logo Обзор КриптоПро NGate для защищённого доступа к корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

11 Страницы«<91011
Опции
К последнему сообщению К первому непрочитанному
Offline Ефремов Степан  
#201 Оставлено : 2 декабря 2019 г. 13:47:39(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 15
Российская Федерация

Поблагодарили: 5 раз в 5 постах
Автор: Tanya(*) Перейти к цитате
Добрый день,
подскажите, пожалуйста, какие действия необходимо выполнить для работы nginx/1.14.1
с методами PUT, POST, DELETE по TLS1.2.

При работе по незащищенному соединению PUT DELETE MKCOL COPY MOVE
все работает отлично. Так же все работает при работе с c TLS1.2 и engine RSA.


Но c TLS1.2 и gostengine возникает проблема(при этом метод GET выполняется).

Конфиг:
server {

***

ssl_certificate /etc/nginx/test.pem;
ssl_certificate_key engine:gostengy:test;
ssl_session_cache off;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers GOST2012-GOST8912-GOST8912:HIGH;
ssl_prefer_server_ciphers on;

location / {
dav_methods PUT DELETE MKCOL COPY MOVE;
create_full_put_path on;
try_files $uri $uri/ =404;
}

}


А в чем заключается проблема? Будет здорово, если пришлете дамп трафика.
Техническая поддержка здесь.
База знаний здесь.
Offline lab2  
#202 Оставлено : 2 декабря 2019 г. 14:43:26(UTC)
lab2

Статус: Участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 22
Российская Федерация

Сказал(а) «Спасибо»: 11 раз
Автор: Ефремов Степан Перейти к цитате
Возможно, вам не хватает какого-нибудь базового пакета: wget, make и пр.


подскажите, как исправить/добавить _нужный пакет, какой он?

добавил:
apt install make
apt install gcc

теперь (первый) скрипт заканчивается с "invalid C++ compiler or C++ flags"

err.jpg (134kb) загружен 8 раз(а).

plz


Offline Ефремов Степан  
#203 Оставлено : 2 декабря 2019 г. 14:46:50(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 15
Российская Федерация

Поблагодарили: 5 раз в 5 постах
Автор: lab2 Перейти к цитате
подскажите, как исправить/добавить _нужный пакет, какой он?


Похоже, ругается при компиляции pcre.

Попробуйте добавить: apt install g++
Техническая поддержка здесь.
База знаний здесь.
thanks 1 пользователь поблагодарил Ефремов Степан за этот пост.
lab2 оставлено 02.12.2019(UTC)
Offline lab2  
#204 Оставлено : 2 декабря 2019 г. 15:02:24(UTC)
lab2

Статус: Участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 22
Российская Федерация

Сказал(а) «Спасибо»: 11 раз
по наитию добавил g++ - скрипт отработал
Извиняюсь, что отвлек, но словосочетание "чистая система" ввело меня в заблуждение - думал, все нужные пакеты уже должны быть.

Offline lab2  
#205 Оставлено : 2 декабря 2019 г. 15:03:22(UTC)
lab2

Статус: Участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 22
Российская Федерация

Сказал(а) «Спасибо»: 11 раз
Автор: Ефремов Степан Перейти к цитате
apt install g++


ура, заработало, спасибо!
Offline Tanya(*)  
#206 Оставлено : 2 декабря 2019 г. 17:44:29(UTC)
Tanya(*)

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.11.2019(UTC)
Сообщений: 5

Проблема в том, что один и тот же запрос (например “DELETE /mb.txt HTTP/1.1”) Nginx с engine RSA выполняет, а GOSTengine нет.
Ниже log-файл Nginx и дамп трафика.

77.jpg (137kb) загружен 15 раз(а). wsdet.xml (160kb) загружен 5 раз(а).
Offline lab2  
#207 Оставлено : 2 декабря 2019 г. 18:34:17(UTC)
lab2

Статус: Участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 22
Российская Федерация

Сказал(а) «Спасибо»: 11 раз
Все получилось, скрипты отработали, но не все получилось, проблема теперь с openssl
err2.jpg (143kb) загружен 18 раз(а).

/install-nginx.sh --install=openssl
повторно - не помогает
(
Offline Дмитрий Пичулин  
#208 Оставлено : 2 декабря 2019 г. 19:04:28(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 888
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 139 раз в 118 постах
Автор: Tanya(*) Перейти к цитате
Проблема в том, что один и тот же запрос (например “DELETE /mb.txt HTTP/1.1”) Nginx с engine RSA выполняет, а GOSTengine нет.
Ниже log-файл Nginx и дамп трафика.

77.jpg (137kb) загружен 15 раз(а). wsdet.xml (160kb) загружен 5 раз(а).

Ошибок связанных с работой TLS не видно.

По логу видно 400, Bad Request, кто у вас клиент на ГОСТе?
Знания в базе знаний, поддержка в техподдержке
Offline Tanya(*)  
#209 Оставлено : 3 декабря 2019 г. 12:09:26(UTC)
Tanya(*)

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.11.2019(UTC)
Сообщений: 5

Используем клиент openssl s_client. По файлу лога видно, что запрос до сервера дошел, и расшифровался в строку
идентичную запросу RSA. Но не выполнился. Не понимаем в чем дело.
Offline Дмитрий Пичулин  
#210 Оставлено : 3 декабря 2019 г. 12:19:36(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 888
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 139 раз в 118 постах
Автор: Tanya(*) Перейти к цитате
Используем клиент openssl s_client. По файлу лога видно, что запрос до сервера дошел, и расшифровался в строку
идентичную запросу RSA. Но не выполнился. Не понимаем в чем дело.

Для RSA клиент идентичный?
Знания в базе знаний, поддержка в техподдержке
Offline Tanya(*)  
#211 Оставлено : 3 декабря 2019 г. 12:27:29(UTC)
Tanya(*)

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.11.2019(UTC)
Сообщений: 5

Автор: Дмитрий Пичулин Перейти к цитате
Автор: Tanya(*) Перейти к цитате
Используем клиент openssl s_client. По файлу лога видно, что запрос до сервера дошел, и расшифровался в строку
идентичную запросу RSA. Но не выполнился. Не понимаем в чем дело.

Для RSA клиент идентичный?

Да.

Offline Goodist  
#212 Оставлено : 3 декабря 2019 г. 12:52:11(UTC)
Goodist

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.10.2019(UTC)
Сообщений: 2
Российская Федерация
Откуда: Казань

Добрый день.
После обновление криптопро до версии 5.0 перестали обрабатываться запросы. В логах можно увидеть вот такие строки
Цитата:
[crit] 327#327: *106 SSL_do_handshake() failed (SSL: error:80005022:lib(128):gng_support_create_pubkey_3410:CryptImportPublicKeyInfo error:0B09407D:x509 certificate routines:x509_pubkey_decode:public key decode error error:80005022:lib(128):gng_support_create_pubkey_3410:CryptImportPublicKeyInfo error:0B09407D:x509 certificate routines:x509_pubkey_decode:public key decode error error:0B06E06C:x509 certificate routines:X509_get_pubkey_parameters:unable to get certs public key error:80005022:lib(128):gng_support_create_pubkey_3410:CryptImportPublicKeyInfo error:0B09407D:x509 certificate routines:x509_pubkey_decode:public key decode error error:1417C0F7:SSL routines:tls_process_client_certificate:unknown certificate type) while SSL handshaking, client: 10.20.11.1, server: 0.0.0.0:443

Настройки все остались те же самые, кроме самого крипто про. С четвёртой версией всё работает.
Заранее спасибо.
Offline Дмитрий Пичулин  
#213 Оставлено : 3 декабря 2019 г. 13:15:43(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 888
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 139 раз в 118 постах
Автор: Goodist Перейти к цитате
Добрый день.
После обновление криптопро до версии 5.0 перестали обрабатываться запросы. В логах можно увидеть вот такие строки
Цитата:
[crit] 327#327: *106 SSL_do_handshake() failed (SSL: error:80005022:lib(128):gng_support_create_pubkey_3410:CryptImportPublicKeyInfo error:0B09407D:x509 certificate routines:x509_pubkey_decode:public key decode error error:80005022:lib(128):gng_support_create_pubkey_3410:CryptImportPublicKeyInfo error:0B09407D:x509 certificate routines:x509_pubkey_decode:public key decode error error:0B06E06C:x509 certificate routines:X509_get_pubkey_parameters:unable to get certs public key error:80005022:lib(128):gng_support_create_pubkey_3410:CryptImportPublicKeyInfo error:0B09407D:x509 certificate routines:x509_pubkey_decode:public key decode error error:1417C0F7:SSL routines:tls_process_client_certificate:unknown certificate type) while SSL handshaking, client: 10.20.11.1, server: 0.0.0.0:443

Настройки все остались те же самые, кроме самого крипто про. С четвёртой версией всё работает.
Заранее спасибо.

Мало информации, попробуйте перепройти шаги из данной темы. Если не поможет, ждём инструкции как воспроизвести ошибку.

Также мы добавили автоматическое тестирование скриптов, ошибок с CSP 5.0 нет: https://travis-ci.org/fullincome/nginx-gost/builds
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#214 Оставлено : 3 декабря 2019 г. 13:17:10(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 888
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 139 раз в 118 постах
Автор: Tanya(*) Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Tanya(*) Перейти к цитате
Используем клиент openssl s_client. По файлу лога видно, что запрос до сервера дошел, и расшифровался в строку
идентичную запросу RSA. Но не выполнился. Не понимаем в чем дело.

Для RSA клиент идентичный?

Да.

Тогда ждём полной инструкции как воспроизвести ошибку.
Знания в базе знаний, поддержка в техподдержке
Offline Ефремов Степан  
#215 Оставлено : 3 декабря 2019 г. 15:47:33(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 15
Российская Федерация

Поблагодарили: 5 раз в 5 постах
Автор: lab2 Перейти к цитате
Все получилось, скрипты отработали, но не все получилось, проблема теперь с openssl
err2.jpg (143kb) загружен 18 раз(а).

/install-nginx.sh --install=openssl
повторно - не помогает
(


У вас cpopenssl установлен, nginx должен работать корректно. Но просматривается другая проблема: при установке cpopenssl добавляется путь к библиотекам cpopenssl (в /etc/ld.so.conf). Но в path ничего не добавляется. Поэтому системный openssl пробует работать с нашими библиотеками (1.1.0) и похоже у него не получается.

Это странно, т.к. если встречается openssl версии выше нашей (1.1.0i), то пути к библиотекам добавляются с меньшим приоритетом (о чем сообщается при установке), чтобы таких ситуаций как у вас как раз и не было. Похоже на то, что после установки CSP системный openssl проапгрейдили до версии 1.1.1.

Пришлите пожалуйста версию системного openssl и самой OS. Чтобы системный openssl не возмущался, удалите наши пакеты (или весь csp с помощью uninstall.sh).
Техническая поддержка здесь.
База знаний здесь.
Offline Ефремов Степан  
#216 Оставлено : 3 декабря 2019 г. 16:26:19(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 15
Российская Федерация

Поблагодарили: 5 раз в 5 постах
Автор: Ефремов Степан Перейти к цитате
Автор: lab2 Перейти к цитате
Все получилось, скрипты отработали, но не все получилось, проблема теперь с openssl


У вас cpopenssl установлен, nginx должен работать корректно. Но просматривается другая проблема: при установке cpopenssl добавляется путь к библиотекам cpopenssl (в /etc/ld.so.conf). Но в path ничего не добавляется. Поэтому системный openssl пробует работать с нашими библиотеками (1.1.0) и похоже у него не получается.

Это странно, т.к. если встречается openssl версии выше нашей (1.1.0i), то пути к библиотекам добавляются с меньшим приоритетом (о чем сообщается при установке), чтобы таких ситуаций как у вас как раз и не было. Похоже на то, что после установки CSP системный openssl проапгрейдили до версии 1.1.1.

Пришлите пожалуйста версию системного openssl и самой OS. Чтобы системный openssl не возмущался, удалите наши пакеты (или весь csp с помощью uninstall.sh).


Воспроизвели на ub18. Изначально версия openssl 1.1.0, после некоторого времени работы (около часа), ubuntu сама upgrade-ит openssl до версии 1.1.1. Получается не хорошо.
В связи с тем, что в CSP планируем обновление cpopenssl до версии 1.1.1, вносить исправления для таких ситуаций не будем.

Как вариант - удаление/установка cpopenssl понизит приоритет нашему openssl (системный будет в порядке). А для использования нашего openssl придется пользоваться LD_LIBRARY_PATH.
Техническая поддержка здесь.
База знаний здесь.
thanks 1 пользователь поблагодарил Ефремов Степан за этот пост.
lab2 оставлено 04.12.2019(UTC)
Offline Tanya(*)  
#217 Оставлено : 4 декабря 2019 г. 9:25:20(UTC)
Tanya(*)

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.11.2019(UTC)
Сообщений: 5

Автор: Дмитрий Пичулин Перейти к цитате
Автор: Tanya(*) Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Tanya(*) Перейти к цитате
Используем клиент openssl s_client. По файлу лога видно, что запрос до сервера дошел, и расшифровался в строку
идентичную запросу RSA. Но не выполнился. Не понимаем в чем дело.

Для RSA клиент идентичный?

Да.

Тогда ждём полной инструкции как воспроизвести ошибку.

Спасибо за помощь. Пока инструкцию писали, заметили что по http1.0 все работает. Разбираемся с http1.1.

Offline lab2  
#218 Оставлено : 4 декабря 2019 г. 11:41:41(UTC)
lab2

Статус: Участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 22
Российская Федерация

Сказал(а) «Спасибо»: 11 раз
Автор: Ефремов Степан Перейти к цитате
Воспроизвели на ub18. Изначально версия openssl

Извиняюсь, что не ответил на предыдущий вопрос - не было возможности.
Ок, теперь понятно что произошло. Спасибо, что оперативно отреагировали и установили причину.

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
11 Страницы«<91011
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.