Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline snaiffer  
#1 Оставлено : 21 августа 2017 г. 16:58:14(UTC)
snaiffer

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.08.2017(UTC)
Сообщений: 3
Российская Федерация

Настройку делал по инструкции из данной темы:
https://www.cryptopro.ru....aspx?g=posts&t=8733

Все вроде бы настроилось без ошибок: gost engine в openssl появился, подпись файлов работает, nginx стартует нормально, но при попытке подключиться к сереверу появляются след. ошибки:
* через curl:
Код:
$ /opt/cprocsp/bin/amd64/curl -vvv -k https://localhost:44443
* About to connect() to localhost port 44443 (#0)
*   Trying 127.0.0.1... connected
* Connected to localhost (127.0.0.1) port 44443 (#0)
* Closing connection #0
* Problem with the local SSL certificate
curl: (58) Problem with the local SSL certificate


* через openssl:
Код:
$ /opt/cprocsp/cp-openssl/bin/amd64/openssl s_client -connect localhost:44443
CONNECTED(00000005)
depth=1 emailAddress = support@cryptopro.ru, C = RU, L = Moscow, O = CRYPTO-PRO LLC, CN = CRYPTO-PRO Test Center 2
verify return:1
depth=0 CN = test.ru, emailAddress = cas@altlinux.org
verify return:1
139983676290712:error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error:s3_pkt.c:1493:SSL alert number 80
139983676290712:error:140790E5:SSL routines:ssl23_write:ssl handshake failure:s23_lib.c:177:
---
Certificate chain
 0 s:/CN=test.ru/emailAddress=cas@altlinux.org
   i:/emailAddress=support@cryptopro.ru/C=RU/L=Moscow/O=CRYPTO-PRO LLC/CN=CRYPTO-PRO Test Center 2
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIDYTCCAxCgAwIBAgITEgAfgB7xEwBIlRLJIQAAAB+AHjAIBgYqhQMCAgMwfzEj
MCEGCSqGSIb3DQEJARYUc3VwcG9ydEBjcnlwdG9wcm8ucnUxCzAJBgNVBAYTAlJV
MQ8wDQYDVQQHEwZNb3Njb3cxFzAVBgNVBAoTDkNSWVBUTy1QUk8gTExDMSEwHwYD
VQQDExhDUllQVE8tUFJPIFRlc3QgQ2VudGVyIDIwHhcNMTcwODE4MTIwNDU1WhcN
MTcxMTE4MTIxNDU1WjAzMRAwDgYDVQQDDAd0ZXN0LnJ1MR8wHQYJKoZIhvcNAQkB
FhBjYXNAYWx0bGludXgub3JnMGMwHAYGKoUDAgITMBIGByqFAwICJAAGByqFAwIC
HgEDQwAEQIlgZhXcajpuQqXyDBE1A7pk3wtrUcMZKL25VXRrYdDGKcM9rywGpT9n
OVek1bwaQylbcmLTmKN2rEdGkGpW7AijggGtMIIBqTBTBgNVHSUETDBKBggrBgEF
BQcDAQYIKwYBBQUHAwIGCCsGAQUFBwMDBggrBgEFBQcDBAYIKwYBBQUHAwgGCisG
AQQBgjcKBQEGCisGAQQBgjcKAwwwCwYDVR0PBAQDAgTwMB0GA1UdDgQWBBQdgUBA
6WuD1Oy64j5Bznpm4wXbTTAfBgNVHSMEGDAWgBQVMXywjRreZtcVnElSlxckuQF6
gzBZBgNVHR8EUjBQME6gTKBKhkhodHRwOi8vdGVzdGNhLmNyeXB0b3Byby5ydS9D
ZXJ0RW5yb2xsL0NSWVBUTy1QUk8lMjBUZXN0JTIwQ2VudGVyJTIwMi5jcmwwgakG
CCsGAQUFBwEBBIGcMIGZMGEGCCsGAQUFBzAChlVodHRwOi8vdGVzdGNhLmNyeXB0
b3Byby5ydS9DZXJ0RW5yb2xsL3Rlc3QtY2EtMjAxNF9DUllQVE8tUFJPJTIwVGVz
dCUyMENlbnRlciUyMDIuY3J0MDQGCCsGAQUFBzABhihodHRwOi8vdGVzdGNhLmNy
eXB0b3Byby5ydS9vY3NwL29jc3Auc3JmMAgGBiqFAwICAwNBAHAVTZ+cPDKumN8Q
Z37sHvwqXd/AElSIuvSvJwWc7u1RbA7O4G6PiY2eA4vS+LVByE+Z8/USoHEFT6Ib
InhxQz4=
-----END CERTIFICATE-----
subject=/CN=test.ru/emailAddress=cas@altlinux.org
issuer=/emailAddress=support@cryptopro.ru/C=RU/L=Moscow/O=CRYPTO-PRO LLC/CN=CRYPTO-PRO Test Center 2
---
No client certificate CA names sent
Client Certificate Types: GOST94 Sign, GOST01 Sign
Requested Signature Algorithms: RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1:0xED+md_gost94
Shared Requested Signature Algorithms: RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1:0xED+md_gost94
---
SSL handshake has read 1006 bytes and written 232 bytes
---
New, TLSv1/SSLv3, Cipher is GOST2001-GOST89-GOST89
Server public key is 512 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : GOST2001-GOST89-GOST89
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: BA9463608878B9A0021E5AD644C85E2EBA8E9A4336070A4F92725900D9BBCCEEBB1B902FDD909FB6F379AD4534243560
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1503320615
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---


При этом и в первом и во втором случае nginx ругается в лог:
Код:
[2017/08/21 15:58:58 [crit] 32247#32247: *4 SSL_do_handshake() failed (SSL: error:8006A063:lib(128):CAPI_INIT:cant create hash object error:14125044:SSL routines:ssl3_digest_cached_records:internal error) while SSL handshaking, client: 127.0.0.1, server: 0.0.0.0:44443


############# Информация о версиях ПО и настройках ###################

Linux 4.10.0-28-generic #32~16.04.2-Ubuntu x86_64

Код:
$ nginx -V
nginx version: nginx/1.12.1
built by gcc 5.4.0 20160609 (Ubuntu 5.4.0-6ubuntu1~16.04.4) 
built with OpenSSL 1.0.2k  26 Jan 2017
TLS SNI support enabled
configure arguments: --user=nginx --group=nginx --prefix=/usr --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --pid-path=/run/nginx.pid --lock-path=/run/lock/subsys/nginx --with-http_ssl_module --with-cc-opt=-I/opt/cprocsp/cp-openssl/include/ --with-ld-opt=-L/opt/cprocsp/cp-openssl/lib/amd64/


OpenSSL 1.0.2g 1 Mar 2016 (Library: OpenSSL 1.0.2k 26 Jan 2017)

Код:
$ ps aux | grep nginx
root     32244  0.0  0.0 213140    76 ?        Ss   14:32   0:00 nginx: master process /usr/sbin/nginx -g daemon on; master_process on;
root     32245  0.0  0.3 213616  6544 ?        S    14:32   0:00 nginx: worker process
root     32246  0.0  0.0 213476   664 ?        S    14:32   0:00 nginx: worker process
root     32247  0.0  0.1 213616  3368 ?        S    14:32   0:00 nginx: worker process
root     32248  0.0  0.0 213476   672 ?        S    14:32   0:00 nginx: worker process


Код:

server {
        listen 44443 ssl;
        server_name test.ru;

        ssl on;
        ssl_certificate      keys/certnew.cer;
        ssl_certificate_key  engine:gost_capi:test;
        ssl_trusted_certificate keys/cacert.pem;
        ssl_ciphers GOST2001-GOST89-GOST89:HIGH;
        ssl_prefer_server_ciphers   on;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_verify_client optional_no_ca;



Код:
$ openssl engine 
openssl: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by openssl)
openssl: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by openssl)
openssl: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by openssl)
openssl: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by openssl)
openssl: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by openssl)
openssl: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by openssl)
openssl: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by openssl)
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 147820 $)


Offline 32stos  
#2 Оставлено : 23 августа 2017 г. 17:26:27(UTC)
32stos

Статус: Участник

Группы: Участники
Зарегистрирован: 17.07.2015(UTC)
Сообщений: 24
Российская Федерация

Поблагодарили: 3 раз в 3 постах
Добрый день!

Пришлите, пожалуйста следующее:
1. dpkg -l | grep csp
2. Запустите тестовый TLS сервер openssl s_server -engine gost_capi -keyform ENGINE -key SubjectName -cert ~/server.pem &
3. Не останавливая сервер попробуйте подключиться /opt/cprocsp/bin/ia32/csptestf -tlsc -server hostname -port 4433 -v
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.