Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

15 Страницы«<1011121314>»
Опции
К последнему сообщению К первому непрочитанному
Offline fov.370  
#221 Оставлено : 30 декабря 2019 г. 16:09:12(UTC)
fov.370

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.12.2019(UTC)
Сообщений: 2

Сказал(а) «Спасибо»: 2 раз
Дмитрий, спасибо!
Подскажите еще, пожалуйста, такой лог (/var/log/syslog) при перезапуске service nginx restart нормальный?

Код:

Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Stopping NGINX with CryptoPro ...
Dec 30 16:05:50 n4-test-ng-1 ter process /usr/sbin/nginx: <capi10>CryptDestroyKey!failed: LastError = 0x80090001
Dec 30 16:05:50 n4-test-ng-1 ter process /usr/sbin/nginx: <capi10>CryptDestroyKey!failed: LastError = 0x80090001
Dec 30 16:05:50 n4-test-ng-1 cryptsrv: <cryptsrv>WireCPImpl1ReleaseContext!WireCPImpl1ReleaseContext: context not found
Dec 30 16:05:50 n4-test-ng-1 ter process /usr/sbin/nginx: <capi10>CryptReleaseContext!failed: LastError = 0x80090001
Dec 30 16:05:50 n4-test-ng-1 cryptsrv: <cryptsrv>WireCPImpl1ReleaseContext!WireCPImpl1ReleaseContext: context not found
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Stopped NGINX with CryptoPro .
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Starting NGINX with CryptoPro ...
Dec 30 16:05:50 n4-test-ng-1 nginx: <capi20>CertGetCertificateContextProperty!failed: LastError = 0x80092004
Dec 30 16:05:50 n4-test-ng-1 nginx[26725]: nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
Dec 30 16:05:50 n4-test-ng-1 nginx[26725]: nginx: configuration file /etc/nginx/nginx.conf test is successful
Dec 30 16:05:50 n4-test-ng-1 nginx: <capi20>CertGetCertificateContextProperty!failed: LastError = 0x80092004
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: nginx-cpro.service: Failed to read PID from file /run/nginx.pid: Invalid argument
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Started NGINX with CryptoPro .
Offline Дмитрий Пичулин  
#222 Оставлено : 30 декабря 2019 г. 16:12:23(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,001
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 165 раз в 143 постах
Автор: fov.370 Перейти к цитате
Дмитрий, спасибо!
Подскажите еще, пожалуйста, такой лог (/var/log/syslog) при перезапуске service nginx restart нормальный?

Код:

Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Stopping NGINX with CryptoPro ...
Dec 30 16:05:50 n4-test-ng-1 ter process /usr/sbin/nginx: <capi10>CryptDestroyKey!failed: LastError = 0x80090001
Dec 30 16:05:50 n4-test-ng-1 ter process /usr/sbin/nginx: <capi10>CryptDestroyKey!failed: LastError = 0x80090001
Dec 30 16:05:50 n4-test-ng-1 cryptsrv: <cryptsrv>WireCPImpl1ReleaseContext!WireCPImpl1ReleaseContext: context not found
Dec 30 16:05:50 n4-test-ng-1 ter process /usr/sbin/nginx: <capi10>CryptReleaseContext!failed: LastError = 0x80090001
Dec 30 16:05:50 n4-test-ng-1 cryptsrv: <cryptsrv>WireCPImpl1ReleaseContext!WireCPImpl1ReleaseContext: context not found
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Stopped NGINX with CryptoPro .
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Starting NGINX with CryptoPro ...
Dec 30 16:05:50 n4-test-ng-1 nginx: <capi20>CertGetCertificateContextProperty!failed: LastError = 0x80092004
Dec 30 16:05:50 n4-test-ng-1 nginx[26725]: nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
Dec 30 16:05:50 n4-test-ng-1 nginx[26725]: nginx: configuration file /etc/nginx/nginx.conf test is successful
Dec 30 16:05:50 n4-test-ng-1 nginx: <capi20>CertGetCertificateContextProperty!failed: LastError = 0x80092004
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: nginx-cpro.service: Failed to read PID from file /run/nginx.pid: Invalid argument
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Started NGINX with CryptoPro .

Ничего криминального не видно. Нормальный лог.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
fov.370 оставлено 30.12.2019(UTC)
Offline ivan-zhilin  
#223 Оставлено : 14 апреля 2020 г. 17:47:37(UTC)
ivan-zhilin

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.01.2017(UTC)
Сообщений: 5

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 4 раз в 2 постах
Добрый день.

Ставил nginx скриптом https://raw.githubuserco...nx-gost/install-nginx.sh на ОС Astra

./install-nginx.sh --csp=linux-amd64_deb.tgz

Сейчас понадобилось на рабочую систему установить geoip модуль к nginx. Подскажите, пожалуйста, как это можно сделать? Просто добавить в "nginx_paths" "--with-http_geoip_module=dynamic" и выполнить "./install-nginx.sh --csp=linux-amd64_deb.tgz"?

Offline ivan-zhilin  
#224 Оставлено : 14 апреля 2020 г. 17:52:03(UTC)
ivan-zhilin

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.01.2017(UTC)
Сообщений: 5

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 4 раз в 2 постах
Ну и возможно кому понадобится. Особенности установки скриптом (https://raw.githubusercontent.com/fullincome/scripts/master/nginx-gost/install-nginx.sh) на сертифицированную ОС Astra (Астра) и критопро 5. Устанавливается как на обычную убунту за исключением следующих особенностей:

- Не находило пакет git
Надо поключить обычный диск с астрой

- Не находило пакет gcc
Надо поключить dev диск с астрой и поставить build-essential. Он подтянет и gcc

- Не клонирует гит
Клонирование в «nginx»… fatal: unable to access 'https://github.com/nginx/nginx.git/': Problem with the SSL CA cert (path? access rights?)

Подправил команду git clone в скрипте на
git -c http.sslVerify=false clone

Offline Ефремов Степан  
#225 Оставлено : 14 апреля 2020 г. 22:20:05(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 44
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 16 раз в 15 постах
Автор: ivan-zhilin Перейти к цитате
Добрый день.

Ставил nginx скриптом https://raw.githubuserco...nx-gost/install-nginx.sh на ОС Astra

./install-nginx.sh --csp=linux-amd64_deb.tgz

Сейчас понадобилось на рабочую систему установить geoip модуль к nginx. Подскажите, пожалуйста, как это можно сделать? Просто добавить в "nginx_paths" "--with-http_geoip_module=dynamic" и выполнить "./install-nginx.sh --csp=linux-amd64_deb.tgz"?



Кажется должно заработать. Только, наверное, в nginx_parameters корректнее (а не nginx_paths).

У Вас получилось? Если нет - пишите, посмотрим.
Техническая поддержка здесь.
База знаний здесь.
thanks 1 пользователь поблагодарил Ефремов Степан за этот пост.
ivan-zhilin оставлено 16.04.2020(UTC)
Offline ivan-zhilin  
#226 Оставлено : 14 апреля 2020 г. 22:42:30(UTC)
ivan-zhilin

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.01.2017(UTC)
Сообщений: 5

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 4 раз в 2 постах
Автор: Ефремов Степан Перейти к цитате

Кажется должно заработать.


Он именно должен переустановить уже имеющийся nginx, установленный ранее? Попробую на неделе думаю.

Offline Ефремов Степан  
#227 Оставлено : 15 апреля 2020 г. 13:34:05(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 44
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 16 раз в 15 постах
Автор: ivan-zhilin Перейти к цитате
Он именно должен переустановить уже имеющийся nginx, установленный ранее? Попробую на неделе думаю.


Зависит от того, где он располагается.
В скрипте используются эти пути при установке:

Код:
prefix=/etc/nginx
sbin_path=/usr/sbin/nginx
conf_path=/etc/nginx/nginx.conf
err_log_path=/var/log/nginx/error.log
http_log_path=/var/log/nginx/access.log
pid_path=/var/run/nginx.pid
lock_path=/var/run/nginx.lock


Конечно же, их можно поменять прямо в скрипте.
Техническая поддержка здесь.
База знаний здесь.
Offline ivan-zhilin  
#228 Оставлено : 16 апреля 2020 г. 23:42:30(UTC)
ivan-zhilin

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.01.2017(UTC)
Сообщений: 5

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 4 раз в 2 постах
Доустановил на систему с рабочим nginx (ставил скриптом https://raw.githubuserco...x-gost/install-nginx.sh) модуль geoip. Ставил на ОС Астра (по сути Debian). Критопро уже был и работал вместе с nginx. Только модуля geoip не хватало.

Доустанавливал тем же скриптом.

В нем поправил:
Код:
nginx_parametrs=" --user=${user} --group=${group} --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module"


на (дописал в конец)
Код:
nginx_parametrs=" --user=${user} --group=${group} --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-http_geoip_module=dynamic"


Далее установил в систему libgeoip-dev - в астре нужно чтобы был подключен dev-репозиторий с диска. Без libgeoip-dev запуск скрипта завершался ошибкой:

Код:
./auto/configure: error: the GeoIP module requires the GeoIP library.
You can either do not enable the module or install the library.

Код:
sudo apt-get install libgeoip-dev


Собственно поставились geoip-bin libgeoip-dev

Далее забэкапил /etc/nginx, /etc/init.d/nginx (последнего может не быть - делал вроде бы для себя)

Далее скрипт установки запустил так (из под рута):
Код:
./install-nginx.sh --install=nginx


Все скачалось, скомпилировалось и работает. Конфиги nginx не перезатерлись, работающий nginx не останавливался, перерыва в работе сайтов не было.

Далее проверил конфиг (nginx -t) и перезапустил nginx (restart-ом). Все заработало.

Было
Код:
root@secret:/usr# nginx -V
nginx version: nginx/1.14.2
built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
built with OpenSSL 1.1.0i  14 Aug 2018
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --user=root --group=nginx --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fPIC' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now -Wl,--as-needed -pie'


Стало
Код:
root@secret:~/cpro# nginx -V
nginx version: nginx/1.14.2
built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
built with OpenSSL 1.1.0i  14 Aug 2018
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --user=root --group=nginx --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-http_geoip_module=dynamic --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fPIC' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now -Wl,--as-needed -pie'


Саму работу geoip не тестировал, но думаю все ок, посмотрю позже.

PS.

При запуске скрипта были ошибки:
Код:
error: ошибка применения изменений: auto/lib/openssl/conf:62
error: auto/lib/openssl/conf: не удалось применить патч

Устраняется удалением из папки со скриптом папки nginx и nginx_conf.patch. И запуском скрипта снова. Он заного выкачает исходники.


thanks 3 пользователей поблагодарили ivan-zhilin за этот пост.
pd оставлено 16.04.2020(UTC), Ефремов Степан оставлено 17.04.2020(UTC), raynor оставлено 14.05.2020(UTC)
Offline dron88  
#229 Оставлено : 11 мая 2020 г. 19:46:50(UTC)
dron88

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.05.2020(UTC)
Сообщений: 2
Украина
Откуда: Северодонецк

Всё это очень хорошо, но хотелось бы уже чего-то нового. А есть уже сертификаты 2020 года?
Offline lab2  
#230 Оставлено : 12 мая 2020 г. 14:41:58(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 35
Российская Федерация

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 2 раз в 1 постах
Автор: Ефремов Степан Перейти к цитате
Автор: Ефремов Степан Перейти к цитате
Автор: lab2 Перейти к цитате
Все получилось, скрипты отработали, но не все получилось, проблема теперь с openssl


У вас cpopenssl установлен, nginx должен работать корректно. Но просматривается другая проблема: при установке cpopenssl добавляется путь к библиотекам cpopenssl (в /etc/ld.so.conf). Но в path ничего не добавляется. Поэтому системный openssl пробует работать с нашими библиотеками (1.1.0) и похоже у него не получается.

Это странно, т.к. если встречается openssl версии выше нашей (1.1.0i), то пути к библиотекам добавляются с меньшим приоритетом (о чем сообщается при установке), чтобы таких ситуаций как у вас как раз и не было. Похоже на то, что после установки CSP системный openssl проапгрейдили до версии 1.1.1.

Пришлите пожалуйста версию системного openssl и самой OS. Чтобы системный openssl не возмущался, удалите наши пакеты (или весь csp с помощью uninstall.sh).


Воспроизвели на ub18. Изначально версия openssl 1.1.0, после некоторого времени работы (около часа), ubuntu сама upgrade-ит openssl до версии 1.1.1. Получается не хорошо.
В связи с тем, что в CSP планируем обновление cpopenssl до версии 1.1.1, вносить исправления для таких ситуаций не будем.

Как вариант - удаление/установка cpopenssl понизит приоритет нашему openssl (системный будет в порядке). А для использования нашего openssl придется пользоваться LD_LIBRARY_PATH.


Добрый день.
Есть ли новости по
Цитата:
В связи с тем, что в CSP планируем обновление cpopenssl до версии 1.1.1
?
И если не скоро, можно попросить чуть подробней на практике показать как использовать
Цитата:
"А для использования нашего openssl придется пользоваться LD_LIBRARY_PATH"
?

И как пожелание, поправить в скриптах тестовый УЦ на https://testgost2012.cryptopro.ru/certsrv/

Отредактировано пользователем 12 мая 2020 г. 14:45:54(UTC)  | Причина: Не указана

Offline Ефремов Степан  
#231 Оставлено : 13 мая 2020 г. 17:39:09(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 44
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 16 раз в 15 постах
Автор: lab2 Перейти к цитате
Добрый день.
Есть ли новости по
Цитата:
В связи с тем, что в CSP планируем обновление cpopenssl до версии 1.1.1
?
И если не скоро, можно попросить чуть подробней на практике показать как использовать
Цитата:
"А для использования нашего openssl придется пользоваться LD_LIBRARY_PATH"
?

И как пожелание, поправить в скриптах тестовый УЦ на https://testgost2012.cryptopro.ru/certsrv/


Обновили openssl до 1.1.1g версии. Предположительно, будет эта версия (или новее) в следующем релизе CSP. Пакеты версии 1.1.1 можно брать отсюда (пакеты содержат 110 в названии - это нормально, исправим позже): https://update.cryptopro...t/nginx-gost/bin/211453.

Скрипты на github поправили (на travis ошибок нет):
  • обновили версию PCRE с 8.42 до 8.44
  • обновили версию openssl с 1.1.0 до 1.1.1
  • заменили тестовый УЦ в скриптах с cryptopro.ru/certsrv на testgost2012.cryptopro.ru/certsrv

BTW: LD_LIBRARY_PATH используется для указания приоритетного источника при поиске динамических библиотек. Если по какой-то причине вам нужно, чтобы приложение
использовало наши libssl и libcrypto, но по умолчанию это не так, то перед использованием приложения нужно выполнить (на примере ub18):
Код:
export LD_LIBRARY_PATH=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64


При работе с последней версией скриптов использование LD_LIBRARY_PATH не нужно.
Техническая поддержка здесь.
База знаний здесь.
thanks 2 пользователей поблагодарили Ефремов Степан за этот пост.
lab2 оставлено 15.06.2020(UTC), Санчир Момолдаев оставлено 06.07.2020(UTC)
Offline Ефремов Степан  
#232 Оставлено : 13 мая 2020 г. 17:41:14(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 44
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 16 раз в 15 постах
Автор: dron88 Перейти к цитате
Всё это очень хорошо, но хотелось бы уже чего-то нового. А есть уже сертификаты 2020 года?


О каких сертификатах идет речь?
Техническая поддержка здесь.
База знаний здесь.
Offline lab2  
#233 Оставлено : 26 июня 2020 г. 12:24:24(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 35
Российская Федерация

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 2 раз в 1 постах
подскажите,
как указать в конфиге ssl_certificate_key, если cn сертификата CN=Тестовый юзер 10 ?

ssl_certificate /etc/nginx/srvtest.pem;
ssl_certificate_key engine:gostengy:srvtest;

Конечно, попробую перебирать, но может есть какой общий подход?
Think
Offline Александр Лавник  
#234 Оставлено : 26 июня 2020 г. 12:33:48(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,083
Мужчина
Российская Федерация

Сказал «Спасибо»: 32 раз
Поблагодарили: 483 раз в 461 постах
Автор: lab2 Перейти к цитате
подскажите,
как указать в конфиге ssl_certificate_key, если cn сертификата CN=Тестовый юзер 10 ?

ssl_certificate /etc/nginx/srvtest.pem;
ssl_certificate_key engine:gostengy:srvtest;

Конечно, попробую перебирать, но может есть какой общий подход?
Think

Здравствуйте.

В конфигурации nginx в строке:

Код:
ssl_certificate_key engine:gostengy:value;

В качестве value можно указывать:

- CN используемого сертификата,

- отпечаток сертификата,

- идентификатор ключа.

В Вашем случае проще использовать вариант 2 или 3.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
lab2 оставлено 23.07.2020(UTC)
Offline UArtX  
#235 Оставлено : 3 июля 2020 г. 11:55:07(UTC)
UArtX

Статус: Активный участник

Группы: Участники
Зарегистрирован: 02.06.2020(UTC)
Сообщений: 34

Сказал(а) «Спасибо»: 14 раз
в nginx.conf указываем
user root;

сайт работает с гост сертификатом

если в nginx.conf указываем
user www-data;

не работает.



подскажите как заставить работать под www-data ?
Offline Александр Лавник  
#236 Оставлено : 5 июля 2020 г. 0:00:32(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,083
Мужчина
Российская Федерация

Сказал «Спасибо»: 32 раз
Поблагодарили: 483 раз в 461 постах
Автор: UArtX Перейти к цитате
в nginx.conf указываем
user root;

сайт работает с гост сертификатом

если в nginx.conf указываем
user www-data;

не работает.



подскажите как заставить работать под www-data ?

Здравствуйте.

Ответил здесь.
Техническую поддержку оказываем тут
Наша база знаний
Offline Denis007  
#237 Оставлено : 8 июля 2020 г. 16:30:43(UTC)
Denis007

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.07.2020(UTC)
Сообщений: 4
Российская Федерация
Откуда: Москва

Здравствуйте. Возникла проблема с работоспособностью решения.

Цель: поднять nginx в роли прокси, который бы принимал не шифрованный трафик и шифровал его по ГОСТ-2012 для последующей передачи в конкретный сервис. Запускается это все в docker-контейнере с Debian.

Ошибка:
Код:
[crit] 6945#6945: *1 SSL_do_handshake() failed (SSL: error:0B09407D:x509 certificate routines:x509_pubkey_decode:public key decode error error:1416F0EF:SSL routines:tls_process_server_certificate:unable to find public key parameters) while SSL handshaking to upstream
.

Перейдем к процессу установки.

1. Nginx.
Был поставлен аналогично вашей инструкции: со всеми флагами и патчем.
Код:
root@113a297485db:/# nginx -V
nginx version: nginx/1.16.1
built by gcc 8.3.0 (Debian 8.3.0-6) 
built with OpenSSL 1.1.0g-dev  xx XXX xxxx
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --user=root --group=nginx --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fPIC' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now -Wl,--as-needed -pie'


2. CSP.
Были поставлены следующие пакеты:
Код:
root@113a297485db:/# dpkg-query --list | grep csp
ii  cprocsp-cpopenssl-110-64         4.0.0-5                     amd64        OpenSSL-110. Build 9920.
ii  cprocsp-cpopenssl-110-base       4.0.0-5                     all          Openssl-110 common Build 9920.
ii  cprocsp-cpopenssl-110-devel      4.0.0-5                     all          Openssl-110 devel Build 9920.
ii  cprocsp-cpopenssl-110-gost-64    4.0.0-5                     amd64        OpenSSL-110 capi_gost engine. Build 9920.
ii  cprocsp-curl-64                  4.0.9963-5                  amd64        CryptoPro Curl shared library and binaris. Build 9963.
ii  lsb-cprocsp-base                 4.0.9963-5                  all          CryptoPro CSP directories and scripts. Build 9963.
ii  lsb-cprocsp-ca-certs             4.0.9963-5                  all          CA certificates.  Build 9963.
ii  lsb-cprocsp-capilite-64          4.0.9963-5                  amd64        CryptoAPI lite. Build 9963.
ii  lsb-cprocsp-kc1-64               4.0.9963-5                  amd64        CryptoPro CSP KC1. Build 9963.
ii  lsb-cprocsp-rdr-64               4.0.9963-5                  amd64        CryptoPro CSP readers. Build 9963.


3. OpenSSL.
Наша версия CSP, видимо, является старой и в ее наборе нет cprocsp-cpopenssl-110 пакетов, а есть только cprocsp-cpopenssl, который, как я понимаю, с OpenSSL < 1.1.0, поэтому четыре пакета, необходимые для OpenSSL 1.1.0 и gostengy были скачаны из архивного репозитория: https://update.cryptopro...st/bin/archives/164682/. Были выбраны именно эти пакеты, потому что текущая 5я версия cprocsp-cpopenssl-110, которая в новых пакетах, не поддерживает нашу CSP 4.0.
Код:
root@113a297485db:/# /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 164682 $)


4. Сертификаты.
Использовались свои сертификаты, которые работают у нас на stunnel также для доступа в целевой сервис. Рутовый сертификат был установлен, секретные ключи положены, а сертификат клиента сконвертирован в PEM формат и подложен в nginx.

5. Конфиг Nginx
Код:
user root;

events {
    worker_connections 1024;
    multi_accept on;
}

http {

    log_format main '"\$time_local" client=\$remote_addr '
                   'method=\$request_method request="\$request" '
                   'request_length=\$request_length '
                   'status=\$status bytes_sent=\$bytes_sent '
                   'body_bytes_sent=\$body_bytes_sent '
                   'referer=\$http_referer '
                   'user_agent="\$http_user_agent" '
                   'upstream_addr=\$upstream_addr '
                   'upstream_status=\$upstream_status '
                   'request_time=\$request_time '
                   'upstream_response_time=\$upstream_response_time '
                   'upstream_connect_time=\$upstream_connect_time '
                   'upstream_header_time=\$upstream_header_time';

    access_log  /var/log/nginx/access.log  main;
    error_log  /var/log/nginx/error.log warn;

    server {
        listen 80;
        server_name localhost;
        proxy_http_version 1.1;

        location /get {
            proxy_set_header Content-Type "application/x-www-form-urlencoded; Charset=windows-1251";
            proxy_set_header Connection "Close";

            proxy_ssl_verify on;
            proxy_ssl_trusted_certificate /etc/nginx/root.pem;
            proxy_ssl_certificate /etc/nginx/test_user.pem;
            proxy_ssl_certificate_key engine:gostengy:Тестовый;
            proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
            proxy_ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;

            proxy_pass https://test.db.local/get;
        }
    }
}



Вот собственно и все. Подскажите, пожалуйста, в чем может быть проблема?

1) Надо ли переводить рутовый сертификат в КС2 формат и как?
2) Надо ли ставить cprocsp-compat-debian пакет, как это сделано у вас и потому что у меня Debian, и где его найти?
3) Совместимы ли CSP v4.0.9963-5 с cpopenssl-110 v4.0.0-5?
4) Какой тип авторизации используется в нашей системе: односторонний или двухсторонний, если до этого для этих целей использовался stunnel? Если двухсторонний, правильно ли, что в параметре proxy_ssl_trusted_certificate указываю корневой сертификат?

Отредактировано пользователем 8 июля 2020 г. 16:42:23(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#238 Оставлено : 8 июля 2020 г. 17:08:48(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,001
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 165 раз в 143 постах
Автор: Denis007 Перейти к цитате
Были выбраны именно эти пакеты, потому что текущая 5я версия cprocsp-cpopenssl-110, которая в новых пакетах, не поддерживает нашу CSP 4.0.

В какой форме не поддерживает? Возможно, нужно зафорсить установку, так как противоречий по функционалу нет.

Поддержка gostengy версий отличных от текущей под большим вопросом.

Знания в базе знаний, поддержка в техподдержке
Offline Denis007  
#239 Оставлено : 9 июля 2020 г. 11:14:46(UTC)
Denis007

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.07.2020(UTC)
Сообщений: 4
Российская Федерация
Откуда: Москва

Автор: Дмитрий Пичулин Перейти к цитате
Автор: Denis007 Перейти к цитате
Были выбраны именно эти пакеты, потому что текущая 5я версия cprocsp-cpopenssl-110, которая в новых пакетах, не поддерживает нашу CSP 4.0.

В какой форме не поддерживает? Возможно, нужно зафорсить установку, так как противоречий по функционалу нет.

Поддержка gostengy версий отличных от текущей под большим вопросом.



Зафорсил установку, в итоге:
Код:
root@736c9bfe18a0:/# dpkg-query --list | grep csp
ii  cprocsp-cpopenssl-110-64         5.0.11803-6                 amd64        OpenSSL-110. Build 11803.
ii  cprocsp-cpopenssl-110-base       5.0.11803-6                 all          Openssl-110 common Build 11803.
ii  cprocsp-cpopenssl-110-devel      5.0.11803-6                 all          Openssl-110 devel Build 11803.
ii  cprocsp-cpopenssl-110-gost-64    5.0.11803-6                 amd64        OpenSSL-110 gostengy engine. Build 11803.
ii  cprocsp-curl-64                  4.0.9963-5                  amd64        CryptoPro Curl shared library and binaris. Build 9963.
ii  lsb-cprocsp-base                 4.0.9963-5                  all          CryptoPro CSP directories and scripts. Build 9963.
ii  lsb-cprocsp-ca-certs             4.0.9963-5                  all          CA certificates.  Build 9963.
ii  lsb-cprocsp-capilite-64          4.0.9963-5                  amd64        CryptoAPI lite. Build 9963.
ii  lsb-cprocsp-kc1-64               4.0.9963-5                  amd64        CryptoPro CSP KC1. Build 9963.
ii  lsb-cprocsp-rdr-64               4.0.9963-5                  amd64        CryptoPro CSP readers. Build 9963.


Теперь ошибка такая:
Код:
root@736c9bfe18a0:/# cat /var/log/nginx/error.log
2020/07/09 09:19:06 [crit] 6934#6934: *1 SSL_do_handshake() failed (SSL: error:8000901E:lib(128):gng_delayed_init:CryptAcquireContext error:80005023:lib(128):gng_support_create_pubkey_3410:CryptImportPublicKeyInfo error:1416F0EF:SSL routines:tls_process_server_certificate:unable to find public key parameters) while SSL handshaking to upstream


Есть мысли?

Вот еще вопросы:
1) Надо ли переводить рутовый сертификат в КС2 формат и как?
2) Надо ли ставить cprocsp-compat-debian пакет, как это сделано у вас и потому что у меня Debian, и где его найти?
3) Какой тип авторизации используется в нашей системе: односторонний или двухсторонний, если до этого для этих целей использовался stunnel? Если двухсторонний, правильно ли, что в параметре proxy_ssl_trusted_certificate указываю корневой сертификат?

Отредактировано пользователем 9 июля 2020 г. 12:23:26(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#240 Оставлено : 9 июля 2020 г. 13:56:34(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,001
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 165 раз в 143 постах
Автор: Denis007 Перейти к цитате
Есть мысли?

В начале темы приводятся автоматизированные скрипты, у вас получилось на них работать?

Если нет, начните со скриптов.

Если да, двигайтесь маленькими шагами. от работающей конфигурации к вашей.

Автор: Denis007 Перейти к цитате
Вот еще вопросы:
1) Надо ли переводить рутовый сертификат в КС2 формат и как?
2) Надо ли ставить cprocsp-compat-debian пакет, как это сделано у вас и потому что у меня Debian, и где его найти?
3) Какой тип авторизации используется в нашей системе: односторонний или двухсторонний, если до этого для этих целей использовался stunnel? Если двухсторонний, правильно ли, что в параметре proxy_ssl_trusted_certificate указываю корневой сертификат?

1) зависит от ваших требований, по умолчанию надо, в скриптах это есть
2) установка csp есть в скриптах
3) stunnel умеет двусторонний и односторонний tls, по директивам nginx лучше обратиться к документации nginx
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
15 Страницы«<1011121314>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.