Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

39 Страницы«<89101112>»
Опции
К последнему сообщению К первому непрочитанному
Offline Pechenko Vladimir  
#91 Оставлено : 3 июля 2018 г. 12:10:19(UTC)
Pechenko Vladimir

Статус: Участник

Группы: Участники
Зарегистрирован: 06.07.2016(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Pechenko Vladimir Перейти к цитате
Да, я не указал ОС, в которой проблема.
Это Windows XP(SP3), CSP 3.9, IE 8

Сделал дамп через ssldump:


Пробовал так же указывать SSLv3 в ssl_protocols.
Вот ошибка:

Ваша система устарела, с большой вероятностью она не сможет открыть не только целевой nginx, а вообще любой современный https сайт.

Пробуйте использовать вместо набора HIGH, поддерживаемые сюиты из вашего дампа.



Понятно. Спасибо.

Offline lolkek  
#92 Оставлено : 16 июля 2018 г. 14:05:22(UTC)
lolkek

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.07.2018(UTC)
Сообщений: 3

Здравствуйте!
Подскажите где взять актуальную инструкцию для настройки ГОСТ TLS. Конкретно интересует под CentOS.
По инструкции из интернета вроде как удалось поднять на версии 3.9, по крайней мере хоть какой-то ответ был виден в браузере, но с ошибкой SSL_ERROR_NO_CYPHER_OVERLAP.
С версией 5.0 веб даже не запускается.

за основу была взята эта инструкция https://www.cryptopro.ru....aspx?g=posts&t=8733
действия с сертификатом по этой инструкции https://www.cryptopro.ru...aspx?g=posts&t=12505
Offline Дмитрий Пичулин  
#93 Оставлено : 16 июля 2018 г. 14:11:18(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: lolkek Перейти к цитате
Подскажите где взять актуальную инструкцию для настройки ГОСТ TLS. Конкретно интересует под CentOS.

Скрипты из данной теме и есть инструкция, лучше всего пользоваться ими на чистой машине с нужным вам CSP.

Если после отработки скриптов вы не получаете рабочую конфигурацию nginx с поддержкой одновременной работы ГОСТ и RSA, пишите, будем разбираться.

Знания в базе знаний, поддержка в техподдержке
Offline lolkek  
#94 Оставлено : 17 июля 2018 г. 10:25:21(UTC)
lolkek

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.07.2018(UTC)
Сообщений: 3

Поднял чистый CentOS 7. Запустил скрипт установки + CSP 5.0. Вроде как все выполнилось успешно, если не считать что пришлось вручную кое-что до устанавливать.
Второй скрипт сгенерировал 2 сертификата, применил конфиг.
Создал пользователя и systemd как в инструкции.

nginx не стартует со следующей ошибкой:
Please, type password:nginx: [emerg] ENGINE_load_private_key("*******") failed (SSL: error:80015032:lib(128):gng_support_getuserkey:GNG_ERR_PIN error:26096080:engine ...ding private key)
nginx.service: control process exited, code=exited status=1
nginx: configuration file /etc/nginx/nginx.conf test failed
Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP requests password

openssl engine отображает только эту строчку:
(dynamic) Dynamic engine loading support

Ни в самом скрипте, ни в инструкции ничего про cnf файл не сказано. Но как я вижу в пункте - проверка openssl в инструкции, все же править его нужно.
Offline Дмитрий Пичулин  
#95 Оставлено : 25 июля 2018 г. 18:02:43(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: lolkek Перейти к цитате
Please, type password:nginx: [emerg] ENGINE_load_private_key("*******") failed (SSL: error:80015032:lib(128):gng_support_getuserkey:GNG_ERR_PIN error:26096080:engine ...ding private key)
nginx.service: control process exited, code=exited status=1
nginx: configuration file /etc/nginx/nginx.conf test failed
Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP requests password

Ошибка говорящая: у вас пароль на контейнере.

Знания в базе знаний, поддержка в техподдержке
Offline lolkek  
#96 Оставлено : 27 июля 2018 г. 14:27:35(UTC)
lolkek

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.07.2018(UTC)
Сообщений: 3

Не доводилось ранее работать с чем-то таким, поэтому и спрашиваю актуальную инструкцию, в которой было бы все расписано шаг за шагом и желательно с комментариями. Во время работы скрипта был запрошен пароль, я его ввел.

В итоге, чтобы заработал ГОСТ TLS, что необходимо сделать?
Offline Дмитрий Пичулин  
#97 Оставлено : 27 июля 2018 г. 14:31:47(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: lolkek Перейти к цитате
Не доводилось ранее работать с чем-то таким, поэтому и спрашиваю актуальную инструкцию, в которой было бы все расписано шаг за шагом и желательно с комментариями. Во время работы скрипта был запрошен пароль, я его ввел.

В итоге, чтобы заработал ГОСТ TLS, что необходимо сделать?

Вам необходимо получить доступ к закрытому ключу на уровне nginx, в случае пароля и невозможности его ввода, пароль от контейнера необходимо или закешировать, или убрать (сделать пустым).

Для получения базовых знаний о работе наших продуктов, используйте поиск по форуму и базу знаний (ссылка есть в подписи к каждому сообщению).
Знания в базе знаний, поддержка в техподдержке
Offline sturi7l  
#98 Оставлено : 7 августа 2018 г. 18:34:46(UTC)
sturi7l

Статус: Участник

Группы: Участники
Зарегистрирован: 31.05.2017(UTC)
Сообщений: 18

Сказал(а) «Спасибо»: 1 раз
Делал по инструкции, завелось только после ручной подмены openssl на патченый от КриптоПРО (mv /bin/openssl /bin/openssl.old; ln -s /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl /bin/openssl)

CentOS 7
Offline Дмитрий Пичулин  
#99 Оставлено : 8 августа 2018 г. 9:17:47(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: sturi7l Перейти к цитате
Делал по инструкции, завелось только после ручной подмены openssl на патченый от КриптоПРО (mv /bin/openssl /bin/openssl.old; ln -s /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl /bin/openssl)

CentOS 7

Известная проблема, но для разработчиков OpenSSL сторонние алгоритмы в низком приоритете: https://www.cryptopro.ru...ts&m=93625#post93625

Поэтому держим свою версию openssl, с небольшими патчами для корректной работы ГОСТ: https://github.com/deemru/openssl

В дистрибутиве CSP аналог этой версии.
Знания в базе знаний, поддержка в техподдержке
Offline sturi7l  
#100 Оставлено : 10 августа 2018 г. 13:10:37(UTC)
sturi7l

Статус: Участник

Группы: Участники
Зарегистрирован: 31.05.2017(UTC)
Сообщений: 18

Сказал(а) «Спасибо»: 1 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: sturi7l Перейти к цитате
Делал по инструкции, завелось только после ручной подмены openssl на патченый от КриптоПРО (mv /bin/openssl /bin/openssl.old; ln -s /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl /bin/openssl)

CentOS 7

Известная проблема, но для разработчиков OpenSSL сторонние алгоритмы в низком приоритете: https://www.cryptopro.ru...ts&m=93625#post93625

Поэтому держим свою версию openssl, с небольшими патчами для корректной работы ГОСТ: https://github.com/deemru/openssl

В дистрибутиве CSP аналог этой версии.


Да я и не в претензии. Просто в инструкции об этом ни слова, в свое время потратил на это какое-то количество времени. Может быть, имеет смысл отразить?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
39 Страницы«<89101112>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.