Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

18 Страницы«<161718
Опции
К последнему сообщению К первому непрочитанному
Offline rrrrrr111  
#341 Оставлено : 7 февраля 2021 г. 23:28:14(UTC)
rrrrrr111

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.02.2021(UTC)
Сообщений: 2
Российская Федерация
Откуда: Москва

Цитата:


Смена KC1 на KC2 в имени провайдера, так как nginx работает с провайдером KC2:

Код:
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\\.\HDIMAGE\srvtest' -provtype 81 -provname "Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP"





получаю

GetKeyParam error
Incorrect function.
Offline rrrrrr111  
#342 Оставлено : 14 февраля 2021 г. 15:16:13(UTC)
rrrrrr111

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.02.2021(UTC)
Сообщений: 2
Российская Федерация
Откуда: Москва

Offline Marvin42  
#343 Оставлено : 16 февраля 2021 г. 16:04:25(UTC)
Marvin42

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 4

Добрый день!
Пробуем реализовать ГОСТ TLS на Linux+ngninx.
Версия ОС: Linux CentOS Linux release 8.3.2011
Версия КриптоПро CSP 5.0 R2: CSP (Type:80) v5.0.10006 KC2 Release Ver:5.0.11944 OS:Linux CPU:AMD64

Устанавливаем пакеты взятые из https://update.cryptopro.../nginx-gost/bin/211453/. в частности:
1) cprocsp-cpopenssl-110-base-5.0.11803-6.noarch.rpm
2) cprocsp-cpopenssl-110-64-5.0.11803-6.x86_64.rpm
3) cprocsp-cpopenssl-110-devel-5.0.11803-6.noarch.rpm
4) cprocsp-cpopenssl-110-gost-64-5.0.11803-6.x86_64.rpm

Первые 2 пакета устанавливаются без проблем.
При попытке установки cprocsp-cpopenssl-110-devel-5.0.11803-6.noarch.rpm возникает ошибка.

Цитата:
[root@server amd64]# sudo yum install cprocsp-cpopenssl-110-devel-5.0.11803-6.noarch.rpm
sudo: error in /etc/sudo.conf, line 19 while loading plugin "sudoers_policy"
sudo: unable to load /usr/libexec/sudo/sudoers.so: /lib64/libk5crypto.so.3: undefined symbol: EVP_KDF_ctrl, version OPENSSL_1_1_1b
sudo: fatal error, unable to load plugins


В чем может быть проблема?

Порядок действий ниже:
Offline pd  
#344 Оставлено : 16 февраля 2021 г. 16:52:26(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,102
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 178 раз в 154 постах
Автор: Marvin42 Перейти к цитате
Добрый день!
Пробуем реализовать ГОСТ TLS на Linux+ngninx.
Версия ОС: Linux CentOS Linux release 8.3.2011
Версия КриптоПро CSP 5.0 R2: CSP (Type:80) v5.0.10006 KC2 Release Ver:5.0.11944 OS:Linux CPU:AMD64

Устанавливаем пакеты взятые из https://update.cryptopro.../nginx-gost/bin/211453/. в частности:
1) cprocsp-cpopenssl-110-base-5.0.11803-6.noarch.rpm
2) cprocsp-cpopenssl-110-64-5.0.11803-6.x86_64.rpm
3) cprocsp-cpopenssl-110-devel-5.0.11803-6.noarch.rpm
4) cprocsp-cpopenssl-110-gost-64-5.0.11803-6.x86_64.rpm

Первые 2 пакета устанавливаются без проблем.
При попытке установки cprocsp-cpopenssl-110-devel-5.0.11803-6.noarch.rpm возникает ошибка.

Цитата:
[root@server amd64]# sudo yum install cprocsp-cpopenssl-110-devel-5.0.11803-6.noarch.rpm
sudo: error in /etc/sudo.conf, line 19 while loading plugin "sudoers_policy"
sudo: unable to load /usr/libexec/sudo/sudoers.so: /lib64/libk5crypto.so.3: undefined symbol: EVP_KDF_ctrl, version OPENSSL_1_1_1b
sudo: fatal error, unable to load plugins


В чем может быть проблема?

В этой теме начинать следует с проверенного сценария по автоматическим скриптам из первых сообщений.

Мы не можем гарантировать работу пакетов во всех возможных пользовательских сценариях.

Сейчас ваша ошибка выглядит, как после установки несистемного openssl ломается работа системных утилит.

Знания в базе знаний, поддержка в техподдержке
Offline Marvin42  
#345 Оставлено : 17 февраля 2021 г. 17:35:06(UTC)
Marvin42

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 4

Log ustanovki1.txt (27kb) загружен 1 раз(а).
Цитата:
В этой теме начинать следует с проверенного сценария по автоматическим скриптам из первых сообщений.
Мы не можем гарантировать работу пакетов во всех возможных пользовательских сценариях.
Сейчас ваша ошибка выглядит, как после установки несистемного openssl ломается работа системных утилит.


Сначала запустил скрипт с указанием на папку с CSP:
[root@epsbp-test2 sb32]# sudo bash ./install-nginx.sh --csp=/home/sb32/linux-amd64

Итог (Вложение: Log ustanovki1.txt):
./install-nginx.sh: line 404: ./install.sh: Permission denied

Затем запустил скрипт с указанием на архив с CSP:
[root@server user]# sudo bash ./install-nginx.sh --csp=/home/user/linux-amd64.tgz

В конце ошибка:
Цитата:
Starting cryptsrv
Install Openssl-1.1.0
rpm: symbol lookup error: /lib64/librpmio.so.8: undefined symbol: EVP_md2, version OPENSSL_1_1_0




Также при попытке установки, например, lsb-cprocsp-devel-5.0.11944-6.noarch.rpm выходит ошибка:
Цитата:
[root@server linux-amd64]# sudo yum install lsb-cprocsp-devel-5.0.11944-6.noarch.rpm
sudo: error in /etc/sudo.conf, line 19 while loading plugin "sudoers_policy"
sudo: unable to load /usr/libexec/sudo/sudoers.so: /lib64/libk5crypto.so.3: undefined symbol: EVP_KDF_ctrl, version OPENSSL_1_1_1b
sudo: fatal error, unable to load plugins



Offline pd  
#346 Оставлено : 17 февраля 2021 г. 17:52:57(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,102
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 178 раз в 154 постах
Автор: Marvin42 Перейти к цитате
Сначала запустил скрипт с указанием на папку с CSP:
[root@epsbp-test2 sb32]# sudo bash ./install-nginx.sh --csp=/home/sb32/linux-amd64

Итог (Вложение: Log ustanovki1.txt):
./install-nginx.sh: line 404: ./install.sh: Permission denied

Непонятно, вы от рута запускаете, зачем тогда sudo?

У рута есть доступ к /home/sb32/linux-amd64/install.sh?
Знания в базе знаний, поддержка в техподдержке
Offline Marvin42  
#347 Оставлено : 17 февраля 2021 г. 17:56:51(UTC)
Marvin42

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 4

Цитата:
Непонятно, вы от рута запускаете, зачем тогда sudo?

У рута есть доступ к /home/sb32/linux-amd64/install.sh?


Да доступ есть, почему ошибка доступа - не ясно.
С "sudo" запускал, просто копируя команду.

Есть какие-нибудь идеи на счет ошибки?:
Цитата:
Starting cryptsrv
Install Openssl-1.1.0
rpm: symbol lookup error: /lib64/librpmio.so.8: undefined symbol: EVP_md2, version OPENSSL_1_1_0
Offline pd  
#348 Оставлено : 17 февраля 2021 г. 18:06:35(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,102
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 178 раз в 154 постах
Автор: Marvin42 Перейти к цитате
Цитата:
Непонятно, вы от рута запускаете, зачем тогда sudo?

У рута есть доступ к /home/sb32/linux-amd64/install.sh?


Да доступ есть, почему ошибка доступа - не ясно.
С "sudo" запускал, просто копируя команду.

Есть какие-нибудь идеи на счет ошибки?:
Цитата:
Starting cryptsrv
Install Openssl-1.1.0
rpm: symbol lookup error: /lib64/librpmio.so.8: undefined symbol: EVP_md2, version OPENSSL_1_1_0

Да, уже сказано ранее:

Цитата:
Сейчас ваша ошибка выглядит, как после установки несистемного openssl ломается работа системных утилит.


У вас CSP устанавливается в систему без ошибок штатным способом?

Также вы не уточнили, что у вас за система, возможно стоит потренироваться на проверенных системах, потом вернуться к своей.



Знания в базе знаний, поддержка в техподдержке
Offline Marvin42  
#349 Оставлено : 17 февраля 2021 г. 18:16:23(UTC)
Marvin42

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 4

Цитата:
У вас CSP устанавливается в систему без ошибок штатным способом?

Сам CSP устанавливается без проблем. Ошибка только при установке несистемного openssl.

Цитата:
Также вы не уточнили, что у вас за система, возможно стоит потренироваться на проверенных системах, потом вернуться к своей.

Писал в своём первом посте:

Цитата:
Пробуем реализовать ГОСТ TLS на Linux+ngninx.
Версия ОС: Linux CentOS Linux release 8.3.2011
Версия КриптоПро CSP 5.0 R2: CSP (Type:80) v5.0.10006 KC2 Release Ver:5.0.11944 OS:Linux CPU:AMD64


Ну, если на текущей версии ОС не выйдет - будем пробовать на других.
Не подскажете - есть какой-нибудь список однозначно совместимых ОС из семейства Linux?
Offline pd  
#350 Оставлено : 17 февраля 2021 г. 18:40:54(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,102
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 178 раз в 154 постах
Автор: Marvin42 Перейти к цитате
Писал в своём первом посте:

Цитата:
Пробуем реализовать ГОСТ TLS на Linux+ngninx.
Версия ОС: Linux CentOS Linux release 8.3.2011
Версия КриптоПро CSP 5.0 R2: CSP (Type:80) v5.0.10006 KC2 Release Ver:5.0.11944 OS:Linux CPU:AMD64


Ну, если на текущей версии ОС не выйдет - будем пробовать на других.
Не подскажете - есть какой-нибудь список однозначно совместимых ОС из семейства Linux?

Вообще CentOS входит в список и на ней проверялась работоспособность, но вероятно не на 8 версии, а на 7.

Если проблема только в openssl, то engine должна работать с любым openssl >= 1.1.0.

Устанавливать несистемный openssl не обязательно, просто необходимо прописать gostengy как engine в системный openssl, аналогично как сделано в нашем openssl конфиге (/var/opt/cprocsp/cp-openssl-1.1.0/openssl.cnf), лучше посмотреть точно в какое место, но внести потребуется что-то такое:

Код:
openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gostengy = gost_section

[gost_section]
engine_id = gostengy
dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1

После этого можно убедиться (openssl engine), что engine работает и продолжать сценарий уже с системным openssl.

Но лучше взять CentOS 7 и там скрипты должны отрабатывать без ошибок из коробки.
Знания в базе знаний, поддержка в техподдержке
Offline pd  
#351 Оставлено : 17 февраля 2021 г. 18:49:38(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,102
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 178 раз в 154 постах
Кстати, есть новость, которая должна похоронить gostengy в ближайшей перспективе.

У нас появились решения для nginx и apache, которые позволят работать в совершенно другом статусе, а именно в статусе сертифицированных веб-серверов из коробки:
- https://www.cryptopro.ru...sp/tls/gost-nginx-apache
- https://www.cryptopro.ru/products/csp/tls
Знания в базе знаний, поддержка в техподдержке
Offline sil77  
#352 Оставлено : 19 февраля 2021 г. 15:01:23(UTC)
sil77

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2021(UTC)
Сообщений: 2

Добрый день подскажите по 2 шагу есть ошибка, пытался и скриптом и руками

/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn 'CN=srvtest' -cont '\\.\HDIMAGE\srvtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://testgost2012.cryptopro.ru/certsrv
CryptCP 5.0 (c) "Crypto-Pro", 2002-2020.
Command prompt Utility for file signature and encryption.
Creating request...
Press keys...
[....................................................................................................................................................]

Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP requests new container password
New password:
Confirm password:
First input and confirmation are not the same.
New password:
Confirm password:
Sending request to CA...
CURL is unavailable!
Error: Error loading type library/DLL.

../../../../CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:1154: 0x80029C4A
[ErrorCode: 0x80029c4a]


вот вывод пакетов
dpkg-query --list | grep csp
ii cprocsp-cpopenssl-110-64 5.0.11803-6 amd64 OpenSSL-110. Build 11803.
ii cprocsp-cpopenssl-110-base 5.0.11803-6 all Openssl-110 common Build 11803.
ii cprocsp-cpopenssl-110-devel 5.0.11803-6 all Openssl-110 devel Build 11803.
ii cprocsp-cpopenssl-110-gost-64 5.0.11803-6 amd64 OpenSSL-110 gostengy engine. Build 11803.
ii cprocsp-curl-64 5.0.11998-6 amd64 CryptoPro cURL shared library and application. Build 11998.
ii lsb-cprocsp-base 5.0.11998-6 all CryptoPro CSP directories and scripts. Build 11998.
ii lsb-cprocsp-ca-certs 5.0.11998-6 all CryptoPro CA certificates. Build 11998.
ii lsb-cprocsp-capilite-64 5.0.11998-6 amd64 CryptoPro CSP. CryptoAPI Lite libraries and applications. Build 11998.
ii lsb-cprocsp-kc1-64 5.0.11998-6 amd64 CryptoPro CSP KC1. Build 11998.
ii lsb-cprocsp-kc2-64 5.0.11998-6 amd64 CryptoPro CSP KC2. Build 11998.
ii lsb-cprocsp-rdr-64 5.0.11998-6 amd64 CryptoPro CSP common libraries and utilities. Build 11998.

Отредактировано пользователем 19 февраля 2021 г. 15:03:14(UTC)  | Причина: Не указана

Offline pd  
#353 Оставлено : 19 февраля 2021 г. 15:43:37(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,102
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 178 раз в 154 постах
Автор: sil77 Перейти к цитате
Добрый день подскажите по 2 шагу есть ошибка, пытался и скриптом и руками

/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn 'CN=srvtest' -cont '\\.\HDIMAGE\srvtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://testgost2012.cryptopro.ru/certsrv
CryptCP 5.0 (c) "Crypto-Pro", 2002-2020.
Command prompt Utility for file signature and encryption.
Creating request...
Press keys...
[....................................................................................................................................................]

Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP requests new container password
New password:
Confirm password:
First input and confirmation are not the same.
New password:
Confirm password:
Sending request to CA...
CURL is unavailable!
Error: Error loading type library/DLL.

../../../../CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:1154: 0x80029C4A
[ErrorCode: 0x80029c4a]


вот вывод пакетов
dpkg-query --list | grep csp
ii cprocsp-cpopenssl-110-64 5.0.11803-6 amd64 OpenSSL-110. Build 11803.
ii cprocsp-cpopenssl-110-base 5.0.11803-6 all Openssl-110 common Build 11803.
ii cprocsp-cpopenssl-110-devel 5.0.11803-6 all Openssl-110 devel Build 11803.
ii cprocsp-cpopenssl-110-gost-64 5.0.11803-6 amd64 OpenSSL-110 gostengy engine. Build 11803.
ii cprocsp-curl-64 5.0.11998-6 amd64 CryptoPro cURL shared library and application. Build 11998.
ii lsb-cprocsp-base 5.0.11998-6 all CryptoPro CSP directories and scripts. Build 11998.
ii lsb-cprocsp-ca-certs 5.0.11998-6 all CryptoPro CA certificates. Build 11998.
ii lsb-cprocsp-capilite-64 5.0.11998-6 amd64 CryptoPro CSP. CryptoAPI Lite libraries and applications. Build 11998.
ii lsb-cprocsp-kc1-64 5.0.11998-6 amd64 CryptoPro CSP KC1. Build 11998.
ii lsb-cprocsp-kc2-64 5.0.11998-6 amd64 CryptoPro CSP KC2. Build 11998.
ii lsb-cprocsp-rdr-64 5.0.11998-6 amd64 CryptoPro CSP common libraries and utilities. Build 11998.

Не работает базовый функционал.

Возьмите чистую систему, установите CSP штатным способом, выполните указанную выше проблемную команду.

Если ошибка повторяется, дайте знать порядок воспроизведения и точное название системы.

Знания в базе знаний, поддержка в техподдержке
Offline sil77  
#354 Оставлено : 19 февраля 2021 г. 17:16:07(UTC)
sil77

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2021(UTC)
Сообщений: 2

чистый дебиан свежий
PRETTY_NAME="Debian GNU/Linux 10 (buster)"
NAME="Debian GNU/Linux"
VERSION_ID="10"
VERSION="10 (buster)"
VERSION_CODENAME=buster
ID=debian

порядок такой, сначала скачал CSP с сайта linux-amd64_deb.tgz потом зависимости и далее уже скрипт
wget https://raw.githubuserco...nx-gost/install-nginx.sh && chmod +x install-nginx.sh
./install-nginx.sh --csp=linux-amd64_deb.tgz
тут все отработало а вот второй уже ошибка что выше, руками тоже самое

на всяий случай скину вот эту инфу
/opt/cprocsp/sbin/amd64/cpconfig -license -view
License validity:
5050010037ELQF5H28KM8E6BA
Expires: 94 day(s)
License type: Demo.

~# dpkg-query --list | grep csp
ii cprocsp-cpopenssl-110-64 5.0.11803-6 amd64 OpenSSL-110. Build 11803.
ii cprocsp-cpopenssl-110-base 5.0.11803-6 all Openssl-110 common Build 11803.
ii cprocsp-cpopenssl-110-devel 5.0.11803-6 all Openssl-110 devel Build 11803.
ii cprocsp-cpopenssl-110-gost-64 5.0.11803-6 amd64 OpenSSL-110 gostengy engine. Build 11803.
ii cprocsp-curl-64 5.0.11998-6 amd64 CryptoPro cURL shared library and application. Build 11998.
ii lsb-cprocsp-base 5.0.11998-6 all CryptoPro CSP directories and scripts. Build 11998.
ii lsb-cprocsp-ca-certs 5.0.11998-6 all CryptoPro CA certificates. Build 11998.
ii lsb-cprocsp-capilite-64 5.0.11998-6 amd64 CryptoPro CSP. CryptoAPI Lite libraries and applications. Build 11998.
ii lsb-cprocsp-kc1-64 5.0.11998-6 amd64 CryptoPro CSP KC1. Build 11998.
ii lsb-cprocsp-kc2-64 5.0.11998-6 amd64 CryptoPro CSP KC2. Build 11998.
ii lsb-cprocsp-rdr-64 5.0.11998-6 amd64 CryptoPro CSP common libraries and utilities. Build 11998.

Отредактировано пользователем 19 февраля 2021 г. 17:21:18(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
18 Страницы«<161718
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.