Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline vitalif  
#1 Оставлено : 16 мая 2017 г. 17:26:04(UTC)
vitalif

Статус: Участник

Группы: Участники
Зарегистрирован: 12.05.2017(UTC)
Сообщений: 11
Российская Федерация

Здравствуйте.

По "долгу службы" понадобился ГОСТ-TLS через ваш CSP. Хотим попробовать через nginx с gost_capi.

Пытаемся установить, не получается. Пакеты ставятся (ставлю base, capilite, kc1, kc2, pkcs11, rdr и все cpopenssl), служба стартует, HDIMAGE добавляется. А дальше на этапе создания хранилища выходит вот так:

[root@99a907539c8a amd64]# /opt/cprocsp/bin/amd64/csptest -keyset -newkeyset -container '\\.\HDIMAGE\root'
CSP (Type:75) v3.9.8010 KC2 Release Ver:3.9.8495 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 30276867
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 KC2 CSP
Container name: "root"
Signature key is not available.
Attempting to create a signature key...
An error occurred in running the program.
/dailybuildsbranches/CSP_3_9/CSPbuild/CSP/samples/csptest/ctkey.c:1995:GenKey()
Error number 0x80090020 (2148073504).
An internal error occurred.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.060 sec
[ErrorCode: 0x80090020]

При этом cryptsrv ругается в логе вот так:

cprdr[6213]: cpcsp: SetPhisicRSG rndm_find_mask fail
cprdr[6213]: cpcsp: DSRFInitRSG SetPhisicRSG failed
cprdr[6213]: cpcsp: CreateCryptObject DSRFInitRSG fail
cprdr[6213]: cpcsp: CPCGenKey : CreateCryptObject fail ret obj

Рандом подключен "био туи":

# /opt/cprocsp/sbin/amd64/cpconfig -hardware rndm -view

Nick name: BIO_TUI
Connect name:
Rndm name: Console BioRNG
Rndm level: 5

HDIMAGE тоже вроде есть

# /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -view

Nick name: FLASH
Connect name:
Reader name: FLASH

Nick name: HDIMAGE
Connect name:
Reader name: ��������� ������� �� ������� ����� (видимо что-то в cp1251)

Вопрос: что делать дальше?

Отредактировано пользователем 16 мая 2017 г. 17:28:12(UTC)  | Причина: Не указана

Offline vitalif  
#2 Оставлено : 16 мая 2017 г. 19:28:05(UTC)
vitalif

Статус: Участник

Группы: Участники
Зарегистрирован: 12.05.2017(UTC)
Сообщений: 11
Российская Федерация

Ок, если не ставить KC2 - генерация ключей работает (правда на самом деле она конечно и не нужна, ключи нам выдадут).

В общем, вроде предварительно ГОСТ-TLS завёлся.

А вот с RSA беда. У вас в cpopenssl сломан RSA?

Например просто пытаюсь сгенерить самоподписанный серт вашим OpenSSL:

/opt/cprocsp/cp-openssl/bin/amd64/openssl req -days 3650 -x509 -new -nodes -keyout test-rsa2.key -out test-rsa2.pem
Generating a 1024 bit RSA private key
..................................++++++
....................................................++++++
writing new private key to 'test-rsa2.key'

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.

Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
140463222662848:error:80070065:lib(128):CAPI_RSA_SIGN:cant get key:/dailybuildsbranches/CSP_3_9/CSPbuild/CSP/samples/cp-openssl_plugin/e_gost_capi.c:3381:
140463222662848:error:0D0DC006:asn1 encoding routines:ASN1_item_sign_ctx:EVP lib:a_sign.c:314:

Отредактировано пользователем 17 мая 2017 г. 23:21:09(UTC)  | Причина: Не указана

Offline vitalif  
#3 Оставлено : 17 мая 2017 г. 23:20:00(UTC)
vitalif

Статус: Участник

Группы: Участники
Зарегистрирован: 12.05.2017(UTC)
Сообщений: 11
Российская Федерация

Апдейт - да, не получается задействовать одновременно ГОСТ и RSA в nginx (linux redhat/centos 7). Не работает ни в 3.9, ни в 4.0.

Точнее, вообще не получается задействовать RSA при включённом в openssl.cnf gost_capi - даже если убрать ГОСТ сертификат и шифр из конфига nginx и оставить 2 стандартные строчки с RSAшным сертификатом+ключом - соединение установить невозможно. Лучшее чего я добиваюсь - это

4146502016:error:140943FC:SSL routines:ssl3_read_bytes:sslv3 alert bad record mac:../ssl/record/rec_layer_s3.c:1385:SSL alert number 20

при попытке сделать openssl s_client -connect localhost:8159 -tls1 -cipher AES256-SHA.

При этом, если просто ОТКЛЮЧИТЬ gost_capi в openssl.cnf, та же конфигурация работает. Такая шляпа что со стандартным RHEL'овским OpenSSL 1.0.1, что с вашим cpopenssl (1.0.2).

Ответьте пожалуйста, что делать?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.