Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

15 Страницы«<131415
Опции
К последнему сообщению К первому непрочитанному
Offline Ефремов Степан  
#281 Оставлено : 17 сентября 2020 г. 0:10:10(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 44
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 15 раз в 14 постах
Как я понимаю GOST вообще не работает?
А RSA пробовали?
Можно как-то так: /opt/cprocsp/bin/amd64/csptest -tlsc -server localhost -port 443 -v -nocheck

Может:
В конфиге nginx ключ и сертификат друг другу не соответствуют?
В хранилище несколько контейнеров с одинаковым именем?

Ошибиться можно было много где. Рекомендую аккуратно все повторить, если гипотезы не подтвердились)

Отредактировано пользователем 17 сентября 2020 г. 0:20:02(UTC)  | Причина: ADD "-port 443" !!!

Техническая поддержка здесь.
База знаний здесь.
Offline Белая Рысь  
#282 Оставлено : 17 сентября 2020 г. 2:26:09(UTC)
Белая Рысь

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2020(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: Ефремов Степан Перейти к цитате
Как я понимаю GOST вообще не работает?
А RSA пробовали?
Можно как-то так: /opt/cprocsp/bin/amd64/csptest -tlsc -server localhost -port 443 -v -nocheck

Может:
В конфиге nginx ключ и сертификат друг другу не соответствуют?
В хранилище несколько контейнеров с одинаковым именем?

Ошибиться можно было много где. Рекомендую аккуратно все повторить, если гипотезы не подтвердились)


Да, судя по всему, с гостом привет:

[root@n1 ~]# /opt/cprocsp/bin/amd64/csptest -tlsc -server localhost -port 8444 -v -nocheck
11 algorithms supported:
Aglid Class OID
[00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89)
[01] 0x6631 0x6000 1.2.643.7.1.1.5.2 (ГОСТ Р 34.12-2015 Кузнечик)
[02] 0x6630 0x6000 1.2.643.7.1.1.5.1 (ГОСТ Р 34.12-2015 Магма)
[03] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[04] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
[05] 0x801f 0x8000
[06] 0x803d 0x8000
[07] 0x803c 0x8000
[08] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[09] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012)
[10] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012)
Cipher strengths: 256..256
Supported protocols: 0xa80:
Transport Layer Security 1.0 client side
Transport Layer Security 1.1 client side
Transport Layer Security 1.2 client side
dwProtocolMask: 0x800e2aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 154
SessionId: (empty)
Cipher Suites: (c1 00) (c1 01) (c1 02) (ff 85) (00 81) (c0 30) (c0 2f) (c0 28) (c0 27) (c0 14) (c0 13) (00 9d) (00 9c) (00 3d) (00 3c) (00 35) (00 2f) (00 0a)
159 bytes of handshake data sent
1344 bytes of handshake data received
275 bytes of handshake data sent
7 bytes of handshake data received
**** Error 0xffffffff80090326 returned by InitializeSecurityContext (2)
/dailybuildsbranches/CSP_5_0r2i/CSPbuild/CSP/samples/csptest/WebClient.c:754:Error performing handshake.
Error 0x80090326: The message received was unexpected or badly formatted.
Total: SYS: 0.020 sec USR: 0.050 sec UTC: 0.110 sec
[ErrorCode: 0x80090326]

Повторял аккуратно и пошагово.
Касательно конфига NGINX - вот тут хотелось бы поподробнее. Я в конфиге видел только указание сертификата:

ssl_certificate_key engine:gostengy:<cert_hash>;

Ключ, я так понимаю, CryptoPro выковыривает сам, его в NGINX указывать не нужно.
RSA у нас в проекте не используется, поэтому я его не тестировал.
Сейчас попробую сделать что-нибудь плохое. Вдруг поможет.
Offline Белая Рысь  
#283 Оставлено : 17 сентября 2020 г. 4:13:09(UTC)
Белая Рысь

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2020(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Загадка дня.
Поднял прокси, завернул на него скрипт install-cert.sh - и всё завелось.
Но. У нас не подразумевается использование тестовых сертификатов от CA КриптоПро.
Теперь у меня есть два идентичных сервера. На одном сертификат от install-cert - и всё работает. А на другом - сертификат от того же CA, но полученный вручную - и ничего не работает. :-D Что пошло не так - загадка для археологов.

Уважаемые господа, подскажите, пожалуйста, что я сделал не так в сообщении #275.

Upd: был неправ, простите, был испуган.
Скрипт прикручивает RSA. Так вот. RSA работает. Соответственно, браузеры, которые не понимают гостовое шифрование, нормально работают. А те, которые понимают... Ну, в общем.

This site can’t provide a secure connection
192.168.51.100 sent an invalid response.
Try running Windows Network Diagnostics.
ERR_SSL_PROTOCOL_ERROR

Видимо, NGINX таки собрался криво. Пойду разбираться...

Отредактировано пользователем 17 сентября 2020 г. 6:19:45(UTC)  | Причина: Уточнение теста

Offline Белая Рысь  
#284 Оставлено : 17 сентября 2020 г. 13:29:27(UTC)
Белая Рысь

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2020(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
И чёрный ящик в студию. ГОСТовое шифрование перестаёт работать после того, как в nginx.conf строку user root; меняем на user nginx;
Offline Ефремов Степан  
#285 Оставлено : 17 сентября 2020 г. 13:34:40(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 44
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 15 раз в 14 постах
В инструкции указано, как проверить, что собрано и установлено все верно, посмотрите в шапке.

В конфиге указать нужно два поля: сертификат (ssl_certificate) и ключ (ssl_certificate_key). Наверно, вы воспроизводите с небольшим отличием от install-certs.sh
Техническая поддержка здесь.
База знаний здесь.
thanks 1 пользователь поблагодарил Ефремов Степан за этот пост.
Белая Рысь оставлено 17.09.2020(UTC)
Offline Ефремов Степан  
#286 Оставлено : 17 сентября 2020 г. 13:38:01(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 44
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 15 раз в 14 постах
Автор: Белая Рысь Перейти к цитате
И чёрный ящик в студию. ГОСТовое шифрование перестаёт работать после того, как в nginx.conf строку user root; меняем на user nginx;


Да, работать будет только с root)

Хотите от пользователя: мастер процесс и воркер должны быть запущены от одного пользователя (владельца ключей) для гост.

Так же есть вариант с прокси от внешнего на внутренний nginx

Отредактировано пользователем 17 сентября 2020 г. 13:42:32(UTC)  | Причина: Не указана

Техническая поддержка здесь.
База знаний здесь.
Offline Белая Рысь  
#287 Оставлено : 17 сентября 2020 г. 15:12:36(UTC)
Белая Рысь

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2020(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: Ефремов Степан Перейти к цитате
В инструкции указано, как проверить, что собрано и установлено все верно, посмотрите в шапке.

В конфиге указать нужно два поля: сертификат (ssl_certificate) и ключ (ssl_certificate_key). Наверно, вы воспроизводите с небольшим отличием от install-certs.sh


Спасибо, добрый человек. Совсем глаз замылился. Посыпаю голову пеплом, ухожу в женский монастырь.
Но таки работает только под рутом, как Вы и написали. Увы.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
15 Страницы«<131415
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.