файлов работает, nginx стартует нормально, но при попытке подключиться к сереверу появляются след. ошибки: * через curl: Код:$ /opt/cprocsp/bin/amd64/curl -vvv -k https://localhost:44443
* About to connect() to localhost port 44443 (#0)
* Trying 127.0.0.1... connected
* Connected to localhost (127.0.0.1) port 44443 (#0)
* Closing connection #0
* Problem with the local SSL certificate
curl: (58) Problem with the local SSL certificate
* через openssl: Код:$ /opt/cprocsp/cp-openssl/bin/amd64/openssl s_client -connect localhost:44443
CONNECTED(00000005)
depth=1 emailAddress = support@cryptopro.ru, C = RU, L = Moscow, O = CRYPTO-PRO LLC, CN = CRYPTO-PRO Test Center 2
verify return:1
depth=0 CN = test.ru, emailAddress = cas@altlinux.org
verify return:1
139983676290712:error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error:s3_pkt.c:1493:SSL alert number 80
139983676290712:error:140790E5:SSL routines:ssl23_write:ssl handshake failure:s23_lib.c:177:
---
Certificate chain
0 s:/CN=test.ru/emailAddress=cas@altlinux.org
i:/emailAddress=support@cryptopro.ru/C=RU/L=Moscow/O=CRYPTO-PRO LLC/CN=CRYPTO-PRO Test Center 2
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/CN=test.ru/emailAddress=cas@altlinux.org
issuer=/emailAddress=support@cryptopro.ru/C=RU/L=Moscow/O=CRYPTO-PRO LLC/CN=CRYPTO-PRO Test Center 2
---
No client certificate CA names sent
Client Certificate Types: GOST94 Sign, GOST01 Sign
Requested Signature Algorithms: RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1:0xED+md_gost94
Shared Requested Signature Algorithms: RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1:0xED+md_gost94
---
SSL handshake has read 1006 bytes and written 232 bytes
---
New, TLSv1/SSLv3, Cipher is GOST2001-GOST89-GOST89
Server public key is 512 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : GOST2001-GOST89-GOST89
Session-ID:
Session-ID-ctx:
Master-Key: BA9463608878B9A0021E5AD644C85E2EBA8E9A4336070A4F92725900D9BBCCEEBB1B902FDD909FB6F379AD4534243560
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1503320615
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
При этом и в первом и во втором случае nginx ругается в лог: Код:[2017/08/21 15:58:58 [crit] 32247#32247: *4 SSL_do_handshake() failed (SSL: error:8006A063:lib(128):CAPI_INIT:cant create hash object error:14125044:SSL routines:ssl3_digest_cached_records:internal error) while SSL handshaking, client: 127.0.0.1, server: 0.0.0.0:44443
############# Информация о версиях ПО и настройках ################### Linux 4.10.0-28-generic #32~16.04.2-Ubuntu x86_64 Код:$ nginx -V
nginx version: nginx/1.12.1
built by gcc 5.4.0 20160609 (Ubuntu 5.4.0-6ubuntu1~16.04.4)
built with OpenSSL 1.0.2k 26 Jan 2017
TLS SNI support enabled
configure arguments: --user=nginx --group=nginx --prefix=/usr --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --pid-path=/run/nginx.pid --lock-path=/run/lock/subsys/nginx --with-http_ssl_module --with-cc-opt=-I/opt/cprocsp/cp-openssl/include/ --with-ld-opt=-L/opt/cprocsp/cp-openssl/lib/amd64/
OpenSSL 1.0.2g 1 Mar 2016 (Library: OpenSSL 1.0.2k 26 Jan 2017) Код:$ ps aux | grep nginx
root 32244 0.0 0.0 213140 76 ? Ss 14:32 0:00 nginx: master process /usr/sbin/nginx -g daemon on; master_process on;
root 32245 0.0 0.3 213616 6544 ? S 14:32 0:00 nginx: worker process
root 32246 0.0 0.0 213476 664 ? S 14:32 0:00 nginx: worker process
root 32247 0.0 0.1 213616 3368 ? S 14:32 0:00 nginx: worker process
root 32248 0.0 0.0 213476 672 ? S 14:32 0:00 nginx: worker process
Код:
server {
listen 44443 ssl;
server_name test.ru;
ssl on;
ssl_certificate keys/certnew.cer;
ssl_certificate_key engine:gost_capi:test;
ssl_trusted_certificate keys/cacert.pem;
ssl_ciphers GOST2001-GOST89-GOST89:HIGH;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_verify_client optional_no_ca;
Код:$ openssl engine
openssl: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by openssl)
openssl: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by openssl)
openssl: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by openssl)
openssl: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by openssl)
openssl: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by openssl)
openssl: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by openssl)
openssl: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by openssl)
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 147820 $)
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.07.2015(UTC) Сообщений: 24 Поблагодарили: 3 раз в 3 постах
|
Добрый день!
Пришлите, пожалуйста следующее: 1. dpkg -l | grep csp 2. Запустите тестовый TLS сервер openssl s_server -engine gost_capi -keyform ENGINE -key SubjectName -cert ~/server.pem & 3. Не останавливая сервер попробуйте подключиться /opt/cprocsp/bin/ia32/csptestf -tlsc -server hostname -port 4433 -v
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close